Seit Beginn der Corona-Pandemie ist der Einsatz von Videokonferenzsystemen explosionsartig gestiegen. Vielfach kommt dabei Zoom zum Einsatz, über das wir schon an vielen Stellen berichtet haben.

Ein großes Problem vieler Videokonferenzsystemanbieter ist, dass eine Datenübertragung in die USA erfolgt und diese nach dem Wegfall des Privacy Shields im Sommer dieses Jahres datenschutzrechtlich in vielen Fällen unzulässig ist.  Ein Weg um solche Datenübertragungen datenschutzrechtlich abzusichern, ist die Verschlüsselung der Daten.

Zoom bietet seit einigen Tagen eine Ende-zu-Ende Verschlüsselung für Videokonferenzen an. Im Folgenden möchten wir Ihnen zeigen, wie Sie

  1. die Verschlüsselung aktivieren,
  2. welche Informationen Sie den anderen Teilnehmern zukommen lassen müssen,
  3. was Sie in Ihr Verfahrensverzeichnis aufnehmen sollten und
  4. was bzgl. einer Datenschutz-Folgenabschätzung zu beachten ist.

1. Wie richte ich die Ende-zu-Ende-Verschlüsselung ein?

Zoom bietet neuerdings die Möglichkeit, eine Ende-zu-Ende-Verschlüsselung von Meetings zu aktivieren. Diese Einstellung ist abhängig von dem jeweiligen Meeting und muss somit nicht von jedem Teilnehmer einzeln aktiviert werden. Das heißt, dass der Meeting-Ersteller die Hoheit darüber hat, ob ein Meeting Ende-zu-Ende verschlüsselt ist oder nicht. Wichtig zu wissen ist, dass folgende Dinge bei Ende-zu-Ende-verschlüsselten Meetings noch nicht funktionieren (Stand: 28.10.2020), aber nachgeliefert werden sollen:

  • Privater Chat zwischen den Teilnehmern (allerdings funktioniert der Gruppenchat)
  • Reaktionen (die kleinen Symbole wie z. B. die klatschende Hand oder der Melde-Finger)
  • Telefoneinwahl
  • Konferenzräume
  • Cloud-Aufzeichnung

Vorbereitung des Zoom-Accounts für die Erstellung eines Ende-zu-Ende-verschlüsselten Meetings

Damit Sie ein Ende-zu-Ende-verschlüsseltes Meeting erstellen können, müssen Sie zuerst in Ihren Zoom-Einstellungen die Funktion hierfür aktivieren.

Hierfür melden Sie sich mit Ihrem Account an und klicken im Anschluss auf „Mein Konto“ oben rechts.

Anschließend klicken Sie links im Menü auf „Einstellungen“.

Wenn Sie hier ein wenig herunter scrollen, kommen Sie zu der Einstellung, die Ihrem Account erlauben, Ende-zu-Ende verschlüsselte Meetings zu erstellen:

Diese Einstellung führt noch nicht dazu, dass jedes zukünftige Meeting Ende-zu-Ende-verschlüsselt ist, sondern nur dazu, dass Sie überhaupt die Möglichkeit haben, ein Ende-zu-Ende-verschlüsseltes Meeting zu erstellen. Bei dem Account im Screenshot ist dies bereits vom Administrator voreingestellt worden und kann nicht geändert werden, damit sich die Mitarbeiter nicht versehentlich der Option zur Erstellung von Ende-zu-Ende verschlüsselten Meetings berauben. Diese Funktion bietet also nur ein „Plus“ an Features, ohne dass sich etwas an den Zoom-Meetings ändert.

Im Punkt darunter können Sie die Standardeinstellung für zukünftige Meetings festlegen. Wir empfehlen, diese von „Enhanced Encryption“ (erweiterte Verschlüsselung) auf „End-to-end encryption“ zu ändern. Denn nur die Einstellung End-to-end encryption bringt die notwendige Ende-zu-Ende-Verschlüsselung ins Spiel.

Konfiguration der Zoom-Nutzerkonten für Administratoren

Sofern Sie als Administrator mehrere Zoom-Konten verwalten, haben Sie die Möglichkeit, die obige Konfiguration für alle von Ihnen verwalteten Konten auszurollen. Hierzu klicken Sie auf „Mein Konto“.

Anschließend klicken Sie auf „Kontoeinstellungen“ links an der Seite:

Dort finden Sie die Einstellung „Durchgehende (E2E) Verschlüsselung“:

Wenn Sie möchten, dass die von Ihnen verwalteten Nutzer diese Einstellung nicht ändern können, klicken Sie auf das Schloss rechts neben der Einstellung. Die untere Einstellung sollten Sie auf End-to-end encryption“ ändern, damit zukünftig angelegte Zoom-Meetings standardmäßig als Ende-zu-Ende-verschlüsselte Meetings angelegt werden.

