„Was machst Du denn hier?“ – „Ich wohne hier!“ – „Aber doch nicht jetzt, um diese Zeit!“
Wie Herr Lohse in Loriots „Pappa ante Portas“ verbringt auch ein Großteil der Welt gerade vermehrt Zeit zu Hause. Anders als im Film, wurden die meisten von uns jedoch nicht in den Ruhestand geschickt, sondern sind dazu angehalten, den direkten Kontakt zu anderen zu reduzieren. Nicht verwunderlich also, dass Videochat-Lösungen momentan Hochkonjunktur haben. Auch Unternehmen machen sich diese Dienste verstärkt zu Nutze, um ihre Mitarbeiter im Homeoffice miteinander zu vernetzen und Kontakt zu ihren externen Geschäftspartnern zu halten.
Wir nehmen dies zum Anlass und schauen uns verschiedene Meeting-Tools durch die Datenschutzbrille an.
Unser heutiger Testkandidat ist die Lösung „Zoom“ der amerikanischen Zoom Video Communications, Inc. Zoom ist eine Videochat-Plattform, die sich dank geringer technischer Hürden, einfacher Nutzbarkeit und stabiler Performance schnell einen Namen gemacht hat. Obgleich es auch die Möglichkeit gibt, die Software „on-premise“ zu betreiben, betrachten wir vorliegend die von Zoom gehostete Version.
Datentransfer in Drittländer
Schwerpunktmäßig wird der Cloud-Dienst in den USA betrieben. Laut Anbieter ist jedoch grundsätzlich eine Speicherung von Daten in Rechenzentren auf der ganzen Welt möglich. Wenn man bedenkt, dass die meisten Drittländer aus Sicht der EU nicht über ein ausreichendes Datenschutzniveau verfügen, könnte dies für europäische Kunden bereits zum Dealbreaker werden. Doch Zoom hat hierfür saubere Lösungen parat: Für Datentransfers in die USA hat sich der Anbieter dem EU-US-Privacy Shield unterworfen und für alle anderen Drittländer bietet Zoom den Abschluss eines EU-Standardvertrags an.
Vertrag zur Auftragsverarbeitung
Der Betrieb eines cloudbasierten Videochat-Tools stellt zweifelsohne eine Auftragsverarbeitung nach Art. 28 DSGVO dar. Bevor Sie also die Lösung in Ihrem Unternehmen ausrollen, müssen Sie einen Vertrag zur Auftragsverarbeitung gem. Art. 28 DSGVO mit dem Anbieter abschließen. Ein aktives Tun Ihrerseits ist dafür jedoch nicht länger erforderlich, denn:
Seit April 2020 ist der Vertrag zur Auftragsverarbeitung fester Bestandteil der Nutzungsbedingungen von Zoom (siehe Ziff. 19 der Terms of Service). Wer einen Zoom-Account registrieren möchte, muss diesen Nutzungsbedingungen zustimmen und schließt auf diese Weise automatisch auch den Vertrag zur Auftragsverarbeitung mit ab. Da die DSGVO – im Gegensatz zum alten § 11 BDSG – für diese Verträge kein Schriftformerfordernis vorsieht, ist das ein gleichermaßen zulässiger wie praktikabler Weg.
Inhaltlich erfüllt der Vertrag von Zoom die gesetzlichen Anforderungen nach Art. 28 DSGVO und bezieht darüber hinaus im Anhang auch den erforderlich EU-Standardvertrag (siehe Ziff. 1) in der Version „Controller to Processor“ mit ein. Keine Einwände von unserer Seite.
Informationspflichten
Informieren Sie Ihre Kommunikationspartner vorab über die Datenverarbeitung bei Zoom. Hierzu sind Sie gem. Art. 13 und 14 DSGVO verpflichtet. Einen Großteil der benötigten Informationen können Sie der Datenschutzerklärung des Anbieters entnehmen: https://zoom.us/de-de/privacy.html. Ihre Mitarbeiter informieren Sie am einfachsten per Rundmail. Externen Gesprächspartnern sollten Sie die Informationen zusammen mit der Einladung zum Zoom-Meeting zusenden.
