Zoom Datenschutz

Zoom & Datenschutz: Zwei, die sich annähern

Zoom boomt. Das Videokonferenztool geht gerade durch die Decke – doch der Datenschutz wurde immer wieder bemängelt. Nun hat Zoom nachgebessert. Mit Erfolg?

Corona schadete nicht allen Geschäftsbereichen. Vor allem Videokonferenzanbieter profitierten davon, dass Unternehmen ihre Mitarbeiter*innen scharenweise ins Home-Office schickten. Die Folge: Videokonferenzen und Online-Meetings waren und sind an der Tagesordnung. Viele Unternehmen waren darauf nur bedingt vorbereitet. Als eines der Videokonferenztools der Stunde wurde Zoom verstärkt eingesetzt, welches zwar als zuverlässiges Videotool gilt, bei dem es aus Datenschutz-Sicht jedoch Kritik hagelte. Nun hat Zoom nachgebessert. Mit Erfolg?

 

Zoom: Sicherheitslücken, Zoombombing und andere Datenschutzprobleme

Es wurde berichtet, dass bei Nutzung der Zoom-App über iOS und beim Start der iOS App Daten an die sog. Graph-API von Facebook gesendet werden. Hierbei würden wohl Nutzerdaten, wie das verwendete Gerät, das Betriebssystem, die Ad-ID, die Zeitzone, iOS-Sprache, sowie Daten über das Mobilfunknetz an die API von Facebook gesendet. Dieser Fehler wurde aber laut Medienberichten bereits Ende März durch ein Update der iOS-App behoben.

Eine weitere enorme Sicherheitslücke, die Zoom vorgeworfen wurde, war, dass Dritte durch Zufallsprinzip generierte Meeting-IDs ungebeten in fremde Videokonferenzen gelangen und dort beispielsweise sexistisches Material platzieren konnten. Dies passierte wohl so oft, dass sich dafür der Begriff „Zoombombing“ etablierte. Zoom erläuterte daher in einem Blogbeitrag vom 20. März entsprechende Schutzfunktionen, die dies verhindern können, z. B. Warteräume, Kennwörter, Stummschaltungskontrollen und Einschränkungen der Bildschirmfreigabe.

Weitere Kritikpunkte zur Datensicherheit bei Zoom waren in den Medien folgende:

  • Eine mangelnde Verschlüsselung: Zoom hatte fälschlicherweise darauf hingewiesen, dass Zoom-Meetings Ende-zu-Ende-verschlüsselt sind. Für Video- und Audio-Meetings wird jedoch nur eine Transportverschlüsselung (TLS) und für Chat-Inhalte eine Ende-zu-Ende-Verschlüsselung eingesetzt.  

  • Die Funktion Attention-Tracking: Im Rahmen eines Features (sog. „Aufmerksamkeitstracking”) konnte der Admin/Host des Meetings eine Überwachung der Meeting-Teilnehmer*innen veranlassen. Das Feature hatte unter anderem den Sinn, bei Online-Lernkursen für Fortbildungen mit Nachweispflicht die aktive Teilnahme der Teilnehmer*innen nachzuweisen. Der/ die Vorsitzende des Videocalls konnte so nachvollziehen, wer aufmerksam vor dem Bildschirm saß (Fenster aktiv im Vordergrund). Diese Einstellung war datenschutzrechtlich höchst umstritten und wurde daher von Zoom Anfang April dauerhaft entfernt.

  • Mangelnde Transparenz in der Datenschutzerklärung – nicht nur die Kommunikation darüber, an welche Dritte Zoom die gesammelten Daten der User*innen weitergab, fehlte hier lange. Ende März 2020 aktualisierte Zoom seine Datenschutzerklärung und sorgte für mehr Transparenz.

 

Zoom hat nun auf die Kritik, die fast schon weltweit angebracht wurde, reagiert und Schritt für Schritt Dank regelmäßiger Updates für mehr Datenschutz gesorgt: So wird der von Zoom bereitgestellte Auftragsverarbeitungsvertrag unter zoom.us/docs/doc/Zoom_GLOBAL_DPA.pdf bereits automatisch bei der Registrierung für einen Account bei Zoom durch Akzeptieren der Nutzungsbedingungen (unter Ziffer 19 der Nutzungsbedingungen) einbezogen.

