Videokonferenz-Tools und DSGVO: Zoom, Teams, Google Meet im Vergleich
Zoom, Teams und Google Meet im DSGVO-Vergleich: Server-Standort, Verschlüsselung, AVV, Aufzeichnungen, KI-Features und EU-Alternativen wie Jitsi und BigBlueButton.
Videokonferenzen gehören zum Arbeitsalltag — spätestens seit der COVID-19-Pandemie. Doch jede Videokonferenz verarbeitet personenbezogene Daten: IP-Adressen, Gesichter, Stimmen, Bildschirminhalte, Chatverläufe und Metadaten. Seit dem Schrems-II-Urteil (EuGH C-311/18, 2020) steht die Nutzung US-amerikanischer Videokonferenz-Dienste unter besonderer Beobachtung. Dieser Artikel vergleicht die gängigen Tools, bewertet EU-Alternativen und erklärt, was du bei Aufzeichnungen, KI-Features und Datenschutzhinweisen beachten musst.
Warum Videokonferenzen DSGVO-relevant sind
Bei jeder Videokonferenz werden folgende personenbezogene Daten verarbeitet:
| Datenkategorie | Konkrete Daten | DSGVO-Relevanz |
|---|---|---|
| Verbindungsdaten | IP-Adresse, Geräte-ID, Browser/App-Version | Personenbezogenes Datum (EuGH Breyer) |
| Audio/Video | Stimme, Gesicht (biometrische Daten bei Aufzeichnung) | Art. 9 DSGVO bei biometrischer Verarbeitung |
| Metadaten | Meeting-Dauer, Teilnehmerliste, Beitritts-/Austrittszeiten | Personenbezogene Verhaltensprofile |
| Chat-Inhalte | Textnachrichten, geteilte Links, Dateien | Kommunikationsinhalte |
| Bildschirmfreigabe | Angezeigte Dokumente, Desktop-Inhalte | Ggf. vertrauliche Unternehmensdaten |
| Aufzeichnungen | Video, Audio, Transkripte | Besonders schutzwürdig |
| KI-Verarbeitung | Transkription, Zusammenfassung, Sentiment-Analyse | Zusätzlicher Verarbeitungszweck |
Rechtsgrundlage: Für geschäftliche Videokonferenzen kommt in der Regel Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, z.B. Arbeitsvertrag) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an geschäftlicher Kommunikation) infrage. Für Aufzeichnungen und KI-Features ist jedoch eine Einwilligung (Art. 6 Abs. 1 lit. a) der Teilnehmer erforderlich.
Große Vergleichstabelle: Zoom, Teams, Google Meet und mehr
| Kriterium | Zoom | Microsoft Teams | Google Meet | Jitsi (self-hosted) | BigBlueButton | alfaview |
|---|---|---|---|---|---|---|
| Anbieter-Sitz | USA | USA | USA | Open Source | Open Source | Deutschland |
| Server-Standort | USA/EU (wählbar ab Business) | USA/EU (wählbar) | USA/EU | Eigener Server | Eigener Server | Frankfurt |
| DPF-zertifiziert | Ja | Ja | Ja | N/A | N/A | N/A (EU) |
| AVV verfügbar | Ja (DPA im Admin-Portal) | Ja (DPA/OST) | Ja (Cloud DPA) | Nicht nötig (self-hosted) | Nicht nötig (self-hosted) | Ja |
| E2E-Verschlüsselung | Ja (manuell aktivieren) | Teilweise (1:1 Calls) | Nein (TLS in transit) | Ja (bei Direktverbindung) | Nein (TLS) | Ja (Standard) |
| Max. Teilnehmer | 1.000 (Enterprise) | 1.000 | 500 (Enterprise) | Abhängig von Server | Abhängig von Server | 200 |
| Aufzeichnung | Cloud + lokal | Cloud (OneDrive) | Cloud (Drive) | Lokal (Jibri) | Lokal (Greenlight) | Lokal |
| Transkription/KI | AI Companion | Copilot | Gemini (Duet AI) | Nein | Nein | Nein |
| Preis (Business) | Ab 13,33 EUR/User/Mo | Ab 12,50 EUR/User/Mo (M365 Business Basic) | Ab 5,75 EUR/User/Mo (Workspace Starter) | Kostenlos (+ Hosting) | Kostenlos (+ Hosting) | Ab 11,90 EUR/User/Mo |
| DSK-Bewertung | Kritisch (verbessert) | Kritisch | Kritisch | Empfohlen | Empfohlen | Empfohlen |
| HIPAA-konform | Ja (Business+) | Ja (mit BAA) | Ja (mit BAA) | Konfigurationsabhängig | Nein | Nein |
Legende: DPF = EU-US Data Privacy Framework, AVV = Auftragsverarbeitungsvertrag, E2E = Ende-zu-Ende-Verschlüsselung, DSK = Datenschutzkonferenz.
