Mehr Infos
Menü Zum Kontakt Telefon: +49 6151 - 99 55 0

Neue Zoom-Datenschutzfolgenabschätzung

 
 
 

 

 

 

Mit dem Beginn der Corona-Pandemie haben Tools für die Organisation von Videokonferenzen schlagartig an Bedeutung gewonnen. Insbesondere der US-amerikanische Videokonferenzdienstleister Zoom Video Communications erfreut sich seither zunehmender Beliebtheit bei vielen Unternehmen. Doch nicht nur im Business-Segment, sondern auch in Bildungseinrichtungen wird das Tool eingesetzt, um beispielsweise Fernkonferenzen oder Lehrveranstaltungen abzuhalten. Nachdem einige Datenschützer ihre Bedenken im Hinblick auf die Datenschutzkonformität des Videokonferenzdienstleisters geäußert haben, hat Zoom nach einem Austausch mit SURF – dem Zusammenschluss niederländischer Bildungs- und Forschungseinrichtungen – Anpassungen hinsichtlich des Datenschutzes vorgenommen. Der ICT-Dienstleister SURF hat kürzlich eine positive Datenschutzfolgenabschätzung veröffentlicht, mit dem Ergebnis, dass beim Einsatz von Zoom keine hohen Datenschutzrisiken bestehen.

 

Das Wichtigste in Kürze

  • Zoom hat neue Datenschutzfunktionen und Lösungen zur Datenlokalisierung und Verarbeitung personenbezogener Nutzerdaten innerhalb der EU bis Ende 2022 angekündigt.
  • Zur Verbesserung der Transparenz und Dokumentation hat Zoom ein Privacy Data Sheet veröffentlicht, das regelmäßig aktualisiert werden soll.
  • Die Durchführung einer neuen Datentransferfolgenabschätzung durch Zoom hat ergeben, dass eine Datenübermittlung in die USA ein für die Privatsphäre des Einzelnen vernachlässigbares Risiko darstellt.
  • Verantwortliche werden dazu angehalten, zusätzliche Maßnahmen des Datenschutzes zu ergreifen und Verträge über Datenverarbeitungen mit Zoom abzuschließen.

 

Datenschutzrechtliche Probleme

In der Vergangenheit stand das Tool trotz seiner unkomplizierten Anwendung bereits öfters in der Kritik der Datenschützer. Unter anderem wurden Administratorrechte kritisiert, da sie personenbezogene Teilnehmerdaten einsehen konnten und über Tracking-Tools verfügen. Für negative Schlagzeilen hat jüngst das sog. „Zoom-Bombing“ gesorgt. Unter „Zoom-Bombing“ versteht man Cyberangriffe, durch die Hacker Videokonferenzen, die via Zoom stattfinden, stören, indem sie sich Zugriff auf die Übertragung verschaffen und diese durch Projektion von anstößigen oder gewaltverherrlichenden Inhalten behindern. Darüber hinaus soll es in der iOS-Version des Tools zu einer Übermittlung personenbezogener Daten an Facebook gekommen sein. Besonders kritisch zu betrachten ist in diesem Zusammenhang, dass es zu einer solchen Datenübermittlung auch gekommen sein soll, wenn Nutzer sich nicht über ihren Facebook-Account angemeldet haben.

 

Neue Datenschutzfunktionen

Im Rahmen der Zusammenarbeit mit SURF hat Zoom Möglichkeiten zur Verbesserung des Datenschutzes aufgezeigt und einen Plan zur Umsetzung datenschutzrechtlicher Maßnahmen festgehalten. Die Umsetzung des Vorhabens soll in regelmäßigen Abständen dokumentiert und mit SURF besprochen werden.

Darüber hinaus hat der Dienstleister unter anderem angekündigt, Lösungen zur Datenlokalisierung anzubieten und sich verpflichtet, bis Ende 2022 Möglichkeiten für die Verarbeitung personenbezogener Daten von Kunden aus der EU innerhalb der EU zu schaffen.

Zudem soll bis Mitte dieses Jahres ein EU-Supportdienst eingerichtet werden. Für den Fall, dass es der Einschaltung eines Support-Teams bedarf, das außerhalb der EU seinen Sitz hat, muss der Kunde in die Drittlandübermittlung ausdrücklich einwilligen.

Weiterhin sollen Administratoren von Unternehmens- und Bildungskonten bis Ende 2022 Selbstbedienungs-Tools für die ordnungsgemäße Bearbeitung von Auskunftsersuchen der Nutzer zur Verfügung gestellt werden.

