Während der Pandemie haben wir uns öfter auf Bildschirmen als im physischen Leben gesehen. Online-Konferenzsysteme sind Teil des Arbeitsalltags vieler Menschen geworden, aber auch weite Teile unserer Freizeit sind ins Digitale verlagert. Wann immer das Pandemie-Ende kommen wird, eines ist sicher: Videokonferenzen werden nicht verschwinden und sollten nicht mehr als Provisorium gesehen werden. Spätestens nach der Pandemie hat niemand mehr eine Ausrede, sich nicht endlich Gedanken darüber zu machen, welches technische System er dauerhaft verwenden will.
Viele haben die gebräuchlichsten Videokonferenzlösungen wie Zoom, Cisco WebEx, Skype oder MS Teams täglich in Gebrauch. Was diesen gemein ist: Sie stammen alle von US-amerikanischen Anbietern, die wegen verschiedener Punkte kritisch zu sehen sind. Doch es gibt gute Alternativen zu diesen verbreiteten US-Lösungen, und es lohnt sich, diese auszuprobieren und einen Umstieg zu wagen.
Gute Gründe, die Plattform zu wechseln
Wer sensible Daten in fremde Hände gibt, sollte den Datenschutz und Rechtliches im Blick haben. Auch wenn für eine Privatnutzung andere Regeln gelten als im Business-Umfeld, ist für viele Menschen die Rechtskonformität mit dem europäischen Datenschutzrecht ein guter Grund, um über einen Wechsel nachzudenken: Seit dem sogenannten Schrems-II-Urteil des Europäischen Gerichtshofs im Jahr 2020 ist eine rechtskonforme Nutzung von US-Diensten insgesamt schwierig geworden, da das schon zuvor hochumstrittene pauschale Privacy-Shield-Abkommen für transatlantische Datentransfers seither nicht mehr gilt.
Häufig behilft man sich – falls vorhanden – mit Standardvertragsklauseln. Ganz Europa wartet aktuell noch auf entsprechende Neuregelungen, also ein neues Abkommen mit den Vereinigten Staaten. Bis das aber vorliegt, kann es noch dauern.
Ein weiteres Problem fällt in die Kategorie Biometrie: Es ist unvermeidlich, dass bei Online-Konferenzen auch biometrische Daten anfallen, etwa von Gesichtsbildern und von Stimmen. In ihren Allgemeinen Geschäftsbedingungen schließen die US-Anbieter die Verwertung von biometrischen Daten nicht explizit aus. Sie könnten daher Videobilder und Stimmdaten für weitere Analysen auch zu kommerziellen Zwecken nutzen. Ob und welche Datenschutzbehörden in Europa für die US-Unternehmen zuständig sind, bleibt zudem oft vage. Zoom hat beispielsweise zwar Niederlassungen in Frankreich und den Niederlanden, aber auf Datenschutzfragen verweigert es die Antwort.
Welches Potential einerseits für die Unternehmen und andererseits welche Bedrohungen durch Software-Fehler oder durch Nutzung oder Weitergabe der biometrischen Daten für die betroffenen Menschen besteht, lässt sich hier nur andeuten. So plant beispielsweise das Unternehmen Clearview aktuell, seine Gesichter-Datenbank trotz breiter Gegenwehr auf 100 Milliarden Fotos anwachsen zu lassen. Damit würde fast jeder Mensch auf der Welt durch Clearview identifizierbar werden. Die Gesichtserkennung soll sowohl dem öffentlichen als auch dem privaten Sektor angeboten werden, die Datenbasis wächst um 1,5 Milliarden Bilder pro Monat.
Neben der klassischen biometrischen Auswertung ist zudem an Emotionsanalysen anhand von Stimmprofilen oder an Gestenerkennung zu denken, auch an Analysen der (Privat-)Räume im Bildhintergrund. Die Szenarien für Geschäftsmodelle und Überwachung lassen sich ohne viel Fantasie weiterdenken: Der Fakt, dass viele Menschen Einblicke in ihre Arbeits- und Wohnräume geben und in Online-Konferenzen zusammen gedacht, gelacht und diskutiert wird, erlaubt detailliertere Personenprofile, als andere Technologien das zulassen würden.
