Videokonferenzen: Datenschutz, Funktionalität oder beides?

Peer Heinlein, Gründer und CEO von OpenTalk und mailbox.org

Videokonferenzsysteme müssen den Datenschutz sicherstellen. Gibt es echte Alternativen zu den Lösungen aus USA? Ein Interview mit Peer Heinlein, Gründer und CEO von OpenTalk.

Welche Datenrisiken bestehen bei einer Videokonferenz über das Internet?

Peer Heinlein: Das gesprochene Wort ist und wirkt vertraulich – und Menschen sagen mündlich viel, was sie schriftlich nie von sich geben würden. Auf persönlicher Ebener geben sie Einblicke in ihre Gedanken, in ihren Charakter, in ihre Pläne.

Auf geschäftlicher Ebene reden sie über Geschäftsgeheimnisse und Taktiken, die sie sicherlich nie veröffentlichen würden. Seit jeher empfinden wir die Idee, dass ein Telefongespräch abgehört werden könnte, als höchst beunruhigend, unangenehm und tiefen Eingriff in unsere Privatsphäre und dabei geht es gewiss nicht darum, ob man „etwas zu verbergen hat“.

Ohne starke und lückenlose Verschlüsselung, ohne Hintertüren lassen sich zentral betriebene
Videokonferenzen vom jeweiligen Anbieter natürlich auch zentral abhören und mitschneiden – und auch das gesprochene Wort lässt sich heutzutage problemlos in geschrieben Text transkribieren und auch automatisiert auswerten.

Wie umfangreich und gezielt Telefon- und Datenleitungen abgehört werden, haben die Snowden-Enthüllungen schon 2014 gezeigt, seitdem sind einige Jahre ins Land gegangen. Sowohl Interesse als auch Technologie vieler Staaten sind nicht geringer geworden, viele verpflichten Anbieter in ihrem Land zu entsprechenden Hintertüren und Abhörmöglichkeiten. Die USA sind bekannt dafür, diese Hintertüren von US-Firmen auch dann zu fordern, wenn deren Service außerhalb der USA erbracht wird.

Waren sich die Unternehmen dessen bewusst, als es mit dem Home-Office in der Pandemie losgegangen ist?

Im März 2020 sind viele sicherlich Hals über Kopf in die Pandemie und damit auch ins Home-Office gestolpert. Da ist es verständlich und nicht falsch, dass in vielen Fällen zuerst die unmittelbare Arbeitsfähigkeit des Unternehmens im Vordergrund stand und auch den Mitarbeitern die Gewöhnung an Home-Office und virtuelle Konferenzen leicht gemacht werden musste.

Zu dieser Zeit konnten hauseigene IT- und Sicherheitsexperten oft nur etwas bremsen und lenken. Aber mittlerweile ist ein Zudrücken sämtlicher Hühneraugen nicht mehr vertretbar, und IT-Sicherheit und Datenschutz müssen als unabdingbare Kriterien ernst genommen werden. Dank diverser datenschutzrechtlich sauberer Videokonferenzlösungen am Markt, gibt es heute keinen Grund mehr für faule und gefährliche Kompromisse.

Was haben die Datenschutzaufsichtsbehörden dazu gesagt?

Diese haben recht früh und eindeutig Stellung bezogen und in diversen Gutachten und Papieren klar herausgestellt, welche Lösungen rechtlich zulässig sind und welche nicht. Aber sie kämpfen bis heute oft auf etwas verlorenem Posten: Wenn der Druck der Straße, der Druck der Politik und auch der Druck der Software-Lobby großer Hersteller Entscheidungen zugunsten US-Cloudlösungen forciert, kämpfen Datenschutzbehörden oft alleine und mit einem unliebsamen Standpunkt.

Die Datenschützer brauchen schon ein dickes Fell, wenn sie immer wieder erleben müssen, dass ihnen zwar vorrangig Recht gegeben wird, im nächsten Schritt aber mit einem schulterzuckenden „Ja, aber…“ das Gegenteil entschieden wird. Rechtswidrigkeit hin oder her. Mein Job wäre das nicht.

Hat inzwischen ein Umdenken stattgefunden? Wird auf den Datenschutz bei Videokonferenzen geachtet?

Bei Unternehmen ist Datenschutz und Datensicherheit entweder Unternehmens-DNA, und sie legen seit jeher Wert auf eigene digitale Souveränität und eigene IT im eigenen Rechenzentrum, oder sie sind schon lange zu den US-Cloudanbietern wie Microsoft Teams abgewandert und dank Vendor Lock-in in deren System gefangen und nicht mehr Herr ihrer eigenen Entscheidungen.

Bei Behörden und in der Politik ist das erfreulich anders. Auch wenn hier einige Bundesländer – wie beispielsweise Baden-Württemberg – mit Cloudlösungen wie MS-Teams gehen wollten, haben sich Datenschützer oft durchsetzen können, und es wird zunehmend auf selbst betriebene Lösungen und digitale Souveränität von Politik und Land geachtet.

Open Source ist politisch im Kommen. Dafür wird auch Aufwand getrieben, das ist gut. Gerade im Schulbereich war zu spüren, dass hier auch bei vielen Eltern das Bewusstsein erwachte, die Daten der eigenen Kinder nicht digital ausgewertet und erfasst bei den Anbietern speichern zu wollen. Das gab Druck und das hat zu veränderten Entscheidungen geführt.

