zurück zur Webseite des LfDI Baden-Württemberg

Videokonferenzsysteme

Videokonferenzsysteme

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) hat Ende August 2021 verschiedene Videokonferenzsysteme (VKS) betrachtet und dazu folgende begleitende Tabelle erstellt. Informationen zum Prüfumfang finden Sie am Ende der Tabelle.

Stand 24.08.2021 mit Berichtigung vom 08.12.2021; Sachverhalte können sich seit diesem Datum geändert haben und der Tabelleninhalt veraltet sein. Erläuterungen innerhalb der Tabelle sind mit Ziel der allgemeinen Verständlichkeit verkürzt und nicht vollständig.

Es wurden grundsätzlich die Browser-Versionen getestet, sofern nicht anders angegeben. Nutzende haben in dieser mehr Möglichkeiten der Kontrolle als bei Desktop-Anwendungen oder Mobil-Apps. Grundsätzlich wurde die kostenlose Version der Dienste geprüft und je nach Lizenz kann sich der Funktionsumfang unterscheiden.

Bedeutung der Angaben:
ja: Dargestellte Eigenschaft oder Funktionalität ist vorhanden, das ist in Bezug auf Datenschutz grundsätzlich positiv
nein: Dargestellte Eigenschaft oder Funktionalität ist nicht vorhanden, das ist in Bezug auf Datenschutz grundsätzlich negativ
unklar: Dargestellte Eigenschaft oder Funktionalität wurde nicht abschließend geprüft oder konnte nicht geprüft werden
keine Angabe: z.B. bei selbstgehosteten Diensten ist keine Angabe möglich, da abhängig von Installation
entfällt: Da eine für die Eigenschaft oder Funktionalität notwendige Voraussetzung fehlt, entfällt eine Prüfung

AlfaView BigBlueButton Cisco WebEx GoToMeeting Jitsi MS Teams Zoom
Kurzbeschreibung

alfaview ist eine in Deutschland entwickelte Software für Videokonferenzen, spezialisiert auf virtuelle Online-Meetings, Seminare, Unterrichtseinheiten und Konferenzen. In den Live-Konferenzräumen von alfaview können über 200 Personen mit Video und Audio vernetzt übertragen werden. Der Zuschauermodus ermöglicht die gleichzeitige Teilnahme von 500 Personen. Den Nutzern steht eine Toolbox zur Integration kollaborativer Programme (Whiteboard, Umfrage, Voting) zur Verfügung. Außerdem sind Breakout Rooms, das Screen-Sharing, die Live-Transkription des gesprochenen Wortes im Raum sowie deren Live-Übersetzung in viele Sprachen möglich.

Die Videokonferenzsoftware kann von privaten Nutzenden kostenfrei heruntergeladen werden. Unternehmen können sie kostenpflichtig erwerben und nach Unternehmensbedarf konfigurieren. Die Software wird u.a. von Privatanwendern, Wirtschaftsunternehmen und Bildungseinrichtungen verwendet.

BigBlueButton (kurz auch BBB) ist ein Open-Source-Webkonferenzsystem, das insbesondere für die Lehre gestaltet ist, aber auch als normales Videokonferenzsystem genutzt werden kann. Aufgrund seiner Historie als Konferenzsystem für Online-Unterricht n verfügt es über Integrationen für viele der wichtigsten Lern- und Inhaltsverwaltungssysteme.

BigBlueButton ist kein Online-Dienst, den man direkt nutzen kann, es ist ein Software-Paket, das auf einem Server aufgesetzt wird und individuell konfiguriert werden muss. Verantwortliche können die Software auf eigenen oder gemieteten Servern selbst betreiben oder von einem Dienstleister betreiben lassen. Das Land Baden-Württemberg bietet allen Schulen des Landes kostenlos die Möglichkeit der Nutzung auf einer eigenen Instanz. Beim eigenen Betrieb von BBB liegt der Vorteil auf der Hand: Alle anfallenden Daten werden nur auf dem eigenen Server verarbeitet. BigBlueButton ist daher aus datenschutzrechtlicher Sicht anderen Diensten vorzuziehen. Der Server, auf dem der Dienst aufgesetzt wird, sollte zur Vermeidung von Datenschutzproblemen in der EU stehen und abseits von der Teilnahme von außerhalb keine Daten in Drittländer transferieren. Wird ein IT-Dienstleister damit beauftragt, BigBlueButton aufzusetzen, muss mit diesem Unternehmen vor Nutzungsbeginn ein Vertrag zur Auftragsverarbeitung nach Art. 28 DS-GVO abgeschlossen werden.

BBB bietet die Möglichkeit verschiedene Administrations-Frontends zu nutzen, die unterschiedliche Funktionalitäten bieten. Die Einladung der Teilnehmer erfolgt dann entweder per Anmeldung über Nutzerkonten oder über Einladungs-Links.

BigBlueButton unterstützt die gemeinsame Nutzung mehrerer Audio- und Videoformate, Präsentationen mit erweiterten Whiteboard-Funktionen – wie Zeiger, Zoomen und Zeichnen –, öffentliche und private Chats, Desktop-Sharing, die Präsentation von PDF-Dokumenten und Microsoft-Office-Dokumenten und verfügt über untergeordnete Online-Konferenzräume (sog. Breakout-Räume). Darüber hinaus können Benutzer in einer von zwei Rollen an der Konferenz teilnehmen: als Betrachter oder als Moderator.

Als Betrachter kann ein Benutzer an der Konferenz teilnehmen, seine Webcam mit anderen teilen, die Hand heben und mit anderen chatten. Als Moderator kann ein Benutzer andere stummschalten oder (soweit in der Server-Konfiguration erlaubt) die Stummschaltung aufheben, einen beliebigen Benutzer aus der Sitzung ausschließen und einen beliebigen Benutzer zum aktuellen Moderator machen.

Der Moderator kann Folien hochladen und die Präsentation steuern.

