06.01.2021

Videoconferencing: Zoom verbessert Datenschutz

Die Videokonferenzplattform Zoom hat seit Ausbruch der Corona-Pandemie einen festen Platz im Arbeitsalltag vieler Menschen eingenommen und ist kaum mehr wegzudenken. Die Nutzerzahlen sind explosionsartig gestiegen, und die Plattform erfreut sich dank ihrer Benutzerfreundlichkeit und Stabilität grosser Beliebtheit. Gleichzeitig sah sich Zoom wegen Sicherheitslücken, lascher Datenschutzeinstellungen und der Weitergabe von Nutzerdaten im Frühjahr 2020 starker Kritik ausgesetzt. Grund genug, die Plattform aus datenschutzrechtlicher Optik näher zu betrachten.

Von: Urs Freytag  DruckenTeilen 

Urs Freytag

Urs Freytag, lic. iur. HSG, ist selbstständiger Rechtsanwalt und Notar in der Kanzlei factum advocatur, St. Gallen. Er ist spezialisiert auf die Beratung von KMU in den Bereichen Vertrags- und Gesellschaftsrecht, Technisches Recht, Informatikrecht und Datenschutzrecht.

Videoconferencing

Zoom auf ungebremstem Wachstumskurs

Das 2011 gegründete Unternehmen mit Sitz in San José, Kalifornien, ist Marktführer für reine Videokonferenzen. Das an der NASDAQ kotierte Unternehmen beschäftigt mittlerweile über 2500 Mitarbeiter und verzeichnete im Jahr 2019 einen Umsatz von USD 622 Mio. Nach Ausbruch der Corona-Pandemie stiegen die Nutzerzahlen nach eigenen Angaben von 10 auf über 200 Mio. Der zentrale Dienst heisst Zoom-Meetings, mit dem sich auf einfache Weise Videokonferenzen abhalten lassen.

Kritik von allen Seiten

Im März und April 2020 häuften sich Medienberichte über Datenschutzverletzungen und Sicherheitslücken. Aufgeschreckt von der Medienberichterstattung eröffnete die Staatsanwaltschaft des Bundesstaats New York ein Verfahren gegen das Unternehmen zwecks Untersuchung der Datenschutz- und Sicherheitspraktiken. Konkret wurden dem Unternehmen die nachfolgend genannten Mängel vorgeworfen. Zoom gelobte Besserung und gab sich nach eigenen Angaben ab Anfang April 90 Tage Zeit, um an den Mängeln zu arbeiten. Seither hat sich einiges getan, wie die folgenden Ausführungen zeigen:

Vorwurf Nr. 1:

«Zoombombing» Zoom sah sich dem Vorwurf ausgesetzt, dass es böswilligen Nutzern viel zu einfach gemacht werde, sich unberechtigt in ein Zoom-Meeting einzuschleichen. Experten zufolge lag dies namentlich an den laschen Voreinstellungen. Zwischenzeitlich hat Zoom einen Teil der Voreinstellungen datenschutzfreundlich ausgestaltet und den Passwortschutz verbessert. Nur wer vom Moderator oder von der Moderatorin zugelassen wird, hat Zugang zu einem Videomeeting.

Vorwurf Nr. 2: Überwachung durch Administrator

Ebenfalls kritisiert wurde die Funktion, mit welcher sich der Administrator anzeigen lassen kann, bei welchen Teilnehmern eines Videomeetings sich das Zoom-Fenster nicht im Vordergrund des Bildschirms befindet. Wenngleich sich diese Funktion für den Fernunterricht durchaus eignet und wohl für jede Lehrperson traumhaft anfühlt, ist sie datenschutzrechtlich bedenklich. Zoom reagierte auf die Kritik und deaktivierte die Voreinstellung. Allerdings ist die Funktion weiterhin verfügbar und kann ohne Wissen der betroffenen Personen durch den Administrator aktiviert werden. Nach DSGVO-Standard müsste für diese Funktion die Einwilligung der User vorliegen, andernfalls gleich mehrere Datenschutzgrundsätze (Transparenzpflicht, Informationspflicht, Privacy by Design) infrage gestellt werden. Die Funktion ist zur Abhaltung eines Videomeetings schlicht nicht notwendig.

Vorwurf Nr. 3: Datenbekanntgabe an Facebook

Zoom gab ohne Wissen der User und ohne Erwähnung in der Datenschutzerklärung Daten an Facebook bekannt, selbst wenn von den betroffenen Personen gar kein Facebook-Account existierte (dies allerdings nur in der iOS-App für Mobilgeräte). Diese Datenweitergabe wurde in der Zwischenzeit gestoppt.

Dies ist ein kostenloser Beitrag. Sie möchten von fundiertem Praxiswissen rund um den Datenschutz profitieren und die Anforderungen sicherstellen? Jetzt Newsletter abonnieren.

