Mit zunehmendem Bekanntheitsgrad des Videokonferenztools Zoom stieg auch die Kritik (wir berichteten). So wurde vor allem folgendes bemängelt:
- Schlechte Verschlüsselung
- Unklare Beteiligungen von Unternehmen aus Drittländern
- Serverstandorte in den USA
Die Kritik kam auch bei der Zoom Video Communications, Inc. an. Doch statt die Sache auszusitzen, wurde proaktiv mit der Aufsichtsbehörde zusammengearbeitet. Mit der aktuellen Version Zoom 5.0 wurden diverse Verbesserungen vorgenommen:
- Privacy by Default: Die Einrichtung eines Warteraums ist ebenso voreingestellt wie die passwortgeschützte Einwahl.
- Die Verwendung der Nutzer-Daten zu wirtschaftlichen Zwecken wird jetzt ausdrücklich ausgeschlossen.
- Die Video-Kommunikation wird künftig (zumindest in der kostenpflichtigen Geschäftskunden-Version) Ende-zu-Ende verschlüsselt.
- Da das Unternehmen keine Niederlassung in Europa hat, wurde ein „Vertreter in der EU“ benannt.
Aufgrund der getroffenen Maßnahmen besteht laut dem Baden-Württembergischen Landesdatenschutzbeauftragten daher keine Veranlassung mehr, die „an alle Schulen in Baden-Württemberg ausgesprochene Warnung länger aufrechtzuerhalten.“
Weiterhin wirbt die Aufsichtsbehörde für das Videokonferenz-Tool BigBlueButton. Dieses ist in die vom Land bereit gestellte Lernmanagementsoftware Moodle integriert. Der große Vorteil dieser Tools ist die lokale Speicherung der Daten in der Schule. Wir berichteten.
Unabhängig, welches Videokonferenz-Tool eingesetzt wird oder werden soll, müssen nach Ansicht des Landesdatenschutzbeauftragten folgende Aspekte, gerade im Schulkontext, betrachtet werden:
- Welche Daten werden durch die Nutzung des Videokonferenzsystems freigegeben?
- Mit den gewählten Dienstleistern ist eine Auftragsverarbeitungsvereinbarung abzuschließen.
- Es ist genau zu prüfen, ob eine Verarbeitung der Daten für eigene Zwecke des Dienstleisters vorgesehen ist.
- Es ist ebenfalls genau zu prüfen, wie mit der Datenlöschung umgegangen wird.
- Für die Übertragung von Videobild und Videoton der Schülerinnen und Schüler während des Homeschoolings ist sowohl eine Einwilligung des Schülers / der Schülerin als auch der Eltern erforderlich.
Die Pressemitteilung des LfDI ist hier abrufbar.
Michael M.
16. Mai 2022 @ 18:23
Es wäre an der Zeit, dass dr LfDI BW den Artikel auf neuesten Stand bringt, da er vor dem Schrems II Urteil und vor dem TTDSG geschrieben wurde. Immerhin gibt es Websites von Verantwortlichen, die sich auf diesen Artikel beziehen, um ihre Verwendung von Zoom zu rechtfertigen. DER Schuss geht doch sicher nach hinten los….
PC-Fluesterer. info Christoph Schmees
2. Juli 2020 @ 18:50
Aha Zoom hat Kreide gefressen, und schon fallen unsere Datenschützer darauf rein. Das Grundproblem mit der MCU wurde oben schon ausführlich dargestellt. Technisch ist es nach wie vor möglich, auch in „verschlüsselten“ Konferenzen, in die Inhalte hineinzusehen.
1. Zoom VERSPRICHT, das nicht zu tun – kann man glauben oder auch nicht. Ich persönlich glaube es nicht. Wenn Zoom die Konferenzen auswertet und die Auswertungen an Werbefirmen (F.c.book, Google etc.) verkauft, merkt das niemand. Wenn später den Teilnehmern „passende“ Werbung eingeblendet wird: Wer will denn nachweisen, auf welchem Wege die Werber die Daten für ihr /targeted advertising/ erhalten haben?
2. Gerne „vergessen“ unsere Verantwortlichen den CLOUD Act, der in den USA seit rund zwei Jahren gilt. Danach sind sämtliche Daten von US-Firmen, und sämtliche in den USA gelagerten Daten, Freiwild für die Geheimdienste. Das bleiben sie, allen Änderungen von Versprechungen von Zoom zum Trotz.
Fazit: Zoom ist nach wie vor aus der Sicht des Privatsphären- und Datenschutzes völlig inakzeptabel.
Werner L. Kuhnert
26. Juni 2020 @ 14:42
Warum geht es in den Diskussionen mit Datenschutzbeauftragten in Deutschland eigentlich immer nur um die persönlichen Daten der Anwender? Ja, sie sind wichtig und müssen geschützt werden. Die GDPR (DSVGO) schreibt das eindeutig vor. Aber was nützt es, wenn die Anwenderdaten auf dem Papier geschützt sind, bei einer Mehrpunktkonferenz (Multipoint) die Ende-zu-Ende-Verschlüsselung aber unterbrochen ist? In dem Moment sind Cyberangriffen Tür und Tor geöffnet und die DSVGO wird zu einem zahnlosen Papiertiger.