Wem nicht egal ist, wer bei einer Online-Konferenz zuschauen könnte, der hat also eine ganze Reihe Gründe für einen Wechsel zu Alternativen. Ein weiterer Aspekt neben dem Datenschutz, der für einen Anbieterwechsel spricht, ist eine gewisse Abhängigkeit, die man vielleicht vermeiden möchte: Getreu dem Motto „Was der Bauer nicht kennt, das frisst er nicht“, verwenden Menschen immer gern, was sie schon kennen und meiden anderes. Damit begeben sie sich in eine Abhängigkeit zu diesem Anbieter und gehen zumeist bei jeder AGB-Änderung mit – selbst wenn diese zu ihren Ungunsten ausfällt.
US-Anbieter: Was ist das Problem?
Warum sind die oben erwähnten typischen US-Angebote eigentlich ein Problem? Zunächst ist für die Nutzung von US-Diensten die Rechtslage bei der Datenübertragung in die Vereinigten Staaten wichtig. Anders als in Europa üblich sind US-Unternehmen datenschutzrechtlich wenig eingeschränkt: Nach amerikanischem Recht können personenbezogene Daten der Kunden auch kommerziell genutzt werden, auch zum Weiterverkauf. So ist in den letzten zwanzig Jahren ein riesiger Markt beim Handel mit Nutzerdaten und zum Weiterverkauf von aggregierten Personenprofilen entstanden ist.
Sämtliche Unternehmen mit einem Firmenbezug zu den Vereinigten Staaten sind nach amerikanischem Recht verpflichtet, Nutzerdaten den US-Behörden nach Aufforderung zur Verfügung zu stellen, ohne ihre Kunden darüber zu informieren – auch ohne dass die Server, auf denen diese Daten liegen, überhaupt auf US-Territorium stehen müssen.
Das gilt also auch für Server, die in Deutschland oder sonstwo auf der Welt stehen. Die Grundlage hierfür bildet der US CLOUD Act. Wenn keine echte Ende-zu-Ende-Verschlüsselung in den Dienst eingebaut ist oder sie nicht verwendet wird, weil sie beispielsweise nur in der Bezahl-Version der Software enthalten ist, dann steht der Weitergabe der Daten an US-Behörden gemäß den gesetzlichen Vorschriften auch technisch nichts im Wege.
Das Performance-Argument
Das Performance-Argument wird häufig und in verschiedenen Variationen vorgebracht: Die kommerziellen Anbieter seien einfach stabiler, könnten mehr Nutzer gleichzeitig bedienen, würden einfacher benutzbar sein oder hätten eine bessere Video- oder Audioqualität. Damit werben die Anbieter natürlich auch.
Die jeweilige Nutzungsqualität und alle Benutzungsfunktionen für jeden Anbieter zu diskutieren, sprengt hier den Rahmen, aber zu bedenken sind die tatsächlichen eigenen Bedürfnisse. Außerdem kann eine vordergründig gute Performance oft nicht so sichtbare Nachteile haben: Im Falle von beispielsweise Zoom dürfte der Grund für die vermeintlich bessere Performance sein, dass die Videoverarbeitung nicht auf dem Endgerät der Nutzerin stattfindet, sondern zentral auf Zoom-Servern. Dabei wird – zumindest bei Gratis-Accounts – nur eine TLS-Transportverschlüsselung verwendet, also keine Ende-zu-Ende-Verschlüsselung. Das bedeutet, dass die Daten auf dem Zoom-Server unverschlüsselt vorhanden sind, aber Dritte, die versuchen, die Daten unterwegs abfangen, wegen der Transportverschlüsselung nicht an die Inhalte kommen.
