Kurze Stellungnahme zu unserer Einschätzung von Audio- und Videokonferenzen
Da wir immer wieder zu Videokonferenzen mittels Zoom, Teams, GoToWebmeeting usw. eingeladen werden, möchten wir Ihnen hier unsere Begründung für unseren Verzicht auf Basis der folgenden Fakten näherbringen
- Einschätzung des Landesdatenschutzbeauftragten SH, T. Weichert
- Urteil des EuGH S311/18 (Schrems II) - Ende des Privacy Shield
- 15. Bericht des Landesbeauftragten für Datenschutz MV
- Bericht des Landesrechnungshofes MV 2020
- Anmerkungen unseres Datenschutzexperten Christian Engelen
Mit dem 16.7.2020 hat der EuGH den Privacy Shield für ungültig erklärt. Ein Grund dafür ist, dass die Trump Administration kurz nach Amtseinführung den Cloud Act erlassen hat:
1. Der CLOUD-Act (Clarifying Lawful Overseas Use of Data Act) verpflichtet US-Unternehmen dazu, den US-Behörden Zugriff auf alle Daten zu ermöglichen, auf die das Unternehmen selbst auch Zugriff hat. Den US-Behörden muss der Zugriff auf unternehmenseigene Daten auch dann gewährt werden, wenn die Daten auf Servern außerhalb der USA gespeichert werden.
Weitere Gründe sind der Patriot Act, FISA Part 702 und EO 12333
Die Bestimmungen des Patriot Acts erlauben US-Behörden (wie dem FBI, der NSA oder der CIA) den Zugriff auf die Server von US-Telekommunikationsunternehmen. Auch ausländische Töchter sind nach dem US-Gesetz verpflichtet, Zugriff auf ihre Server zu gewähren, selbst dann, wenn lokale Gesetze (also EU-DSGVO und BDSG, Anm. d. Verf.) dies untersagen.
Microsoft hat unmittelbar nach der Urteilsverkündung verlauten lassen, dass natürlich immer noch die Standardvertragsklauseln (SCC/SVK) und Bindende Vertragliche Vereinbarungen (BCR) den Datentransfer für Windows und Office 365 legitimieren.
Der EuGH hat die SCC und BCR tatsächlich für anwendbar erklärt, allerdings nur, wenn der Verantwortliche und der Empfänger der Daten nachweislich sicherstellen können, das während des gesamten Vorgangs, also Übertragung, Speicherung und Verarbeitung im Drittland, mindestens die gleichen Sicherheitsstandards für die Daten gelten wie unter der DSGVO. Das ist aufgrund der Massenüberwachung in den USA nicht möglich.
EU-Verantwortliche, die Daten auf Servern von US-Tochterunternehmen speichern oder durch diese verarbeiten lassen, verstoßen nach Meinung de LDB Schleswig-Holstein, Thilo Weichert gegen europäische und nationale Gesetze.
Bisher wurde davon ausgegangen, dass ein Zugriff nur gezielt und in Einzelfällen erfolgt. Anfang Juni 2013 wurde nun bekannt, dass die USA in weitaus größerem Maße als bisher bekannt bzw. angenommen Daten abgreifen.
Nach diesem Bericht werden seit 2007 die Server großer Unternehmen wie Microsoft, Google, Yahoo und viele Telefonprovider kontinuierlich abgegriffen. Auch eine qualitative Ausweitung hat stattgefunden: Es werden nicht nur E-Mails, sondern auch Telefongespräche, Videokonferenzen etc. kontinuierlich als Quellen abgeschöpft.
Die Daten werden bei der NSA in einer speziellen Datenbank gespeichert und bei Bedarf mit Methoden des Data-Mining mittels KI nach relevanten Datenmustern durchsucht.
Auf Anordnung des FISC, eines Gerichts, dessen Sitzungen und Urteile geheim sind, werden seit 2003 alle Bestands- und Verkehrsdaten von internationalen Nutzern durch die Telefongesellschaften und seit 2007 die der US-amerikanischen Internetunternehmen an die NSA übermittelt.
In ihrer Datenschutzerklärung (Privacy Declaration) bekräftigen diese Unternehmen (Microsoft, Google, Amazon etc., Anm. d. Verf.) jedoch häufig, dass nur dann Daten weitergegeben werden, wenn ein Gerichtsurteil vorliege.
Da aber der FISC ein geheimes und zugleich umfassend wirkendes Gerichts-Urteil zum Zugriff durch die NSA erlassen hat, ist davon auszugehen, dass potentiell alle Daten internationaler Nutzer durch US-Provider an die NSA weitergleitet werden.
Gerade die Trump-Administration hat gezeigt, dass ihr die Rechte von Nicht-US Bürgern schnuppe sind und deren Daten durch mehrere Anordnungen und Dekrete faktisch offen für Betriebsspionage und Auswertung durch Algorithmen der US-Industrie und Geheimdienste sind. Business as usual und America first.
Wer sich heute noch auf die Versprechen der US Industrie in Ihren Datenschutzerklärungen verlässt, begibt sich selbst und alle Kontakte und Gesprächspartner in die Hände der undurchsichtigen Auswertemethoden der US Geheimdienste und der Monopolisten wie Microsoft, Google, Apple usw.
Wir preferieren ausdrücklich die offenen und auch selbst zu betreibenden Lösungen mittels Jitsi, BigBlueButton und Nextcloud für Videokonferenzen und Meetings.