Dieser Artikel wurde erstmals veröffentlicht bei ITK SECURITY.

Letzte Aktualisierung vor 1 Jahr durch Patrick Ruppelt

Lesedauer: 8 Minuten

Was die Aufsichtsbehörden teils verlauten lassen, ist selbst mir als TÜV zertifiziertem Datenschutzbeauftragten mittlerweile manchmal ziemlich Wurscht, wenn ich das so profan sagen darf.

Was da teilweise für Pfeifen sitzen will ich gar nicht wissen. Erstens sollten manche davon erst einmal die Grundlagen des Datenschutzrechts lernen bevor sie den Mund aufmachen, und zweitens gibt es noch so etwas wie gesunden Menschenverstand.

Auf Details bin ich in anderen Artikeln bereits ausführlich eingegangen. Deshalb belasse ich es an dieser Stelle mit ein paar humoristisch sarkastischen Zitaten, die zwar aus dem Kontext gerissen sind aber für sich selbst stehen. Nehmen Sie es einfach als persönlichen Kommentar. Ich wünschte ich könnte behaupten, ich meine das alles nicht so ernst, aber ehrlich gesagt ist es dann doch eine ziemlich ernste Sache.

Quellenangaben für alle Zitate stammen alle von der Berliner Datenschutzbeauftragten Maja Smoltczyk:

  1. Berliner Beauftragte für Datenschutz und Informationsfreiheit, Checkliste für die Durchführung von Videokonferenzen während der Kontaktbeschränkungen1)
  2. Berliner Beauftragte für Datenschutz und Informationsfreiheit, Berliner Datenschutzbeauftragte zur Durchführung von Videokonferenzen während der Kontaktbeschränkungen2)

These #1 Telefon ist sicherer als Video

Ob die dort schon einmal was davon gehört haben, dass Telefon und Fax schon immer unverschlüsselt waren?

Selbst eine Verschlüsselung moderner IP Telefone geht maximal bis zum Telefonie-Provider. Was danach im Netz passiert, ist eine andere Frage.

Über die Komplexität und Sicherheit von modernen Videokonferenzlösungen mag man streiten können, aber die Behauptung Telefon sei generell sicherer als Videotelefonie ist schon steil.

…und weiter:

These #2 Wenn schon Video, dann selber betreiben

Auch geil. Microsoft betreibt Teams auf eigenen Servern. Diese haben seit Corona 720% Last. Microsoft schränkt nach und nach Funktionen ein, reduziert die Video-Bandbreite, weil selbst die Microsoft Cloudserver weltweit hoffnungslos überfordert sind.

Die Berliner Datenschutzbeauftragte ist nun also der Meinung, man solle als kleine Firma das, was Microsoft in 30 Jahren Entwicklung gerade mal so eben mehr schlecht als recht bereitstellen kann, einfach selber betreiben.

…oder auch:

…oder auch:

These #3 Der Anwender schaut in den Quelltext der Software

Klar… Es ist ja auch jeder in der Lage, Software auseinander zu nehmen, zu schauen ob im Quelltext irgend welche Hinweise darauf zu finden sind, dass Daten abgegriffen werden. Oder jeglichen Datenverkehr im Detail zu untersuchen um festzustellen, was genau übertragen wird. Mal ganz abgesehen davon, dass der Netzwerkverkehr doch verschlüsselt erfolgt also wie soll ich da als Anwender rein schauen bitteschön?

These #4 Es gibt genug deutsche / europäische Anbieter solcher Lösungen

In welcher Welt leben Sie eigentlich da oben? Ich kürze es ab: ich kenne keinen einzigen europäischen Anbieter, der so etwas im Portfolio hat. Aus Deutschland sowieso nicht.

…oder auch:

…und total geil ist dann, wenn die liebe Dame selbst feststellt, dass es das, was sie empfiehlt, überhaupt nicht gibt. DOH DOH DOH.

These #5 Privacy Shield ist sicher

Also Frau Smoltczyk mal im Ernst. Haben Sie überhaupt irgend eine Ahnung davon, was Privacy Shield ist? Fragebogen Kreuzchen „ja ich bin sicher“. Das ist nur etwas auf dem Papier, hat aber mit echter Sicherheit nichts zu tun, liebe Frau Expertin.

These #6 Von Microsoft darf man generell nichts einsetzen

Begründung? Ja äh… hm… nö, keine. Einfach mal so in den Raum geworfen. Das zeugt von richtiger Fachkunde. Wahnsinn.

Ich bin da mal generell anderer Meinung als die Berliner Datenschutzbeauftragte. Ich würde sogar so weit gehen zu behaupten, dass die liebe Frau Smoltczyk hier ganz schön daneben liegt mit ihren absurden Aussagen.

oder auch:

These #7 Wenn Video-Anbieter in der EU oder EFTA ansässig, dann braucht es keine Verschlüsselung

Ähm. Ja. Es ist ein wagemutiger Umkehrschluss, okay. Habe ich vielleicht falsch verstanden, was sie da schreibt. Ich weiß nicht. Irgendwie… Was immer es in Berlin zu rauchen gibt, ich will auch etwas davon.

These #8 Je sensibler der Gesprächsstoff, desto wahrscheinlicher wird die Konferenz gehackt

Logisch.

Ich weiß schon, was gemeint ist. Es zielt wohl darauf ab, dass falls etwas bei gleicher Eintrittswahrscheinlichkeit, egal ob sensibel oder nicht sensibel, passiert, dann ist das darauf folgende Risiko natürlich im Ergebnis bei sensiblen Gesprächen höher. Aber bitte, so kann man doch kein Empfehlungsschreiben raus geben…

These #9 Knebeln Sie kleine Wurst den amerikanischen Weltkonzern vertraglich!

Wie kann man nur so weltfremd sein? Ich habe Verhandlungen geführt, da ging es um knapp 5.000 Microsoft Office 365 / Teams Lizenzen. Es wurde über drei Monate verhandelt, zusammen mit drei Fachanwälten eines großen international tätigen Konzerns. Um das klar zu stellen, wir reden von einem Kunden der über 100.000,- € monatlich an Microsoft entrichtet. Nicht ein einziges Komma hat Microsoft im Vertrag geändert, weil Microsoft kein Interesse an Sonderfällen hat.

…und weiter:

Meine persönliche Empfehlung

Glauben Sie nicht alles, was Sie von offizieller Stelle lesen. Theorie und Praxis klaffen sowieso schon himmelweit auseinander, aber so etwas wie das hier ist einfach nur dämlich. Viele Firmen kämpfen gerade echt mit anderen Problemen.

Schalten Sie Ihr Hirn ein, denken Sie darüber nach und fragen Sie im Zweifel einfach mal Ihren Datenschutzbeauftragten. Ich bin sicher, der wird eher meine Meinung vertreten als die der Berliner Datenschutzbeauftragten…

Quellenverzeichnis

↑1https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2020-BlnBDI-Checkliste_Videokonferenzen.pdf
↑2https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2020-BlnBDI-Empfehlungen_Videokonferenzsysteme.pdf