Infolge der Corona-Krise sind viele Arbeitnehmer im Home-Office. Meetings müssen in digitale Räume mit Online-Videokonferenzsoftware verlagert werden. Ebenfalls werden derzeit viele Bewerbungsgespräche online über Videokonferenzsoftware durchgeführt. Wir zeigen auf, was datenschutzrechtlich bei der Nutzung von ZOOM zu beachten ist.
Was ist Zoom?
Zoom ist eine Videokonferenzsoftware mit vielen Zusatzfeatures. Neben klassischen Videokonferenzen kann ZOOM auch Videos aufnehmen oder Notizen verwalten. Teilnehmer können interaktiv eine „Hand heben“ und Ihre Gesprächsbereitschaft anzeigen. Der Veranstalter kann Sie dann live zuschalten wie bei einer Nachrichten-Liveschaltung. Bildschirminhalte z.B. von Power-Point-Präsentationen können geteilt werden. Während der Videokonferenz kann auch gechattet werden oder Dateien wie beispielsweise PDF-Dateien an alle Teilnehmer gesendet werden. Ebenfalls kann man sich über eine Telefonnummer bei Zoom auch ohne mobiles Endgerät mit dem Telefon einwählen. In ZOOM sind zu diesem Zweck ca. 100 Zusatzfunktionen verfügbar, die vom Veranstalter der Videokonferenz an- oder abgeschaltet werden können. Dies führt dazu, dass sich Online-Konferenzen immer weniger von Präsenz-Meetings unterscheiden.
Warum benutzen viele Unternehmen Zoom?
Die Vorteile von Zoom liegen in der zentralen Steuermöglichkeit von ZOOM. Unternehmen, die ZOOM verwenden, steuern als „Host“ bzw. Leiter die Videokonferenz. Der „Host“ kann die Videokonferenzsoftware zentral steuern. Es ist möglich eine Präsentation oder Vorlesung vorzutragen, bei denen die Zuhörer Fragen stellen können. Die Zuhörer können als Live-Video eingeblendet werden und Fragen über ihr eigenes Mikrofon stellen. Dies wirkt sehr professionell und erinnert an eine Liveschaltung in einer Nachrichtensendung.
Der „Host“ hat auch die Möglichkeit, die Funktionen von ZOOM zu konfigurieren, aktivieren und zu deaktivieren. So kann den Nutzern die Funktionen der Software gezielt an- und abgeschaltet werden. Die Aufnahme und Speicherung einer Konferenz als Video kann beispielsweise nicht gewünscht sein. Der „Host“ kann dann die Funktionen zur Aufnahme vor der Konferenz ausschalten.
Ebenfalls ist keine eigene Server-Infrastruktur der Nutzer notwendig. Das Unternehmen muss keine hochtechnisierten Server zur Verfügung stellen, um Video-Dienste in Echtzeit anbieten zu können. Es sind somit Videokonferenzen mit sehr hoher Nutzerzahl möglich. ZOOM tritt weiterhin in Konkurrenz zu self-hosted Videokonferenz-Software auf. Bei selbst gehosteter Videokonferenz-Software wie z.B. Jitsi ist die Videokonferenz-Software auf den eigenen Servern des Unternehmens installiert. Eine Live-Videoübertragung kann jedoch je nach Nutzeranzahl sehr kapazitätsintensiv werden. Normalerweise können bei solcher Software bei kleinen Servern maximal 10-15 Personen an einer Konferenz teilnehmen. Ebenfalls kann es zu Verbindungsabbrüchen und Fehlern kommen. Hosting-Server werden vom Hoster meistens unter mehreren Kunden aufgeteilt. Entsprechend können die Server auch insgesamt ausgelastet sein. Die Kapazitätsauslastung der IT-Server sind für Unternehmen nur schwer planbar.
Ist Zoom wegen Sicherheitslücken und Datenschutzproblemen überhaupt in Europa datenschutzkonform?
ZOOM ist in letzter Zeit negativ in Bezug auf den Datenschutz in Erscheinung getreten. Probleme gab es unter anderem mit der Verschlüsselung der Daten von Zoom. Hacker konnten Videokonferenzen kapern („ZOOM-Bombing“) und Sex-Videos während der Live-Konferenz von Unternehmen abspielen. ZOOM leitete auch unberechtigt Daten an Facebook weiter.
Bis Ende März wurde bei jedem Start der iOS-Version eine Identifizierungsnummer des Nutzers, den Standort des Geräts inklusive Zeitzone und Daten über das verwendete Mobilfunknetz an Facebook weitergeleitet.
(Zitat: ZDF: Software für Videokonferenzen-Mit „Zoom“ in die Sicherheitslücken, Peter Welchering, 09.05.2020 16:10 Uhr, https://www.zdf.de/nachrichten/wirtschaft/coronavirus-videokonferenz-zoom-100.html, zuletzt abgerufen am 25.05.2020 10:30Uhr)
Seit Anfang April soll der Datentransfer an Facebook eingestellt sein.
Da ZOOM nicht selbst gehostet wird, fehlen umfassende Eingriffsmöglichkeiten. Der „Host“ hat zwar einerseits über ZOOM gewisse Kontrollmöglichkeiten über die verschiedenen Funktionen. Er hat andererseits als datenschutzrechtlich Verantwortlicher gemäß Art. 4 Abs. 7 DSGVO einen beschränkten Einfluss auf die Datenverarbeitung durch Zoom. Er kann nur begrenzt überwachen und muss sich zwingend an die Angaben von Zoom halten und auf die Datenschutzkonformität vertrauen.
Weitere Probleme ergeben sich aus der Herkunft von ZOOM in den USA. Die ZOOM Video Communications, Inc. hat ihren Sitz in Kalifornien. Aus diesem Grund ist die datenschutzrechtliche Legitimation schwieriger problematischer als bei einem Unternehmen mit Sitz in der EU. ZOOM ist jedoch Privacy-Shield zertifiziert und bietet Standardvertragsklauseln an. Eine datenschutzkonforme Verwendung von Zoom ist zumindest möglich. Es müssen allerdings zahlreiche weitere datenschutzrechtliche Vorgaben beachtet werden. Eine Zusammenfassung der notwendigen Schritte finden Sie im Folgenden:
Welche Schritte müssen datenschutzrechtlich umgesetzt werden?
(Projekt Rechtsinformationsstelle Digitale Hochschule NRW, Leitung: Prof. Thomas Hoeren, Bearbeiter: Julian Albrecht und Malin Fischer Owen McGrath, Nicolas John, Maximilian Wellmann Forschungsstelle Recht im DFN, 20. Mai 2020, Fragestellung: Können Universitäten für den Lehr- und Arbeitsbetrieb den Videokonferenzdienst des Unternehmens Zoom Inc. DSGVO-konform anbieten? Wenn ja, was ist bei der Auswahl und Einrichtung von Zoom zu beachten?)
1. Bewusstsein schaffen: Wer Zoom als Host benutzt, ist Verantwortliche/r i.S.d. Art. 4 Nr. 7 DSGVO
Den Verantwortliche/n treffen die Pflichten zur Überwachung der ZOOM-Software. Sofern die Datenverarbeitung des Unternehmens mit Zoom nicht datenschutzkonform erfolgt, muss der/die Verantwortliche hierfür gegenüber den Datenschutzbehörden der Länder haften.
Als Verantwortliche/r sollten Sie somit die nachfolgenden Vorgaben einhalten und eng mit Ihrem Datenschutzbeauftragten bzw. Ihrer IT-Abteilung zusammenarbeiten. So können technische Umsetzung und datenschutzrechtliche Aufklärung gewährleistet werden.
2. Vor der Verwendung von ZOOM: Abwägung, ob ZOOM wirklich die passende Videokonferenzsoftware ist
Sofern Sie Zoom benutzen möchten, sollten Sie intern abwägen, ob es die richtige Videokonferenzsoftware für Ihr Unternehmen ist. Hierbei sollten die datenschutzrechtlichen Belange der Art. 25 Abs. 1, 28 Abs. 1 DSGVO beachtet und in den Abwägungsprozess einbezogen werden. Der Abwägungsprozess sollte dokumentiert werden. Lassen Sie hierzu Ihre IT-Abteilung in Absprache mit dem Datenschutzbeauftragten prüfen, welche ZOOM-Funktionen Sie benutzen möchten. Der Datenschutzbeauftragte sollte die datenschutzrechtlichen Probleme der einzelnen Funktionen von ZOOM prüfen.
Wägen Sie danach ab, die Datenschutzargumente gegenüber den Argumenten für die Funktionalität der Software überwiegen (Abwägungsentscheidung).