Erstellung eines Ende-zu-Ende-verschlüsselten Meetings

Um ein neues Ende-zu-Ende-verschlüsseltes Meeting zu erstellen, melden Sie sich mit Ihrem Browser unter https://www.zoom.us mit Ihren Zugangsdaten an und klicken auf „Mein Konto“. Anschließend klicken Sie links im Menü auf „Meetings“ und „Ein Meeting planen.“.

Da die Einstellung Meeting-basiert stattfindet (das heißt, dass man beim Anlegen des Meetings festlegen kann, ob die Ende-zu-Ende Verschlüsselung genutzt werden soll), muss bei der Erstellung eines neuen Meetings darauf geachtet werden, dass die „Durchgehende Verschlüsselung“ aktiviert ist, wohinter sich die Ende-zu-Ende-Verschlüsselung verbirgt. Hierbei werden Sie auch gleich auf die momentanen Einschränkungen der Ende-zu-Ende-verschlüsselten Meetings hingewiesen.

Anschließend ist das Meeting, für das Sie den Link im Anschluss erhalten, Ende-zu-Ende-verschlüsselt.

Woran Sie erkennen, dass ein Meeting Ende-zu Ende verschlüsselt ist.

Während des Meetings erscheint im oberen linken Rand ein stilisiertes grünes Schutzschild.

Bei einem Ende-zu-Ende verschlüsselten Meeting befindet sich innerhalb dieses Schilds ein geschlossenes Schloss. Ansonsten ist dort ein Haken zu sehen.

Ein Klick auf das Schild öffnet ein Fenster mit näheren Informationen. Um die Verschlüsselung zu verifizieren, können Sie auf „Verifizieren“ klicken. Dann erscheint ein 40-stelliger Code, der bei allen Teilnehmern gleich sein muss.

Nachdem nun technisch alles einwandfrei läuft, widmen wir uns den weiteren Informationen, die Sie den Teilnehmern eines von Ihnen veranstalteten Meetings zur Verfügung stellen müssen, es sei denn, Sie nutzen Zoom ausschließlich im rein privaten Bereich, sprich außerhalb des Anwendungsbereichs der DSGVO.

2. Datenschutzhinweise nach Art. 13 DSGVO

So oder zumindest in ähnlicher Weise könnten Sie Ihre Teilnehmer informieren. Der Einfachheit halber bietet es sich an, dass Sie den folgenden Text (für Ihr Unternehmen angepasst) auf Ihrer Webseite zur Verfügung stellen und in der Meetingeinladung den Link zu dieser Art. 13 Information bereitstellen.

In diesen Datenschutzhinweisen erläutern wir Ihnen unseren Einsatz der Videokommunikationssoftware „Zoom“. Wir weisen insbesondere darauf hin, dass wir keinerlei Daten der Kommunikation aufzeichnen und „Zoom“ mit einer Ende-zu-Ende Verschlüsselung einsetzten. Somit ist die Vertraulichkeit der Kommunikationsinhalte gewahrt. Die Aktivierung der Ende-zu-Ende-Verschlüsselung erkennen Sie im laufenden Meeting an einem grünen Schild mit verschlossenem Vorhängeschloss in der oberen linken Ecke.

Verantwortliche

Für die Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit der Nutzung von Zoom ist die Max Mustermann GmbH, Muster Straße 123, 12345 Musterstadt verantwortlich.

Beschreibung der Datenverarbeitung, Zwecke und Datenarten

Zur Durchführung von Online-Meetings, Videokonferenzen und Webinaren (nachfolgend: „Online-Meetings“) nutzen wir das Tool „Zoom“.

Je nach Art und Umfang der Nutzung von „Zoom“ werden verschiedene Arten von Daten erhoben bzw. verarbeitet. Hierzu gehören insbesondere:

  • Angaben zu Ihrer Person (z.B. Vor- und Nachname, E-Mail-Adresse, Profilbild)
  • Meeting-Metadaten (z.B. Datum, Uhrzeit und Dauer der Kommunikation, Name des Meetings, Teilnehmer-IP-Adresse)
  • Geräte-/Hardwaredaten
  • Text-, Audio- und Videodaten
  • Verbindungsdaten (z.B. Rufnummern, Ländernamen, Start- und Endzeiten, IP-Adressen)

Nachfolgend möchten wir Sie näher über den Umfang der Datenverarbeitung informieren.