Zoom: Datenschutzrechtliche Bewertung
Verbesserungen seit 2020
Zoom hat nach massiver Kritik in der Pandemie erheblich nachgebessert:
- EU-Rechenzentrum in Frankfurt verfügbar (ab Business-Plan konfigurierbar)
- E2E-Verschlüsselung verfügbar (muss manuell aktiviert werden — deaktiviert Breakout Rooms und Cloud-Recording)
- DPF-Zertifizierung vorhanden
- Deutsches Auftragsverarbeitungs-Addendum verfügbar
Verbleibende Risiken
- Telemetrie: Zoom erfasst umfangreiche Nutzungsmetadaten, deren vollständiger Umfang nicht transparent dokumentiert ist
- AI Companion: Die KI-Funktionen (Zusammenfassung, Smart Recording) verarbeiten Meeting-Inhalte auf Zoom-Servern — Standort und Subprocessoren unklar
- Attention Tracking wurde zwar entfernt, aber das Vertrauensproblem bleibt
- Datenrouting: Auch bei EU-Rechenzentrum können Daten zu Diagnosezwecken in die USA übermittelt werden
Zoom DSGVO-konform konfigurieren
- Im Admin-Portal Rechenzentrumsregion auf “Europe” einstellen
- E2E-Verschlüsselung aktivieren (Einstellungen > Sicherheit)
- Cloud-Recording deaktivieren oder auf EU-Speicher beschränken
- AI Companion deaktivieren, wenn keine Einwilligung eingeholt werden kann
- Warteraum aktivieren (verhindert unbefugten Zugang)
- Passwort für alle Meetings erzwingen
- AVV im Admin-Portal herunterladen und archivieren
Microsoft Teams: Datenschutzrechtliche Bewertung
Die DSK-Problematik
Die Datenschutzkonferenz hat Microsoft 365 (und damit Teams) wiederholt kritisch bewertet. Die Kernpunkte:
- Telemetriedaten: Microsoft erfasst “erforderliche Dienstdaten” und “verbundene Erfahrungen”, deren Umfang laut DSK nicht hinreichend transparent ist
- Diagnosedaten: Selbst auf der niedrigsten Stufe (“Weder noch” / “Erforderlich”) werden Nutzungsdaten an Microsoft übermittelt
- Subprocessoren: Lange Liste von Unterauftragsverarbeitern, teilweise außerhalb der EU
- DPA-Qualität: Der Microsoft-Auftragsverarbeitungsvertrag (DPA) wurde als unzureichend kritisiert — insbesondere hinsichtlich der Weisungsbindung
Teams DSGVO-konform konfigurieren
- Im Microsoft 365 Admin Center: Diagnosedaten auf Minimum setzen
- ”Verbundene Erfahrungen” deaktivieren (optional, schränkt Funktionalität ein)
- Datenresidenz auf EU einstellen (EU Data Boundary)
- Meeting-Aufzeichnungen in EU-OneDrive speichern
- Transkription und Copilot-Features deaktivieren, wenn keine Einwilligung vorliegt
- DPA herunterladen: Microsoft Trust Center > Compliance > DPA
Google Meet: Datenschutzrechtliche Bewertung
Google Meet ist Teil von Google Workspace. Die DSGVO-Bewertung:
- Keine echte E2E-Verschlüsselung: Daten werden in transit (TLS) und at rest verschlüsselt, aber Google hat technisch Zugriff
- DPF-Zertifizierung: Vorhanden, bietet derzeit eine Rechtsgrundlage für den US-Transfer
- Gemini-KI: “Take notes for me”, automatische Zusammenfassungen — verarbeitet Meeting-Inhalte auf Google-Servern
- AVV: Google Cloud DPA verfügbar über Admin-Konsole
EU-Alternativen im Detail
Jitsi Meet (self-hosted)
Jitsi ist eine Open-Source-Videokonferenzlösung, die auf eigener Infrastruktur betrieben werden kann.
Vorteile:
- Vollständige Datenkontrolle (keine Daten verlassen den eigenen Server)
- Kein AVV nötig (man ist selbst Verantwortlicher, nicht Auftragsverarbeiter)
- Kostenlos (Open Source, Apache 2.0 Lizenz)
- Kein Account für Teilnehmer nötig (Zugang über Link)
Systemanforderungen für Self-Hosting:
| Teilnehmer | CPU-Kerne | RAM | Bandbreite |
|---|---|---|---|
| Bis 10 | 2 | 4 GB | 100 Mbit/s |
| Bis 30 | 4 | 8 GB | 500 Mbit/s |
| Bis 75 | 8 | 16 GB | 1 Gbit/s |
| 75+ | Mehrere Server (JVB-Cluster) | 32+ GB | 1+ Gbit/s |
Einschränkungen: Kein integriertes Recording (erfordert Jibri), keine kalendergesteuerte Terminplanung, Support nur Community-basiert.