Zulässigkeit der Verarbeitung
Der Dienst von Zoom lässt sich mit geringem Dateneinsatz nutzen: Als Host benötigen Sie einen Account, für den Sie Ihren Namen und eine E-Mail-Adresse hergeben müssen. Die übrigen Teilnehmer benötigen lediglich einen Link und müssen dann nur noch ihren Namen eingeben, um an dem Meeting teilzunehmen. Im Meeting steht es zudem jedem Teilnehmer frei, sein Mikrofon und seine Webcam zu aktivieren sowie ggf. über Bildschirmfreigaben weitere Informationen preiszugeben.
Die Datenverarbeitung dient internen wie externen Kommunikationszwecken und erfolgt daher im berechtigten Interesse des Unternehmens. Entgegenstehende schutzwürdige Interessen der Gesprächspartner sind nicht ersichtlich, zumal diese einen Großteil der Verarbeitungen selbst anstoßen und blockieren können. Die Verarbeitungsvorgänge lassen sich daher in der Regel über Art. 6 Abs. 1 lit. f) DSGVO rechtfertigen. Veranstaltet das Unternehmen bezahlte Webinare über Zoom, kann auch Art. 6 Abs. 1 lit. b) DSGVO als Rechtsgrundlage herangezogen werden.
Prof. Dr. Roßnagel hat am 23. März 2020 eine Analyse der Datenschutzrichtlinien von Zoom veröffentlicht und dabei eine Reihe von Mängeln aufgezeigt. Zoom hat schnell auf die Kritik reagiert und ist die Mängel angegangen. Am 30.03. wurde eine überarbeitete Version der Datenschutzerklärung online gestellt.
Ursprünglich enthielt Zoom eine Funktion zum Aufmerksamkeitstracking, für die der Anbieter vielfach kritisiert wurde. War die Funktion aktiv, erhielt der Host eine Warnung, sobald ein Teilnehmer sein Zoom-Fenster nicht mehr im Focus hatte. Die Einstellung war standardmäßig deaktiviert und wäre auch nur in begründeten Ausnahmefällen und nach vorheriger Information an alle Gesprächsteilnehmer datenschutzrechtlich zulässig gewesen. Inzwischen hat Zoom die Funktion aus dem Dienst entfernt.
Holen Sie außerdem eine Einwilligung von allen Teilnehmern ein, bevor Sie die Funktion zum Aufzeichnen von Meetings nutzen.
Zoom lässt sich auch per App auf einem Smartphone oder Tablet nutzen. Die App bietet weitestgehend dieselben Funktionen, wie die Webapplikation. Sie geriet jedoch in Verruf, nachdem bekannt wurde, dass Zoom über die App Nutzerdaten an Facebook weitergegeben hat. Zoom hat hier inzwischen nachgebessert und den Datentransfer an Facebook per Update eingestellt.
Wer die aktuelle Berichterstattung zu Zoom verfolgt, der stolpert irgendwann auch über das sog. Zoom-Bombing. Gemeint ist der nicht autorisierte Beitritt von unbefugten Personen zu Zoom-Meetings oder wie man es mancherorts liest „Die Übernahme von Konferenzen durch Trolle“. Die Gefahr einer solchen feindlichen Übernahme von Meetings besteht dort, wo ein Beitritt schon bei bloßer Kenntnis der Meeting-ID möglich ist, es also keine zusätzlichen Authentisierungsfaktoren gibt. Zoom-Bombing lässt sich ganz einfach verhindern: Konfigurieren Sie Ihr Meeting entweder so, dass Teilnehmer der Konferenz nur mit Ihrer Erlaubnis beitreten dürfen („Warteraum aktivieren“) oder sichern Sie Ihr Meeting alternativ mit einem Passwort ab.
Update vom 07. April 2020:
Abschließend sei noch darauf hingewiesen, dass Zoom derzeit keine Ende-zu-Ende-Verschlüsselung für Meetings anbietet. Zwar stellt eine Transportverschlüsselung (TLS 1.2 mit AES 256-bit) sicher, dass die Verbindung zwischen den Clients und den Zoom-Servern verschlüsselt ist, auf den Servern selbst liegen die Daten jedoch unverschlüsselt vor. Der Anbieter hat damit die Möglichkeit, auf die Meeting-Daten zuzugreifen.
Als Auftragsverarbeiter darf Zoom von dieser Zugriffsmöglichkeit gleichwohl nur Gebrauch machen, wenn es mit dem Vertrag nach Art. 28 DSGVO und den Weisungen des Kunden vereinbar ist. Der Anbieter könnte die Daten demnach weder für eigene Zwecke nutzen noch unautorisiert an Dritte weitergeben, ohne vertragsbrüchig zu werden. Dennoch empfiehlt es sich vor diesem Hintergrund, keine sensiblen Inhalte, wie etwa besondere Kategorien personenbezogener Daten oder Geschäftsgeheimnisse, über Zoom zu kommunizieren. Oder anders: Teilen Sie über Zoom nur Inhalte, die Sie guten Gewissens auch unverschlüsselt per E-Mail versenden würden.
Update vom 14. April 2020:
Am 02. April hat Zoom die vielfach kritisierte Funktion zum Aufmerksamkeitstracking entfernt. Der Anbieter sieht den Schritt „als Teil seines Engagements für die Sicherheit und Privatsphäre seiner Kunden“.
Update vom 29. April 2020:
Wir haben den Abschnitt „Vertrag zur Auftragsverarbeitung“ überarbeitet, da Zoom das Verfahren für den Vertragsabschluss zwischenzeitlich geändert hat: Anstelle eines separaten Dokuments, ist der Vertrag nach Art. 28 DSGVO nun fester Bestandteil der Nutzungsbedingungen von Zoom.
Fazit:
Nach dem was für uns sichtbar ist, können wir Zoom ein solides Datenschutzniveau attestieren. Die richtigen Einstellungen und Verträge vorausgesetzt, sollte einem datenschutzkonformen Einsatz der Lösung nichts im Wege stehen. Positiv fällt zudem auf, dass der Anbieter berechtigte Kritik ernst zu nehmen scheint und zügig nachbessert.
16. April 2020 @ 14:53
Kleine Ergänzung noch ab 18.4.2020 soll es für zahlende Nutzer möglich sein, die Durchführung der Konferenz auf ein europäisches Rechenzentrum einzugrenzen.
Einsatz von Zoom nicht DS-GVO / BDSG-konform?! - DGOB
15. April 2020 @ 7:13
[…] https://www.datenschutz-notizen.de/videochats-datenschutz-heute-zoom-4325330/ […]
Digitaler Unterricht via Zoom
14. April 2020 @ 16:26
[…] Einstellungen trifft, kann Zoom auch weiterhin bedenkenlos nutzen. Hierzu findet Ihr in diesem Artikel weitere Informationen. Diesem Artikel nach könnt Ihr Zoom mit den richtigen Einstellungen […]
11. April 2020 @ 9:45
Hallo Herr Lukaß,
Ich habe als Nichtfachmann eine Frage. ZOOM und andere derartige Programme kannte man ja vorwiegend aus dem Buisiness-Bereich.
Aufgrund der aktuellen Lage hat sich der Anwendungsbereich jedoch vergrößert. Wie sieht es daher aus, wenn man eine z.B. religiöse Zusammenkunft abhält bei der ein Vortrag gehalten wird und / oder Zuhörer/Zuschauer per Frage und Antwort ebenfalls agieren können. Ist da datenschutzrechtlich vom dem Moderator (Veranstalter) etwas im Vorfeld zu unternehmen?
Mit freundlichen Grüßen,
Gerd Schmitt
13. April 2020 @ 8:51
Interessante Frage Herr Schmitt, vielen Dank! Wenn Sie als natürliche Person ein Meeting veranstalten, das ausschließlich privaten oder familiären Zwecken dient, dann müssen Sie im Vorfeld nichts weiter unternehmen. Gem. Art. 2 Abs. 2 lit. c) DSGVO findet die Datenschutzgrundverordnung auf diese Fälle nämlich keine Anwendung. Dient das Vorhaben dagegen nicht ausschließlich privaten oder familiären Zwecken, dann müssen Sie dieselben Anforderungen erfüllen wie ein Unternehmen. Aus meiner Sicht wäre dies bei einer religiösen Zusammenkunft, die einem unbestimmten Personenkreis offen steht, geboten.