Die Daten werden auf dem Zoom-Server unverschlüsselt verarbeitet und wieder an alle Teilnehmenden zurückgeschickt, wobei der Weg zurück wieder nur transportverschlüsselt verläuft – mit Ausnahme der Text-Chats, deren Inhalte tatsächlich verschlüsselt übertragen werden.
Datenfreundliche Alternativen
Was aber kann man verwenden, wenn man guten Gewissens online-konferieren möchte? Die beiden großen Alternativen sind BigBlueButton (BBB) und Jitsi Meet. Beide sind Open-Source-Software und können auch selbst gehostet werden. Daher gibt es nicht den einen BBB- oder Jitsi-Meet-Server, sondern viele unterschiedliche, die von Stadtverwaltungen, Privatleuten, Vereinen oder auch Universitäten zur Verfügung gestellt werden, wenn man selbst keinen Server betreiben kann oder will.
Von den Funktionalitäten sind sowohl BBB als auch Jitsi Meet mit den bekannten US-Produkten vergleichbar und müssen sich nicht verstecken. Ob man die Open-Source-Lösungen für optisch gleichwertig mit den US-Äquivalenten hält, das trifft wohl auf unterschiedliche Meinungen und ist Geschmackssache.
Sowohl BBB als auch Jitsi Meet laufen vollständig im Browser, benötigen also kein spezielles Programm und auch keine App auf Mobilgeräten. BBB empfiehlt als Browser allerdings explizit Google Chrome (oder ein Derivat davon), Mozilla FireFox oder Microsoft Edge. Funktional ähneln beide Alternativen den kommerziellen Angeboten, sind aber natürlich nicht identisch. Vor allem Jitsi ist rechenintensiv und hat bei älteren Computern oft zur Folge, dass der Lüfter anspringt. Für Menschen, die nicht gerade das allerneueste Computermodell nutzen, ist daher BBB oft angenehmer zu nutzen.
BigBlueButton kommt aus dem Bildungsbereich. Wer beispielsweise an einer Hochschule lernt oder arbeitet, ist BBB meist schon begegnet, da es bei vielen Moodle-Installationen als Videokonferenzlösung mitinstalliert wird. Dieser Hintergrund erklärt auch den Aufbau der Software entlang von Vorlesungsbedürfnissen, bei der beispielsweise die Möglichkeit, den Bildschirm mit anderen zu teilen, erst von einer Person mit Moderationsrechten an andere weitervergeben werden kann.
Jitsi Meet begann seinen Weg bereits 2003 im Bereich der Messenger-Dienste, wo viele Menschen gleichberechtigt miteinander kommunizieren. Diese Grundstruktur hat sich bis ins heutige Jitsi Meet durchgezogen. So haben alle Teilnehmenden beispielsweise von Beginn an die Möglichkeit, ihren Bildschirm zu teilen.
Jetzt auch mit Livestream
Der Unterschied beider Lösungen liegt vor allem im Erstellen und Öffnen von Videokonferenz-Räumen und der sich daraus ergebenden Möglichkeit anonymer Nutzung. Standardmäßig benötigt man bei BBB zum Erstellen eines Raumes einen Account auf dem jeweiligen BBB-Server. Der Ersteller loggt sich ein und bekommt die Übersicht der eigenen Räume angezeigt. Ein neuer Raum ist hier schnell geklickt, auch mit Einstellungen wie „alle Teilnehmenden bei Betreten stummschalten“ oder mit optionalem Raumpasswort, das dann in der Einladung zum Meeting geteilt werden kann. Das Passwort kann man jederzeit ändern oder den Raum löschen und neue erstellen.
Zur Teilnahme an einer BBB-Konferenz ist kein Account auf dem Server notwendig, auch kein spezielles Programm oder eine App. BBB-Konferenzen laufen auch auf Mobilgeräten mit einem mobilen Browser. Ein neues BBB-Feature seit Januar 2022 ist außerdem, dass einzelne Teilnehmenden-Fenster innerhalb der Videokonferenz angepinnt werden können, was insbesondere für Gebärdensprachendolmetschung interessant ist.
