Zoom auf ungebremstem Wachstumskurs
Das 2011 gegründete Unternehmen mit Sitz in San José, Kalifornien, ist Marktführer für reine Videokonferenzen. Das an der NASDAQ kotierte Unternehmen beschäftigt mittlerweile über 2500 Mitarbeiter und verzeichnete im Jahr 2019 einen Umsatz von USD 622 Mio. Nach Ausbruch der Corona-Pandemie stiegen die Nutzerzahlen nach eigenen Angaben von 10 auf über 200 Mio. Der zentrale Dienst heisst Zoom-Meetings, mit dem sich auf einfache Weise Videokonferenzen abhalten lassen.
Kritik von allen Seiten
Im März und April 2020 häuften sich Medienberichte über Datenschutzverletzungen und Sicherheitslücken. Aufgeschreckt von der Medienberichterstattung eröffnete die Staatsanwaltschaft des Bundesstaats New York ein Verfahren gegen das Unternehmen zwecks Untersuchung der Datenschutz- und Sicherheitspraktiken. Konkret wurden dem Unternehmen die nachfolgend genannten Mängel vorgeworfen. Zoom gelobte Besserung und gab sich nach eigenen Angaben ab Anfang April 90 Tage Zeit, um an den Mängeln zu arbeiten. Seither hat sich einiges getan, wie die folgenden Ausführungen zeigen:
Vorwurf Nr. 1:
«Zoombombing» Zoom sah sich dem Vorwurf ausgesetzt, dass es böswilligen Nutzern viel zu einfach gemacht werde, sich unberechtigt in ein Zoom-Meeting einzuschleichen. Experten zufolge lag dies namentlich an den laschen Voreinstellungen. Zwischenzeitlich hat Zoom einen Teil der Voreinstellungen datenschutzfreundlich ausgestaltet und den Passwortschutz verbessert. Nur wer vom Moderator oder von der Moderatorin zugelassen wird, hat Zugang zu einem Videomeeting.
Vorwurf Nr. 2: Überwachung durch Administrator
Ebenfalls kritisiert wurde die Funktion, mit welcher sich der Administrator anzeigen lassen kann, bei welchen Teilnehmern eines Videomeetings sich das Zoom-Fenster nicht im Vordergrund des Bildschirms befindet. Wenngleich sich diese Funktion für den Fernunterricht durchaus eignet und wohl für jede Lehrperson traumhaft anfühlt, ist sie datenschutzrechtlich bedenklich. Zoom reagierte auf die Kritik und deaktivierte die Voreinstellung. Allerdings ist die Funktion weiterhin verfügbar und kann ohne Wissen der betroffenen Personen durch den Administrator aktiviert werden. Nach DSGVO-Standard müsste für diese Funktion die Einwilligung der User vorliegen, andernfalls gleich mehrere Datenschutzgrundsätze (Transparenzpflicht, Informationspflicht, Privacy by Design) infrage gestellt werden. Die Funktion ist zur Abhaltung eines Videomeetings schlicht nicht notwendig.
Vorwurf Nr. 3: Datenbekanntgabe an Facebook
Zoom gab ohne Wissen der User und ohne Erwähnung in der Datenschutzerklärung Daten an Facebook bekannt, selbst wenn von den betroffenen Personen gar kein Facebook-Account existierte (dies allerdings nur in der iOS-App für Mobilgeräte). Diese Datenweitergabe wurde in der Zwischenzeit gestoppt.
Vorwurf Nr. 4: angeblicher Verkauf von Zugangsdaten für Zoom-Accounts
Mitte April war in den Medien zu lesen, dass eine halbe Million Zoom-Nutzerdaten (u.a. Benutzername, Passwort, E-Mail-Adresse) im Darknet angeboten worden seien. Dies führte zu einem Aufschrei, und nicht wenige Firmen und Bildungsinstitute hielten es für notwendig, die Nutzung von Zoom zu verbieten. Wie sich herausstellte, stammten die Daten offenbar aus anderen Datenlecks ausserhalb von Zoom. Diese Daten wurden aber, wie auch Zoom einräumen musste, durch sogenanntes automatisiertes Ausprobieren («Credential Stuffing») auf Zoom-Servern verwendet. Wenn dies zutreffen sollte, käme Zoom eher die Opferrolle zu. Die Lösung für jeden Zoom-User ist einfach: Man ändert umgehend sein bisheriges Zoom-Passwort.
Vorwurf Nr. 5: fehlende End-to-End-Verschlüsselung
In der Datenschutzerklärung von Zoom wurde eine End-to-End-Verschlüsselung der Daten suggeriert. User durften somit davon ausgehen, dass die Daten auf der gesamten Wegstrecke zwischen den einzelnen Usern verschlüsselt übertragen werden. In Tat und Wahrheit wurden die Daten nur vom einen End-User bis zum Zoom-Server verschlüsselt und von dort wieder weiterverschlüsselt bis zum End-User. Dies bedeutet, dass Mitarbeiter von Zoom theoretisch auf die Daten zugreifen bzw. ein Videomeeting anschauen konnten. Dieses Problem wurde in der Zwischenzeit durch die Einführung einer End-to-End-Verschlüsselung für alle User behoben, sodass Zoom nicht mehr auf die übertragenen Daten zugreifen kann.
Fazit
Zoom nahm die aufkeimende Kritik ernst und löste die vorgenannten Probleme grösstenteils. Namentlich wurden datenschutzfreundliche Voreinstellungen («Privacy by default») getroffen und ein obligatorischer Passwortschutz eingeführt. Auch die Datenschutzerklärung, welche auch auf Deutsch abrufbar ist (siehe https://zoom.us/de-de/ privacy.html#_Toc44414845), wurde entsprechend angepasst. Eine Datenweitergabe zu wirtschaftlichen Zwecken wird von Zoom nun ausdrücklich ausgeschlossen.
Wichtiger Hinweis: EDÖB: Merkblatt Massnahmen zur sicheren Nutzung von Audio- und Videokonferenzlösungen
Der EDÖB empfiehlt in einem Merkblatt Massnahmen zum möglichst sicheren Einsatz von Videokonferenzlösungen. Hierfür werden im Merkblatt Punkte aufgelistet, welche es bei der Vorbereitung und Einführung einer datenschutzkonformen Audio- und Videokonferenzlösung zu beachten gilt. Das Merkblatt ist unter folgender Adresse abrufbar: www.edoeb.admin.ch/edoeb/de/home/ aktuell/aktuell_news.html
Ein weiterer Schritt zur Herstellung der DSGVO-Konformität war die Benennung einer Datenschutzbeauftragten für den EU-Raum. Allerdings, und dies ist verwunderlich, wird in der Datenschutzerklärung lediglich deren Name (Deborah Fay) und eine E-Mail-Adresse mit US-Endung (privacy@zoom.us) angegeben, was wenig Vertrauen erweckt. Angesichts der Bedeutung von Zoom wäre zu erwarten gewesen, dass eine seriöse Geschäftsadresse und eine E-Mail-Adresse aus dem EU-Raum verwendet werden. Ob sich Zoom in jeder Hinsicht DSGVO-konform verhält, wird die Zukunft weisen.
Praxistipp: Wer mit Zoom ein Videomeeting aufzeichnen möchte, hat zwei Möglichkeiten: Die Aufzeichnung kann lokal auf dem eigenen Computer oder Server abgespeichert werden oder in der ZoomCloud.