Worauf sollten Unternehmen und Behörden denn achten?

Wir sollten auf die altbekannten Themen achten, die schon vor rund 20 Jahren mit den ersten
großen Open Source-Projekten öffentlich vorgebracht wurden: Die Nachhaltigkeit von Open
Source-Lösungen versus jährlicher Lizenzkosten, die Gefahr eines Vendor Lock-ins und damit die Forderung nach „Open Documents – Open Standards“ und natürlich stets die Frage nach mehr oder weniger versteckten strategischen Interessen der Anbieter, auf deren Integrität, Zuverlässigkeit und Fairness ich vertrauen muss. Ich muss stets fragen: Bin ich hier als Kunde nun König oder Leibeigener?

OpenTalk bietet eine Cloud-Lösung aus Deutschland sowie den Selbstbetrieb. Wann
empfiehlt sich welche Variante?

Dies ist einerseits eine technische Frage: Habe ich eigene IT-Infrastruktur, also Rechenzentrum und Personal, um derartige Services selbst zu betreiben? Gerade Videokonferenzen brauchen breitbandige schnelle Anbindungen, um Video und Ton in Echtzeit sicher verteilen zu können.

Andererseits kann man sich fragen, ob man eigene Ressourcen mit diesen Themen binden möchte. Gibt es einen Anbieter, der transparent und glaubwürdig ist, diesen Service vertrauenswürdig und zuverlässig als „SaaS“-Cloudlösung aus Deutschland anbieten zu können? Manchmal eine Preis-,  in aller Regel aber eine rein IT-strategische Frage.

Wenn man an die Funktionen der Lösungen aus den USA denkt: Kann eine deutsche Lösung da mithalten? Oder muss man sich entscheiden: Funktionalität oder Datenschutz?

Software ist ja nicht schlechter, weil sie außerhalb der USA programmiert wurde. Gerade im Open Source-Bereich sehen wir ja viele Projekte aus aller Welt und gerade auch aus Europa oder Deutschland, die wirklich Maßstäbe setzen und „state of the art“ sind.

Und auch im Bereich Video-Konferenzen haben wir diverse funktionale und gute Angebote, die ja auch produktiv täglich im Einsatz sind und sich beweisen. Hier haben sich die Nachfrager entschieden und fahren offensichtlich gut damit.

Aber freie Projekte und kleine Anbieter haben es naturgemäß schwerer durchzustarten und einen Funktionsumfang zu erreichen, der mit den mächtigen milliardenschweren Softwarekonzernen und ihren Möglichkeiten mithalten kann. Das ist aber eindeutig ein Ergebnis des politischen Handelns der letzten 20 Jahre.

Welche IT-Angebote und Spieler wir am Markt haben, bestimmen Unternehmen wie Politik durch ihre Nachfrage. Umso wichtiger ist es, auch hier und heute vielleicht einmal einen Kompromiss einzugehen oder politisch eine Extra-Meile zu gehen, um eine digital souveräne Softwarelandschaft in der EU zu fördern. Die Früchte würden wir ernten – finanziell wie technisch.

Aber wenn seit 20 Jahren nur auf das „Hier und Jetzt“ geschaut wird, fehlt stets die langfristige zukunftsorientierte IT-Strategie in Europa. Und das wird wiederum zukünftig im Zirkelschluss den eigenen Beweis liefern, dass vorgeblich keine tragfähigen Alternativen zur Verfügung stehen. Alles eine Frage strategischer Entscheidung, aber alles in unseren Möglichkeiten.

Was erwarten Sie auf dem Markt für Videokonferenzen? Wird der Aspekt Datenschutz /
Datensouveränität bei allen Branchen und Unternehmensgrößen an Bedeutung gewinnen?

Es wird weiter ein wichtiger Aspekt bleiben – das Datenschutzbewusstsein in Europa und insbesondere in Deutschland ist die letzten Jahre bereits beeindruckend gewachsen. Aber klar ist auch: Ohne clevere Funktionen, ohne gute „Use-Cases“, ohne eine Begeisterung beim Nutzer und ohne einen klaren Mehrwert, kann sich keine Lösung durchsetzen. Egal wie gesund ein Essen ist – es muss halt auch schmecken.

Datenschutz ist das „Must-Have“ in einer jeden Entscheidung, aber mehr auch nicht. Mit OpenTalk haben wir ja genau diese Themen adressiert und viel Aufwand in das Wohlfühlen der Nutzer oder in mächtige, bislang so nicht vorhandene Funktionen für Moderatoren gesteckt. Genau diese Punkte fehlten uns bei vorhandenen Lösungen.

Wir sind also sicher, dass sich viele schon deshalb für OpenTalk entscheiden werden, weil es einfach praktisch, nützlich und funktional ist und damit einen echten Mehrwert bietet. Und auch für Plattformanbieter und Provider ist OpenTalk interessant und füllt eine echte Lücke, da es sich flexibel in eigene Angebote integrieren lässt. Sie können es als eigenes Produkt anbieten und die Kundenbindung behalten – das ist mit den US-Cloudanbietern nicht zu machen, da dürfen sie allenfalls Reseller sein und ein paar Krumen von den Lizenzgebühren abhaben.