Erforderliche Daten und Funktionen

Nehmen Sie als externer Teilnehmer an einem Online-Meeting teil, erhalten Sie vom Host einen Zugangslink per E-Mail. Bei der Anmeldung zum Online-Meeting müssen Sie sodann Ihren Namen und ggf. Ihre E-Maildresse angeben.

Daneben erhebt das Tool Benutzerdaten, die für die Bereitstellung des Dienstes erforderlich sind. Hierzu gehören insbesondere technische Daten zu Ihren Geräten, Ihrem Netzwerk und Ihrer Internetverbindung, wie z.B. IP-Adresse, Gerätetyp, Betriebssystemtyp und -version, Client-Version, Kameratyp, Mikrofon oder Lautsprecher, Art der Verbindung.

Freiwillige Angaben und Funktionen

Weitere Angaben zu Ihrer Person können Sie machen, müssen Sie aber nicht. Zudem steht es Ihnen frei, während des Online-Meetings die Chatfunktion zu nutzen. Auch Ihre Kamera und Ihr Mikrofon können Sie selbst ein-, ab- bzw. stummzuschalten. Standardmäßig sind Kamera und Mikrofon zu Beginn eines Meetings deaktiviert.

Wenn Sie die Chatfunktion nutzen, werden die von Ihnen gemachten Texteingaben verarbeitet, um diese im „Online-Meeting“ anzuzeigen. Eine Protokollierung des Chats erfolgt nicht. Wenn Sie Ihre Kamera oder Ihr Mikrofon einschalten, werden für die Dauer des Meetings die Daten vom Mikrofon Ihres Endgeräts sowie von einer etwaigen Videokamera des Endgeräts verarbeitet.

Beachten Sie bitte, dass sämtliche Informationen, die Sie oder andere während eines Online-Meetings hochladen, bereitstellen oder erstellen, zumindest für die Dauer des Meetings verarbeitet werden. Hierzu gehören insbesondere Chat-/ Sofortnachrichten, Dateien, Whiteboards und andere Informationen, die während der Nutzung des Dienstes geteilt werden. Aufzeichnungen erfolgen nicht.

Sonstige Funktionen

Weitere Informationen zur Verarbeitung Ihrer Daten bei Nutzung von „Zoom“, eine detaillierte Auflistung der durch „Zoom“ erhobenen und verarbeiteten Daten sowie die „Zoom“-Datenschutzhinweise finden Sie unter: https://zoom.us/de-de/privacy.html.

Rechtsgrundlagen für die Datenverarbeitung

Wenn Sie als externer Teilnehmer an einem Online-Meeting teilnehmen, erfolgt die Verarbeitung Ihrer Daten auf Grundlage von Art. 6 Abs. 1 S. lit. b. DSGVO, sofern Ihre Teilnahme am Online-Meeting zur Erfüllung eines mit Ihnen geschlossenen Vertrags erforderlich ist. Entsprechendes gilt, wenn die Durchführung des Online-Meetings zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Ihre Anfrage erfolgen.

Sofern die Datenverarbeitung im Zusammenhang mit der Nutzung von „Zoom“ nicht zur Erfüllung eines mit Ihnen geschlossenen Vertrags bzw. zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, erfolgt sie auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht hierbei in der Aufrechterhaltung von ortsunabhängiger Kommunikation, der Pflege geschäftlicher Kontakte und der Erbringung geschuldeter Leistungen.

Sofern Sie bei der Nutzung des Tools darüber hinaus freiwillig Angaben zu Ihrer Person machen oder freiwillig nicht zwingend erforderliche Funktionen nutzen, erfolgt die damit einhergehende Datenverarbeitung auf Grundlage Ihrer widerrufbaren Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO. Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Bitte beachten Sie, dass Verarbeitungen, die vor dem Widerruf erfolgt sind, davon nicht betroffen sind.

Weitergabe Ihrer Daten

Wir übermitteln Ihre Daten grundsätzlich nicht an Dritte. Eine Weitergabe erfolgt nur, sofern die Daten gerade zur Weitergabe bestimmt sind, Sie vorher ausdrücklich in die Übermittlung eingewilligt haben oder wir aufgrund gesetzlicher Vorschriften hierzu verpflichtet bzw. berechtigt sind.

