Videokonferenzen

(Stand: Mai 2021)

Welche Videokonferenz-Produkte sind datenschutzkonform?

Infolge vieler Anfragen von Mandanten zur Datenschutzkonformität von Video-Konferenzanwendungen im geschäftlichen Bereich, für deren Datenschutzkonformität deutsche Unternehmen beim Einsatz haften, veröffentliche ich nachfolgend eine kleine Übersicht hierzu. Da eine technische und rechtliche Prüfung solcher Dienste zeitaufwendig ist, muss ich mich auf diejenigen Produkte beschränken, zu deren Prüfung ich bisher von Mandanten beauftragt wurde. Wenn in einem Bereich bereits gravierende Mängel gefunden wurden, habe ich die Prüfung meist nicht abschließend zu Ende geführt. Zusammenfassung: Einziger mir bisher bekannter, von Unternehmen rechtskonform einsetzbarer Videokonferenzdienst ist Ecosero. Ich erinnere daran, dass unzulässige digitale Wanzen und Datenabflüsse nicht nur ein datenschutzrechtliches Problem für den Unternehmer, seine Beschäftigten und Geschäftspartner darstellen, sondern unabhängig davon Geschäftsgeheimnisse und die IT-Sicherheit der Beteiligten gefährden. “Geschäftsgeheimnisse”, die technisch nicht ausreichend geschützt werden, können dadurch ihren rechtlichen Schutz verlieren.

Denken Sie im Homeoffice generell an ausreichende Maßnahmen zur Datensicherheit, die ich hier vorstelle.

1. Ecosero

Thumb upEs gibt zwei Standardprogramme für Videokonferenzen, auf die zahlreiche Produkte aufbauen: “Jitsi Meet” und “Big Blue Button”. Diese sind zwar etwas weniger “shiny” als die Produkte US-amerikanischer Anbieter. Dafür sind sie von jedem anpassbar und dadurch rechtskonform einsetzbar, was bei den großen US-amerikanischen Anbietern auf absehbare Zeit realistischerweise kaum zu erwarten ist. Auch die Umsetzungen auf den Websites der Anbieter Jitsi und Big Blue Button selbst waren zuletzt nicht rechtskonform. Jedes Unternehmen hat die Möglichkeit, Jitsi und Big Blue Button auf eigenen Servern zu betreiben.

Der Berliner Anbieter Ecosero setzt auf eine Modifikation des Standards Big Blue Button. Big Blue Button deckt die üblichen Funktionen wie Screensharing, Whiteboard und optionale, transparente Videoaufzeichnungen ab. Ebenso können PDF-Präsentationen gezeigt werden, es sind offene und private Chats sowie Umfragen möglich. Im Rahmen einer Videokonferenz sind Break-out-Räume möglich, in denen etwa Gruppenarbeit erledigt werden kann. Teilnehmer können sich virtuell “melden” oder sich als “abwesend” kennzeichnen. Die Konferenzen können passwortgeschützt werden. Eine Erweiterung zur Einbindung in den Outlook-Kalender wird angeboten. Selbstverständlich können – bei allen hier untersuchten Videokonferenz-Diensten – auch externe Teilnehmer, etwa Geschäftspartner, eingeladen werden, die kein Kunde des jeweiligen Diensts sind. Ecosero ermöglicht auch Telefoneinwahlen. Oft ist eine Bildübertragung zum Informationsaustausch ohnehin unnötig und sollte möglichst aus Datenschutz-, aber auch aus Ressourcengründen unterbleiben. Ebenso sollten bei einem Redner die übrigen Teilnehmer Ton und vor allem Bild zumindest temporär deaktivieren, was jedoch für alle Videokonferenzsysteme gilt. Vielfach ist bei Kapazitätsengpässen auch nicht der Konferenzanbieter der Flaschenhals, sondern schlechte Internet- oder WLAN-Verbindungen der Teilnehmer. Die Kapazitäten Ecoseros genügen für eine dreistellige Teilnehmerzahl pro Konferenz.

Weder Veranstalter noch Teilnehmer müssen bei Big Blue Button – und damit Ecosero – eine Software installieren, beides ist browserbasiert möglich. Das gilt auch für mobile Endgeräte. Die Daten fließen bei Ecosero über deutsche Server, eine Kontrolle durch mich im November 2020 bestätigte dies. Die Konferenzen sind zwar nicht Ende-zu-Ende-, aber transportverschlüsselt (also zwischen dem Kunden und Ecosero), was derzeit dem Stand der Technik entspricht. Wer das vermeiden möchte, kann einen Videodienst auf eigenen Servern betreiben. Der Anbieter nimmt keine unzulässigen Übermittlungen von Kundendaten an Google oder ähnliche Analyseunternehmen vor. Kunden können mit dem Anbieter einer Vereinbarung zur Auftragsverarbeitung nach Art. 28 DS-GVO abschließen, die nach aufsichtsbehördlicher Maßgabe jedenfalls bei nicht privater Nutzung erforderlich ist, um einen geeigneten Rechtsrahmen zu schaffen.

Ecosero bietet sogar an, die Konferenzsoftware optional gegen Aufpreis in einer private cloud des Kunden zu betreiben, also auf eigenen Servern des Kunden, wie von den Aufsichtsbehörden offiziell empfohlen. So kann ein höheres Maß an Datensicherheit erreicht werden, was etwa für Berufsgeheimnisträger und andere Unternehmen sein kann, die auf den Schutz ihrer Geschäftsgeheimnisse Wert legen. Ecosero nimmt eine 7-tägige Vorratsspeicherung der Nutzungsdaten (nicht: der Konferenzinhalte selbst) vor, was sich noch im aufsichtsbehördlich tolerierten Rahmen bewegt. Die Datenschutzerklärung ist etwas unspezifisch, was aber kein rechtliches Problem des Kunden darstellen sollte.

Nennenswerte rechtliche Mängel habe ich, nachdem der Anbieter einige Anregungen von mir umgesetzt hat, nicht gefunden.

Übrigens: Wer die Plattform Big Blue Button unverbindlich testen möchte, kann dies über Senfcall tun (siehe unten).

2. Sichere-videokonferenz.de

Thumb upDer in Hamburg ansässige Anbieter Horizon44 GmbH bietet das Produkt Sichere-videokonferenz.de an, das für jeden anmelde- und kostenfrei nutzbar ist. Technisch setzt der Anbieter im Vergleich zu Ecosero (siehe oben) auf den Gegenstandard “Jitsi Meet”, der etwas höhere Ansprüche an die Internetverbindung als “Big Blue Button” stellt (teils hilft es, einen anderen Browser als Firefox zu verwenden). Auch Jitsi benötigt weder beim Veranstalter noch bei den Teilnehmern eine Installation, sondern ist direkt über den Browser nutzbar. Das gilt auch für mobile Endgeräte. Eine App für mobile Geräte ist zwar verfügbar, aber unnötig. Falls sie dennoch installiert wird, beinhalten die Varianten aus den Google- und Apple-Stores nach meiner Information unzulässige Tracker (Google, Amplitude), nicht jedoch die Android-Version aus dem F-Droid-Store, falls auf dem jeweiligen Android-Gerät freigeschaltet. Kunden können eine zum Download bereitgestellte Vereinbarung zur Auftragsverarbeitung mit dem Anbieter abschließen.

Bei zwei Konferenzteilnehmern sind die Konferenzen Ende-zu-Ende-verschlüsselt (das heißt, selbst der Konferenzanbieter kann nicht “mithören”), bei mehreren Teilnehmern wird dem Stand der Technik transportverschlüsselt. Auch Jitsi bietet die üblichen Funktionen wie einen Passwortschutz, einen Chat und eine Bildschirmfreigabe. Ein Whiteboard und PDF-Präsentationen sind meines Wissens nicht möglich, über die Bildschirmfreigabe dürfte das aber zu simulieren sein. Der Anbieter verwendet deutsche Server, was ein Test im März 2021 bestätigte. Eine Telefoneinwahl ist leider nicht möglich, der Anbieter hat aber angekündigt, dies nachrüsten zu wollen. Es werden keine Kundendaten an Drittdienste wie Google übermittelt. Einen Betrieb in einer private cloud, also auf unternehmenseigenen Servern, bietet der Anbieter nicht an; das führt aber, abgesehen von sehr sensiblen Einsatzbereichen, nicht per se zur Unzulässigkeit. Einige Mängel in der Vereinbarung zur Auftragsverarbeitung und in der Datenschutzerklärung hat der Anbieter auf meine Anfrage hin behoben, die restlichen (etwa zu Cookies) sind gering und sollten rechtlich nicht zu Lasten des Kunden gehen. Die beschriebenen Maßnahmen zur Datensicherheit (also zur Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme) fallen wenig spezifisch aus, mögen aber noch zulässig sein. Zumindest ist mir aus anderem Zusammenhang bekannt, dass der verwendete technische Subunternehmer, die Hetzner Online GmbH, über sehr gute Maßnahmen zur Datensicherheit verfügt.

