Videokonferenzen mit „Zoom“

Das Videokonferenz-Angebot „Zoom“ der amerikanischen Zoom Video Communications, Inc. Zoom erfreut sich dank geringer technischer Hürden, einfacher Nutzbarkeit und stabiler Performance großer Beliebtheit. Aus datenschutzrechtlicher Sicht sind beim Einsatz von Zoon eine Reihe von Aspekten zu beachten:

Übersicht:

1. Datentransfer in Drittländer
2. Vertrag zur Auftragsverarbeitung
3. Informationspflichten
4. Zulässigkeit der Verarbeitung
5. Aufmerksamkeitstracking
6. Zoom-Bombing
7. Fehlende End-to-End-Verschlüsselung
8. Fazit

1. Datentransfer in Drittländer

Schwerpunktmäßig wird der Cloud-Dienst in den USA betrieben. Laut Zoom ist jedoch grundsätzlich eine Speicherung von Daten in Rechenzentren auf der ganzen Welt möglich. Nach Art. 44 ff. DSGVO ist dies nur dann zulässig, wenn in dem jeweiligen Drittland ein ausreichendes Datenschutzniveau sichergestellt ist. Für einen Datentransfer in die USA ist es erforderliche, dass sich der Dienstanbieter dem EU-US-Privacy Shield unterwirft und entsprechend registriert ist.

Zoom hat die Vorgaben des EU-US-Privacy Shield akzeptiert; für alle anderen Drittländer bietet Zoom den Abschluss eines EU-Standardvertrags an.

2. Vertrag zur Auftragsverarbeitung

Der Betrieb eines cloudbasierten Videokonferenz-Tools stellt eine Auftragsverarbeitung nach Art. 28 DSGVO dar. Daher ist vor dem ersten Einsatz des Tools ein entsprechender Auftragsverarbeitungsvertrag mit Zoom abzuschließen.

Zoom stellt hierfür ein passendes AVV-Muster auf seiner Webseite zum Download bereit. Der Abschluss des AVV mit Zoom erfolgt in drei Schritten:

1. Download des bereits von Zoom unterschriebenen Vertrages via https://zoom.us/gdpr
2. Unterzeichnung und/oder Eintragung der Vertragspartnerdaten auf den Seiten 6, 7, 16, 17, 23, 25
3. Übersendung des Vertrags an Zoom dpa@zoom.us

Der Vertrag erfüllt die gesetzlichen Anforderungen nach Art. 28 DSGVO und bezieht darüber hinaus im Anhang auch den erforderlichen EU-Standardvertrag (siehe Ziff. 1) in der Version „Controller to Processor“ mit ein. Gleichwohl empfiehlt es sich, den Vertrag vor dem Absenden durch den Datenschutzbeauftragten überprüfen zu lassen.

3. Informationspflichten

Alle Kommunikationspartner (Teilnehmer eines Zoom-Meeting) sind gem. Art. 13 und 14 DSGVO vorab über die Datenverarbeitung bei Zoom zu informieren. Einen Großteil der hierfür benötigten Informationen können der Datenschutzerklärung von Zoom entnommen werden: https://zoom.us/de-de/privacy.html.

Mitarbeiter (und Studierende) können hierüber per Rundmail informiert werden. Externen Gesprächspartnern sollten die Informationen zusammen mit der Einladung zum Zoom-Meeting (z.B. als Anhang) zugesandt werden.

4. Zulässigkeit der Verarbeitung

Das Videokonferenz-Tools von Zoom lässt sich mit geringem Dateneinsatz nutzen: Lediglich der Host benötigt einen Account; die übrigen Teilnehmer benötigen lediglich einen Link und müssen dann nur noch ihren Namen eingeben, um an dem Meeting teilzunehmen. Im Meeting steht es zudem jedem Teilnehmer frei, sein Mikrofon und seine Webcam zu aktivieren sowie ggf. über Bildschirmfreigaben weitere Informationen preiszugeben.

Die Datenverarbeitung dient internen wie externen Kommunikationszwecken und erfolgt daher im berechtigten Interesse des Unternehmens. Entgegenstehende schutzwürdige Interessen der Gesprächspartner sind nicht ersichtlich, zumal diese einen Großteil der Verarbeitungen selbst anstoßen und blockieren können. Die Verarbeitungsvorgänge lassen sich daher in der Regel über Art. 6 Abs. 1 lit. f) DSGVO rechtfertigen. Veranstaltet das Unternehmen bezahlte Webinare über Zoom, kann auch Art. 6 Abs. 1 lit. b) DSGVO als Rechtsgrundlage herangezogen werden.

5. Aufmerksamkeitstracking

Zoom enthält eine Funktion zum Aufmerksamkeitstracking. Diese gibt dem Host eine Warnung, sobald ein Teilnehmer sein Zoom-Fenster nicht mehr im Focus hat. Die Einstellung ist standardmäßig deaktiviert und sollte auch nur in begründeten Ausnahmefällen und nach vorheriger Information an alle Gesprächsteilnehmer aktiviert werden.

6. Zoom-Bombing

In jüngster Zeit wurde verstärkt über das sog. Zoom-Bombing berichtet. Hierbei handelt es sich um den nicht autorisierte Beitritt von unbefugten Personen zu Zoom-Meetings oder wie man es mancherorts liest „Die Übernahme von Konferenzen durch Trolle“. Die Gefahr einer solchen feindlichen Übernahme von Meetings besteht dort, wo ein Beitritt schon bei bloßer Kenntnis der Meeting-ID möglich ist, es also keine zusätzlichen Authentisierungsfaktoren eingerichtet wurden.

Um ein „Zoom-Bombing“ zu verhindern, sind die Meeting entweder so zu konfigurieren, dass Teilnehmer der Konferenz nur mit der Erlaubnis des Moderators beitreten dürfen (“Warteraum aktivieren”) oder alternativ mit einem Passwort abzusichern.

7. Fehlende End-to-End-Verschlüsselung

Zoom bietet derzeit keine Ende-zu-Ende-Verschlüsselung für Meetings an. Zwar stellt eine Transportverschlüsselung (TLS 1.2 mit AES 256-bit) sicher, dass die Verbindung zwischen den Clients und den Zoom-Servern verschlüsselt ist, auf den Servern selbst liegen die Daten jedoch unverschlüsselt vor. Zoom hat damit die Möglichkeit, auf die Meeting-Daten zuzugreifen.

Als Auftragsverarbeiter darf Zoom von dieser Zugriffsmöglichkeit gleichwohl nur Gebrauch machen, wenn es mit dem Vertrag nach Art. 28 DSGVO und den Weisungen des Kunden vereinbar ist. Der Anbieter könnte die Daten demnach weder für eigene Zwecke nutzen noch unautorisiert an Dritte weitergeben, ohne vertragsbrüchig zu werden. Dennoch empfiehlt es sich vor diesem Hintergrund, keine sensiblen Inhalte, wie etwa besondere Kategorien personenbezogener Daten oder Geschäftsgeheimnisse, über Zoom zu kommunizieren.

8. Fazit:

Bei Beachtung der vorstehend empfohlenen Einstellungen sowie einem entsprechendem Vorgehen können Zoom-Meetings datenschutzkonform durchgeführt werden.