BigBlueButton
BigBlueButton wurde speziell für den Bildungsbereich entwickelt und bietet:
- Whiteboard, Breakout Rooms, Umfragen, Shared Notes
- Integration mit Moodle, Canvas, Nextcloud
- Self-Hosting oder über zertifizierte EU-Hoster
- Open Source (LGPL)
Besonders geeignet für: Schulen, Hochschulen, Bildungsträger.
alfaview
alfaview ist ein deutsches Unternehmen mit Sitz in Karlsruhe:
- Server ausschließlich in Frankfurt (DE-CIX)
- E2E-Verschlüsselung standardmäßig aktiv
- ISO 27001 zertifiziert
- Von der DSK als datenschutzkonform bewertet
- Keine KI-Features, die Daten auf externe Server übertragen
Vergleich EU-Alternativen
| Kriterium | Jitsi (self-hosted) | BigBlueButton | alfaview | OpenTalk |
|---|---|---|---|---|
| Lizenz | Open Source (Apache) | Open Source (LGPL) | Proprietär | Open Source (EUPL) |
| Hosting | Eigener Server | Eigener Server / EU-Hoster | alfaview Cloud (DE) | Eigener Server / Cloud |
| E2E-Verschlüsselung | Ja (bei P2P) | Nein | Ja | Ja |
| Max. Teilnehmer | ~75 (single server) | ~100 (single server) | 200 | 200 |
| Aufzeichnung | Jibri (komplex) | Integriert | Integriert | Integriert |
| Bildschirmfreigabe | Ja | Ja | Ja | Ja |
| Breakout Rooms | Ja | Ja | Ja | Ja |
| Kalender-Integration | Nein (manuell) | Über LMS | Ja | Ja |
| Kosten | Kostenlos + Hosting | Kostenlos + Hosting | Ab 11,90 EUR/User/Mo | Kostenlos + Hosting |
Aufzeichnungen: Rechtliche Anforderungen
Die Aufzeichnung einer Videokonferenz ist ein besonders sensibler Vorgang. Bild und Stimme können biometrische Daten darstellen (Art. 9 DSGVO), wenn sie zur Identifizierung verwendet werden.
Grundregeln
- Einwilligung aller Teilnehmer: Vor Beginn der Aufzeichnung müssen alle Teilnehmer aktiv einwilligen. Stillschweigendes Verbleiben im Meeting genügt nicht.
- Transparenz: Alle Teilnehmer müssen über Zweck, Dauer der Speicherung und Empfänger der Aufzeichnung informiert werden.
- Kein Zwang: Die Teilnahme am Meeting darf nicht von der Zustimmung zur Aufzeichnung abhängig gemacht werden (Kopplungsverbot, Art. 7 Abs. 4 DSGVO).
- Speicherdauer: Aufzeichnungen müssen nach Erreichung des Zwecks gelöscht werden — keine unbegrenzte Archivierung.
- Zugriffskontrolle: Nur berechtigte Personen dürfen auf die Aufzeichnung zugreifen.
Mustertext für die Meeting-Einladung
Datenschutzhinweis fuer diese Videokonferenz:
Diese Videokonferenz wird ueber [Anbieter] durchgefuehrt.
Dabei werden folgende Daten verarbeitet: IP-Adresse,
Name/Anzeigename, Audio- und Videodaten, Chat-Nachrichten.
Anbieter: [Name, Adresse]
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes
Interesse an geschäftlicher Kommunikation)
Speicherdauer: Chat-Logs werden nach 30 Tagen geloescht.
Drittlandtransfer: [Falls US-Anbieter: Daten werden in die
USA uebermittelt. Grundlage: EU-US Data Privacy Framework.]
[Falls Aufzeichnung geplant:]
Dieses Meeting soll aufgezeichnet werden. Sie werden zu
Beginn des Meetings um Ihre Einwilligung gebeten. Die
Teilnahme ohne Einwilligung zur Aufzeichnung ist moeglich
-- die Aufzeichnung wird dann nicht gestartet oder Sie
koennen Ihre Kamera/Ihr Mikrofon deaktivieren.