Bei der Verarbeitung Ihrer Daten unterstützt uns Zoom Video Communications Inc. als externer Dienstleister und Auftragsverarbeiter im Sinne des Art. 28 DSGVO. Als Auftragsverarbeiter verarbeitet Zoom Video Communications Inc. Ihre Daten streng weisungsgebunden und auf Grundlage eines gesondert geschlossenen Auftragsverarbeitungsvertrages. Die Datenverarbeitung kann dabei auch außerhalb der EU bzw. des EWR stattfinden. Im Hinblick auf Zoom Video Communications Inc. kann ein angemessenes Datenschutzniveau gem. Art. 46 Abs. 2 lit. c DSGVO durch die Verwendung von EU-Standardvertragsklauseln sowie weiterer geeigneter Maßnahmen (Einrichtung einer Ende-zu-Ende-Verschlüsselung und durch die Nutzung der Data Routing-Funktion; Hierunter versteht man die Möglichkeit selbst zu bestimmen, durch welche Rechenzentren die Daten während der Meetings und Webinare fließen sollen.) angenommen werden. Auf Anfrage stellen wir die geschlossenen EU-Standardvertragsklauseln gerne zur Verfügung.

Löschung Ihrer Daten

Wir verarbeiten Ihre Daten grundsätzlich nur solange, wie sie für die Zwecke, für die sie erhoben worden sind, erforderlich sind. Wir zeichnen nichts auf. Ihre Daten werden daher nicht gespeichert.

Ihre Rechte als betroffenen Person

Sie haben gemäß Art. 15 DSGVO das Recht auf Auskunft seitens des Verantwortlichen über die Sie betreffenden personenbezogenen Daten sowie auf Berichtigung unrichtiger Daten gemäß Art. 16 DSGVO oder auf Löschung, sofern einer der in Art. 17 DSGVO genannten Gründe vorliegt, z.B. wenn die Daten für die verfolgten Zwecke nicht mehr benötigt werden. Sie haben zudem das Recht auf Einschränkung der Verarbeitung, wenn eine der in Art. 18 DSGVO genannten Voraussetzungen vorliegt und in den Fällen des Art. 20 DSGVO das Recht auf Datenübertragbarkeit.

In Fällen, in denen wir Ihre personenbezogenen Daten auf der Rechtsgrundlage von Art. 6 Abs. 1 S. 1 lit. f DSGVO verarbeiten, haben Sie zudem das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch einzulegen. Wir verarbeiten die personenbezogenen Daten dann nicht mehr, es sei denn, es liegen nachweisbar zwingende schutzwürdige Gründe für die Verarbeitung vor, die gegenüber Ihren Interessen, Rechten und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Sie haben zudem das Recht hat auf Beschwerde bei einer Aufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden Daten gegen datenschutzrechtliche Bestimmungen verstößt. Das Beschwerderecht kann insbesondere bei einer Aufsichtsbehörde in dem Mitgliedstaat des Aufenthaltsorts der betroffenen Person oder des Orts des mutmaßlichen Verstoßes geltend gemacht werden.

Kontaktdaten des Datenschutzbeauftragten

Bei der Erfüllung unserer datenschutzrechtlichen Pflichten werden wir von unserem Datenschutzbeauftragten unterstützt. Die Kontaktdaten unserer Datenschutzbeauftragten lauten: …….

3. Verzeichnis von Verarbeitungstätigkeiten

Wie weiter oben bereits erwähnt, müssen Sie Zoom auch in Ihr Verzeichnis von Verarbeitungstätigkeiten gemäß Artikel 30 Abs. 1 DSGVO aufnehmen. Auch hierbei möchten wir Ihnen gerne helfen und stellen Ihnen im Folgenden beispielhaft zusammen, was auf jeden Fall in das Verzeichnis gehört.

Artikel 30 Abs. 1 DSGVO gibt klar vor, welche Angaben Sie auf jeden Fall machen müssen. So müssen Sie den

  • Namen und die Kontaktdaten des Verantwortlichen angeben.
  • Als Zweck können Sie z. B. interne und externe Kommunikation eintragen.
  • Kategorien betroffener Personen dürften fast immer Beschäftigte und allgemein alle Nutzer des Tools sein.
  • Kategorien personenbezogener Daten sind zum einen alle Informationen, die während der Nutzung des Service bereitgestellt oder erstellt werden, Angaben zur Person (z.B. Vor- und Nachname, E-Mail-Adresse, Profilbild) Meeting-Metadaten (z.B. Datum, Uhrzeit und Dauer der Kommunikation, Name des Meetings, Teilnehmer-IP-Adresse), Geräte-/Hardwaredaten, Verbindungsdaten (z.B. Ländernamen, Start- und Endzeiten, IP-Adressen)
  • Die Daten werden immer nach Beendigung des Online-Meetings gelöscht.
  • Als Kategorien von Empfänger kommt die Zoom Video Communication Inc., als der unterstützende Auftragsverarbeiter zum Einsatz.
  • Zoom Video Communication Inc. ist auch die Stelle, an welche personenbezogene Daten außerhalb der EU / des EWR übermittelt werden.