Vorwurf Nr. 4: angeblicher Verkauf von Zugangsdaten für Zoom-Accounts

Mitte April war in den Medien zu lesen, dass eine halbe Million Zoom-Nutzerdaten (u.a. Benutzername, Passwort, E-Mail-Adresse) im Darknet angeboten worden seien. Dies führte zu einem Aufschrei, und nicht wenige Firmen und Bildungsinstitute hielten es für notwendig, die Nutzung von Zoom zu verbieten. Wie sich herausstellte, stammten die Daten offenbar aus anderen Datenlecks ausserhalb von Zoom. Diese Daten wurden aber, wie auch Zoom einräumen musste, durch sogenanntes automatisiertes Ausprobieren («Credential Stuffing») auf Zoom-Servern verwendet. Wenn dies zutreffen sollte, käme Zoom eher die Opferrolle zu. Die Lösung für jeden Zoom-User ist einfach: Man ändert umgehend sein bisheriges Zoom-Passwort.

Vorwurf Nr. 5: fehlende End-to-End-Verschlüsselung

In der Datenschutzerklärung von Zoom wurde eine End-to-End-Verschlüsselung der Daten suggeriert. User durften somit davon ausgehen, dass die Daten auf der gesamten Wegstrecke zwischen den einzelnen Usern verschlüsselt übertragen werden. In Tat und Wahrheit wurden die Daten nur vom einen End-User bis zum Zoom-Server verschlüsselt und von dort wieder weiterverschlüsselt bis zum End-User. Dies bedeutet, dass Mitarbeiter von Zoom theoretisch auf die Daten zugreifen bzw. ein Videomeeting anschauen konnten. Dieses Problem wurde in der Zwischenzeit durch die Einführung einer End-to-End-Verschlüsselung für alle User behoben, sodass Zoom nicht mehr auf die übertragenen Daten zugreifen kann.

Fazit

Zoom nahm die aufkeimende Kritik ernst und löste die vorgenannten Probleme grösstenteils. Namentlich wurden datenschutzfreundliche Voreinstellungen («Privacy by default») getroffen und ein obligatorischer Passwortschutz eingeführt. Auch die Datenschutzerklärung, welche auch auf Deutsch abrufbar ist (siehe https://zoom.us/de-de/ privacy.html#_Toc44414845), wurde entsprechend angepasst. Eine Datenweitergabe zu wirtschaftlichen Zwecken wird von Zoom nun ausdrücklich ausgeschlossen.

Wichtiger Hinweis: EDÖB: Merkblatt Massnahmen zur sicheren Nutzung von Audio- und Videokonferenzlösungen

Der EDÖB empfiehlt in einem Merkblatt Massnahmen zum möglichst sicheren Einsatz von Videokonferenzlösungen. Hierfür werden im Merkblatt Punkte aufgelistet, welche es bei der Vorbereitung und Einführung einer datenschutzkonformen Audio- und Videokonferenzlösung zu beachten gilt. Das Merkblatt ist unter folgender Adresse abrufbar: www.edoeb.admin.ch/edoeb/de/home/ aktuell/aktuell_news.html

Ein weiterer Schritt zur Herstellung der DSGVO-Konformität war die Benennung einer Datenschutzbeauftragten für den EU-Raum. Allerdings, und dies ist verwunderlich, wird in der Datenschutzerklärung lediglich deren Name (Deborah Fay) und eine E-Mail-Adresse mit US-Endung (privacy@zoom.us) angegeben, was wenig Vertrauen erweckt. Angesichts der Bedeutung von Zoom wäre zu erwarten gewesen, dass eine seriöse Geschäftsadresse und eine E-Mail-Adresse aus dem EU-Raum verwendet werden. Ob sich Zoom in jeder Hinsicht DSGVO-konform verhält, wird die Zukunft weisen.

Praxistipp: Wer mit Zoom ein Videomeeting aufzeichnen möchte, hat zwei Möglichkeiten: Die Aufzeichnung kann lokal auf dem eigenen Computer oder Server abgespeichert werden oder in der ZoomCloud.

Produkt-Empfehlungen

  • Rechtssicher

    Rechtssicher

    Sicherheit bei Rechtsfragen im Geschäftsalltag

    CHF 98.00

  • WEKA Musterverträge

    WEKA Musterverträge

    Die in der Praxis am häufigsten eingesetzten Musterverträge.

    Mehr Infos

  • Anwendbarkeit der EU DSGVO in der Schweiz

    Anwendbarkeit der EU DSGVO in der Schweiz

    Ein Datenschutzleitfaden für Schweizer Unternehmen.

    Mehr Infos

Seminar-Empfehlungen

  • Live Web Conference, ½ Tag, Online, Virtueller Seminarraum

    Homeoffice in Corona-Zeiten

    Rechtslage kennen und Löhne und Sozialversicherungen korrekt umsetzen

    Nächster Termin: 26. Januar 2021

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Erfolgreich führen mit Microsoft Teams

    Verantwortlichkeiten, Kontrolle und effiziente Zusammenarbeit

    Nächster Termin: 21. April 2021

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Führen auf Distanz

    Produktivität und Motivation von Mitarbeitenden im Homeoffice steuern

    Nächster Termin: 30. Juni 2021

    mehr Infos

Um unsere Website laufend zu verbessern, verwenden wir Cookies. Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Mehr Infos