Zoom mal wieder verboten - was nun?

Videokonferenzen via Zoom & Co. haben es während der Corona-Pandemie gerade im Gesundheits- und Sozialbereich mitermöglicht, den Geschäftsbetrieb aufrechtzuerhalten. Die Datenschutzaufsicht in Berlin hat nun Alarm geschlagen. Denn Zoom nutzt verschiedene Daten zu eigenen Zwecken und präsentiert sich erneut als wenig transparent. Zwar werden die Inhalte Ihrer Meetings nicht ausgewertet, doch ist es höchste Zeit, zu handeln. Wir zeigen Ihnen nicht nur die datenschutzrechtlichen Herausforderungen auf, sondern auch, wie Sie die beliebte Meeting-Software in Zukunft rechtssicher nutzen.

Sicherheitslücken bei Zoom sind kein neues Thema

Immer wieder geriet Zoom in der Vergangenheit rund um das Thema Datensicherheit in die Schlagzeilen. Sicherheitsexperten hatten 2020 ermittelt, dass Zoom personenbezogene Daten an Dritte weitergibt. Daten landeten unter anderem bei Facebook - selbst dann, wenn sich bei Apple iOS nicht via Facebook-Account bei dem Dienst eingeloggt wurde. Aufgedeckt wurden außerdem weitere Sicherheitslücken. Fremde konnten sich in laufende Konferenzen einloggen oder hatten die Möglichkeit, ein Meeting mit Werbung zu fluten. An den Admin der Konferenz erfolgte zudem eine Weiterleitung der Daten der Nutzer. Unter anderem IP-Adresse, Standort und Information über verwendete Geräte. Um die Privatsphäre zu wahren, mussten User dieses Feature manuell deaktivieren. Ein heißes Eisen war auch die Verschlüsselung. Die Transportverschlüsselung erfolgte nur mit TLS. Das heißt: Inhalte waren bei der Übertragung geschützt, Zoom kann allerdings darauf zurückgreifen.

Wie Zoom auf die Vorwürfe reagierte

Zoom nahm die Vorwürfe ernst und justierte entsprechend nach. Die Weitergabe der Daten an Facebook wurde beendet, wenn sich die User nicht über das soziale Netzwerk anmelden. Eine neue Passwortfunktion und eine insgesamt bessere Verschlüsselung sollten dafür sorgen, Sicherheitslücken während der Meetings zu entschärfen. Für jede Konferenz wird automatisch ein Passwort generiert, was Zoom-Bombing mit Werbung und aller Art Spam in Zukunft vermeiden sollte. So wurde für die Transportverschlüsselung auf AES 265 Bit GCM gesetzt - vorausgesetzt, Anwender haben die jeweils neueste Zoom-Version installiert. Zahlende Zoom-User können zudem den Server-Standort auswählen. Entweder in den USA oder Kanada, Australien, Europa, China, Indien, Hongkong, Japan oder Lateinamerika. Standardmäßig wurde zudem das Aufmerksamkeitstracking deaktiviert. Ende gut, alles gut bei Zoom?

Rotes Licht für Zoom aus Berlin

Offensichtlich nicht. Denn die Berliner Beauftragte für Datenschutz und ihr Team kamen im Rahmen einer Überprüfung verschiedener Anbieter von Videokonferenzdiensten zu einem ganz anderen Ergebnis. Geprüft wurde zunächst die rechtskonforme Verarbeitung der Daten. Fiel die positiv aus, kamen in einem nächsten Schritt die technischen Eigenschaften der Dienste unter die Lupe. Bewertet wurden die Ergebnisse mit einem Ampelsystem. Für Zoom gab es Dunkelrot von den Datenschützern. Das bedeutet, es liegen Mängel bei dem Dienst vor, die eine rechtskonforme Nutzung ausschließen. Im Detail wären das die Verarbeitung personenbezogener Daten zu eigenen Zwecken, verspätete oder eingeschränkte Datenlöschungen, nicht ausreichend gestaltete vertragliche Anforderung für die Einbindung von Subunternehmern und unzulässige, während der Nutzung nicht vermeidbare Datenexporte.

Gravierende Verstöße von Zoom gegen die DS-GVO

Es blieb den Prüfern beispielsweise unklar, inwieweit Zoom als Auftragsverarbeiter agiert - alleine verantwortlich oder in gemeinsamer Verantwortung mit den Kunden. Denn das "Zoom Privacy Statement" vom August 2020 erklärt sich im Falle der Auftragsverarbeitung explizit für unanwendbar. Außerdem genügt Zoom nicht den Anforderungen von Art. 28 Abs. 3 lit. a DS-GVO und präsentiert sich auch im Hinblick auf die Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO als problematisch. Ein Abgleich mit der Ziffer 9.3. des Privacy Statements offenbart eine gravierende Einschränkung der Kontrollrechte seitens der Kunden, was Art. 28 Abs. 3 DS-GVO widerspricht. Zudem sind Sub-Auftragsverarbeiter nicht ausreichend benannt und ihre Zuständigkeiten für den User nicht transparent. Neue Unterauftragsverarbeiter erfordern ein aktives Handeln, was Art. 28 Abs. 2 Satz 2 DS-GVO widerspricht. Die Details machen es schwierig, gegen neue Sub-Auftragsverarbeiter Einspruch einzulegen. Die Frist beträgt hier ohnehin nur zehn Tage. Erschwerend kommt hinzu, dass die neuen Auftragsverarbeiter nicht mehr dieselben Datenschutzpflichten auferlegt werden und es muss nicht zwingend das Unionsrecht oder das der Mitgliedsstaaten angewendet werden. Auch hier liegt ein Verstoß gegen Art. 28 Abs. 4 S. 1 DS-GVO vor. Zoom behält sich zudem das einseitige Recht zu einer Vertragsänderung vor bei bestimmten Bedingungen. Aufgrund dieser gravierenden rechtlichen Mängel schaffte es Zoom gar nicht erst in die zweite Runde der technischen Überprüfung.

Das Aus für Zoom? Es gibt einen Weg!

Die Ergebnisse aus Berlin mögen wie ein Schock wirken, wenn Sie für Ihre Videokonferenzen auf die beliebte Software Zoom setzen. Die gute Nachricht: Sie müssen nicht auf einen anderen Dienst umsteigen. Wir sind in der Lage, Ihre Zoom-Konfiguration anzupassen. Das erlaubt, nicht im Einklang mit der DS-GVO stehende problematische Funktionen entweder direkt abzuschalten oder so zu konfigurieren, dass Sie auf der sicheren Seite sind.

Wir bieten Ihnen einen einzigartigen Service an: wir zeigen Ihnen direkt in den Einstellungen von Zoom, wie Sie den Dienst sicher nutzen. Nutzen Sie hierzu unsere persöliche Kurz-Beratung online (1 zu 1 mit unseren Expert:innen). Klicken Sie hier, um einen Termin zu buchen.

(enthält Werbung durch Marken- und/oder Produktnennung)