Der Dienst wurde in einer Vergleichsbetrachtung der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom Februar 2021 als relativ datenschutzfreundlich empfohlen. Dabei ist der Behörde offenbar entgangen, dass der Dienst das Nutzerverhalten (nicht: die Konferenzinhalte) mit dem – wenn auch auf eigenen Servern betriebenen – Analyse-Tool “Matomo” durchleuchtet. Dies erscheint jedenfalls in der Standardkonfiguration problematisch im Hinblick auf Art. 6 Abs. 1 DS-GVO, auch wenn die IP-Adressen sofort gekürzt werden. Denn Matomo speichert dort bestimmte Werte zum Endgerät und der ungekürzten IP-Adresse unnötig über Monate auf Vorrat und ein Personenbezug kann spätestens in Verbindung mit weiteren Daten nicht ausgeschlossen werden. Ich habe den Anbieter darüber informiert. Die Problematik und das Schadpotential erscheinen dennoch, zumal relativ betrachtet, geringfügig.

Wer Videokonferenzen über die zugrunde liegende Software Jitsi Meet unverbindlich probieren möchte, kann dafür die ebenfalls kosten- und anmeldefreie Umsetzung der TU Ilmenau oder – mit möglicher Telefoneinwahl – von Netzbegrünung verwenden. Leider sehen die beiden Angebote keinen Abschluss einer Vereinbarung zur Auftragsverarbeitung vor, weswegen sie sich allenfalls für Privatanwender eignen.

3. Senfcall; Stadt Ulm

Thumb downSenfcall ist ein nichtkommerzielles Angebot, das von einem Darmstädter Verein betrieben wird. Als einer der wenigen Anbieter bietet Senfcall kosten- und anmeldefrei das System Big Blue Button (siehe oben) an. Telefoneinwahlen sind bei Senfcall leider nicht möglich.

Die Seite beinhaltet keine Tracker, die Daten unzulässig an Analysedienste Dritter oder in Drittländer übermitteln. Die Konferenzen laufen über Server des deutschen Rechenzentrums Hetzner Online GmbH. Leider wird keine Vereinbarung zur Auftragsverarbeitung nach Art. 28 DS-GVO angeboten, sodass das Produkt allenfalls für den Privatgebrauch oder zum Testen der Big Blue Button-Plattform einsetzbar ist. Von einer eingehenderen Prüfung habe ich daher abgesehen.

Entsprechendes gilt für den weiteren Big Blue Button-Dienst der Stadt Ulm. Die Daten fließen dort nicht über die Hetzner Online GmbH, aber über Server der Universität Stuttgart. Anders als bei Senfcall sind hier auch Telefoneinwahlen möglich.

4. Microsoft Teams

Thumb downMicrosoft Teams ist eine intuitive Videokonferenz-Software, die als Bestandteil von Office 365 vertrieben wird. Sie weist jedoch erhebliche Datenschutzmängel auf uns ist leider nicht rechtskonform einsetzbar.

Entgegen anders lautenden Behauptungen werden einem Test zufolge nach wie vor (Stand: 10.02.2021) Nutzerdaten an US-amerikanische Server übermittelt, beispielsweise an teams.microsoft.com in Washington. Das ist nach der Schrems II-Entscheidung des Europäischen Gerichtshofs (Az. C-311/18) derzeit in der Regel unzulässig. Eine datenschutzrechtliche Vereinbarung zwischen dem Kunden und Microsoft existiert zwar, sie ist aber mangelhaft. Auch die sogenannten Standard-Datenschutzklauseln, die Datenübermittlungen in Drittländer legitimieren sollen, sind unzureichend. Schließlich behält sich Microsoft in seiner Datenschutzerklärung pauschal vor, Daten zum Marketing zweckzuentfremden, was gegen Art. 6 Abs. 1 DS-GVO verstößt. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat einem Betreiber den Einsatz von Teams wegen Datenschutzverstößen verboten (c‘t 1/2021, S. 32, Digitaler Lockdown).