In einem One-to-One-Videogespräch ist die durchgängige Verschlüsselung technisch kein Problem. Bei Einsatz einer Multipoint-Einheit (MCU) kann jedoch keine echte Ende-zu-Ende-Verschlüsselung der Medienströme (Audio, Video, Daten) realisiert werden. Eine Ende-zu-Ende-Verschlüsselung kann von daher nur zwischen Teilnehmer und MCU verschlüsselt werden und nicht von Teilnehmer zu Teilnehmer. Dazwischen ist Platz für Hackerangriffe und Ihre Inhalte können durch Cyberattacken abgefangen werden. Gerade in Mehrpunktkonferenzen in Unternehmen, Behörden etc. geht es aber zumeist um höchst vertrauliche Inhalte. Bei einem Angriff ist alles weg, persönliche Daten, Inhalte, Dokumente etc. Was nützt dann eine zig Seiten lange Datenschutzverordnung?
Alle amerikanischen Anbieter rüsten in Bezug auf Datenschutz momentan nach. Durch den Cloud Act (Abkürzung für Clarifying Lawful Overseas Use of Data Act) haben US-Behörden aber immer noch das Recht, auch dann auf gespeicherte Daten zuzugreifen, wenn die Speicherung außerhalb der Vereinigten Staaten von Amerika erfolgt. Das Gesetz verpflichtet sowohl Internet-Firmen als auch IT-Dienstleister und betrifft alle Cloud-Anbieter mit Sitz in den USA und dessen Kunden. Alle bekannten Namen wie Microsoft, Google, Zoom. WebEx, LogMeIn, Adobe, Apple, etc. sind betroffen und die Anforderungen der DSGVO bleiben auf der Strecke.
Es gibt geprüfte europäische Lösungen wie TIXEO, mit Hauptsitz in Frankreich und in Deutschland und Spanien vertreten. TIXEO ist von der CSPN und der ANSSI qualifiziert und zertifiziert (Nationale Cybersecurity Agentur Frankreich) und entspricht der europäischen General Data Protection Regulation (DSGVO). Ihre Daten und Inhalte bleiben garantiert in Europa.
Meinrad Rombach
26. Juni 2020 @ 8:43
Die zahlreichen Verbesserungen zum Schutz der Konferenzinhalte sind anerkennenswert, nagen aber nun auch an der Beliebtheit der Plattform. „Funktioniert einfach“ steht halt im Gegensatz zu „Muss richtig bedient werden, damit es sicher ist“. Für den Schutz der Integrität der Daten auf dem Rechner der Nutzerschaft kann ich keinen Fortschritt erkennen. Wo ist das unabhängige Audit, das dem anfangs zu installierenden Zoom Launcher-Programm bescheinigt, dass all die problematischen Codes zur heimlichen Anfertigungvon Bildschirmschnappschüssen und Abzügen der Systemdatenbank entfernt wurden? Eine Launcher-Version, der dies bescheinigt wird von einem in Europa anerkannten Auditor, könnte ich guten Gewissens meinen Klienten zur Installation empfehlen, würde dann aber jedes weitere Update ablehnen wollen. Gerade dieser Tage ist das Zoom-Installerprogramm wieder ins Gerede gekommen, weil seiner anfänglichen Installation nicht wirksam widersprechen kann durch Ablehnen der Windows Sicherheitswarnung. Die Funktion zur Launcherfreien Teilnahme im Browser wird nach wie vor nicht direkt als Alternative zur Installation des Launchers angeboten. Statt dessen installiert sich der Launcher trotz erfolgter Ablehnung von „Veränderungen“ auf dem Windows-Rechner.
Hier erkenne ich bei Zoom einmal mehr eine Nutzerführung, wie sie auch von Malware benutzt wird, um sich einzuschleichen. Dass dies trotz der vor einigen Wochen gestarteten „Sicherheitsinitiative“ immer noch beibehalten wird, spricht für mich eine deutliche Sprache, dass es der Firma nicht um die Sicherheit der End-Geräte geht, sondern nur um den Schutz der Konferenzinhalte und der Marktanteile.
Die Einführung von E2E Verschlüsselung bei den Audio und Video Datenströmen halte ich für einen Marketing-Gag ähnlich wie die Option „Teilnahme ist auch im Browser möglich“. Wenn sie dann da ist, werden wir alle feststellen, dass das Einschalten der Verschlüsselung den Rechner stark belastet und die herausragendste Eigenschaft von Zoom zerstört, die Übertragung vieler gleichzeitiger Videobilder auch bei nicht so optimaler Internetverbindung. Bisher hat nämlich noch niemand ein Verfahren entwickelt, wie man aus einem verschlüsselten HD Video Datenstrom ein in der Auflösung reduziertes Videobild für minderbemittelte Anschlüsse erzeugt, das mit demselben Schlüssel entschlüsselt werden kann.
Nach mehreren gestörten Konferenzen werden die Meisten frustriert die Verschlüsselung abschalten wollen (wie auch das Teilnehmen nur über den Browser in Zoom keinen Spass macht).
Im Übrigen bin ich gespannt auf das Statement des Berliner Landesdatenschutzes.
Anonymous
25. Juni 2020 @ 22:09
Da kollidiert wohl mal wieder der Papier(prozess)tiger DSGVO mit den harten Fakten der technischen Realität. Zoom verspricht Besserung – kann an seiner kaputten Firmenkultur und wiederholtem technischem Versagen aber nichts ändern. Ich zähle die Tage bis zum nächsten Zwischenfall, oder bis eine Backdoor in der versprochenen E2EE gefunden wird.