10. April 2020 @ 9:50
Die anderen Dienste sind auch sehr fragwürdig. Schon mal gegoogelt??? Keiner hst End to End Verschl. #sicherheit
9. April 2020 @ 18:11
Der CLOUD Act gilt! https://www.pc-fluesterer.info/wordpress/2018/04/11/cloud-act/
Die Unterwerfung unter den „Privacy Shield“ ist nichts als ein verschämtes Feigenblatt. Sämtliche heren Vereinbarungen, die US-Firmen unterschreiben, dienen nur dazu, FORMAL unsere DSGVO und andere Bestimmungen zu erfüllen. Faktisch wird alles vom CLOUD Act übersteuert. Daten von US-Firmen und Daten, die in USA gelagert werden, sind Freiwild, Punkt.
13. April 2020 @ 8:39
Vielen Dank auch für diesen Beitrag. Der CLOUD Act ist das Totschlagargument gegen jeden US-amerikanischen Cloud-Dienst und kein spezifisches Problem von Zoom. Die weitreichenden Zugriffsmöglichkeiten von US-Fahndern haben allerdings keinen Einfluss auf die datenschutzrechtliche Zulässigkeit der Dienste, sondern sind vielmehr ein Problem, dass sich – wenn überhaupt – nur auf politischer Ebene lösen lässt.
9. April 2020 @ 10:55
Zum Thema ZOOM bitte den Blog des IT-Experten Mike Kuketz – kuketz-blog ansehen.
Er ist bzgl. IT-Sicherheit und Datenschutz einer ganz anderen Meinung!
9. April 2020 @ 11:11
Haben Sie vielen Dank für Ihren Kommentar. Den Blog-Beitrag von Herr Kuketz kenne ich bereits. Ich finde seine Ausführungen zur den Datenflüssen aus der IT-Sicht sehr hilfreich, komme aber bei der datenschutzrechtlichen Bewertung zu einem anderen Ergebnis als er. Im Kern bemängelt Herr Kuketz, dass Zoom Daten an andere Dienstleister weitergibt und er liefert dafür auch Belege auf der technischen Ebene. Soweit so gut. Wenn die Daten im Rahmen einer Auftragsverarbeitung weitergegeben werden, ist dies aus datenschutzrechtlicher Sicht jedoch zulässig und bei einem Cloud-Dienst dieser Größe ehrlich gesagt auch üblich. Zoom weist die identifizierten Datenempfänger sauber als Subunternehmer aus und ist ferner dazu verpflichtet, diese Dienstleister gem. Art. 28 DSGVO zu verpflichten. Damit ist das Problem für mich gelöst.
Des Weiteren stört sich Herr Kuketz an den diversen Trackingdiensten, die Zoom auf seiner Marketing-Webseite implementiert hat. Diesen Kritikpunkt teile ich. Zwar bewegt sich Zoom hier augenscheinlich noch im legalen Bereich, gleichwohl wäre es aber natürlich datenschutzfreundlicher, wenn der Anbieter den Besuchern seiner Seite etwas weniger Tracking zumuten würden. Man muss aber auch fairerweise festhalten, dass die Marketing-Webseite und der Dienst zwei unterschiedliche Paar Schuhe sind. Meine Ausführungen in diesem Artikel beziehen sich ausschließlich auf den Dienst von Zoom und hier ist ein Großteil der bemängelten Tracker nicht aktiv.
8. April 2020 @ 9:52
Hallo Herr Lukaß,
vielen Dank für Ihre schnelle Rückmeldung. Allerdings bin ich weiterhin der Auffassung, dass für alle Verarbeitungsvorgänge, welche zur Erfüllung bzw. in Ausübung des Beschäftigungsverhältnisses erfolgen, die richtige Rechtsgrundlage Art. 6 Abs. 2 iVm Art. 88 Abs. 1 DSGVO iVm § 26 Abs. 1 BDSG-Neu darstellt.
Insbesondere sind dem Wortlaut nach Verarbeitungen zur Durchführung des Beschäftigungsverhältnisses erfasst. Es geht also m.E. nicht nur um die Spezialfälle von Bewerbung, Einstellung und Kündigung bzw. Mitarbeitergespräche, sondern generell um die Verarbeitungen, die zur Erfüllung der Tätigkeit anfallen.
7. April 2020 @ 13:41
Vielen Dank für diesen informativen Artikel!