Für mobile Endgeräte gibt es keine Apps, BigBlueButton funktioniert dort ab Android 6.0 mit Google Chrome und bei Apple-Geräten ab iOS 12.2 mit dem Safari Browser. In beiden Fällen ist die Screen-Sharing Funktion nicht nutzbar, da sie von diesen mobilen Browsern nicht unterstützt wird.

BigBlueButton wird in Deutschland von den Bildungsministerien mehrerer Länder auf eigenen Servern betrieben und für ihre Schulen genutzt. Mehrere Universitäten und Hochschulen nutzen die Software für ihre Lehrveranstaltungen, insbesondere durch die Integration in Lernplattformen wie IServ, Moodle, ILIAS, Chamilo, Stud.IP, HPI Schulcloud oder OpenOLAT. Unter dem Namen Senfcall betreiben Studierende der Technischen Universität Darmstadt und des Karlsruher Institut für Technologie ehrenamtlich eine werbefreie sowie frei und ohne Anmeldung zugängliche Version von BBB mit verbesserter Datensparsamkeit.


Die ARD.ZDF medienakademie benutzt auf ihrer Lernplattform BigBlueButton.


BBB ist kostenfrei verfügbar.

Quelle: Dieser Text basiert in Teilen auf dem Artikel BigBlueButton (https://de.wikipedia.org/wiki/BigBlueButton) aus der freien Enzyklopädie Wikipedia und steht unter der Lizenz Creative Commons CC-BY-SA 3.0 Unported (Kurzfassung).In der Wikipedia ist eine Liste der Autoren (https://de.wikipedia.org/w/index.php?title=BigBlueButton&action=history)verfügbar.

Cisco Webex ist eine Software und ein Online-Dienst für Videokonferenzen, IP-Telefonie, Instant-Messaging, Dateiübertragung und Screen-Sharing von Cisco Inc. mit Sitz in den USA. Die Leistungen werden als Software as a Service (SaaS) erbracht, für Einzelnutzer zum Teil auch kostenlos.

Webex kann mit Desktop- und Smartphone-Apps sowie im Web-Browser genutzt werden. Die Software bietet zahlreiche Funktionen, die nicht alle in der Browser-Version verfügbar sind, wie beispielsweise die Möglichkeit des Ausblendens des Hintergrunds bei Videokonferenzen.

Anbieter von GoToMeeting ist die LogMeIn Inc. mit Hauptsitz in Massachusetts, USA. Der kostenpflichtige Dienst kann vom Nutzer als Organisator genutzt werden, um bis zu 150 weitere Teilnehmer*innen in Konferenzen (für diese kostenlos) einzuladen.

Der Dienst ist ein Softwarepaket für Online-Besprechungen, Desktop-Sharing und Videokonferenzen, mit dem der Benutzer via Internet mit anderen Computernutzern kommunizieren kann; er ist verfügbar für Android, iOS, PC und Mac.

GoToMeeting ist auch im Browser (außer Safari) einsetzbar, der Hersteller versucht Nutzende allerdings zur Installation der Desktop-Version zu veranlassen.

Jitsi Meet ist eine Videokonferenz-Software, die ebenfalls unter Open Source Lizenz steht und von Verantwortlichen auf eigenen Servern selbst betrieben oder von Dienstleistern als Software-as-a-Service bezogen werden kann.. Der Herstellerder Software, die Firma 8x8 Inc. (USA), betreibt zusätzlich auch einen öffentlichen Jitsi-Server (https://meet.jit.si/). Jitsi Meet kann im Webbrowser und als mobile App sowie mit Jitsi Meet Electron auf dem Desktop genutzt werden.

Teilnehmende werden grundsätzlich per Link eingeladen, ohne dass die Teilnehmer ein Nutzerkonto haben müssen. Teilnehmende können optional einen frei wählbaren Namen setzen. Alle Teilnehmenden können einen Videokonferenzraum eröffnen und andere einladen. Dadurch bietet Jitsi ein hohes Maß an Pseudonymität. Moderationsrechte werden dem ersten Teilnehmenden übergeben, der die Konferenz betritt, Räume können mit einem Passwort geschützt oder Teilnehmende (nur) auf Nachfrage zugelassen werden. In einer laufenden Konferenz können einzelne Teilnehmende stumm geschaltet oder ganz entfernt werden. Es gibt aber auch die Möglichkeit, den Jitsi Server so zu konfigurieren, dass personalisierte Logins möglich sind.

Jitsi Meet bietet zudem weitere Funktionen wie Screen-Sharing, Chat, melden mit Handzeichen oder Blur-Effekt, um den Hintergrund auszublenden. Die Aufzeichnung von Konferenzen ist bei entsprechender Server-Einstellung möglich.
In der COVID-19-Pandemie gewann Jitsi Meet viele neue Nutzer in Schulen, Bildungseinrichtungen, der Verwaltung und in Unternehmen, nicht zuletzt aufgrund der einfachen Bedienbarkeit ohne Installation auf dem Desktop-Computer und der Datensparsamkeit bei der Anwendung.

Quelle: Dieser Text basiert in Teilen auf dem Artikel Jitsi (https://de.wikipedia.org/wiki/Jitsi) aus der freien Enzyklopädie Wikipedia und steht unter der Lizenz Creative Commons CC-BY-SA 3.0 Unported (Kurzfassung). In der Wikipedia ist eine Liste der Autoren (https://de.wikipedia.org/w/index.php?title=Jitsi&action=history) verfügbar.

Microsoft Teams (abgekürzt MS Teams oder nur Teams) ist eine von Microsoft entwickelte Plattform, die Chat, Besprechungen, Notizen und Anhänge kombiniert. Der Dienst ist in die Microsoft 365-Suite mit Microsoft Office und Skype/Skype for Business integriert.

Microsoft bietet eine kostenlose Version von Microsoft Teams an, welche die meisten Kommunikationsoptionen der Plattform kostenfrei anbietet, jedoch die Anzahl der Nutzer und die Speicherkapazität begrenzt. 2018 wurde die Plattform dann auch für Externe ohne Microsoft-Account geöffnet. Gastbenutzern steht Microsoft Teams nach wie vor mit einem eingeschränkten Funktionsumfang zur Verfügung.

Zoom ist ein VKS der „Zoom Video Communications, Inc.“ mit Hauptsitz in San José, Kalifornien (USA). Das gerade bei großen Nutzergruppen seit 2020 sehr beliebte VKS wird in verschiedenen Varianten angeboten. Die kostenlose Variante begrenzt Video-Gruppenchats auf bis zu 100 Personen und eine Gesprächsdauer von bis zu 40 Minuten.

Zoom skaliert gut bei vielen gleichzeitigen Teilnehmern in Videokonferenzen und bietet zahlreiche Komfort-Funktionen. Es kann von Teilnehmern sowohl im Browser als auch mit Smartphone- und Desktop-Anwendungen genutzt werden, wobei die Software im Browser versucht, die Nutzenden zur Desktop Anwendung zu drängen. Das Anlegen von Videokonferenzen kann nur über die Desktop- und Mobil-Apps erfolgen.

Maximale Anzahl an Teilnehmer pro Raum
„200+ Teilnehmervideos, 500 Zuschauer“, vgl. alfaview.com
abhängig von Lizenz generelle Limits, vgl. www.webex.com
abhängig von Lizenz generelle Limits, vgl. www.goto.com
  • abhängig von Serverkapazität bei selbstgehostet
  • „bis zu 75 Teilnehmer“, vgl. jitsimeet.eu
abhängig von Lizenz generelle Limits, vgl. docs.microsoft.com
abhängig von Lizenz generelle Limits, vgl. support.zoom.us
Rechtlich
Datenschutzhinweise
- Links
Links zu ggf. datenschutz­rechtlichen Mustern/ Informationen des Herstellers bzw. ggf. Informationen über Verarbeitungen des Auftragnehmers als Verantwortlichen für eigene Zwecke bzw. gemeinsame Verantwortlichkeit, die der Verantwortliche für die Erstellung seiner DS-Hinweise nutzen kann.
  • alfaview.com
  • Link zu individuellen Datenschutz­hinweisen können als Option eingestellt werden („Konto­verwaltung/ Datenschutz­hinweise des Gastgebers“)
  • bei Selbstbetrieb: müssen selbst erstellt werden
  • bei Fremdgehostet: teilweise Vorlage vom Anbieter
  • keine Verlinkung DS-Hinweise innerhalb BBB vorhanden (z.B. Button)
  • Link kann z.B. über Änderung Variable defaultWelcomeMessage eingebunden werden
Informationen unter: www.logmein.com
  • müssen selbst erstellt werden
  • keine Verlinkung DS-Hinweise innerhalb Jitsi vorhanden (z.B. Button)
  • Link DS-Hinweise auf Hauptseite muss auch über Änderungen eingebunden werden, vgl. www.kuketz-blog.de
Informationen unter:
Informationen unter:
- Verwendung von pbD zu eigenen Zwecken
nein

Stand 3/2021

Hinweis: Eine Verwendung personenbezogener Daten der Nutzer zu eigenen Zwecken des Anbieters schließt den Einsatz eines VKS im öffentlichen Dienst (insbesondere an Schulen) aus. Die neben einer Einwilligung nach Art. 6 Abs. 1 lit. a DS-GVO, welche nach EGr. 43 gegenüber Behörden nicht freiwillig abgegeben werden kann, einzig verbleibende Rechtsgrundlage des berechtigten Interesses nach Art. 6 Abs. 1 lit. f DS-GVO ist für Behörden nicht einschlägig (vgl. Art. 6 Abs. 1 Satz 2 DS-GVO).

nein

Stand 3/2021

Hinweis: Eine Verwendung personenbezogener Daten der Nutzer zu eigenen Zwecken des Anbieters schließt den Einsatz eines VKS im öffentlichen Dienst (insbesondere an Schulen) aus. Die neben einer Einwilligung nach Art. 6 Abs. 1 lit. a DS-GVO, welche nach EGr. 43 gegenüber Behörden nicht freiwillig abgegeben werden kann, einzig verbleibende Rechtsgrundlage des berechtigten Interesses nach Art. 6 Abs. 1 lit. f DS-GVO ist für Behörden nicht einschlägig (vgl. Art. 6 Abs. 1 Satz 2 DS-GVO).

ja

Stand 9/2021

Cisco behält sich die Nutzung personenbezogener Daten zu eigenen Zwecken sowie die Weitergabe an Dritte auch ohne Einwilligung des Betroffenen vor.

ja

Stand 9/2021

GoToMeeting sichert in seinen Nutzungsbedingungen (vgl. 4.1 - www.logmein.com) zu, auf „Inhalte” der Nutzer nur zuzugreifen, wenn sie vereinbarungsgemäß dazu berechtigt oder angewiesen sind oder wenn dies erforderlich ist, um ihre Richtlinien, geltendes Recht oder Regierungsanfragen zu erfüllen. Das erscheint vertretbar.
Dagegen wird im Dokument „Security and Privacy Operational Controls” - logmeincdn.azureedge.net - in Ziffer 5.7 auf Seite 12 „Tracking and Analytics” eine Verarbeitung für eigene Zwecke beschrieben. Auf dieses Dokument wird über den Link zu „GoToMeeting, GoTo Webinar und GoToTraining” in Anhang 4 (technische und organisatorische Maßnahmen) auf Seite 10 des DPA - logmeincdn.azureedge.net - verwiesen.

nein, jedoch variiert bei App (siehe unten)

Stand 9/2021

Die Videokonferenz-Software Jitsi Meet kann auf eigenen Servern betrieben werden, sodass die Einhaltung des Datenschutzes eigenverantwortlich sichergestellt und nachgewiesen werden kann. Bei Nutzung der Jitsi Meet App vom Google Play Store sind Drittanbieter Tracking-Komponenten enthalten, die personenbezogene Daten für den Hersteller erheben. Dies kann durch die Nutzung der F-Droid-App vermieden werden.