 

Mehr Transparenz und bessere Dokumentation

Zur Förderung der Transparenz und Verbesserung der Dokumentation von Datenverarbeitungsvorgängen hat Zoom ein Privacy Data Sheet veröffentlicht. Dieses soll regelmäßig aktualisiert werden.

 

Datentransferfolgenabschätzung

Darüber hinaus hat das Unternehmen eine Datentransferfolgenabschätzung (Data Transfer Impact Assessment (DTIA)) zu einer Drittlanddatenübermittlung in die USA durchgeführt, in dem es zum Ergebnis kommt, dass eine solche für die persönlichen Rechte und Freiheiten des Einzelnen lediglich ein geringes Risiko darstellt.

 

Verbesserung der Datenschutzpraktiken

Im Rahmen der Anpassung des Datenschutzes hat der Dienstleister auch seine Datenschutzpraktiken verbessert. Insbesondere im Hinblick auf die Aufbewahrung personenbezogener Daten der Nutzer wurden Prozesse konkretisiert und auf ein Minimum reduziert.

In der (noch) aktuellen Handreichung des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg wurde Zoom für seine unzulässige Einschränkung der Löschpflicht kritisiert, da das Softwareunternehmen in seinen Nutzungsbedingungen die Lo¨schung der verarbeiteten personenbezogenen Daten nach Vertragsende in gro¨ßerem Umfang ausschließt, als nach Art. 28 Abs. 3 lit. g) DSGVO zula¨ssig ist, sodass zu erwarten ist, dass die Datenschutzbehörden diese Anpassung besonders begrüßen werden.

Im Zusammenhang mit der Verbesserung seiner Datenschutzpraktiken möchte der Softwarehersteller durch Technikgestaltung (Privacy by Design) sowie die Implementierung verbesserter datenschutzfreundlicher Voreinstellungen (Privacy by Default) die Entwicklung zu einem rundum datenschutzfreundlichen Produkt fördern.

Darüber hinaus hat der Videokonferenzdienstleister angekündigt, seine Mitarbeiter durch Schulungen für den Datenschutz zu sensibilisieren.

 

Empfehlungen von SURF

Über die geplanten Datenschutzanpassungen hinaus rät SURF Nutzern des Tools selbst weitere Maßnahmen zugunsten des Datenschutzes zu ergreifen und Verträge über Datenverarbeitungen abzuschließen. Dadurch sollen Datenschutzrisiken für Kunden vermieden und eine vertrauliche Kommunikation über Zoom ermöglicht werden. In diesem Zusammenhang hat SURF sowohl für Administratoren als auch Endnutzer und Hosts hilfreiche Empfehlungen zur Nutzung bestimmter Zoom-Einstellungen veröffentlicht.

 

Bisherige Bewertung der deutschen Datenschutzbehörden

Die deutschen Datenschutzbehörden haben sich zwar bereits zu dem Videokonferenzsystem geäußert und entsprechende Hinweise veröffentlicht, allerdings sind diese auf Grundlage älterer Unterlagen ergangen. So hat der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg in seinen Hinweisen zu Videokonferenzsystemen bereits darauf hingewiesen, dass mittlerweile aktualisierte Unterlagen des Dienstleisters vorliegen, die von der Datenschutzbehörde geprüft werden, sodass mit einer baldigen Anpassung der Handreichung gerechnet werden kann. In den noch aktuellen Handreichungen wird der Anbieter stark für seine Sicherheitslücken, seine Tracking-Praxis sowie in Sachen Nutzerfreundlichkeit kritisiert.

 

Datenschutzkonformer Einsatz des Tools

Mit Blick auf die Verarbeitung zahlreicher personenbezogener Daten im Zusammenhang mit dem Einsatz der Systeme von Zoom ergeben sich einige datenschutzrechtliche Fragen. Sowohl die Datenschutzfolgenabschätzung der SURF als auch die Erfahrungen, die in den letzten von Home-Office geprägten Jahren gesammelt werden konnten, machen deutlich, dass ein datenschutzkonformer Einsatz des Tools nicht ausgeschlossen ist, sofern nur hinreichende zusätzliche Maßnahmen zugunsten des Datenschutzes ergriffen werden. Hierbei ist ratsam, Regelungen im Hinblick auf den Datenschutz bei der Abhaltung von Videokonferenzen via Zoom in die Unternehmensrichtlinien aufzunehmen.