Selbst wenn Microsoft vollständig europäische Server verwenden würde, würde dies nicht zur Rechtmäßigkeit führen. Denn als US-amerikanischer Anbieter unterliegt die Microsoft Corp. dem Cloud Act, einem US-amerikanischen Bundesgesetz, das unkontrollierte Datenübermittlungen entgegen der DS-GVO ermöglicht. Die Aufsichtsbehörden haben insoweit Bußgelder angekündigt (Handelsblatt vom 01.02.2021, Die Cloud wird zum Risiko). Den Widerspruch zwischen US-amerikanischem und europäischem Recht aufzulösen ist zwar schwer, meines Erachtens aber nicht unmöglich, man müsste es natürlich wollen. Die von Microsoft 2020 angekündigten ambitionslosen Gegenmaßnahmen genügen jedenfalls nicht als Abhilfe; sie dürften aber auch eher als PR-Maßnahme gedacht gewesen sein, die aber ausreicht, um viele Copy & Paste-Journalisten sowie unbedarfte Nutzer zumindest vorübergehend zu beruhigen.

Von einer Verwendung ist rechtlich abzuraten.

5. Zoom

Thumb downZoom folgt der Tradition großer US-amerikanischer Anbieter, bei denen Datenschutz im Wesentlichen durch die PR-Abteilung bearbeitet wird. Je lauter es Leerformeln wie “Ihre Privatsphäre ist uns wichtig” tönt, desto schneller wird man bei einem Blick unter die Haube fündig. Das Haftungsrisiko liegt schließlich bei den europäischen Kunden.

Die vor einigen Monaten medienwirksam verkündeten Nachbesserungen bei Zoom haben im Kern an der Unzulässigkeit nichts verändert. Der Anbieter übermittelt (Stand: März 2021) eine Reihe von Nutzerdaten an Google zur Bildung seitenübergreifender Personenprofile, was in dieser Form gegen Art. 6 Abs. 1 DS-GVO verstößt. Zoom räumt in der Datenschutzerklärung ein, Nutzerdaten zum Marketing zweckzuentfremden, ohne dass eine ausreichende Grundlage hierfür besteht. Konkrete Angaben zu Speicherfristen fehlen, was gegen Art. 13 Abs. 2 DS-GVO verstößt.

Auch wenn der Einladende von der Möglichkeit Gebrauch macht, angeblich deutsche Server einzusetzen und Zoom das so anzeigt, trifft das nicht zu. Ein Test ergibt, dass jedenfalls ein Teil der Daten noch immer an mehrere US-amerikanische Server von Amazon übermittelt wird, etwa us02web.zoom.us in Virginia. Damit verstößt die Verwendung gegen Art. 44 DS-GVO. Auch soweit Zoom deutsche Server einsetzt, etwa in Frankfurt am Main, sind diese Bestandteil der Amazon-Cloud, sodass das bei Teams beschriebene Problem des Cloud Acts besteht. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat in ihrer Aufstellung für Zoom ebenfalls nur eine rote Ampel übrig und veweist auf weitere formale Mängel.

Von einer Verwendung ist rechtlich abzuraten.

6. GotoMeeting

Thumb downGotoMeeting wird betrieben von der irischen LogMeIn Ltd. Diese ist eine Tochter der US-amerikanischen LogMeIn Inc. Der Dienst bietet die üblichen Funktionen, etwa Bildschirmfreigabe und Chats. Telefoneinwahlen sind möglich.

Ein Test ergab, dass zwar teilweise europäische Server zum Einsatz kommen, aber weiterhin personenbezogene Daten in die USA fließen, unter anderem an den Amazon-Cloud-Server telemetry.servers.getgo.com in Virginia. Auch die deutschen Server sind Teil der Amazon-Cloud wie join.servers.getgo.com, sodass das bei Teams Geschriebene zum Cloud Act entsprechend gilt. Dies verstößt zumindest gegen Art. 44 DS-GVO. Daneben übermittelt GotoMeeting Daten entgegen Art. 6 Abs. 1 DS-GVO an Google durch Einbindung von deren Diensten. Von einer Prüfung der vertraglichen Grundlagen habe ich abgesehen, da es darauf nicht mehr ankommt. Die Berliner Beauftragten für Datenschutz und Informationsfreiheit hat sich jedoch ihrer angenommen und auch dort zahlreiche Mängel gefunden; ihre Ampel für die Datenschutzkonformität bei GotoMeeting steht auf Rot.

Ein datenschutzrechtskonformer Einsatz des Diensts ist nicht möglich.