Beispielargumente für eine Interessenabwägung, angelehnt an Art. 25, 28 DSGVO:
(Projekt Rechtsinformationsstelle Digitale Hochschule NRW, Leitung: Prof. Thomas Hoeren, Bearbeiter: Julian Albrecht und Malin Fischer Owen McGrath, Nicolas John, Maximilian Wellmann Forschungsstelle Recht im DFN, 20. Mai 2020, Fragestellung: Können Universitäten für den Lehr- und Arbeitsbetrieb den Videokonferenzdienst des Unternehmens Zoom Inc. DSGVO-konform anbieten? Wenn ja, was ist bei der Auswahl und Einrichtung von Zoom zu beachten?)
| Datenschutz | ZOOM |
| Die Videokonferenzsoftware muss dem derzeitigen Stand der Technik entsprechen | ZOOM wird mit Version 5.0 eine AES 256-Bit-CGM-Verschlüsselung anbieten und so dem unberechtigten Zugriff entgegenwirken, hat eine andere Videokonferenzsoftware einen gleichen Schutz? |
| Implementierungskosten einer neuen Videokonferenzsoftware | ZOOM als Dienst ist kostengünstiger als eine selbst gehostete, keine hohe Server-Infrastruktur notwendig |
| Art, Umfang, Umstände und Zwecke der Verarbeitung durch die Videokonferenzsoftware | ZOOM bietet zahlreiche Features und kann mit guter Bildqualität eine Videokonferenz mit einer hohen Anzahl von Teilnehmern gleichzeitig übertragen; Ist der Einsatz von ZOOM überhaupt bei einer geringen Teilnehmerzahl wie bei üblichen Unternehmensbesprechungen (3-8 Personen) notwendig? Hier könnte auch auf self-hosted Videokonferenzsoftware ausgewichen werden. |
| Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen | Abwägung der mit ZOOM übertragenen Daten muss erfolgen; Werden besondere Kategorien von personenbezogenen Daten übertragen? ZOOM sollte bei sensiblen Daten nicht verwendet werden. |
| Vorliegen hinreichender Garantien von dem Auftragsverarbeitern für die Durchführung und das Vorhalten geeigneter technischer und organisatorischer Maßnahmen zur DSGVO-konformen Datenverarbeitung | ZOOM ist Privacy-Shield zertifiziert; Es kann eine Art AVV abgeschlossen werden („Data Processing Addendum“); Es ist möglich, datenschutzrechtlich problematische Features durch den „Host“ abschalten zu lassen; Ein Warteraum kann aktiviert werden mit aktiver Zugangskontrolle durch den Host; Meeting kann gesperrt werden um späteren Teilnehmern Zugang zu verweigern; Verdächtige Nutzer können ZOOM gemeldet werden; Kennwortschutz |
| Fachwissen, Zuverlässigkeit, Ressourcen des Auftragsverarbeiters | Sie sollten diesbezüglich eng mit einem internen oder externen Datenschutzbeauftragten zusammenarbeiten; Die IT-Abteilung sollte den Betrieb von Zoom überwachen und bei Problemen frühzeitig agieren. |
Diese Interessenabwägung soll somit dazu dienen, sich den Gefahren von ZOOM bewusst zu werden. Ggf. führt die Interessenabwägung auch dazu, sich nicht für ZOOM zu entscheiden.
Wir empfehlen grundsätzlich ZOOM nur zu verwenden, wenn die Zusatzfeatures, gerade bei der großen Anzahl an Teilnehmern gebraucht wird. Ist dies nicht der Fall, empfehlen wir self-hosted Opensource-Programme wie z.B. Jitsi zu verwenden.
3. Abschluss des Auftragsverarbeitungsvertrags mit ZOOM
ZOOM stellt unter seinem Benutzeraccount eine Art Vertrag zur Auftragsverarbeitung (AV-Vertrag) zur Verfügung. Dieser AV-Vertrag muss mit ZOOM abgeschlossen werden. Diesbezüglich sollte Ihr Datenschutzbeauftragter den AV-Vertrag überprüfen und bei Problemen mit der Haftung einzelne Klauseln direkt mit ZOOM aushandeln. Hierzu kann auch auf externe juristische Beratung zurückgegriffen werden.
4. Zusätzlicher Abschluss von Standardvertragsklauseln sinnvoll?
Der AV-Vertrag von ZOOM kann von einem weiteren Vertrag ergänzt werden. Es handelt sich um einen Vertrag mit Standardvertragsklauseln. Die Standardvertragsklauseln regeln eine Datenverarbeitung nach EU-Standards. Eine Unterzeichnung dieses Vertrags kann aktuell sinnvoll sein. Wird der Vertrag nicht unterzeichnet, basiert die Rechtsgrundlage alleine auf dem EU-US-Privacy-Shield-Abkommen. Derzeit plant jedoch die EU-Kommission schon aus dem Privacy-Shield-Abkommen auszusteigen, da die Vorgaben nicht eingehalten werden.