Spannender wird die Begründung warum Sie die den Einsatz von Zoom als rechtmäßig einstufen. Auch dafür haben wir Ihnen mögliche Textpassagen zusammengestellt.

  • Hinsichtlich der Verarbeitung von Beschäftigtendaten ist Rechtsgrundlage § 26 BDSG.
  • Sofern eine Verarbeitung zur Erfüllung eines Vertrages erforderlich ist, ist die Rechtsgrundlage in Art. 6 Abs. 1 S. 1 lit. b DSGVO zu finden. Entsprechendes gilt, wenn das Online-Meeting zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage des Betroffenen erfolgen.
  • Sofern die Durchführung des Meetings weder auf Grundlage von § 26 BDSG noch auf Grundlage von Art. 6 Abs. 1 S. 1 lit. b DSGVO erfolgt, ist die Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO. Die Muster GmbH hat ein berechtigtes Interesse daran, dass eine Kommunikation standortunabhängig und mit einem geeigneten Tool durchgeführt wird.
  • Im Übrigen erfolgen die Datenverarbeitungen auf Grundlage der jeweils freiwillig erteilten Einwilligung des Betroffenen, sofern dieser freiwillige Angaben zu seiner Person macht oder freiwillige Funktionen nutzt (bspw. Kamera /Ton)

Sicherheit der Verarbeitung (technisch-organisatorischen Maßnahmen)

Welche technischen und organisatorischen Maßnahmen Sie anwenden, um ein angemessenes Schutzniveau zu gewährleisten, ist natürlich sehr individuell. Allerdings sollten Sie auf jeden Fall aufzeigen, dass ein angemessen Datenschutzniveau bzgl. der Übermittlung der personenbezogenen Daten in die USA durch folgende Maßnahmen gesichert ist:

  • Abschluss der relevanten datenschutzrechtlichen Verträge (Vertrag zur Auftragsverarbeitung und der Standardvertragsklauseln).
  • Verpflichtung zum Data Routing (vorzugsweise Verarbeitung der Daten auf europäischen Servern in Deutschland, Irland und den Niederlanden).
  • Verpflichtung zur E2E-Verschlüsselung, wobei der Host des Online-Meetings den Schlüssel verwaltet. Eine Verifikation kann durch Abgleich des 40-stelligen Codes erfolgen, der jedem Teilnehmer angezeigt wird.

Zoom stellt zudem zahlreiche Funktionen zur Verfügung, die es ermöglichen, die Sicherheit einer Videokonferenz zu garantieren. Hierzu gehört auch die Verwendung eines Passworts, die Freigabe des Zutritts durch den Einladenden.

  • Sofern die Einladung zu einer Konferenz über ein Einmalpasswort erfolgt (optional), der Einladende zudem den Zutritt zum Konferenzraum explizit freigeben muss (ebenfalls optional), ist regelmäßig eine ausreichende Authentisierung der Konferenzteilnehmer sichergestellt.
  • Ggf. können weitere Anforderungen relevant werden, wie z.B. die Absicherung der eigenen zoom Accounts mittels einer Zwei-Faktor-Authentisierung. Nähere Informationen stellen auch die Aufsichtsbehörden in ihrer Orientierungshilfe Videokonferenzsysteme dar.

4. Datenschutz-Folgenabschätzung

Die Frage, ob Sie eine Datenschutz-Folgenabschätzung für den Einsatz von Zoom durchführen müssen, richtet sich nach Artikel 35 DSGVO. In Artikel 35 Abs. 3, der durch das Working Paper WP 248 rev.01 des Europäischen Datenschutzausschusses (ehemals. Art. 29 Gruppe) konkretisiert wird, werden die Fälle, in denen eine Datenschutz-Folgenabschätzung erforderlich ist, eingegrenzt. In relativ vielen Fällen, werden Sie bei aktivierter Ende-zu-Ende Verschlüsslung auf eine Datenschutz-Folgenabschätzung verzichten können.

Update 16.11.2020

Zoom hat die softwareseitige „Aufmerksamkeitsüberwachung“ („Aufmerksamkeitstracking“) eingestellt. Somit muss diese nicht mehr deaktiviert werden. In der Art. 13 Info hatten wir geschrieben, dass  diese Funktion von uns nicht genutzt wird und daher deaktiviert wurde. Diesen Passus haben wir im Text gelöscht.