Hinweis: Eine Verwendung personenbezogener Daten der Nutzer zu eigenen Zwecken des Anbieters schließt den Einsatz eines VKS im öffentlichen Dienst (insbesondere an Schulen) aus. Die neben einer Einwilligung nach Art. 6 Abs. 1 lit. a DS-GVO, welche nach EGr. 43 gegenüber Behörden nicht freiwillig abgegeben werden kann, einzig verbleibende Rechtsgrundlage des berechtigten Interesses nach Art. 6 Abs. 1 lit. f DS-GVO ist für Behörden nicht einschlägig (vgl. Art. 6 Abs. 1 Satz 2 DS-GVO).

ja

Stand 9/2021

Microsoft behält sich die Nutzung personenbezogener Daten zu eigenen Zwecken vor („Wir verwenden die Daten ebenfalls für unser Unternehmen, inklusive der Analyse und Leistung, der Einhaltung unserer gesetzlichen Verpflichtung, für unsere Belegschaft sowie zur Entwicklung.“) bzw. auch neben der Auftragsverarbeitung für Unternehmer für den “legitime[n] Geschäftsbetrieb” von Microsoft (privacy.microsoft.com bzw. aka.ms). Damit wird die Frage, ob Microsoft als Auftragsverarbeiter oder als (gemeinsam?) Verantwortlicher auftritt, klärungsbedürftig.

ja

Stand 8/2020

Laut Datenschutzerklärung sammelt der Dienst viele Daten von Teilnehmer*innen, zum Beispiel die Namen, Städte, Gesprächsdauer sowie Einstellungen und eindeutige Geräte-IDs aller Teilnehmer*innen für jedes einzelne Meeting. Inhalte aus der Kommunikation werden nicht gespeichert.

Hinweis: Eine Verwendung personenbezogener Daten der Nutzer zu eigenen Zwecken des Anbieters schließt den Einsatz eines VKS im öffentlichen Dienst (insbesondere an Schulen) aus. Die neben einer Einwilligung nach Art. 6 Abs. 1 lit. a DS-GVO, welche nach EGr. 43 gegenüber Behörden nicht freiwillig abgegeben werden kann, einzig verbleibende Rechtsgrundlage des berechtigten Interesses nach Art. 6 Abs. 1 lit. f DS-GVO ist für Behörden nicht einschlägig (vgl. Art. 6 Abs. 1 Satz 2 DS-GVO).

Auftragsverarbeitung
- Links
aka.ms gültig je nach Lizenz: www.microsoft.com
Drittstaaten-Transfer
nein

Stand 3/2021

Keine Datentransfers in Drittländer im Rahmen des VKS, die für die Leistungserbringung notwendigen Dienste werden ausschließlich auf Servern innerhalb der EU gehostet; bei der Einbindung der Dienste Dritter (Sprachübersetzungsdienste etc.) sind Datentransfers möglich, die nach den Kriterien des DS-GVO erfolgen müssen.

keine Angabe bei selbstgehostet

Stand 3/2021

Das Video- und Webkonferenz-System kann auf eigenen Servern betrieben werden, sodass die Einhaltung des Datenschutzes eigenverantwortlich sichergestellt und nachgewiesen werden kann. Ein Transfer von Nutzerdaten in Drittstaaten ist nicht vorausgesetzt.

ja

Stand 9/2021

Es finden zahlreiche Transfers personenbezogener Daten in Drittstaaten statt. Hierfür bedarf es einer wirksamen Rechtsgrundlage.

ja

Stand 9/2021

Ja, gemäß Erklärung über Sub-Unternehmer (logmeincdn.azureedge.net) auch in die USA.

Bei Drittstaaten-Transfers stützt sich GoToMeeting (via LogMeIn Inc.) auch im aktuellen DPA (Datenverarbeitungsnachtrag vom 08.04.2021) in seinen Standardvertragsklauseln auf den nicht mehr einschlägigen Artikel 26 Absatz 2 der Richtlinie 95/46/EG. Das muss geändert werden.

keine Angabe bei selbstgehostet

Stand 9/2021

Bei der Nutzung von Jitsi Servern in den USA kommt es zu Drittstaaten-Transfers. Es stehen auch alternative Server, sogenannte Instanzen, in Europa oder Deutschland bereit (jitsi.github.io).

Die offiziellen Smartphone-App aus dem Google Play Store setzt Google Analytics ein, so dass bei deren Nutzung nicht erforderliche Daten verarbeitet und in die USA übermittelt werden.

Auch die Server-Konfiguration sollte vor dem Einsatz genau geprüft und die Konfiguration angepasst werden, um zu einem datenschutzkonformen Einsatz zu kommen (vgl. www.kuketz-blog.de).

ja

Stand 9/2021

Es obliegt dem Nutzer dafür zu sorgen, dass ausreichende zusätzliche Maßnahmen getroffen werden, um entsprechend der Rechtsprechung des EuGH im Urteil „Schrems II“ das unzureichende Datenschutzniveau der USA auszugleichen.

ja

Stand 8/2021

Bedingt durch Firmensitz und Serverstandorte außerhalb der EU/EWR kommt es bei der Nutzung von Zoom zu Datentransfers, welche nach Art. 44 ff. DS-GVO einer besonderen Rechtsgrundlage bedürfen. Nach der Rechtsprechung des EuGH zur Ungültigkeit des Privacy Shield (vgl. dazu unsere Orientierungshilfe baden-wuerttemberg.datenschutz.de) genügen alleine Standarddatenschutzklauseln nicht aus, es bedarf vielmehr „zusätzlicher Garantien“.