7. Google Meet

Thumb downGoogle Meet ist ein rein funktional guter, “kostenloser” Videokonferenzdienst. Anbieter ist für deutsche Kunden die Google Ireland Ltd. Er ermöglicht unter anderem eine Telefoneinwahl über Rufnummern aus zahlreichen Ländern. Eine Konferenzteilnahme ist per Browser möglich.

Leider ist der Dienst nicht datenschutzrechtskonform nutzbar. Das beginnt damit, dass Google dem Veranstalter bei der Anlage eines Google-Kontos eine nicht erforderliche Mobilfunknummer abnötigt und diese verifiziert, dies verstößt gegen Art. 6 Abs. 1 DS-GVO. Google behält sich in seiner Datenschutzerklärung unter anderem vor, solche Daten werblich zu nutzen. Google übermittelt Nutzerdaten auch an andere, eigene, laut Datenschutzerklärung zumindest auch der Analyse dienende Dienste, darunter Google Fonts und Google Play, was gleichfalls gegen Art. 6 Abs. 1 DS-GVO verstößt. Laut Datenschutzerklärung ist damit zu rechnen, dass die Daten verschiedener Google-Dienste inklusive Standortdaten zu Profilen angereichert werden, was gegen dieselbe Vorschrift verstößt. Google behält sich vor, das Klickverhalten und sogar Mausbewegungen zu speichern, auch dain liegt ein Verstoß gegen Art. 6 Abs. 1 DS-GVO. Selbst wenn Ihnen dies als Veranstalter gleichgültig sein mag, können Sie davon nicht bei sämtlichen Teilnehmern ausgehen. In der Datenschutzerklärung fehlt die Angabe konkreter Speicherfristen, was im günstigsten Fall gegen Art. 13 Abs. 2 DS-GVO verstößt. Ebenso behält sich Google in seiner Datenschutzerklärung vor, Kundendaten an nicht näher genannte “vertrauenswürdige Unternehmen” zu übermitteln, wofür rechtlich dasselbe gilt.

Schließlich räumt Google auf einer etwas vesteckten Unterseite “Rechenzentren” ein, dass Daten an weltweite Rechenzentren übermittelt werden, darunter verschiedene in den USA (etwa in South Carolina und Oregon). Das verstößt gegen Art. 44 DS-GVO. Zwar konnte ich die Verwendung solcher Server im Test nicht konkret feststellen, stattdessen wurden Server in Deutschland, Frankreich oder der Schweiz verwendet, wobei die Daten dorthin merkwürdige Umwege über Kanada nahmen. Entweder liegt dann aber eine unzulässige Übermittlung in Drittländer vor (Art. 44 DS-GVO) oder eine fehlerhafte Datenschutzerklärung (Art. 13 DS-GVO).

Da Google die Daten auch zu eigenen Zwecken verwendet, wäre zudem eine Vereinbarung zur gemeinsamen Verantwortlichkeit nötig, um den Rechtsrahmen zu regeln, die Google aber nicht anbietet. Dies verstößt zusätzlich gegen Art. 26 DS-GVO. Stattdessen bietet Google eine Vereinbarung zur Auftragsverarbeitung an, hält sich aber aus vorgenanntem Grund nicht daran. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat allein in dieser Vereinbarung so viele Mängel entdeckt, dass sie von einer weiteren Prüfung abgesehen und die Ampel bei Google Meet in allen Punkten auf “Rot” gestellt hat.

Das das Teams zum Cloud Act Geschriebene gilt für Google-Dienste entsprechend.

Von einer Nutzung ist unter rechtlichen Gesichtspunkten spätestens im geschäftlichen Kontext abzuraten.

8. Cisco Webex

Thumb downEin weiteres Videokonferenzprodukt ist Cisco Webex. Anbieter ist die in Kalifornien ansässige Cisco Systems, Inc. Eine Konferenzteilnahme ist per Browser möglich, auch Telefoneinwahlen etwa über deutsche Einwahlnummern werden angeboten.

