INFORMATIONEN

Zoom & Privacy

COVID-19 hat sich nicht auf alle Wirtschaftszweige negativ ausgewirkt. Die Tatsache, dass die Unternehmen ihre Mitarbeiter von zu Hause aus arbeiten ließen, kam den Videokonferenzdiensten zugute. Infolgedessen wurden Videokonferenzen und Online-Sitzungen zur Norm und werden es auch weiterhin bleiben.

Viele Unternehmen waren darauf nur halb vorbereitet. Zoom wird als eines der beliebtesten Videokonferenz-Tools immer beliebter. Obwohl es als zuverlässiges Videotool gilt, wurde seine Datensicherheit in Frage gestellt. Zoom hat sich nun verbessert.

Zoom: Sicherheitslücken, Zoom-Bombing und andere Datenschutzprobleme

Berichten zufolge werden Daten an die so genannte ed Graph API von Facebook gesendet, wenn die Zoom-App auf iOS verwendet und die iOS-App gestartet wird. Die Facebook-API würde Informationen über das Gerät des Nutzers, das Betriebssystem, die Anzeigen-ID, die Zeitzone, die iOS-Sprache und Daten aus dem mobilen Netzwerk erhalten. Medienberichten zufolge wurde das Problem mit einem iOS-Software-Update behoben.

Laut einer weiteren großen Sicherheitslücke, die Zoom vorgeworfen wurde, könnten Dritte Zugang zu willkürlich generierten Meeting-IDs in Videokonferenzen Dritter erhalten und dort beispielsweise sexistisches Material installieren. Dies kam so häufig vor, dass der Begriff „Zoombombing“ geprägt wurde. Zoom wies auf entsprechende Abwehrfunktionen hin, die dies verhindern können. Dazu gehören Warteräume, Passwörter, Stummschaltungseinstellungen und Grenzen für die Bildschirmfreigabe.

Andere Medien kritisierten die Datensicherheit von Zoom unter anderem wie folgt:

  • Eine fehlende Verschlüsselung: Zoom behauptet fälschlicherweise, dass Zoom-Meetings Ende-zu-Ende gesichert sind. Für Video- und Audio-Meetings wird jedoch nur eine Transportverschlüsselung (TLS) verwendet, mit einer Ende-zu-Ende-Verschlüsselung für Chat-Informationen.
  • Die Aufmerksamkeitsverfolgungsfunktion: Der Administrator/Gastgeber des Meetings konnte die Überwachung der Meeting-Teilnehmer im Rahmen eines Features (so genanntes „Attention Tracking“) starten. Eines der Ziele dieser Funktion war es, die aktive Beteiligung der Teilnehmer an Online-Lernkursen für künftige Schulungen zu demonstrieren, wobei ein Nachweis erforderlich war. Der Leiter des Videogesprächs konnte erkennen, wer mit gespannter Aufmerksamkeit vor dem Bildschirm saß (das aktive Fenster im Vordergrund). Aufgrund der erheblichen datenschutzrechtlichen Kontroversen um dieses Setting.
  • Mangelnde Transparenz in der Datenschutzerklärung – nicht nur die Mitteilung darüber, mit welchen Dritten Zoom die gesammelten Daten der Nutzer teilt, sondern auch die Mitteilung darüber, mit welchen Dritten Zoom die gesammelten Daten der Nutzer teilt – war lange Zeit unzureichend.
  • Seitdem hat Zoom auf die fast universelle Kritik reagiert und durch regelmäßige Updates den Datenschutz schrittweise verbessert. Indem Sie die Nutzungsbedingungen akzeptieren und sich für ein Konto bei Zoom registrieren, werden Sie automatisch in den von Zoom unter explore.zoom.us/docs/doc/Zoom GLOBAL AVV.pdf angebotenen Auftragsverarbeitungsvertrag einbezogen (unter Klausel 19 der Nutzungsbedingungen).

    Kunden mit einer Premium-Version von Zoom konnten die Rechenzentrumsregion auswählen. So können diese Kunden auswählen, durch welchen Rechenzentrumsbereich ihr Echtzeit-Datenverkehr für Meetings und Webinare unter ihrem Konto geleitet wird.

    Die Öffentlichkeit hingegen wartet immer noch auf den versprochenen Transparenzbericht, der konkrete Angaben zu Daten, Datensätzen und inhaltlichen Standards enthalten soll. Immerhin kann sich jeder Interessierte einen 90-Tage-Statusbericht über die umgesetzten Sicherheitsmaßnahmen ansehen.

    Zoom hat mit seinen jüngsten Verbesserungen bewiesen, dass es im Gegensatz zu vielen großen Unternehmen auf die ernsthafte internationale (Datenschutz-)Kritik gehört und reagiert hat. Darüber hinaus hat Zoom in Zusammenarbeit mit Keybase eine millionenschwere Investition in die IT-Sicherheit getätigt. Was bedeutet das für den Einsatz von Zoom am Arbeitsplatz?

    Verwendung von Zoom am Arbeitsplatz

    Schalten Sie Ihre IT-Abteilung und Ihren Datenschutzbeauftragten ein, wenn Sie Zoom in Ihrem Unternehmen einsetzen wollen, denn nur richtig eingestellte Funktionen können datenschutzrechtlich zulässig sein. Zoom kann jetzt an Ihrem Arbeitsplatz verwendet werden, wenn die folgenden Bedingungen erfüllt sind:

  • Verwenden Sie die kostenpflichtige Version.
  • Vergewissern Sie sich, dass alle Benutzer die neueste Version verwenden.
  • Legen Sie den Serverstandort in Europa fest.
  • In der Datenschutzerklärung Ihrer Website müssen Sie Informationen über die Nutzung von Zoom und das Drittland, in dem die Daten durch das Tool verarbeitet werden (je nach Serverstandort!), für die externe Kommunikation, z. B. mit Kunden, angeben. (Siehe Auftragsverarbeitungsvertrag und Privacy-Shield-Zertifizierung oder EU-Standardvertragsbestimmungen für weitere Informationen).
  • Entscheiden Sie sich dafür, Ihre Daten (z. B. Aufzeichnungen von Videokonferenzen) auf dem Server Ihres Unternehmens und nicht auf Ihrem eigenen Computer zu speichern.
  • Verwenden Sie die Aufzeichnungsfunktion nur, wenn alle Beteiligten ihre Zustimmung gegeben haben.
  • Um das Zoomen zu erschweren, senden Sie die Einladungs-URL getrennt vom Zugangspasswort.
  • Wenn alle Teilnehmer anwesend sind, weisen Sie den Konferenzleiter an, die Besprechung abzuschließen, damit keine unbefugten Personen sie stören können.
  • Datenverarbeitung im Rahmen von COVID-19

    Vor dem Hintergrund der weltweiten Ausbreitung von COVID-19 äußert sich Andrea Jelinek, Präsidentin des Europäischen Datenschutzausschusses, in einer aktuellen Stellungnahme wie folgt: Datenschutzvorschriften (wie die

    mehr »

    Zoom & Privacy

    COVID-19 hat sich nicht auf alle Wirtschaftszweige negativ ausgewirkt. Die Tatsache, dass die Unternehmen ihre Mitarbeiter von zu Hause aus arbeiten ließen, kam den Videokonferenzdiensten

    mehr »