Bei Jitsi Meet ist die Verbindung zwischen den einzelnen Teilnehmenden Ende-zu-Ende-verschlüsselt und damit wirklich privat. Auch braucht nicht einmal die Erstellerin des Raumes einen Account auf dem Jitsi-Server, und die Teilnehmenden können sich einen freien Spitznamen geben. So ist Jitsi Meet also auch ohne Realnamen und nur mit Pseudonym benutzbar.
Ein Raum ist schnell erstellt, indem man einfach einen Raumnamen vergibt; und der Raum ist da, sobald jemand die URL aufruft. Die Raum-URL wird aber nicht auf dem Server vorgehalten: Wenn die letzte Teilnehmende ihre Browser-Session schließt, ist er einfach wieder weg. Er wird auch nicht für bestimmte Nutzerinnen reserviert.
Für Jitsi Meet gibt es für mobile Geräte native Apps für iOS, Android, auch via Fdroid. Ein weiteres Feature, das Jitsi Meet für einige sehr interessant machen könnte: Seit Januar 2022 besteht die Möglichkeit, direkt aus einer Jitsi-Meet-Konferenz heraus einen Livestream zu starten. Streamschlüssel und Passwort für einen Streamserver werden direkt in der Konferenz bereitgestellt. Das Feature ist nicht auf allen Jitsi-Meet-Servern freigeschaltet, weil dafür mehr Serverkapazitäten notwendig sind als für Jitsi Meet ohne Livestream, aber es werden in den kommenden Wochen und Monaten sicher mehr Server zur Verfügung stehen, die dieses Feature freigeben.
Jitsi Meet bietet wie alle anderen Konferenzanbieter auch Chat-Möglichkeiten während der Videokonferenz an, hat aber zusätzlich mehrere Varianten des Video-Kodierens, je nach zur Verfügung stehender Bandbreite. Mehrere Teilnehmer können auch gleichzeitig ihren Bildschirm mit den anderen teilen. Ein praktisches Feature ist außerdem die Lobby, eine Art Warteraum, um vor einem gemeinsamen Beginn einer Videokonferenz alle Teilnehmer dort zu sammeln.
BigBlueButton und Jitsi Meet nutzen
Jeder kann BBB und Jitsi Meet über einen der mittlerweile zahlreichen öffentlich verfügbaren Server ausprobieren. Jitsi beispielsweise stellt selbst mit meet.jit.si einen eigenen öffentlichen Server zur Verfügung, der allerdings bei großen Konferenzen bereits öfter an seine Kapazitätsgrenzen gekommen zu sein scheint.
Unter meet.scheible.it gibt es einen gut gepflegten öffentlichen Jitsi-Server, eine umfangreiche Dokumentation zum Hosten von Jitsi sowie eine Liste weiterer öffentlicher Jitsi-Server sowohl aus dem Bildungsbereich als auch Server in Deutschland, die Datenschutzerklärungen bereitstellen. Auch systemli.org bietet für kleine Gruppen und ohne Registrierung eine Jitsi-Konferenz an.
Ein gut betreuter öffentlicher BigBlueButton-Server findet sich unter senfcall.de, ein Projekt von Studierenden der TU Darmstadt und dem Karlsruher Institut für Technik, zusammengekommen im Verein Computerwerk Darmstadt. Bei Senfcall bedarf es keiner Registrierung via E-Mail. Jeder kann also BBB auch ohne Account, also mit nur einem Pseudonym für alle Teilnehmerinnen eines Meetings verwenden. Zu bedenken ist, dass BBB nur Transportverschlüsselung hat, aber keine Ende-zu-Ende-Verschlüsselung.
Das schlimme Wort: Auftragsverarbeitungsvertrag
Wer BBB oder Jitsi Meet beruflich einsetzen möchte, braucht einen Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter, da bei einer Videokonferenz unweigerlich personenbezogene Daten übertragen werden, selbst wenn sie am Ende nicht mitprotokolliert oder vorgehalten werden. Senfcall gibt seit Anfang 2022 solche AVVs aus. Die b1systems GmbH bietet seit der Pandemie kostenfrei BBB-Räume für Schulen, Bildungseinrichtungen, Vereine und Unternehmen ebenfalls mit AVV an – allerdings ohne die Möglichkeit einer Nutzung nur mit Pseudonym, sondern klassisch mit Account für die Raum-Erstellerinnen.
