Datenschutz Verstehen – Datenschutz beim Einsatz von Zoom
Kurze Einleitung
Angesichts der aktuellen Situation rund um das Coronavirus gewinnen Tools für die Organisation von Videokonferenzen eine immer größere Rolle im Alltag von Unternehmen. In diesem Zusammenhang erfreut sich das Tool Zoom von dem US-amerikanischen Anbieter Zoom Video Communications immer größerer Beliebtheit. Aus datenschutzrechtlicher Sicht birgt der Dienst allerdings einige Gefahren, was die jüngsten Hacker-Angriffe auf den Dienst belegen. Auch in der Vergangenheit bemängelten Datenschutz-Experten einige Schwächen des Dienstes. In unserem Beitrag erfahren Sie, worum es sich bei dem Dienst Zoom handelt und wie der Dienst im Datenschutz angesichts der Regelungen der DSGVO und des BDSG-neu aufgestellt ist.
Was ist Zoom?
Zoom ist ein Dienst für Fernkonferenzen, wozu Online-Besprechungen, Videokonferenzen und Chat-Funktionen sowie mobile Kollaborationen innerhalb einer Gruppe gehören. Insbesondere in den USA werden die Dienste von Zoom in vielen verschiedenen Bereichen eingesetzt. Neben dem Einsatz im Business-Segment und damit im Alltag vieler Unternehmen wird Zoom in den USA mittlerweile auch in Schulen, Universitäten und in der Kita verwendet. Auf diese Weise werden z.B. der Unterricht oder Lehrveranstaltungen mittels Zoom organisiert. Eine Registrierung der Nutzer ist nicht erforderlich, weshalb Videokonferenzen über Zoom besonders einfach eingerichtet und durchgeführt werden können.
Datenschutzprobleme bei Zoom
Auch wenn das Tool in der Anwendung recht einfach gestaltet ist, gibt es in anderen Bereichen diverse negative Kritiken. Hierzu gehört der Datenschutz, denn dieser wurde bereits in der Vergangenheit öfter bemängelt. 2019 wurde bei der Installation der Desktop-Version von Zoom für MacOS-Systeme ein lokaler Webserver installiert, welcher im Fall einer Deinstallation nicht gelöscht wurde. Durch dieses Feature sollte der Zugriff von unbefugten Personen auf das jeweilige Gerät über die Kamera möglich sein. Der US-amerikanische Technologiekonzern Apple reagiert daraufhin mit der Entfernung dieses Features, welches laut Zoom der besseren Benutzerfreundlichkeit dienen sollte.
In der iOS-App von Zoom sollen personenbezogene Daten an Facebook übermittelt worden sein, auch wenn sich Nutzer nicht mit ihrem Facebook-Account angemeldet haben. Zoom teilte mit, nichts von dieser Datenübertragung gewusst zu haben und hat diese Übertragung nach eigenen Angaben deaktiviert. Darüber hinaus wurde Zoom 2019 vorgeworfen, dass Browser-Sicherheitsprotokolle für die Web-Anwendung des Tools umgangen werden.
Kritisiert wurden ferner die Rechte von Administratoren: Diese sollen einen Einblick in personenbezogene Daten von Teilnehmern, inkl. IP-Adresse, haben und zudem über Tracking-Tools verfügen.
Das sog. „Zoom-Bombing” ist ein weiteres Problem: So fand während einer Unterrichts-Konferenz via Zoom ein virtueller Hacker-Angriff statt. Die Hacker verschafften sich Zugriff auf die Übertragung und projizierten u.a. Nazi-Symbole und andere Inhalte auf den Bildschirmen. Laut Experten ist es daher möglich, dass sich Hacker Zugriff auf Videokonferenzen in Zoom verschaffen können.
Worauf müssen Unternehmen bei Zoom achten?