5. Deaktivierung der datenschutzrechtlich problematischen Funktionen von ZOOM
ZOOM hat zahlreiche datenschutzrechtlich problematische Funktionen. Hierzu zählt beispielsweise das Aktivitätstracking. Das Aktivitätstracking soll den „Host“ vor nicht aktiven Nutzern warnen. Hierdurch soll der Host darauf aufmerksam gemacht werden, wenn ein Teilnehmer nicht mehr aktiv am Meeting teilnimmt. Bei diesem Aktivitätstracking werden Daten wie IP-Adresse und Standort gespeichert und zumindest an den Host weitergeleitet.
Meetings sollten mit Passwort geschützt sein. Ratsam ist die Aktivierung des Warteraums mit aktiver Zutrittskontrolle.
Bei der Aktivierung von ZOOM-Funktionen sollten Sie den Grundsatz der Datensparsamkeit beachten und nur die für Sie notwendigen Funktionen aktivieren.
6. Datenschutzerklärung für die Nutzung von ZOOM
Sie sollten eine anwaltlich geprüfte Datenschutzerklärung erstellen lassen. Die Nutzer von ZOOM müssen über alle datenschutzrechtlichen Belange aufgeklärt werden. Denkbar ist auch die Ausweitung der Datenschutzerklärung der Internetseite auf Videokonferenzsoftware. Auf diese Weise muss eine weitere Datenschutzerklärung nicht zusätzlich erstellt werden. Ebenfalls sollte das Datenverarbeitungsverzeichnis gemäß Art. 30 DSGVO aktualisiert werden.
7. Mitarbeiter-Handling, Einwilligung
Die Nutzer von ZOOM sollten mit dem Umgang der Software geschult werden. Insbesondere muss auf die Gefahr von nicht beabsichtigten Videoübertragungen aufgeklärt werden. Hierbei kann es ratsam sein, Webcams abzukleben und nur im Bedarfsfall anzuschalten. Die gilt vor allem für Mitarbeiter ohne Erfahrung mit Live-Konferenzen.
Die Teilnehmer der Videokonferenz müssen über die Aktivitäten von ZOOM aufgeklärt werden. Wir empfehlen vor der Verwendung von besonderen ZOOM-Funktionen die Nutzer diesbezüglich auch in der Videokonferenz aufzuklären und aktiv darin einwilligen zu lassen, dass die Funktion genutzt wird. Beispielsweise sollte vor einer beabsichtigten Aufnahme der Videokonferenz nachgefragt werden, ob die Nutzer hierin einverstanden sind.
Fazit:
ZOOM hat die Qualität von Videokonferenzen verbessert. Die gröbsten datenschutzrechtlichen Probleme wurden von ZOOM zwar behoben. Dennoch ist ZOOM aus datenschutzrechtlicher Sicht erst ab einer höheren Teilnehmerzahl sinnvoll. Unternehmen müssen bei der Verwendung von ZOOM datenschutzrechtliche Belange berücksichtigen. Die IT-Abteilung und der Datenschutzbeauftragte des Unternehmens sollten alle vorgenannten Schritte zur datenschutzkonformen Verwendung durchführen. Hierzu gehören insbesondere die Abwägungsentscheidung, der AV-Vertrag, die Standardvertragsklauseln und die Deaktivierung von datenschutzrechtlich problematischen Funktionen.
Falls Sie eine Webseite oder einen Online-Shop betreiben und Ihren Internetauftritt effektiv, nachhaltig gegen teure Bußgelder und Abmahnungen absichern möchten, stehen wir Ihnen mit unserem Website-Check bzw. unserem Paket für einen rechtssicheren Online-Shop gerne zur Seite. Sie erhalten von uns die auf Ihre Webseite angepassten Rechtstexte (Impressum, DSGVO-konforme Datenschutzerklärung, Widerrufsbelehrung, Muster-Widerrufsformular). Diese müssen Sie dann nur noch auf Ihrer Seite einpflegen. Darüber hinaus prüft ein spezialisierter Rechtsanwalt Ihre Seite, selbstverständlich inklusive Haftungsübernahme.