In Betracht kommen etwa technisch-organisatorische Maßnahmen wie eine Ende-zu-Ende-Verschlüsselung (nicht nur der Inhaltsdaten, sondern auch der sog. Meta-Daten und des Anmeldeprozesses), eine Einwilligung nach Art. 49 DS-GVO wird demgegenüber bei wiederkehrenden Datentransfers nicht ausreichen. Daher ist die Angabe von Zoom ( “Indem Sie Zoom nutzen oder personenbezogene Daten für einen der oben genannten Zwecke bereitstellen, willigen Sie in die Übertragung und Speicherung Ihrer personenbezogenen Daten in den USA oder an einem anderen Ort wie von unserem Kunden bestimmt ein. In diesen Ländern gelten möglicherweise andere Datenschutzbestimmungen als in Ihrem Land.“ ) nicht zielführend.

Technisch
Verschlüsselung (TLS)
Die Transport­verschlüsselung schützt vor dem Abfangen Dritter während der Übertragung.
ja
Messung BurpSuite: nur https und weitere Schutzvorkehrungen
ja
Messung Browser: nur https oder wss
ja
Messung Browser: nur https oder wss
ja
ja
Messung Browser: nur https oder wss
ja
Messung Browser: nur https oder wss
ja
Messung Browser: nur https oder wss
Möglichkeit, Verschlüsselung Ende-zu-Ende
Sie kann auch vor Einblicken des Herstellers schützen. Dieser kontrolliert jedoch auch das System und könnte gezwungen sein, Daten offenzulegen (z.B. netzpolitik.org). Da es insb. bei größeren Gruppen Performance­probleme geben kann, ist sie derzeit (noch) nicht marktgängig.
nein
nein
ja
laut Anbieter zumindest teilweise bei bestimmten Produktvarianten
unklar
ja
laut Anbieter zumindest teilweise verfügbar, jitsi.org
nein
ja
  • laut Anbieter zumindest teilweise
  • Option „End-to-End-Verschlüsselung nutzen“
Übertragung Passwort bei Login nur als Hash
Dies kann vor Einblicken des Herstellers auf das Passwort schützen.
nein
Messung BurpSuite: https://production-apis.alfaview.com/authentication.AuthenticationService/authenticate (im POST-Body)
nein
Messung Browser: https://bbb.*/b/u/login, Form-Wert „session[password]“
nein
Messung Browser: https://idbroker-eu.webex.com/idb/UI/Login, Form-Wert „IDToken2“
nein
Messung Browser: https://authentication.logmein.com/login, Form-Wert „password“
entfällt
keine Raumverwaltung, der erste Teilnehmer eines Raums erhält automatisch Moderationsrechte
nein
Messung Browser: https://login.microsoftonline.com/*/login, Form-Wert „passwd“
nein
Messung Browser: https://zoom.us/signin, Form-Wert „password“
Möglichkeit für 2FA Authentifizierung
Durch Kombination von Wissen, Besitz oder biometrischen Merkmalen schützt die Zwei-Faktor-Authenti­sierung durch die zusätzliche Schranke besser als nur ein Merkmal.
nein
nein
ja, z.B. mit Nextcloud
ja
nein
nein
ja, mit Zusatz­komponente community.jitsi.org
ja
ja
Selbstgehostet möglich
nein
ja
nein (bei Neukunden)
nein
ja
nein
nein
  • Die Verarbeitung von Benutzer- und Meeting-Metadaten erfolgt stets auf den Servern des Anbieters.
  • Je nach Lizenz besteht die optionale Möglichkeit, die Übermittlung von Video- und Audio-Daten sowie Dateien über eigene Server durchzuführen.
  • Eine Teilnahme per Web-Browser oder Telefon ist damit nicht möglich. vgl. support.zoom.us
Fremdgehostet möglich
ja
ja
ja
ja
ja
ja
ja
Verarbeitung nur in Europa
Insb. durch Serverstandorte bzw. Zugriffe von (Unter-) Auftragnehmern in/aus Drittstaaten können Anforderungen aus Kapitel 5 DS-GVO zu beachten sein.
ja
keine Angabe bei selbstgehostet
nein
nein
keine Angabe bei selbstgehostet
nein
nein
  • USA, Kanada, Europa, Asia-Pacific (APAC)
  • zoom.us
Telefonische Teilnahme möglich
nein
ja
mit SIP-Provider
nein
ja, je nach Lizenz
ja
nein
  • nur mit Zusatz­komponente „jigasi“
  • mit SIP-Provider
ja
ja
Teilnahme ohne Installation von Anwendung (=Web-Client)
Durch die Installation von Anwendungen bzw. Apps wird Code von Dritten auf dem eigenen Gerät ausgeführt und hat i.d.R. umfangreiche Zugriffsmöglichkeiten, teilweise auch bei Nicht-Nutzung. Die Nutzung einer Browser-Version kann hierbei aus Sicherheitsgründen und zur besseren Kontrolle von Datenflüssen vorzugswürdig sein.
nein
ja
Nur Web-Client, kein Desktop- oder Mobil-Client vorhanden
ja
Download der Desktop-Anwendung startet automatisch.
ja
  • jedoch nicht mit Safari-Browser
  • Button „An Meeting Im Browser Teilnehmen“
ja
ja
  • Button „Stattdessen die Web-App verwenden“
  • jedoch nicht mit Safari-Browser mit Standard-Einstellungen, vgl. support.microsoft.com
ja
umständlich („Meeting eröffnen/ Jetzt herunterladen/ Haben Sie Probleme mit Zoom Client/ Mit Ihrem Browser anmelden“)
Teilnahme ohne Erstellung Account (=Gast)
Sofern die Möglichkeit besteht, dass durch den Gastzugang keine Unbefugten teilnehmen können, ist das Angebot eines Gastzugangs als datenschutzfreundlicher anzusehen, da hier weniger personen­bezogene Daten (z.B. E-Mailadresse) verarbeitet werden.
ja
  • ok: Gast-Einladung über „Raumverwaltung/ Gruppenlinks“ erstellen
  • Messung: Einladungs­emails über „Raumverwaltung/ Gastlinks“ enthalten Tracking-Links über *.sendibt3.com und Drittanbieter-Inhalte von fonts.googleapis.com; *.sendibt2.com; *. sendibt3.com; fonts.gstatic.com
ja
je nach Administrations-Oberfläche, bei Standard­komponente „Greenlight“ einstellbar
ja
  • durch Weitergabe Zugangsdaten oder Eintragung E-Mailadresse
  • Messung: Einladungs­emails enthalten keine Tracking-Links oder Drittanbieter-Inhalte
  • Gastnutzung einstellbar über Einstellung „Meeting ansetzen/ Registrierung/ Erforderlich“
ja
Button „Einladungslink verschicken“
ja
ja
Button „Einladung teilen/ Besprechungslink kopieren“
ja
Einstellung „Nur berechtigte Nutzer können vom Web-Client aus an Meetings teilnehmen“
Möglichkeit, Teilnahme mit Video/Ton aus (=Zuhörer)
Ggf. ist es bei bestimmten Meeting-Formaten ausreichend als Zuhörer teilzunehmen. Die Software sollte dies nicht aktiv unterbinden.
ja
Anzeige Videobild anderer Teilnehmer nur möglich, wenn man selbst sein Video aktiviert (verfolgt das Prinzip „Siehst du mich, sehe ich dich“), vgl. support.alfaview.com
ja
  • Einstellbar pro Raum bei Standard-Admin-Oberfläche „Greenlight“
  • Einstellbar global mit Variable „muteOnStart“
ja
ja
ja
  • Einstellung „Alle Personen treten stumm geschaltet bei“
  • Einstellung „Alle Personen treten ohne Video bei“
ja
Button „Ohne Audio und Video fortfahren“
ja
Einstellung „Teilnehmer beim Beitritt stumm“
Möglichkeit, Hintergründe zu verpixeln
Ggf. kann es in einem Meeting ausreichend sein, den Hintergrund auszutauschen bzw. unscharf zu stellen.
nein
nein
nein
ja, bei Desktop-Version
nein
ja
nein
ja, bei den meisten Desktop-Versionen
ja