Wichtig ist zunächst, dass Konferenzen immer im privaten Modus durchgeführt werden sollten. Dies bedeutet, dass ein Zoom Meeting nicht öffentlich gemacht wird, sondern mit einem individuellen Passwort und Meeting Link erstellt und weitergeleitet wird. Experten empfehlen, dass Gäste nur dann für die jeweilige Konferenz zugelassen werden, wenn der Gastgeber der Konferenz dies bewusst und aktiv via Klick erlaubt. Dies ist mit der Verwendung des sogenannten Warteraums möglich, indem der Gastgeber oder auch “Host” genannt den jeweiligen Teilnehmern den Zugang zum Meeting gewährt. Diese Optionen können Gastgeber in den Chat Einstellungen von Zoom konfiguriere, indem Sie in Ihren Zoom Einstellungen zuerst auf „Kontoverwaltung” und dann auf “Kontoeinstellungen” klicken. Unter dem Punkt“ Sicherheit” können Sie sehen, ob der Warteraum aktiviert ist, unter „Edit Options” können Sie noch weitere Warteraumoptionen festlegen.
Insgesamt sollten Unternehmen darauf achten, die Einstellungen in Zoom, soweit diese verfügbar sind, datenschutzfreundlich einzustellen, um keine Verstöße gegen geltende Datenschutzvorschriften wie die DSGVO oder das BDSG-neu zu begehen. Darüber hinaus sollten Regelungen in den eigenen Unternehmensrichtlinien zum Datenschutz bei Videokonferenzen über Dienste wie Zoom getroffen werden.
Das sollten sie beachten:
- Zoom gemeinsam mit ihrer IT-Abteilung und Datenschutzbeauftragten einrichten, damit gegen keine Datenschutzvorschriften wie der DSGVO oder BDSG-neu verstoßen wird
- Verwenden sie möglichst die kostenpflichtige Version
- Es sollten alle Teilnehmer die neuste Version von Zoom verwenden
- Serverstandort in der EU festlegen
- bei Kommunikation mit Externen sollten Informationen über die Nutzung von Zoom in der Datenschutzerklärung aufnehmen werden
- Bei Aufzeichnung eines Meetings im Vorhinein eine Einwilligung einholen
- Das Zoommeeting sperren, wenn alle anwesend sind
- Im Vorhinein Warteräume, Stummschaltung, eingeschränkte Bildschirm Teilnahme einstellen und den Einladungslink separat vom Passwort verschicken, um „Zoombombing” zu verhindern
- Ende-zu-Ende-Verschlüsselung verwenden
Laden Sie jetzt unsere Datenschutz-Checkliste für Zoom herunter zur Verwendung im beruflichen Alltag.
Zoom Ende-zu-Ende-Verschlüsselung
Eine Ende-zu-Ende-Verschlüsselung sollte aktiviert werden, wenn ein zusätzlicher Schutz für ein Zoom Meeting benötigt wird. Bei Verwendung solch einer Verschlüsselung wird die Privatsphäre und der Datenschutz verbessert. Durch die Aktivierung werden bestimmt Funktionen deaktiviert, darunter zählen:
- Beitritt vor dem Moderator
- Cloud-Aufzeichnungen
- Livestreaming
- Live-Transkription
- Breakout-Räume
- Umfragen
- Meetingreaktionen
- Private Einzelchats
So richten Sie die Ende-zu-Ende-Verschlüsselung ein:
Gehen Sie auf Ihre Zoom Einstellungen, dort finden Sie, wenn Sie auf der Seite herunterscrollen, den Punkt „End-to-End (E2E) Verschlüsselung nutzen”, diesen sollten Sie aktivieren. Diese Einstellung führt nicht direkt dazu, dass Ihre Meetings jetzt E2E verschlüsselt sind, sondern zeigt Ihnen an, ob Sie berechtigt sind ein solches Meeting zu erstellen. Im darauffolgendem Punkt unter Vorgegebene Verschlüsselungsarten wählen Sie nun “End-to-End-Verschlüsselung” aus, jetzt sind Ihre Meetings richtig E2E verschlüsselt. Wenn Sie ein Meeting planen wollen, stellen Sie sicher, dass dort die durchgehende Verschlüsselung aktiviert ist. Sie erkennen an einem grünen Symbol mit einem geschlossenem Schloss im oberen linken Rand, ob Ihr Meeting verschlüsselt ist.