Auch steht seit Ende April allen Kund*innen einer kostenpflichtigen Version Zooms die Wahl der Rechenzentrums-Region frei. So können diese Kund*innen im Account wählen, über welche Rechenzentrumsregion sie den Echtzeit-Datenverkehr für ihre Meetings und Webinare laufen lassen.

Erfreulich war auch die Ende April von Zoom zum Download bereitgestellte Version 5.0, in der die kritisierte Verschlüsselungstechnik von „AES ECB“ auf „AES 256bit GCM“ umgestellt wurde. Seit Ende Mai besteht auch eine Update-Pflicht für alle Zoom-Nutzer*innen, so dass eine Teilnahme an Online/Video-Meetings nur noch mit der neuen Software möglich ist.

Allerdings wartet die Öffentlichkeit noch auf den angekündigten Transparenzbericht mit detaillierten Informationen zu Anforderungen an Daten, Datensätze oder Inhalte. Immerhin können Interessierte einen 90-Tage-Fortschrittsbericht bzgl. getätigter Sicherheitsvorkehrungen einsehen. Mit den erfolgten Updates beweist Zoom der starken internationalen (Datenschutz-)Kritik, anders als viele große Unternehmen, zugehört und entsprechend gehandelt zu haben. Zudem hat Zoom mit Keybase eine millionenschwere Investition in den IT-Sicherheitsbereich geleistet. Was heißt das nun alles für den Einsatz von Zoom im Unternehmen?

 

Einsatz von Zoom im Unternehmen

Wenn Sie Zoom bei sich im Unternehmen einsetzen wollen, holen Sie Ihre IT-Abteilung und Ihren Datenschutzbeauftragten mit dazu – denn nur korrekt eingestellte Funktionen können datenschutzrechtliche Standards voraussetzen. Zoom im Unternehmen einzusetzen können Sie nun entgegen veralteter Warnungen unter folgenden Auflagen tun:

  • Benutzen Sie die bezahlte Version.

  • Achten Sie darauf, dass alle Teilnehmer*innen die neuste Version nutzen.

  • Setzen Sie den Server-Standort in Europa fest.

  • Für die externe Kommunikation, beispielsweise mit Kund*innen, müssen Sie Informationen über die Nutzung von Zoom sowie über das Drittland, in dem die Daten durch das Tool verarbeitet werden (je nach Server-Standort!), in der Datenschutzerklärung Ihrer Website aufnehmen. (Hinweis auf Auftragsverarbeitungsvertrag und die Privacy-Shield-Zertifizierung/EU-Standardvertragsklauseln).

  • Wählen Sie die Möglichkeit, Ihre Daten (z. B. aufgezeichnete Videokonferenzen) lokal bei Ihnen auf dem firmeneigenen Server zu speichern.

  • Nutzen Sie die Aufzeichnungs-Funktion nur mit vorheriger Einwilligung aller Beteiligten.

  • Versenden Sie den Einladungslink getrennt vom Zugangspasswort, um Zoombombing zu erschweren.

  • Weisen Sie den/ die Konferenzleiter*in an, die Besprechung zu sperren, wenn alle Teilnehmer anwesend sind – so kann niemand Unbefugtes die Konferenz stören.

 

Übrigens: Viele der Funktionen und Mängel betreffen nicht nur Zoom. Auch andere Anbieter*innen mussten hier nachbessern bzw. sollten das noch tun. Informationen zum Datenschutz bei zahlreichen anderen Video-Tools und den besten Einsatz in Ihrem Unternehmen finden Sie hier: Datenschutz Quick-Check einzelner Anbieter.

 

Autor*innen: Team datenschutzexperte.de
Artikel veröffentlicht am: 21.7.2020

Leitfaden: Datenschutz im Home- und Mobileoffice

Warum ist Datenschutz gerade beim mobilen Arbeiten von enormer Relevanz?

Home-Office hat seine datenschutzrechtlichen Tücken. In unserem Leitfaden "Datenschutz im Home- und Mobileoffice" finden Sie Hinweise zur Datenverarbeitung im Home-Office unter Berücksichtigung datenschutzrechtlicher Aspekte.

 

Jetzt Leitfaden herunterladen

Datenschutz im Home- und Mobileoffice
Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr