Kann man Zoom noch nutzen? Worauf bei Videokonferenzdiensten zu achten ist

„Tausendundeine Nacht....und es hat ZOOM gemacht!"

Zoom dürfte es auch in der Kasse des gleichnamigen Videokonferenz-Dienstes in den letzten Wochen gemacht haben. Während die Arbeitswelt in Teilen kollabiert, zehntausende Firmen Kurzarbeit anmelden und die Arbeitslosenzahlen in die Höhe schießen, gibt es doch auch einzelne Firmen, die es weniger hart trifft.

Das sind insbesondere Unternehmen, die sich rechtzeitig der Digitalisierung - Stichwort Homeoffice - gewidmet haben oder auf widrige Umstände flexibel reagieren können. Entsprechend gibt es auch klare Gewinner in dieser Zeit; und so beschert die Corona-Krise insbesondere Zoom, Skype & Co. einen wahrhaft goldenen Frühling.

Wer von einer Krise so enorm profitiert, wie Zoom (von etwa 10 Millionen täglichen Nutzern im Dezember 2019 auf 200 Millionen im März 2020), der wird auch kritisch beäugt. So einem Ansturm muss man erstmal gewachsen sein. Und so trübten Ende März plötzlich dunkle Wolken die Szenerie. Es hieß, Elon Musk habe dem Space-X-Team die Nutzung von Zoom verboten. Und auch das FBI und die NASA würden von einer Nutzung strikt absehen. Was war geschehen?

Die Vorwürfe: Zoom, die Datenkrake

Zoom warb ursprünglich mit einem hohen Maß an Sicherheit und Wahrung der Privatsphäre. Hier wurde insbesondere die sog. End-to-End-Verschlüsselung (E2E) betont, was bedeutet, dass die Entschlüsselung nur die jeweiligen Meeting-Teilnehmer vornehmen können. Pikant: Eine E2E-Verschlüsselung lag gar nicht vor. Tatsächlich bestand lediglich eine sog. Transportverschlüsselung (TLS), die Zoom-Mitarbeitern sogar vereinzelt Datenzugriff erlaubte. Die Mitbewerber waren natürlich über diesen Marketing-Fake besonders erbost, denn dieses Täuschen über angeblich vorhandene Sicherheitsvorkehrungen hat Zoom natürlich viele Kunden  auf die Website gespült.

Schließlich ergab sich darüber hinaus aber eine ganze Liste von Unregelmäßigkeiten, die mehr oder weniger große Unsicherheiten erzeugten. So beispielsweise

  • der Vorwurf, Nutzungsdaten an Facebook weiterzugeben (ohne Einverständnis oder Hinweis in den Datenschutzbestimmungen),
  • das sog. Zoom-Bombing, also das Einklinken Fremder in nicht passwort-gesicherte Meetings, deren ID - wie auch immer - bekannt geworden war oder
  • die Möglichkeit, unbemerkt die Kamera auf iOS-Geräten zu manipulieren.

Zoom räumt Fehler ein und bessert nach

In einer Stellungnahme des CEO von Zoom, Eric Yuan, betont dieser, dass in den kommenden Wochen zunächst keine weiteren Neuerungen eingeführt werden. Stattdessen wolle man sich komplett etwaigen Sicherheits- und Privatsphäremängeln widmen, entsprechende Lücken schließen und testen, ob es womöglich noch weitere gibt. Außerdem sollen Transparenzberichte eingeführt werden, die dokumentieren, welche Daten vom Unternehmen an die Regierung weitergegeben werden.

Als eine der ersten Maßnahmen wurden virtuelle Warteräume eingeführt. Besucher müssen dort vom Host erst freigeschaltet werden, bevor sie am Meeting teilnehmen können. Zusätzlich ist ein Passwort einzugeben, das mit der Einladungsnachricht verschickt wurde. Auch die Weitergabe von Daten an Facebook soll zukünftig unterbunden werden. Doch kaum ist eine Lücke geschlossen, tut sich eine nächste auf. Und so las man vor einigen Tagen Berichte über 500.000 Zoom-Passwörter, die im Darknet aufgetaucht seien (jedoch aus einem älteren Hack). So ändert sich die Lage ständig. Ob bzw. inwieweit Zoom jetzt letztlich die o.g. Mängel alle behebt und wie sich die konkrete Sicherheits- und Datenschutzsituation dann gestaltet, bleibt abzuwarten.

Kann man denn Zoom derzeit überhaupt noch datenschutzkonform nutzen?

Darüber streiten sich die Fachleute. Teils werden wegen vorgenannter Punkte Bedenken geäußert und die Nutzung in einigen Firmen von den jeweiligen IT- oder Rechtsabteilungen kategorisch abgelehnt. Teils heißt es aber auch, man könne Zoom durchaus nutzen, solange man die Probleme mit der Verschlüsselung im Hinterkopf behalte. Schließlich habe es in den letzten Jahren auch bei anderer Software Sicherheitsmängel gegeben. Man solle zumindest beachten, dass man keine besonders sensiblen Themen (z.B. Personelles) bespricht.

Die Datenschützer sind wenig hilfreich

Und so fehlt am Ende doch wieder eine konkrete, insbesondere eine datenschutzrechtlich verbindliche Leitlinie. Das liegt einerseits daran, dass sich die Situation schnell verändert. Erst kommen Gerüchte auf, irgendwann erhärten sie sich, werden teils wieder kleingeredet und bevor man sich überhaupt ein Bild gemacht hat, wurde seitens des Konzerns nachgebessert und die Situation ist schon wieder eine neue.

Ein anderer Punkt ist, dass selbst einige Datenschützer ihre Materie nicht so recht zu durchdringen scheinen. Wenn man sich all die Datenschutzhinweise (gern mit „FAQ“ betitelt) der Behörden zur Durchführung von Video-Meetings durchliest, bekommt man zumindest diesen Eindruck. Die Texte sind wenig hilfreich. Einerseits sind sie umständlich formuliert und wirken dabei, als hätte jemand einfach nur versucht, die einschlägigen Bestimmungen in eigenen Worten wiederzugeben. Andererseits beziehen sie sich in der Regel gerade nicht auf die derzeit meistgenutzten Videokonferenz-Tools und deren Nutzbarkeit oder sie verlieren sich im Allgemeinen und untermauern etwaige Empfehlungen nicht juristisch wasserdicht.

Konkret werden einige Datenschützer erst in den Medien. So warnte der Hamburger Datenschutzbeauftragte im Handelsblatt vor Zoom, war bei der Begründung aber wieder recht pauschal. Ungünstig nur, dass der Artikel hinter einer Bezahlschranke liegt, man aber auf der entsprechenden Behördenseite der Hanseaten unter dem Suchbegriff „Zoom“ auch keinen Beitrag zur aktuellen Situation findet.

Kann ich Zoom nutzen oder nicht? Die große Verwirrung!

Und so sind Bürger und Unternehmen verwirrt. Abstrakt gewarnt, googlen sie sich durch all die Artikel, vermissen jedoch die nachvollziehbare und verbindliche behördliche Einschätzung und Vorgabe. Doch die virtuelle Besprechung mit dem Kunden oder das lang anberaumte Meeting in der großen Runde der Mitarbeiter stehen vor der Tür. Und so ist man sich letztlich doch wieder selbst überlassen und fragt sich: Lassen wir's ganz oder machen wir einfach weiter? Zoom haben doch Millionen Leute benutzt. Und sogar die Ministerien! Dann kann ich das ja auch noch ein paar Tage weiter nutzen.

Letztlich haben die ohnehin schon schwer angeschlagenen Firmen kaum eine Wahl, denn irgendwie müssen die Mitarbeiter ja miteinander kommunizieren. Oder sollte man wieder auf die Telefonkonferenz zurückgeworfen werden? Auch Universitäten und Schulen sind betroffen. Alle bewegen sich mit Zoom auf datenschutzrechtlich dünnem Eis. Doch was tun, wenn konkrete Anweisungen behördlicherseits fehlen? Einige werden sich sagen: Was nicht konkret verboten wurde, kann man nutzen. Andere wiederum hoffen vielleicht auf eine gewisse Milde oder Nachsicht der Behörden angesichts der besonderen Lage. Befriedigend ist das Alles nicht. Doch was ist die Alternative?

Microsoft Teams, Google Hangouts, Skype & Co. -

Woran messen sich Alternativen zu Zoom?

Videokonferenz-Tools gibt es viele, daher hier ein paar Grundsätzlichkeiten. Bei der Wahl von Videokonferenz-Software sollte man sich möglichst für den Dienst mit den datenschutzfreundlichsten Einstellungen entscheiden. Diese beinhalten u.a.:

  • Die Übertragung in verschlüsselter Form.
  • Die Erlaubnis zur gewerblichen Nutzung (ggf. prüfen, ob Bezahlversionen den besseren Datenschutz gewährleisten).
  • Bei Aufzeichnung: Notwendigkeit der Freigabe, also eines expliziten Einverständnisses.
  • Löschung von Gesprächsprotokollen nach Ende des Meetings.

Datenschutz: Der Zweck heiligt nicht alle Mittel

Auch bei den selbst konfigurierten Einstellungen ist auf Datenschutzfreundlichkeit zu achten. Bei sämtlichen Aktivitäten rund um Tracking, Sharing, Protokollierung und Aufzeichnung sollten man prüfen, was davon wirklich erforderlich ist. Dazu sollte man sich folgende Fragen stellen:

  • Welchen Zweck soll die Funktion erfüllen? Beispiel: Wortgetreue Protokollierung einer Konferenz.
  • Erfüllt die Funktion diesen Zweck hinreichend?
  • Kann man diesen Zweck auch auf anderem - datenschutzfreundlicherem - Wege erreichen? Es könnte ja jemand auch händisch Protokoll führen, das wäre jedoch aufwändiger und ungenauer.

Insofern müssen Funktion, spezifischer Einsatzzweck und Erforderlichkeit im Einzelfall untersucht und abgewogen werden.

Einen guten Überblick zu den gängigen Anbietern samt Funktionen findet Ihr hier.

Schließlich muss man festhalten, dass man konkrete Aussagen zur rechtlichen Einordnung derzeit nur schwer treffen kann. Es werden verschiedene Meinungen vertreten und darüber hinaus ändert sich die Lage schnell. Hinzu kommt, dass - wie so oft - stets der Einzelfall betrachtet werden muss, z.B. in welchem Zusammenhang (privat, mit Mitarbeitern, gegenüber Verbrauchern, Patienten oder Mandanten) und wie der jeweilige Dienst genutzt (via Desktop oder App) wird. Dennoch hoffe ich, dass Euch der Artikel etwas weiterhilft. Für Fragen oder Beratung stehe ich Euch selbstverständlich zur Verfügung.

Hier noch abschließend ein paar Tipps:

  • Diensteauswahl EU vs. USA: Bei zwei gleichwertigen Diensten sollte man im Zweifel den Dienst aus der EU wählen, der die DSGVO berücksichtigt. Bei der Wahl eines Dienstes aus einem Drittland (also außerhalb der EU) , sollte das Niveau des Datenschutzes dem in Europa entsprechen. Dazu gibt es seitens der EU konkrete Feststellungen (sog. Angemessenheitsbeschlüsse) für einige Länder. Wenn es ein Unternehmen aus den USA sein soll, gibt es das sog. "Privacy Shield"-Zertifikat, das für ein akzeptables Datenschutzniveau steht.
  • Stets auf datenschutzfreundlichste Einstellungen einer Funktion zur individuellen Zweckerreichung achten!
  • Wenn Ihr Eure Geschäftspartner zu einem virtuellen Meeting einladet, solltet Ihr schriftlich darauf hinweisen, dass Ihr dafür Zoom (oder die jeweilige Alternative) nutzen werdet. Eure Datenschutzerklärung muss einen entsprechenden Passus enthalten.

Bei weiteren Fragen zum Thema Digitalisierung und Datenschutz beraten wir Euch gerne und entwickeln für Euch das richtige Konzept. Gerne auch per Video-Call ;-)

Und keine Sorge, wir weisen darauf hin, bevor Kosten für unsere Tätigkeit entstehen!

Texte: Julia Torner

Zurück

nach oben
Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklärst du dich damit einverstanden, dass wir Cookies verwenden Mehr Infos