14. April 2020

Auf der Suche nach einer datenschutzkonformeren Alternative zu Zoom?

In der aktuellen Covid-19-Krise sind viele Unternehmen gezwungen einen Großteil der eigenen Geschäftsprozesse anzupassen.

Vor allem Teammeetings und Kundengespräche werden z.Zt. vermehrt elektronisch abgehalten.
Für diesen Zweck gibt es verschiedene kommerzielle und nicht kommerzielle Anbieter. 

Der beliebteste Anbieter, Zoom Video Communications hat in den vergangenen Tagen immer wieder durch Negativschlagzeilen auf sich Aufmerksam gemacht - diese nicht zuletzt im Bereich Datenschutz. Eine akute Krise mag zwar zunächst einen Ad-Hoc-Modus und somit nur eine oberflächliche Prüfung gerechtfertigt erscheinen lassen, doch mit anhaltender Dauer der Krise müssen auch Ad-Hoc-Prozesse genauer geprüft werden. Hierzu möchten wir den Blick auf die Zoom-Alternative Jitsi werfen und geben Ihnen zum Ende des Artikels eine Schnellstartanleitung mit.

Die Vorteile von Videokonferenzen mit ZOOM

Mit Zoom lassen sich sehr schnell Konferenzen mit vielen Teilnehmern abhalten.
Hierzu muss sich der Anbieter der Konferenz registrieren und die Teilnehmer der Konferenz können per App (Desktop / Handy) oder dem Browser zu der Konferenz hinzustoßen.

Zoom übernimmt die gesamte Infrastruktur.
Das Veranstalten der Videokonferenz ist für die Teilnehmer kostenlos.
Im Basistarif ist Zoom auf persönliche Besprechungen oder Besprechungen von einer Länge bis maximal 40 Minuten beschränkt.

Ein weiterer Vorteil von Zoom:
Der Anbieter bietet einen AV-Vertrag an mit dem die Verarbeitung zumindest auf dem Papier datenschutzkonform gestaltet werden kann. Es ist allerdings zu beachten, dass Zoom nach Privacy-Shield nicht für HR-Daten zugelassen ist. Somit also keine Personalangelegenheiten per Zoom besprochen werden dürften. 

(Legitime) Kritik an ZOOM

Mit wachsender Popularität wächst auch die Kritik an Zoom; hier einige Ausschnitte:

  • Zoom arbeitet mit Dark Patterns, damit die Nutzer die Anbieter-Software installieren, anstelle mit dem Browser an Konferenzen teilzunehmen. Um die Installation möglichst einfach zu gestalten, nutzt Zoom Schwachstellen in Mac und Windows Betriebssystemen aus, so dass bestimmte Sicherheitsdialoge nicht erscheinen.
  • Zu Beginn behauptete Zoom noch, dass alle Meetings und private Gespräche Ende-zu-Ende Verschlüsselt seien, dies stellte sich später als "Missverständnis" heraus. Die Daten sind nur auf dem Transportweg verschlüsselt, liegen aber auf dem Server entschlüsselt vor.
  • Um die Möglichkeit, sich mit einem Facebook-Account anmelden zu können, wurden Programmbibliotheken von Facebook eingebunden, die in den Standarteinstellungen alles andere als datenschutzfreundlich sind. Dies ist mittlerweile behoben.
  • Konferenz-IDs lassen sich erraten; wenn kein Passwort hinterlegt ist, können Fremde unberechtigt an Konferenzen teilnehmen.

Zoom selbst arbeitet an der Verbesserung Ihres Angebots und auch an den Datenschutzbestimmungen.

Datenschutz: Jitsi als Zoom-Alternative?

Jitsi ist eine Open Source Videokonferenz Lösung mit ähnlichem Leistungsumfang wie Zoom. Eine Installation von Software ist zur Nutzung nicht erforderlich. Für Android und iPhone stehen Apps bereit.

Das Angebot von Jitsi ist komplett kostenfrei - es wird gesponsort von der 8x8, die die Software in internen Anwendungen für große Unternehmen anbietet und sich dadurch monetarisiert.

(legitime) Kritik an Jitsi

Auch Jitsi wird in den USA gehostet und bietet zudem keinen Auftragsverarbeitungsvertrag an. Auch die Datenschutzerklärung ist dürftig; hier wird erklärt, dass alle anfallenden Daten nur zum Zeitpunkt der Übermittlung zwischengespeichert werden, anschließend aber gelöscht werden.

User die gerne größere Meetings oder Onlineveranstaltungen abhalten, bemängeln häufig, dass Konferenzen mit 500 - 800 Teilnehmern nicht mit Jitsi zu realisieren sind.
Mit Zoom seien solche Meetings problemlos realisierbar.

Handlungsempfehlung für Videokonferenzen

Zoom kann durchaus datenschutzkonform eingesetzt werden. Es gibt allerdings datenschutzfreundlichere Alternativen - als Unternehmen sollte man sich insbesondere mit Hinblick auf Artikel 25 der DSGVO (Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellung) überlegen, welche Tools zum Einsatz kommen und dies in einer Abwägung dokumentieren.

So richten Sie sich Ihren eigenen Jitsi-Server ein

Um einen eigenen Konferenzserver aufzusetzen, ist ein Server und Linux-Server erforderlich. Die wichtigste Ressource ist allerdings die Netzwerkanbindung des Servers.

  1. 1
    Einrichten der Firewall: An der Firewall sind die Ports 80, 443, 4443 und 10000 freizugeben.
  2. 2
    Setzen des Domainnamens: Der Server muss mit einem Hostnamen assoziiert werden, dieser sollte in /etc/hostname eingetragen werden. In /etc/hosts muss auch der Domainname als Localloopback eingetragen werden.
  3. 3
    Hinzufügen der Paketquelle: Jitsi muss in die Paketquellen eingetragen werden: "echo 'deb https://download.jitsi.org stable/' >>"  |neue Zeile| "/etc/apt/sources.list.d/jitsi-stable.list wget -qO -" |neue Zeile|  "https://download.jitsi.org/jitsi-key.gpg.key | sudo apt-key add" (Die "" sind bei der Eingabe in die Konsole auszulassen.) 
  4. 4
    Installation von Jitsi Meet: Im ersten Schritt sind die Paketquellen zu aktualisieren: "apt update" anschließend installiert man Jitsi "apt install -y jitsi-meet"  Bei der Installation wird man noch einmal nach dem Hostnamen gefragt, und welches Zertifikat man nutzen möchte. In der Regel wird dies Let's Encrypt sein. Um ein Zertifikat zu erhalten muss nun noch: "/usr/share/jitsi-meet/scripts/install-letsencrypt-cert.sh" ausgeführt werden.   (Die "" sind bei der Eingabe in die Konsole auszulassen.) 

Die Installation ist damit abgeschlossen und Ihnen steht eine eigene, datenschutzkonforme Lösung für Videokonferenzen bereit.

Über den Autor

Maximilian Kindshofer

Maximilian Kindshofer

Erhalten Sie unsere unverbindl. Updates über Neuerungen im Datenschutz & weiteren Compliance-Themen:

Informationen zur Datenverarbeitung finden Sie hier.