Button „Settings/ Background“
Möglichkeit, Videobild einzugrenzen
Ggf. kann es in einem Meeting ausreichend sein, den Bildausschnitt der Kamera allein auf die Person zu begrenzen.
nein
nein
nein
nein
nein
nein
nein
Möglichkeit, Videobild einzufrieren
Ggf. kann es in einem Meeting ausreichend sein, ein Standbild aufzunehmen und für Zeiträume nur dieses Foto zu übertragen (Avatar).
nein
nein
nein
nein
nein
nein
nein
Löschfunktion VK-Inhalte (z.B. Chat) z.B. nach Ende
unklar
ja
unklar
Chat nicht löschbar während Meeting
unklar
Chat nicht löschbar während Meeting
unklar
Chat nicht löschbar während Meeting
unklar
Chat nicht löschbar während Meeting
unklar
Chat nicht löschbar während Meeting
Möglichkeit zur Auswertung (Stichworte: Analytics, Reporting)
nicht bekannt
nicht bekannt
ja
je nach Lizenz Möglichkeit Auswertung Videokonferenz help.webex.com
ja
verschiedene Möglichkeit Auswertung Videokonferenz support.goto.com
nicht bekannt
ja
je nach Lizenz Möglichkeit Auswertung Videokonferenz docs.microsoft.com
ja
je nach Lizenz Möglichkeit Auswertung Videokonferenz support.zoom.us
Übertragung Video/Ton ohne Zustimmung Teilnehmer (Unmute)
nicht festgestellt
nicht festgestellt
  • Serverseitige Einstellung „allowModsToUnmuteUsers“ erlaubt Unmute durch Moderator (Gefahr: Überwachungs-Sensor)
  • Mutefunktion wurde erst seit Bugfix (15.09.2020) von Serverseitig auf Clientseitig umgestellt: github.com
nicht festgestellt
nicht festgestellt
  • Funktion „Sprach­erkennung bei Mute“ führt trotz Mute von Mikrofon bei Geräuschen zu Hinweis „Sie sind stummgeschaltet. Um die Stummschaltung aufzuheben, können Sie jederzeit die Mikrofontaste betätigen“
  • unklar, ob Erkennung clientseitig/ serverseitig
nicht festgestellt
  • Funktion „Sprach­erkennung bei Mute“ nach unserem Verständnis clientseitig, vgl. github.com. Verwendung Funktion ist auf dem Server einstellbar mit „enableTalkWhileMuted“.
  • Mod für Unute existiert: community.jitsi.org
nicht festgestellt
nicht festgestellt
Teilnehmer kann einzeln erklären, dass Dritter unmute durchführen darf, vgl. support.zoom.us
Anzeige Teilnehmerliste
ja
ja
ja
ja
ja
ja
ja
Button unten „Teilnehmer“
Anzeige Ein/Austritt
ja
kein Popup, Information durch Aktualisierung Teilnehmerliste, laut Anbieter ist eine Einstellung zu Ton bei Beitritt vorhanden
ja
muss innerhalb eines Meeting vom Teilnehmer einzeln für sich eingestellt werden
ja
  • ob Tonsignal ertönt ist einstellbar über Einstellung „Teilnehmer­einstellungen/ Ton bei Beitritt und Verlassen“
ja
nein
unklar
bei Nutzung Warteraum ertönt jedenfalls ein Tonsignal
unklar
  • ja, bei Warteraum Popup
  • ansonsten: kein Popup, Information nur durch Aktualisierung Teilnehmerliste
Darstellung Mikrofon aktiviert
Nutzenden wird verständlich dargestellt, dass Ton übermittelt wird.
ja
ja
  • Mikrofonsymbol in Teilnehmerliste
  • Anzeige welcher Teilnehmer spricht
ja
  • Mikrofonsymbol in Teilnehmerliste
  • Anzeige welcher Teilnehmer spricht
ja
  • Mikrofonsymbol in Teilnehmerliste
  • Mikrofonsymbol blau
  • Mikrofonsymbol oben links
ja
Blaue Anzeige Pegel oben rechts
ja
Mikrofonsymbol in Teilnehmerliste
ja
Mikrofonsymbol unten links mit Anzeige Pegel
Darstellung Kamera aktiviert
Nutzenden wird verständlich dargestellt, dass Bilddaten übermittelt werden.
ja
Anzeige eigenes Kamerabild
ja
Anzeige eigenes Kamerabild
ja
  • Anzeige eigenes Kamerabild
  • Kamerasymbol in Teilnehmerliste
ja
  • Anzeige eigenes Kamerabild
  • Kamerasymbol in Teilnehmerliste
  • Kamerasymbol blau
ja
Anzeige eigenes Kamerabild
ja
Anzeige eigenes Kamerabild
ja
  • Anzeige eigenes Kamerabild
  • Kamerasymbol in Teilnehmerliste
Darstellung Aufnahme aktiviert
Nicht getestet, daher bei allen VKS die diese Funktion bieten „unklar“.
entfällt
Funktion nicht vorhanden
unklar
serverseitig deaktivierbar
unklar
unklar
unklar
unklar
unklar
laut AGB „Benachrichtigung (visuell oder auf andere Weise)“
Moderatoren­funktionen
ja
ja
ja
ja
ja
ja
ja
- Funktion 'Teilnehmer entfernen'
ja
Button „Aus dem Raum entfernen“
ja
ja
Button „Ausschließen“
ja
ja
ja
Button „Aus Besprechung entfernen“
ja
- Funktion 'Teilnehmer umbenennen'
nein
nein
ja, nur bei Telefonteilnehmern
ja, nur bei Telefonteilnehmern
nein
nein
ja
- keine Funktion 'Teilnehmer zu Video auffordern'
ja
ja
ja
ja
ja
ja
nein
Button „Video starten anfordern“
Rollenkonzept
Im DSK-Papier zu VKS datenschutz­konferenz-online.de sind verschiedene Rollen aufgeführt, die bei einem VKS vorhanden sein sollten.
ja
Rollen: „Admin, Moderator, Teilnehmer, Zuschauer, Gast, kein Zugang“
ja
bei Standard-Admin-Oberfläche „Greenlight“ einstellbar
ja
ja
unklar
ja
ja
  • ab höherer Accountstufe (nicht für „Basisplan“)
  • Rolle „Host“
  • support.zoom.us
Möglichkeit, Raum per Passwort zu schützen
ob ein Passwort als zusätzliche Schranke neben der Eingabe der Einwahldaten erforderlich gemacht werden kann
nein
ja
ja
ja
Button „Require a meeting password“
ja
nein
ja
Warteraum einzeln freigeben
ob Personen einzeln aus dem Wartebereich in das Meeting hereingelassen werden können
nein
keine Warteraumfunktion vorhanden
ja
Einstellung „Freigabe durch Moderator bevor der Raum betreten werden kann“ und Fenster „Wartende Teilnehmer“ im Meeting
ja
nein, nur generell möglich
Button „Sitzung sperren“, „Es wartet jemand“, „Sitzung entsperren“
ja
ja
ja
Möglichkeit, einzuschränken wer Video aktivieren kann
ja
als Moderation mit Button „Kamera erlauben“, vgl. support.alfaview.com
ja
  • Button „Teilnehmer­rechte einschränken“
  • Button „Teilnehmer­rechte einschränken/ Webcam freigeben/ Teilnehmer freigeben“
unklar
Einstellung „Meeting ansetzen/ Meeting-Optionen“
unklar
nein
ja
  • Festlegung einer „meeting policy“ möglich, docs.microsoft.com
  • als Moderation mit Button „Kamera deaktivieren“
  • Festlegung einer „meeting policy“ möglich, docs.microsoft.com
ja
  • Option „Video Moderator ein/aus“
  • Option „Video Teilnehmer ein/aus“
Möglichkeit Beschränkung Teilnehmer auf bestimmte Länder
nein
nein
ja, mit Zusatz­komponente
nein
unklar
nein
ja, mit Zusatz­komponente
nein
abhängig von Lizenz, vgl. techcommunity.microsoft.com
ja
Option „Genehmigen oder blockieren Sie den Beitritt für Besucher aus bestimmten Ländern/ Regionen“
Möglichkeit für Drittanbieter-Verknüpfung
Durch Einbindung von Drittanbietern kommt es im Regelfall zu zusätzlichen Verarbeitungen und weiteren Empfängern personenbezogener Daten, die zu prüfen sind.
nein
entfällt
Cisco Drittanbieter-Integration
GoTo MarketPlace
entfällt
Teams App Store
Marketplace
- Datenschutz­hinweise im Store