 

Konferenzen im privaten Modus

Administratoren haben die Möglichkeit, durch bestimmte Chat-Einstellungen zur datenschutzkonformen Durchführung von Konferenzen via Zoom beizutragen. In diesem Zusammenhang ist es ratsam, sämtliche Einstellungsmöglichkeiten, die Zoom bietet, vollends auszuschöpfen und datenschutzfreundlich einzusetzen, um das Risiko von Verstößen gegen geltende Datenschutzvorschriften soweit es möglich ist zu minimieren.

Daher sollten sämtliche Konferenzen im privaten Modus abgehalten werden. Dies erfolgt durch die Erstellung eines entsprechenden Links sowie eines Passworts für das konkrete Meeting, die im Anschluss an die Teilnehmer versendet werden.

Darüber hinaus gibt es mithilfe entsprechender Einstellungen die Möglichkeit, dass Teilnehmer nur dann zu einer Konferenz zugelassen werden, wenn der Gastgeber den Beitritt zum Meeting durch aktives Handeln (mit einem Klick) gestattet. Dafür kann via Zoom ein Warteraum als Zwischenstadium eröffnet werden, bevor der jeweilige Teilnehmer zur Konferenz zugelassen wird.

 

Standortfestlegung

Bei Pro-, Business-, Enterprise oder Bildungskonten besteht die Möglichkeit, den Serverstandort selbst festzulegen. Im Gegensatz dazu wird der Standort beim kostenlosen Account in der Region festgelegt, in dem auch das Konto bereitgestellt wird. Nutzer haben die Möglichkeit, sich aus acht Standorten auf einen festzulegen und so alle anderen Standorte bis auf die eigene Region, in der das Konto bereitgestellt wurde, auszuschließen.

 

Handlungsempfehlungen

Für einen DSGVO-konformen Einsatz von Zoom werden folgende Maßnahmen empfohlen:

  • Durchführen einer Datenschutzfolgenabschätzung im Sinne von Art. 35 DSGVO, um datenschutzrechtliche Risiken zu identifizieren, sodass ggf. notwendige Abhilfemaßnahmen ergriffen werden können und Dokumentation sämtlicher Ergebnisse.
  • Festlegen von Verarbeitungsvorgängen und Verarbeitungszwecke durch vorherige Bestimmung möglicher betroffener Personengruppen und Datenkategorien.
  • Sicherstellen, dass für alle festgelegten Verarbeitungszwecke eine Rechtsgrundlage vorliegt.
  • Vornahme einer Risikobewertung für die Rechte und Freiheiten der betroffenen Personen auf Basis von Nutzungsszenarien.
  • Realisierung technisch-organisatorischer Maßnahmen zum Ausschluss oder der Verringerung potenzieller Risiken.
  • Sofern eine Kommunikation mit unternehmensexternen Personen vorgesehen ist, sollte die Datenschutzerklärung entsprechende Informationen im Hinblick auf die Nutzung von Zoom enthalten.
  • Verwendung der aktuellsten Version von Zoom.
  • Datenschutzfreundliche Voreinstellungen treffen (Warteräume, Stummmodus, eingeschränkte Bildschirmteilnahme).
  • Separate Versendung von Einladungs-Link und Passwort zur Vermeidung von Zoom-Bombing.
  • Aktivierung einer Ende-zu-Ende-Verschlüsselung, sofern besonders sensible und vertrauliche Inhalte innerhalb des Meetings via Zoom ausgetauscht werden sollen. Dadurch wird sowohl die Privatsphäre als auch der Datenschutz verbessert.

 

Fazit

Trotz der begrüßenswerten Verbesserung des Datenschutzes bei Zoom ist noch unklar, ob andere nationale Datenschutzbehörden, einschließlich Deutschland, die veröffentlichten Einschätzungen von SURF teilen. Im Ergebnis kommt es für einen Einsatz des Videokonferenzsystems von Zoom nicht darauf an, ob das Tool DSGVO-konform eingesetzt werden kann, sondern vielmehr, welche Maßnahmen zusätzlich für einen datenschutzkonformen Einsatz ergriffen werden müssen und ob die unternehmenseigene Compliance-Abteilung diese umsetzen kann. Denn trotz der Anpassung des Datenschutzes ist die Initiative der Verantwortlichen erforderlich, um von der Verwendung von Zoom datenschutzsicher profitieren zu können.

 

Call Now ButtonKontakt aufnehmen