So schnell kann es gehen: Durch die Corona-Pandemie arbeiten seit einige Wochen immer mehr Mitarbeitende aus Sicherheitsgründen im Home-Office. Doch der persönliche und direkte Austausch darf natürlich im Unternehmen nicht fehlen. Videotelefonie-Tools wie zoom, Skype oder Teams (von Microsoft) aber auch Cisco‘s Webex Meetings haben in den letzten Wochen einen absoluten Anstieg der Nutzerzahlen erlebt. Durch die Ausbreitung der Tools in viele Unternehmen, aber auch in Privathaushalte, wurden allerdings auch einige datenschutzrechtliche Lücken gefunden, die besonders den Videokonferenz-Dienst zoom eine starke mediale Kritik beschert hat. Agiert zoom datenschutzkonform und welche Alternativen gibt es zu dem Tool? Dies behandeln wir in diesem Blogbeitrag.
zoom in der Kritik
Gefühlt jeden Tag ist zoom nun in den Medien mit Themen wie Zoombombing, in dem Unbekannte das Zoommeeting mit unangemessenen Inhalten stören oder auch der Weitergabe von Daten an andere Dienste (z. B. Facebook). Das US-Amerikanische Unternehmen kommt durch den Einsatz an die Kapazitätsgrenzen und anscheinend auch in Situationen, die vorher noch nicht da gewesen sind.
Das Zoombombing wurde unter anderem dadurch möglich, dass Meeting-IDs leicht zu erraten sind und somit Unbefugte in die Meetingräume gelangte. Allerdings wurden auch sehr viele Meeting öffentlich in den Sozialen Medien ohne Passwortschutz oder Warteräume gepostet, sodass auch dadurch Unbekannte Zugriff auf die Details der Veranstaltungen erhielten. Hier ist nicht nur mehr Sicherheit des Tool-Unternehmens gefragt, sondern auch mehr Vorsicht im Umgang mit Meetingeinladungen auf Seiten der Benutzer.
zoom und der Datenschutz
Der Kollege Stephan Hansen-Oest (auch bekannt als Datenschutz-Guru) hat in seinem Blogbeitrag beschrieben, dass er die Datenschutzhinweise aus DSGVO und rechtlicher Sicht geprüft hat und alle Ausformulierungen nachvollziehen kann. Ebenfalls sieht er die Rechtsordnungen berücksichtigt, was nicht bei allen Tools der Fall ist. Viele andere Unternehmen bedienen sich in den Datenschutzrichtlinien sehr vagen Formulierungen (könnte, kann, wie nötig, etc.) oder sind nicht vollständig vorhanden. Hier bietet zoom tatsächlich ein umfassenderes Bild.
Das europäische Zentrum für digitale Rechte (noyb) betrachteten die Datenschutzrichtlinien von insgesamt sechs Tools und erstellten einen erschreckenden Vergleich. Doch auch in diesem Bericht geht zoom eindeutig als das, im Hinblick auf den Datenschutz, sicherste Videokonferenzsystem hervor. In den Kategorien Identität und Kontaktdetails des einstellenden Unternehmens, Kontaktdetails des Datenschutzbeauftragten, der Grund, warum Daten erhoben werden, das Recht auf Widerruf der Zustimmung und das Recht, eine Beschwerde einzureichen ist zoom als einziges Tool mit größtenteils zufriedenstellend hervorgegangen.
zooms Reaktion
Neben den klaren und, im Hinblick auf die vorhandenen Alternativen, am besten umgesetzten Datenschutzrichtlinien, ist auch die Reaktion des Unternehmens auf die Sicherheitslücken positiv zu erwähnen. zoom konzentriere sich momentan darauf, die Privatsphäre noch umfänglicher zu schützen und die Sicherheit auszubauen. Hierbei reagierte das Unternehmen beispielsweise auf das mögliche Zoombombing damit, dass standardmäßig Warträume und Passwörter für die Teilnahme an Zoommeetings notwendig werden. In dem digitalen Warteraum müssen Teilnehmende somit manuell vom Meeting-Host freigeschaltet werden, um Zutritt zu erhalten.
Auch hier bleibt zu erwähnen, dass die Funktionen des Passwortschutzes und auch des digitalen Warteraumen bereits vor der Pandemie bei zoom möglich waren, aber noch nicht standardmäßig aktiviert waren. Weitere updates sind geplant.
Alternativen
Neben der Beobachtung von zoom, stehen natürlich auch stets andere Tools im Fokus der Berichtserstattung. Zum momentanen Zeitpunkt sehen wir allerdings keine zufriedenstellende Alternative. Dies zeigt auch der Bericht des europäischen Zentrums für digitales Recht (noyb), bei dem alle Tools in den für den Datenschutz relevanten Kategorien negativ abschnitten.
Selbstverständlich wäre die Nutzung eines Anbieters in der EU bzw. aus dem Europäischem Wirtschaftraum empfehlenswerter, da dieser der DSGVO unterliegen würde. Doch auch hier haben wir keine Empfehlung für eine Alternative.
Die Empfehlung des LITC
Natürlich bleibt es dabei, dass zoom ein US-Dienst ist und aus diesem Grund im Europäischem Raum in Unternehmen keine komplett zufriedenstellende Lösung ist. Doch aus datenschutzrechtlicher Sicht kann zoom zurzeit durch deutsche Unternehmen und auch öffentliche Stellen definitiv eingesetzt werden.
Wir empfehlen einen Auftragsverarbeitungsvertrag mit zoom abzuschließen und die Teilnehmenden an einem Zoommeeting auf die Datenschutzhinweise hinzuweisen. Dies kann in der Einladung zu dem jeweiligen Meeting geschehen und, bei häufiger Tool-Nutzung auch auf die Webseite integriert werden. Unabhängig vom Datenschutz empfehlen wir die Nutzung der Business-Versionen des gewählten Tools, um einen meist höheren Sicherheitsstandard zu erhalten.
Welche Fragen haben Sie zu dem Einsatz von Videotelefonie aus datenschutzrechtlicher Sicht? Sind Sie sich unsicher, wo Sie Ihre Teilnehmenden auf den Einsatz von Videotelefonie und den gegebenen Datenschutzhinweisen informieren müssen? Schreiben Sie uns einfach eine E-Mail: info@litc.de