Ohne Kenntnis des Sachverhalts kann keine datenschutzrechtliche Prüfung durch den Verantwortlichen erfolgen.

Gerade wenn ein VKS einfach per Klick des Admins mit Zusatz­angeboten von Dritten („Apps“) erweitert werden kann, muss der Hersteller als Store-Betreiber sich darum bemühen, dass der Verantwortliche auch über die Verarbeitungen von Zusatzangeboten Dritter Kenntnis erlangen kann (vgl. ec.europa.eu, S. 29f.) Aus unserer Sicht ist zwingend vorzuschreiben, dass Datenschutzhinweise (mit Informationen nach DS-GVO) verlinkt werden.

entfällt
entfällt
unklar
unklar
entfällt
ja, verlinkt (zumeist US-Recht)
ja, verlinkt (zumeist US-Recht)
- Berechtigungs­konzept im Store

Ergänzend zu vorheriger Zeile bedürfen aus unserer Sicht Stores, die eine Weitergabe pbD an Dritte (die Zusatzangebote zur Erweiterung des VKS vorsehen) ermöglichen, Kontrollsysteme (z.B. Berechtigungssystem mit Steuerung, welche Datenkategorien aus dem VKS für das Zusatzangebote weitergeben werden oder Historie, welche pbD für das Zusatzangebot an Dritte weitergegeben wurden).

