Zusammenfassung: Der PRIVA SCORE bewertet die Datenschutzfunktionen von Videokonferenz-Diensten und die Open Source-Lösungen Nextcloud Talk, Jitsi und Big Blue Button schneiden am besten ab. Sie bieten höchste Transparenz über die Datenverarbeitung, Ende-zu-Ende-Verschlüsselung und die Wahl eines eigenen Serverstandorts. Zoom, Google Meet und Skype schneiden sehr schlecht ab, da sie u.a. Server in den USA nutzen und Metadaten mit Dritten teilen. Schlusslicht GoToMeeting bietet nicht einmal Ende-zu-Ende-Verschlüsselung.
Vorbemerkung zum Thema „Komfort“: Ja, die Tools, die hier am besten abschneiden, sind an manchen Ecken nicht ganz so komfortabel zu nutzen, wie die Produkte der großen Player. Aber Sicherheit und Datenschutz sind nun einmal im Zeitalter des Digitalkapitalismus nicht praktisch.
Aber darum geht es beim PRIVA SCORE: Trotz der Komplexität der Thematik es möglichst einfach zu gestalten, eigene Daten und die Daten anderer zu schützen – und damit Freiheitsrechte zu bewahren! Aber ein bisschen Mühe muss eben sein…
Der PRIVA SCORE kann aufgrund der Berechnung bei der Bewertung von Videokonferenz-Tools ein Maximum von 258 Punkten erhalten.
Wie immer gilt: Der PRIVA SCORE bewertet, wie gut Apps/Dienste die Datenschutzfunktionen erfüllen. Nicht bewertet werden Standards, die von allen Anbietern gut erfüllt werden. In diesem Fall ist das eine Zugriffskontrolle durch Warteräume, Passwörter etc., um ungeladene Gäste zu vermeiden. Auch Rollenkonzepte, für die Vergabe von Rechten in der Konferenz (Moderation, Präsentation, Teilnehmende…) werden von allen Diensten angeboten und sind mehr oder weniger einfach einzusetzen.
Bei Bewertung der Videokonferenz-Tools schneiden die Open Source-Lösungen Nextcloud Talk, Jitsi und Big Blue Button am besten ab. Sie besitzen das höchste Datenschutzniveau (258, 243 und 255 Punkte von möglichen 258) der hier verglichenen Videokonferenz-Tools. Sie ermöglichen die Wahl eines eigenen Serverstandorts, besitzen Ende-zu-Ende-Verschlüsselung, senden keine Metadaten an Dritte und bieten höchste Transparenz über die Datenverarbeitung. Es gibt bei Jitsi und Big Blue Button geringfügige Abzüge: Die Ende-zu-Ende-Verschlüsselung muss bei Jitsi erst von allen Nutzer*innen aktiviert werden. BigBlueButton erfordert in der Regel die Angabe von Nutzernamen, eine vollständig anonyme Teilnahme ist nicht immer möglich. Allerdings können Pseudonyme verwendet werden.
Das Schlusslicht ist erstaunlicherweise nicht Zoom, sondern GoToMeeting. Der Unterschied liegt darin, dass GoToMeeting offenbar noch nicht einmal Ende-zu-Ende-Verschlüsselung bietet. Trotzdem schneiden Zoom, Google Meet und Skype sehr schlecht ab (alle 90 von 255 Punkten). Das liegt u.a. am Serverstandort. Es ist zwar richtig, dass Google auch Server in Europa betreibt, trotzdem fließen genügend Daten in die USA. Denn Meet lässt sich ohne Google-Konto nicht nutzen. Zoom besitzt offenbar gar keine europäischen Server und Skype läuft auch über die USA, obwohl Teams teilweise über europäische Server betrieben wird. Alle Tools mit gelber und roter Bewertung müssen sehr kritisch darin betrachtet werden, dass die Datenverarbeitung wenig bis überhaupt nicht transparent ist. Metadaten werden mit Dritten geteilt, und auch eine anonyme Teilnahme ist lediglich bei MS Teams nur begrenzt möglich: Es herrscht freie Namenswahl, so dass dieses personenbezogene Datum pseudonymisiert werden kann – aber eben nicht anonymisiert.
Ganz objektiv zeigt der PRIVA SCORE, dass die Nutzung von Zoom, Meet, Skype, GoToMeeting, Webex und MS Teams als nichts anderes angesehen werden kann, als großzügige Datengeschenke an gierige Konzerne. Und wer sich nun über den mangelnden Komfort der Open Source-Lösungen beschwert und weiterhin zu Zoom und Co. einlädt, zementiert den folgenden Status Quo. Dieser besteht darin, dass es normal ist, dass Nutzer*innen ihrer Grundrechten beraubt werden im Tausch gegen „Kostenloses“.
Erklärung der Datenschutzfunktionen
Serverstandort: Um einen Datentransfer in (unsichere) Drittländer wie die USA zu vermeiden, sollten Nutzer*innen bei Videokonferenz-Tools die Möglichkeit nutzen, einen Serverstandort innerhalb der EU zu wählen. Dies verhindert, dass Daten in Länder mit niedrigeren Datenschutzstandards übertragen werden.
Ende-zu-Ende-Verschlüsselung: Eine vollständige Verschlüsselung der Übertragung und Speicherung von Videokonferenzdaten vom Endgerät der Nutzer*innen über den Server des Anbieters bis zum Endgerät anderer Teilnehmer*innen schützt die Vertraulichkeit der Inhalte.
Open Source: Für diese Funktion gilt, dass ein Videokonferenz-Tool, dessen Code offen zugänglich ist, das bessere Tool hinsichtlich des Datenschutzes ist, weil unabhängig geprüft werden kann, wie gut das Tool die Daten der Nutzer*innen schützt.
Keine Aufzeichnung ohne Einwilligung: Videokonferenzen sollten nicht ohne ausdrückliche Zustimmung aller Teilnehmenden aufgezeichnet oder gespeichert werden, da es sich um personenbezogene Daten handelt.
Keine Metadatenübertragung an Dritte: Es sollten keine Metadaten wie Teilnehmerlisten o.ä. an Drittanbieter außerhalb der EU übertragen werden.
Transparenz über Datenverarbeitung: Die Videokonferenz-Anbieter müssen Informationspflichten über die Datenverarbeitung gegenüber den Teilnehmenden erfüllen und Transparenz schaffen.
Anonyme Teilnahme möglich: Teilnehmende sollten die Möglichkeit haben, anonym ohne Registrierung oder Angabe persönlicher Daten an Videokonferenzen teilzunehmen.
Deutsch 
English