Weitere Informationen: [Link zur Datenschutzerklaerung]
KI-Features: Transkription und Zusammenfassung
Zoom AI Companion, Microsoft Copilot und Google Gemini bieten KI-gestützte Meeting-Features:
| KI-Feature | Zoom | Teams | Google Meet |
|---|---|---|---|
| Automatische Transkription | Ja (AI Companion) | Ja (Copilot) | Ja (Gemini) |
| Meeting-Zusammenfassung | Ja | Ja | Ja |
| Action Items extrahieren | Ja | Ja | Ja |
| Echtzeit-Übersetzung | Ja (32 Sprachen) | Ja (40+ Sprachen) | Ja (beschränkt) |
| Sentiment-Analyse | Nein | Teilweise (Viva Insights) | Nein |
| Verarbeitungsort | Unklar (vermutlich USA) | Azure (Region wählbar) | Google Cloud (USA) |
DSGVO-Anforderungen für KI-Features
- Zusätzliche Einwilligung: KI-Verarbeitung geht über den ursprünglichen Zweck (Videokonferenz) hinaus und benötigt eine separate, informierte Einwilligung
- Transparenz: Teilnehmer müssen wissen, dass KI ihre Sprache verarbeitet — nicht nur eine generische Meldung
- Recht auf Widerspruch: Teilnehmer müssen KI-Features ablehnen können, ohne vom Meeting ausgeschlossen zu werden
- Datenschutzerklärung: KI-Verarbeitung muss separat dokumentiert werden (Zweck, Rechtsgrundlage, Speicherdauer, Empfänger)
- DSFA: Bei systematischer Transkription und Analyse von Gesprächen ist eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) erforderlich
Empfehlung: KI-Features standardmäßig deaktivieren und nur nach ausdrücklicher Einwilligung aller Teilnehmer aktivieren.
Empfehlung nach Unternehmensgröße
| Unternehmen | Empfehlung | Begründung |
|---|---|---|
| Freiberufler / Einzelunternehmer | Jitsi Meet (öffentliche Instanz oder self-hosted) | Kostenlos, kein AVV nötig bei Self-Hosting |
| KMU (5-50 Mitarbeiter) | alfaview oder Zoom Business (EU-konfiguriert) | Gutes Preis-Leistungs-Verhältnis, EU-Server |
| Bildungseinrichtung | BigBlueButton oder Jitsi (self-hosted) | Kostenlos, LMS-Integration, volle Datenkontrolle |
| Großunternehmen (50+) | Microsoft Teams (EU Data Boundary) oder alfaview | Kalender-Integration, Compliance-Features |
| Gesundheitswesen | alfaview oder Zoom for Healthcare | E2E-Verschlüsselung, ggf. HIPAA-Konformität |
| Behörden / öffentlicher Dienst | Jitsi oder OpenTalk (BSI-empfohlen) | Open Source, Self-Hosting, BSI-Zulassung |
Praxis-Checkliste: Videokonferenzen DSGVO-konform
- Auftragsverarbeitungsvertrag mit dem Videokonferenz-Anbieter abgeschlossen?
- Server-Region auf EU eingestellt (falls wählbar)?
- E2E-Verschlüsselung aktiviert (falls verfügbar)?
- Aufzeichnungen: Einwilligungsprozess vor Start etabliert?
- KI-Features (Transkription, Zusammenfassung) standardmäßig deaktiviert?
- Datenschutzhinweis in Meeting-Einladungen aufgenommen?
- Datenschutzerklärung aktualisiert (Videokonferenz-Tool, Zweck, Rechtsgrundlage)?
- Verarbeitungsverzeichnis um Videokonferenzen ergänzt?
- Speicherdauer für Chat-Logs und Aufzeichnungen definiert?
- Mitarbeiter über Dos und Donts geschult (keine Aufzeichnung ohne Consent, Bildschirmfreigabe prüfen)?
- Gastzugang konfiguriert (kein Account-Zwang für externe Teilnehmer)?
- DSFA durchgeführt (falls KI-Features oder systematische Aufzeichnungen)?
Website-Integrationen prüfen
Videokonferenz-Tools hinterlassen oft Spuren auf deiner Website: Calendly-Embeds für Terminbuchungen, Zoom-Webinar-Registrierungsseiten, eingebettete Meeting-Links mit Tracking-Parametern. Der Compliso Scanner erkennt diese Third-Party-Requests automatisch und prüft, ob sie vor der Einwilligung geladen werden.
Kombiniert mit dem Compliso Cookie-Banner stellst du sicher, dass Kalender-Embeds und Meeting-Widgets erst nach Consent geladen werden. Mit dem Rechtstexte-Generator erstellst du eine Datenschutzerklärung, die alle genutzten Videokonferenz-Tools korrekt auflistet.
Scanne deine Website jetzt kostenlos und prüfe, ob Videokonferenz-bezogene Third-Party-Requests auf deiner Seite DSGVO-konform eingebunden sind.
Deine Website DSGVO-konform machen?
Compliso prüft deine Website automatisch auf Cookies, Tracker, Dark Patterns und Accessibility-Probleme.