Was halten Sie von einem Hinweis dazu, dass nach Möglichkeit keine wirklich wichtigen Geschäftsgeheimnisse in den Zoom-Konferenzen besprochen werden sollten. Denn die Technik bietet keine Ende- zu-Ende-Verschlüsselung und mindestens an den Zoom-Servern liegen die Daten zeitweise offen. Und die Transportverschlüsselung lässt sich ja bekanntermaßen leicht knacken. Zumal bei Zoom im Hintergrund auch die speech-2-text-Engine läuft, über die Dienste anderer Länder im Zuge der Wirtschaftsspionage für das Unternehmen wichtige Daten abziehen könnten. Besten Gruß Ulysses
7. April 2020 @ 13:48
Besten Dank! Die Anregung nehme ich gerne auf.
7. April 2020 @ 11:31
Hallo Herr Lukaß,
sollte sich die Zulässigkeit des Einsatzes von Videokonferenzsoftware im Beschäftigungsverhältnis nicht vorrangig aus Art. 6 Abs. 2 iVm Art. 88 Abs. 1 DSGVO iVm § 26 Abs. 1 BDSG-Neu (Durchführung des Beschäftigungsverhältnisses) ergeben?
7. April 2020 @ 11:51
Vielen Dank für den guten Hinweis! Sie haben Recht: Werden etwa Bewerbungs- oder Mitarbeitergespräche per Videokonferenz geführt, ist § 26 Abs. 1 BDSG als Erlaubnisnorm einschlägig. Geht es in der internen Videokonferenz dagegen um andere Themen, wie zum Beispiel die Abstimmung von Projekten, dann würde ich den Weg über das berechtigte Interesse und Art. 6 Abs. 1 lit. f) DSGVO bevorzugen. In dem Fall dient die Verarbeitung schließlich nicht mehr primär der Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses.
6. April 2020 @ 12:09
Danke für diesen Beitrag mit Fakten.
6. April 2020 @ 11:11
Naja, aber was ist denn mit der fehlenden End-2-End-Verschlüsselung? Und Zoom sammelt im Hintergrund Videos, Transkripte und geteilte Notizen von Ihren Videochats und nutzt diese für Werbezwecke. Das steht zwar so auch in den Datenschutzbestimmungen, dürfte den meisten Nutzern aber trotzdem nicht bekannt sein. Es gibt keine Möglichkeit, Einfluss darauf zu nehmen, ob und was gesammelt wird oder was danach mit dem Material passiert. Hier zu schreiben, alles sei datenschutztechnisch ok, finde ich gewagt …
6. April 2020 @ 13:31
Haben Sie vielen Dank für Ihren Hinweis. Zunächst einmal gilt: Zoom ist Auftragsverarbeiter und darf personenbezogene Daten des Kunden daher grundsätzlich nur im Rahmen des bestehenden Vertrags nach Art. 28 DSGVO sowie der Weisungen des Auftraggebers (des Zoom-Kunden) verarbeiten. Mit einem Vertrag zur Auftragsverarbeitung als Sicherheit, kann ich ehrlich gesagt noch damit leben, dass eine End-2-End-Verschlüsselung nicht stattfindet. Wäre natürlich nice-to-have, ist für mich unter diesen Rahmenbedingungen aber noch kein Dealbreaker. Würde der Anbieter nämlich tatsächlich Informationen, die ich im Rahmen eines Meetings kommuniziere, für andere als die von mir vorgegebenen Zwecke nutzen (insbesondere für eigene Werbezwecke), dann wäre dies ein eindeutiger Vertragsbruch.
In der Datenschutzrichtlinie von Zoom finde ich in dem Zusammenhang außerdem diese Aussagen:
„Ihre Meetings gehören Ihnen. Wir überwachen sie nicht und speichern sie nach Abschluss Ihres Meetings auch nicht.“
„Wir verwenden die auf der Grundlage Ihrer Nutzung unserer Dienste, u. a. Ihrer Meetings, erhobenen Daten nicht für Werbezwecke.“
„Zoom verkauft keine Kundeninhalte an Dritte und verwendet sie nicht zu Werbezwecken.“
Das klingt für mich als Datenschützer erstmal gut. Für die von Ihnen bemängelte Sammlung von Daten im Hintergrund und deren Nutzung zu Werbezwecken konnte ich dagegen keinen Hinweis finden. Ich lasse mich aber gerne eines Besseren belehren, wenn Sie mir die entsprechende Textpassage zukommen lassen.