Leider ist der technisch sonst bedienerfreundliche Dienst datenschutzrechtlich mangelhaft. Zwar können vom Veranstalter deutsche Server verwendet werden, Cisco hält sich aber nicht konsequent daran. So stellte ich bei Meetings im Hintergrund Datenübermittlungen zu zahlreichen internationalen Servern fest, etwa in die USA (z. B. ed1ny-mzm.webex.com oder ed1sjcbmm10.webex.com) und nach Singapur (z. B. ed1sgcbmm10.webex.com). Dies verstößt gegen Art. 6 und Art. 44 DS-GVO, weil es für diese Datenübermittlungen an sich und erst recht in unsichere Drittländer keinen ersichtlichen Grund gibt. Daneben fällt auf, dass Cisco Server des US-amerikanischen Dienstleisters Akamai, Inc. verwendet (z. B. akamaicdn.webex.com). Dessen Server stehen zwar in eine niederländischen Rechenzentrum und an sich spricht nichts gegen die Inanspruchnahme von Subunternehmern, trotzdem setzt Cisco seine Kundendaten durch die Inanspruchnahme gerade von Akamai der Gefahr DS-GVO-widriger Zugriffe infolge des US-amerikanischen Cloud Acts aus, wie oben beschrieben.

Der Abschluss einer Vereinbarung zur Auftragsverarbeitung nach Art. 28 DS-GVO ist zwar möglich; Ciscos Vereinbarung verstößt aber gegen Art. 28, 44 und 32 DS-GVO, weil sich Cisco auch Datenübermittlungen nach US-amerikanischem und entgegen europäischem Recht vorbehält. Ebenso verstoßen die verwendeten Standard-Datenschutzklauseln gegen Art. 44 DS-GVO, weil sie keine ausreichenden Schutzmaßnahmen gegen US-amerikanische Behördenzugriffe im Sinne der erwähnten Schrems II-Rechtsprechung des EuGH vorsehen.

Auch die Datenschutzerklärung ist mangelhaft. Sie nimmt zwar Bezug auf Webex, enthält aber im Wesentlichen Allgemeinplätze. Sie erklärt entgegen Art. 13 DS-GVO etwa nicht, welche Daten wie lange gespeichert oder unter welchen Voraussetzungen sie zwischen den internationalen Cisco-Standorten weitergegeben werden. Dafür verrät sie, dass Nutzerdaten ungefragt zu Marketing- und Umfragezwecken verwendet werden, was jedenfalls in dieser Pauschalität gegen Art. 6 DS-GVO verstößt.

Auch die Berliner Beauftragte für Datenschutz und Informationsfreiheit kommt zu dem Befund, dass Webex derzeit nicht DS-GVO-konform betrieben werden kann.

9. Edudip Next

Thumb downEdudip Next ist ein Dienst für Video-Onlineseminare. Geschäftssitz ist Aachen. Der Anbieter wirbt damit, “alle personenbezogenen Daten auf deutschen Servern” zu verarbeiten und “100% DS-GVO-konform” zu sein. Das klingt interessant – für Datenschutzrechtler auch deswegen, weil solche absoluten Aussagen erfahrungsgemäß eher auf das Gegenteil hindeuten. Eine Teilnahme an den Veranstaltungen ist sowohl für den veranstaltenden Kunden als auch für Teilnehmer browserbasiert möglich, sodass es weder für den Veranstalter noch die Teilnehmer einer Software-Installation bedarf. Leider funktionierte die Videoübertragung im Test nicht mit dem datenschutzfreundlicheren Browser Firefox. Eine telefonische Teilnahme an den Veranstaltungen ist möglich.

Entgegen seinen Werbeversprechen ist Edudip leider nicht DS-konform nutzbar. Zwar kommen – auch – deutsche Server zum Einsatz, darunter solche der europäischen Hosting-Unternehmen Hetzner Online GmbH und OVH. Im Test liefen die Videostream-Daten an sich in der Tat über diese Server. Edudip übermittelt aber durch eine Einbindung von Google-Diensten in seine Seite Surfprofile an Google. Dabei handelt es sich um Google-Dienste wie Google Ad Services, Google Tag Manager, Google Analytics (z. B. www.google-analytics.com, einschließlich unzulässiger Cookies) und Doubleclick (z. B. stats.g.doubleclick.net). Diese Dienste spähen Nutzerdaten aus und senden sie an Google. Dies verstößt gegen Art. 6, Art. 26 und Art. 44 DS-GVO, je nach Einsatzkontext auch gegen § 26 BDSG. Teilweise setzt sich Edudip damit auch in Widerspruch zu seiner eigenen Datenschutzerklärung; so wird der Google Tag Manager dort entgegen Art. 13 DS-GVO verschwiegen. Aus Googles Datenschutzerklärung (und übrigens auch Googles Vereinbarung zur Auftragsverarbeitung) geht hervor, dass Google Daten auch keineswegs nur in Deutschland oder der EU verarbeitet, was zumindest in dieser Form einen Verstoß gegen Art. 44 DS-GVO darstellt. Auf meinen Hinweis an den Datenschutzbeauftragten Edudips im Mai 2021 hin wurden die Verstöße etwas reduziert, bestehen aber nach wie vor.