Ein weiterer Anbieter ist sichere-videokonferenz.de. Hier bekommt man ebenfalls auch für ad-hoc-Räume Auftragsverarbeitungsverträge. Dass dabei die Verbindungsdaten, Konferenzinhalte und Chat-Verläufe nicht gespeichert werden, ist Teil der Vereinbarung. Dahinter steckt die Horizon44 GmbH, die auch White-Label-Konferenzräume für Firmenkunden anbietet. Der öffentliche Jitsi-Server ist allerdings spendenfinanziert.
Einen Jitsi-Server mit Auftragsverarbeitungsvertrag hat beispielsweise auch mailbox.org schon im Standardpaket dabei, in dem Fall eben für eine überschaubare monatliche Gebühr. Aber falls jemand ohnehin dort bereits das E-Mail-Postfach hat, kann man hier auch Jitsi-Konferenzen abhalten.
Option: Selbst betreiben
Wer eine Videokonferenzlösung für Schule, Uni oder auch eine Verwaltung sucht, sollte über selbstgehostete BBB- oder Jitsi-Server nachdenken. Dadurch, dass beide Open-Source-Lösungen und frei auf Microsoft Github verfügbar sind, fallen weder einmalige noch laufende Lizenzkosten an. Wer schon eine Serverinfrastruktur hat, kann den Aufwand und die Komplexität voraussichtlich sehr leicht handhaben.
Mit einer 1-Klick-Lösung wie eine Blogsoftware bei einem großen Anbieter ist es noch nicht vergleichbar, einen SSH-Zugang zum Server braucht man schon. Aber es erfordert auch längst kein Spezialstudium, eine von beiden Open-Source-Plattformen zu hosten. Bei BBB sind dazu Video-Hilfen in englischer Sprache vorhanden. Für Jitsi Meet hat Tobias Scheible eine wunderbare schriftliche Anleitung geschrieben.
Das unvergleichlich gute Gefühl
Ohne Zweifel sind BBB und Jitsi Meet gute und einfach handhabbare Alternativen zu den bekannten US-Produkten. Die Nutzung ist denkbar einfach. Welche der beiden Lösungen man vorzieht, hat oft eher mit Gewohnheiten als mit handfesten funktionalen Vergleichen zu tun.
Die eigenen biometrischen Daten, den Screenshare und weitere Daten nicht Dritten in die Hände zu spielen, während man Arbeitstreffen oder auch private Plauderstunden abhält, ist ein unvergleichlich gutes Gefühl. Das ist natürlich durch nichts zu ersetzen. Wer aber privat oder beruflich die Verantwortung für die Daten anderer Menschen trägt, muss mehr als dieses Gefühl beachten für die Entscheidung darüber, welche Software für Online-Konferenzen anderen angetragen wird.
Seit drei Jahren läuft ein Selbstversuch gegen Werbe-Tracking und für mehr informationelle Selbstbestimmung von Katharina Larisch, Volker Wittpahl und Klaudia Zotzmann-Koch.
Katharina Larisch ist Professor für Physician Assistance an der Europäischen Fachhochschule und Fachärztin für Arbeitsmedizin. Sie ist Mitbegründerin und war Medical Lead des Online-Gesundheitsportals netdoktor.de.
Volker Wittpahl ist Ingenieur und Direktor des Instituts für Innovation und Technik in Berlin sowie Professor an der Klaipeda University in Litauen.
Klaudia Zotzmann-Koch ist Podcasterin und Datenschutzexpertin, gibt Workshops zu Medienkompetenz und Privatsphäre. Sie ist Autorin von Krimis, Romanen, Science Fiction sowie verschiedenen Bereichen moderner Medien.
Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.
0 Commentaires