Datenschutz in Microsoft Teams vs. Cisco Webex
Datenschutz in Microsoft Teams vs. Cisco Webex

von

Christoph Bender
06. Mai 2021
Wie unterscheiden sich Microsoft Teams und Cisco Webex in den Datenschutzkonzepten? Dieser Frage gehe ich in diesem Artikel nach.

Artikel Update

Der Artikel vom 06.05.2021 wurde am 07.05.2021 aufgrund der Veröffentlichung von Microsoft überarbeitet und aktualisiert.

Spätestens seit Einführung der DSGVO ist die Wichtigkeit des Datenschutzes allgemein Bekannt, insbesondere der Schutz von persönlichen Daten.

Seit Beginn von Covid-19 nutzen immer mehr Arbeitnehmer und Schüler Collaboration Tools wie Microsoft Teams, Webex oder im Land selbst gehostete Lösungen wie Moodle.

Das bedeutet, dass sich Unternehmen und Behörden verstärkt um das Thema Datenschutz in den genannten Collaboration Tools kümmern müssen.

In diesem Artikel vergleiche ich die am meisten genutzten Tools: Microsoft Teams und Cisco Webex.
Cisco Webex meint nicht das seit mehr als einem Jahrzehnt bekannte Webex Meetings, sondern das ehemalige Webex Teams, jetzt einfach nur Webex.
Webex bietet mit Microsoft Teams vergleichbare Team Chats, mit integrierter Telefonie und Meetings. Alles in einer Plattform.

Bei den Datenschutzbetrachtungen geht es darum wie und wo (persönliche) Daten verarbeitet werden.

Team Collaboration Vergleich

In diesem Artikel vergleiche ich die am am meisten genutzten Team Collaboration Plattformen

Wo werden die Daten verarbeitet?

Um die Datenflüsse zwischen der EU und den USA zu regeln, einigten sich 2016 die EU und die USA auf das EU-US Privacy Shield. Damit wurden Datenverarbeitungen in den USA legalisiert und Datenschutzverantwortliche konnten sich bei Datentransfers zu Verantwortlichen oder Auftragsverarbeitern in den USA auf den Privacy Shield berufen.

Nachdem der Europäische Gerichtshof das EU-US Privacy Shield 2020 gekippt hatte, sind seit dem Datentransfers in die USA nicht mehr zulässig.

Dazu sagt der Baden-Württembergische Landesdatenschützer Stefan Brink im Handelsblatt:  handelsblatt.com/politik/deutschland/datenschuetzer-im-interview-stefan-brink-unternehmen-sind-mit-einer-massiven-bussgeldgefahr-konfrontiert/26851202.html

In „zahllosen Fällen“ verstießen Unternehmen gegen die Datenschutz-Grundverordnung (DSGVO), etwa wenn US-Dienstleister von Unternehmen mit Sitz in der EU weiter eingesetzt würden. Auch der Einsatz von Standardvertragsklauseln ohne notwendige zusätzliche Garantien bleibe rechtswidrig.

Cisco Webex

Cisco Webex Teams, der Teams Teil der Webex Lösung wurde für europäische Kunden schon immer in Frankfurt und Amsterdam gehostet. Cisco Webex Meetings, der Meetings Teil wurde in Großbritannien gehostet. Nach dem Brexit musste auch hier gehandelt werden. Daher baut Cisco derzeit ein neues Rechenzentrum in Frankfurt für die europäischen Kunden. Ab Sommer werden alle europäischen Kunden komplett in Frankfurt und Amsterdam gehostet und Bestandskunden sukzessive umgezogen.

Analytics-Daten in Webex

Mit dem Go-live des neuen Rechenzentrums in Frankfurt werden auch die Analyticsdaten in Europa verarbeitet und gehen nicht in die USA.

Die Umstellung der Rechnungsdaten wird noch ein wenig dauern. Daten zu Abrechnungszwecken gehen noch in die USA, die benötigt werden, um die Abrechnungen der Nutzung zu erstellen. Das sind jedoch keine persönlichen Daten.

Microsoft Teams

Microsoft betreibt Rechenzentren in der EU und auch in Deutschland, Bestandskunden deren Instanzen bisher nicht in Deutschland gehostet wurden, können in das Deutsche Rechenzentrum umziehen.

Microsoft sendet Telemetriedaten in die USA.

Auch beruft sich Microsoft in den Datenschutzbedingungen auf den EU-US Privacy Shield, was nicht mehr zulässig ist.

Microsoft 365 wurde Datenschutzkonferenz des Bundes und der Länder hinsichtlich der Datenschutzbedingungen untersucht und durch Fragdenstaat veröffentlicht.  https://fragdenstaat.de/dokumente/7572-beschlussentwurf/

Wie werden die Daten verarbeitet

Wichtig für eine Datenschutzrechtliche Bewertung ist auch die Frage, wie die Daten verarbeitet werden und wie die Daten gesichert werden.

Dazu sagt Stefan Brink im oben genannten Artikel im Handelsblatt:

Betroffen sind praktisch alle US-Produkte, Ausnahmen sind nur denkbar bei reinen Cloud-Speichern, die eine Verschlüsselung durch den Nutzer zulassen,…

Cisco Webex

Cisco Webex ist Ende zu Ende verschlüsselt, somit kann auch Cisco im Falle eines Auskunftsersuchens nicht auf die Daten zugreifen.

Traut man der Verschlüsselung nicht, so kann ein eigener PKI Server betrieben und mit eigenen Schlüsseln verschlüsselt werden.

Microsoft Teams

Microsoft verschlüsselt wie die meisten Lösungen nicht Ende zu Ende, daher kann auf die Daten jederzeit zugegriffen werden. Immerhin sichert Microsoft mittlerweile zu, dass jedes Auskunftsersuchen erst einmal abgewehrt wird und dass Nutzer darüber informiert werden.

 

Fazit

Cisco macht mit Webex vieles richtig, Rechenzentrum in Europa, kein Abfluss von Analyticsdaten ab Sommer und Abrechnungsdaten in ferner Zukunft. Dazu eine Ende-zu-Ende-Verschlüsselung, die durch eigene Schlüsselserver abgesichert werden kann.

Besser kann man es nicht machen. Zur Absicherung des Wichtigsten was eine Firma besitzt, dem Unternehmens Know-how, gehört zwingend eine Ende-zu-Ende-Verschlüsselung.

Microsoft bietet keine Ende-zu-Ende Verschlüsselung und Analytics/ Telemetriedaten fließen in die USA auf Basis der Standardvertragsklauseln.

Update vom 07.05.2021

Im Microsoft Blogpost vom 06.05.2021 hat Microsoft bekannt gegeben, dass Kunden zukünftig entscheiden können, ob ihre Daten nur in Europa gehostet und verarbeitet werden dürfen.
Datenschützer sind auch hier, siehe oben, skeptisch, ob das funktioniert und tatsächlich keine Telemetriedaten in die USA abfließen.
Daher muss abgewartet werden, was diese neue Ankündigung tatsächlich bringt. Es bleibt spannend.

Titelbild: Photo by Maksym Kaharlytskyi on Unsplash

Finden Sie diese Informationen hilfreich? Sind Sie anderer Meinung? Haben Sie Fragen? Benötigen Sie eine Beratung? Gerne dürfen Sie mir schreiben.