Serverstandort festlegen bei Zoom
Kunden eines Pro-, Business-, Enterprise- oder Bildungskontos haben die Möglichkeit ihren Serverstandort selber festzulegen. Bei kostenlosen Accounts wird der Standort in der Region festgelegt, in dem das Konto bereitgestellt wird. Die Nutzer haben jetzt die Möglichkeit aus acht Standorten einen Server Standort festzulegen, sie können aus Australien, China, Europa, Indien, Japan/Hongkong, Kanada, Lateinamerika und den USA wählen. Sie haben die Möglichkeit alle Standorte bis auf ihre eigene Heimatregion auszuschließen. Der Datenverkehr von Nutzern des kostenlosen Zoom Programms werden jetzt ausschließlich über Europa weitergeleitet und nicht wie zuvor über China oder die USA.
So legen Sie ihren Serverstandort fest:
Melden Sie sich als Administrator mit der Berechtigung zur Bearbeitung von Kontoeinstellungen an. Unter “Kontoverwaltung” klicken Sie auf den Unterpunkt “Kontoprofil”. Unter “Transitdaten” sollte die Option Rechenzentrumsregionen für im Transit befindliche Meeting-/ Webinardaten anpassen aktiviert sein, sollte dies nicht der Fall sein, aktivieren Sie diese. Wählen Sie jetzt die von Ihnen gewünschte Region aus.
Zoom FAQ
Was macht Zoom mit meinen Daten?
Zoom verwendet personenbezogene Daten für verschiedene Dinge. Hierzu zählen die Bereitstellung von Zoom Produkten und Funktionen, Produktforschung und Entwicklung, Marketingaspekte, Kommunikation mit Kunden, rechtliche Gründe wie der Strafverfolgung und um Sicherheit zu gewährleisten. Hierbei werden keine Meeting-, Webinar- oder Chat-Inhalte verwendet.
Welche Daten sammelt Zoom?
Zu den personenbezogenen Daten, die Zoom sammelt, gehören Kontoinformationen wie z.B. der Name des Administrators, die Konto ID und Abrechnungsinformationen. Profil und Teilnehmerinformationen wie Name, Anzeigename, Bild, E-Mail-Adresse, Kontakte und Kalenderintegration, falls vom Nutzer integriert. Außerdem werden die Zoom-Einstellungen, Registrierübungsinformationen und Geräteinformationen gesammelt. Zudem sammelt Zoom den Inhalt und Kontext von Meetings, die Produkt- und Website Nutzung.
Ist Zoom datenschutzkonform?
Wenn Sie sich an all unsere Tipps bezüglich der Nutzung von Zoom und den Zoom Einstellungen halten, dann ist Zoom zur Zeit datenschutzkonform, dies kann sich jedoch schnell wieder ändern.
Derweil begegnen auch andere Wettbewerber von Zoom Problemen mit dem Datenschutz, so etwa WhatsApp von Facebook oder Skype von Microsoft. Wichtig ist daher, die Konfigurationsmöglichkeiten der jeweiligen Dienste genau zu prüfen und Einstellungen, die im Widerspruch zum Datenschutz stehen, zu eliminieren. Ihr Datenschutzbeauftragter unterstützt Sie bei der Auswahl und Konfiguration entsprechender Dienste.
Was Unternehmen generell bei dem Einsatz von Cloud-Diensten, wie z.B. Zoom, beachten müssen, erfahren Sie hier.
Herr Dipl.-Jur. Serkan Taskin hat an der Westfälischen-Wilhelms-Universität (WWU) in Münster Rechtswissenschaften studiert und ist seit seinem Abschluss als externer Datenschutzbeauftragter und Consultant für Datenschutz tätig. Gleichzeitig besitzt Herr Taskin eine Zertifizierung als Datenschutzbeauftragter (TÜV Rheinland). Als externer Datenschutzbeauftragter und Consultant für Datenschutz unterstützt er Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. Darüber hinaus ist Herr Taskin als Auditor für Konzerne, kleine und mittelgroße Unternehmen (KMU) sowie Startups tätig. Herr Taskin zeichnet sich durch seine juristische Expertise im Datenschutzrecht aus und konfiguriert die Umsetzung und Einhaltung des Datenschutzes derart, dass auch wirtschaftliche Interessen der Unternehmen dennoch berücksichtigt werden.