Laut seiner Datenschutzerklärung versendet Edudip weiterhin Newsletter über den verbotenen Newsletterdienst MailChimp, was wegen unzulässiger Drittlandübermittlung gegen Art. 44 DS-GVO verstößt. Auf Anfrage verwies der Datenschutzbeauftragte auf eine Einwilligung, die dies aber nicht deckt. Auch räumt Edudip ein, das E-Mail-Leseverhalten der jeweiligen Empfänger durch sogenannte Tracking-Pixel auszuspähen, was günstigstenfalls gegen Art. 44 DS-GVO, je nach den Einzelheiten wahrscheinlich auch gegen Art. 6 DS-GVO verstößt.

Schließlich räumt Edudip ein, Zahlungsdaten – etwa bei Lastschriften und Kreditkartenzahlungen – seiner Kunden an den Dienstleister Stripe weiterzuleiten. Vertragspartner soll zwar nicht die US-amerikanische Stripe-Mutter, sondern eine in Irland ansässige Stripe-Tochter sein. Ein Test ergibt aber, dass Stripe beim Bezahlvorgang dennoch Nutzerdaten an US-amerikanische Amazon-Server weiterleitet (z. B. an q.stripe.com). Auch hierin liegt ein Verstoß gegen Art. 44 DS-GVO. Darauf angesprochen, teilte der Datenschutzbeauftragte mit, bei Veranstalterdaten handele es sich nicht um personenbezogene Daten. Das ist in mehrfacher Hinsicht falsch und offenbart fehlendes Grundlagenwissen (Art. 4 Abs. 1 DS-GVO: Selbstverständlich schützt die DS-GVO auch Daten einer unternehmerisch tätigen natürlichen Person; im Übrigen wird es sich bei den Buchenden häufig um Beschäftigte handeln). Edudips Datenschutzerklärung enthält bezüglich der Cookies vor allem Textbausteine mit abstrakten und daher wertlosen Allgemeinplätzen und verstößt somit gegen Art. 13 DS-GVO. Dies folgt aus dem Planet49-Urteil des EuGH (Az. C-673/17).

Kunden erhalten bei Edudip die Möglichkeit, eine Vereinbarung zur Auftragsverarbeitung nach Art. 28 DS-GVO abzuschließen, was an sich erfreulich wäre. Leider fördert diese weitere Datenschutzverstöße zu Tage. So werden Protokolldaten über Webinar-Nutzungsvorgänge offenbar ein Kalenderjahr lang auf Vorrat gespeichert, was deutlich zu lang und nicht mit Art. 6 DS-GVO vereinbar ist. Edudip übermittelt demnach außerdem Kundendaten an zahlreiche Subunternehmer, die mir teils aus anderen datenschutzrechtlichen Prüfungen bekannt sind. So werden Einladungen über den Newsletterdienst INXmail versandt, der nach eigenen Auskünften das E-Mail-Leseverhalten der Empfänger im Zuge einer sogenannten Reichweitenmessung in einer Weise ausspäht, die nicht mehr Art. 6 DS-GVO entspricht. Ähnliches gilt für den von Edudip eingebundenen Mailing-Dienst SendInBlue, der zusätzlich Daten entgegen Art. 44 DS-GVO an die Amazon-Cloud übermittelt. Gegen dasselbe Verbot verstößt auch der von Edudip eingebundene Dienstleister Zendesk. Hierzu befragt, äußerte Edudips Datenschutzbeauftragter, einige der Dienste würden faktisch nicht mehr genutzt, was aber im Widerspruch zu Edudips eigenen Verträgen und im Fall OVHs auch zu meinem wenige Tage zuvor durchgeführten Test steht.

Von einer DS-GVO-Konformität Edudips kann daher keine Rede sein. Das ist bedauerlich, weil aufgrund technischer Eigenentwicklungen ein Potenzial zu einem unabhängigen Betrieb bestünde, das Edudip aber durch die unnötige Einbindung von Google-Diensten und handwerkliche Fehler verschenkt.