entfällt
entfällt
unklar
unklar
entfällt
ja, teilweise
ja, Kategorien
keine Möglichkeit zur Aufnahme
Der Einsatz einer Aufnahme­funktion durch den Verantwortlichen ist neben datenschutz­rechtlichen Anforder­ungen (insb. Rechts­grundlage) auch mit Hinblick auf die straf­rechtliche Norm § 201 StGB zu prüfen.
ja
nein
  • über eine serverseitige Einstellung bzw. Einstellungen in der Administrations-Oberfläche zur Einrichtung von Meetings (z.B. „Greenlight“) ist eine automatische Aufnahme möglich
  • vgl. docs.bigbluebutton.org
nein
nein
Button „Sitzung aufzeichnen“
nein
  • Option „Aufnahme starten“
  • standardmäßig Speicherung nur auf Dropbox möglich, vgl. community.jitsi.org, andere Anbieter mit Zusatz­komponente „Jibri“
nein
Button „Aufzeichnung beginnen“
nein
  • Einstellung „Meeting automatisch auf dem eigenen Computer aufzeichnen“
  • ab höherer Accountstufe „Cloud Aufzeichnung“ möglich
  • vgl. auch support.zoom.us ff.
keine Möglichkeit für automatische Transkription
Die automatische Transkription bedarf im Regelfall technisch eine Aufnahme des gesprochenen Wortes (s. oben „Möglichkeit zur Aufnahme“) und Verarbeitung als pbD durch Sprach­erkennungs­systeme beim Hersteller.
nein
ja
nein
nein
ja
ja
für englische Sprache verfügbar, vgl. support.microsoft.com
nein
keine Aufmerksamkeits­erkennung
ja
ja
nein
ja
ja
ja
ja
„Aufmerksamkeits­verfolgung“ wird nicht mehr angeboten, vgl. zoom.us
keine Verbindung Browser
- mit Drittanbietern
entfällt

kein Web-Client vorhanden

für Desktop-Client:
ja, keine Verbindungen mit Drittanbietern bei Messung mit BurpSuite festgestellt

ja
Messung Browser
nein
Messung Browser bei Nutzung eines Testaccounts: *.amplitude.com, *.appdynamics.com, *.ciscospark.com, *.cloudflare.com, *.cloudfront.net, *.eum-appdynamics.com, *.fontawesome.com, *.googleapis.com, *.jquery.com, *.launch, *.polyfill.io, *.walkmeusercontent.com, *.wbx2.com, *.webex.com
nein
Messung Browser bei Nutzung eines Testaccounts
  • Während Meeting: pusher.com; sentry.io; expertcity.com; getgo.com; goto-rtc.com; gotomeeting.com
  • Vor/Nach Meeting: appcues.com; appcues.net; castle.io; cloudflare.com; doubleclick.net; google-analytics.com; google.com; google.de; googletagmanager.com; goto.com; gstatic.com; gotomeet.me; imperium.com; jwplatform.com; launchdarkly.com; logmeininc.com; marketo.net; mixpanel.com; mktoresp.com; mxpnl.com; unpkg.com; qualtrics.com
ja
ja, aber viele mit Anbieter
Messung Browser: *.aspnetcdn.com; *.live.com; *.microsoft.com; *.microsoftazuread-sso.com; *.microsoftonline.com; *.msauth.net; *.msecnd.net; *.msftauth.net; *.msftauthimages.net; *.office.com; *.office.net; *.sharepointonline.com; *.skype.com; *.unpkg.com; *.visualstudio.com
nein
Messung Browser: *.wootrics.com, fonts.gstatic.com, nws.zoom.us, *.sentry.io, *.ada.support, www.google.com (recaptcha), zoom.us, *.cloud.zoom.us
- mit 'bekannten Trackern'
Im Allgemeinen fallen darunter Angebote zur Webanalyse, insb. die geräte- und dienstübergreifend pbD verarbeiten oder das Nutzerverhalten erfassen und protokollieren.
nein
nein
ja
Messung Browser: zumindest amplitude.com
nein
Messung Browser: zumindest google-analytics.com
ja
nein
nein
keine Kenntnis von Einbindung 'bekannter Trackern' in mobiler App
Im Allgemeinen fallen darunter Angebote zur Verhaltens-Analyse, insb. solche die geräte- und dienstübergreifend pbD verarbeiten oder das Nutzerverhalten erfassen und protokollieren.
ja
entfällt
keine Anwendung vorhanden
nein
nein
variiert
  • Google Play Store Version: nein
  • F-Droid Version: ja
siehe reports.exodus-privacy.eu.org jeweils zu Version mit „google“ bzw. „froid“
nein
nein
Beschreibung toM in Auftrags­verarbeitung
ja
keine Angabe bei selbstgehostet
ja
unklar
keine Angabe bei selbstgehostet
ja
  • unklarer Verweis auf „eine Microsoft-Sicherheits­richtlinie“ (kein Link) und u.a. Einhaltung ISO-Standards in DPA
  • aka.ms, Anlage „Anhang A – Sicherheitsmaßnahmen“
ja
Historie, z.B. Presseberichte, CVE-Einträge
Hinweise auf Meldungen mit Sicherheitsvorfällen und ähnlichem
  • www.cvedetails.com
  • Pressebericht 21.10.2020 www.golem.de zu verschiedenen Sicherheits­problemen. Kritikpunkte waren die unsichere Einbindung von LibreOffice, das Setzen von Cookies ohne secure-Flag (beide behoben mit Version 2.2.27) und die Verwendung von Ubuntu 16.04 (Unterstützung bis April 2021) und alten Node.js-Versionen.
  • www.cvedetails.com
  • 2019 wurde eine erhebliche Sicherheitslücke bekannt, die es Angreifer*innen ermöglichte, die Kameras von Teilnehmer*innen zu kapern. Anfang 2020 erlaubteb ein Fehler, dass bestimmte Teilnehmer die Kontaktdaten von anderen fremden Nutzer*innen lesen konnten.
  • Seit etwa Sommer 2020 hat Zoom zahlreiche Fortschritte im Bereich der IT-Sicherheit gemacht.