Zoom: Datenschutz bei Online-Meetings

Wie auch Sie das Videokonferenztool Zoom datenschutzkonform nutzen können

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(8 Bewertungen, 4.38 von 5)

Das Wichtigste in Kürze

  • Das Videokonferenztool Zoom (mit Sitz in den USA) bietet hinsichtlich des Datenschutzes seit dem Schrems-II-Urteil des EuGH kein hinreichendes Datenschutzniveau, weshalb Sie zeitnah darauf reagieren müssen, um Abmahnungen zu verhindern.
  • Nutzen Sie Verschlüsselungsoptionen und VPN-Clients! So können Sie das Risiko eines uneingeschränkten Zugriffs auf sensible personenbezogene Daten verhindern.
  • Wechseln Sie zu unabhängigen Auftragsverarbeitern, die Zoom auf Servern in der EU betreiben und abrechnen.

Worum geht's?

Wenn es um Videokonferenzen geht, ist das amerikanische Tool Zoom wohl das meistgenutzte auf dem Markt. Da sich die Server von Zoom Video Communications, Inc. in den Vereinigten Staaten befinden, besteht eine rechtliche Lücke zwischen europäischen und US-amerikanischen Datenschutzbestimmungen. Eine rechtssichere und vor allem datenschutzkonforme Nutzung des Tools Zoom ist daher nicht immer gegeben. In unserem Artikel stellen wir Ihnen die wichtigsten Voraussetzungen zusammen, damit Sie Zoom DSGVO-konform nutzen können.

 

Was ist Zoom und wozu wird es verwendet?

Besonders im Rahmen der Corona-Pandemie erfreut sich Zoom großer Beliebtheit. Die Nutzerzahlen schossen durch die Decke. Das Tool war in Klassenzimmern, Vorlesungen und bei Meetings in Unternehmen nicht mehr wegzudenken. Online-Seminare, Webinare, virtuelle Meetings und Unterricht kann so komplett online stattfinden.

Aufgrund der Pandemie mussten auch Hochschulen und Universitäten auf den Präsenzunterricht verzichten. Via Zoom können aber dank der Videokonferenzen weiterhin Seminare oder Vorlesungen problemlos stattfinden. In Zusammenhang mit dem Datenschutz war die Nutzung von Zoom allerdings immer mit Vorsicht zu genießen. Das Hessische Ministerium für Wissenschaft und Kultur hat nun allerdings Auflagen für die datenschutzkonforme Einbindung und Nutzung von Zoom an Hochschulen veröffentlicht.

Datenschutzrechtlicher Hintergrund von Zoom-Meetings

Während die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union einen umfassenden Schutz für die sensiblen personenbezogenen Daten der Nutzer bietet, sind die US-Datenschutzgesetze weniger streng. Daten, die von der Europäischen Union in die Vereinigten Staaten fließen, sind für US-Behörden leicht zugänglich. Es gibt keine Möglichkeit für eine gerichtliche Überprüfung gegen den Zugriff auf personenbezogene Daten.

Obwohl die DSGVO gilt, wenn der Anwender Zoom in der Europäischen Union (z. B. Deutschland) nutzt, hat dies jedoch keine Auswirkungen auf die Verarbeitung in den Vereinigten Staaten, da die DSGVO dort nicht gilt und der dortige Datenschutz nicht dem EU-Datenschutzniveau entspricht.

Dies stellt ein großes Problem dar, da Benutzer-, Meta- und Inhaltsdaten von Videokonferenzen nicht ausreichend geschützt sind und der Datenübermittlung sowie dem uneingeschränkten Zugriff durch US-Behörden unterliegen. Mit der Entscheidung des Europäischen Gerichtshofs vom 16. Juli 2020 (Schrems II) ist diese Verwendung daher deutlich in die Kritik geraten.

Geringes US-Datenschutzniveau bei Video-Konferenzen über Zoom

Das Vorgehen von Max Schrems gegen das EU-US Privacy Shield hat die Datenschutzwelt erneut erschüttert. Da durch die Entscheidung des Europäischen Gerichtshofs die wichtigste Rechtsgrundlage für die Übermittlung von Daten aus der Europäischen Union in die Vereinigten Staaten weggefallen ist, stellt sich zunehmend die Frage, was mit dem Einsatz von Tools aus den Vereinigten Staaten zu tun ist. Einerseits gilt die DSGVO in den USA nicht, andererseits müssen Anwender bei der Nutzung von Zoom in der EU die DSGVO-Vorgaben einhalten.

Da Nutzer-, Meta- und Inhaltsdaten von Videokonferenzen über das Videokonferenz-Tool Zoom in die USA gesendet und dort verarbeitet werden, können US-Behörden unverhältnismäßigen Zugriff auf diese Daten haben. Dies widerspricht der DSGVO. Sie laufen daher Gefahr, eine Abmahnung für die Gefährdung der Nutzerdaten Ihrer Kunden oder Mitarbeiter durch eine nicht rechtzeitige Integration datenschutzkonformer Maßnahmen zu erhalten.

Zoom datenschutzkonform nutzen 

In den letzten Wochen hat sich jedoch die Möglichkeit herauskristallisiert, dass Sie gemäß DSGVO Zoom rechtskonform verwenden können. Der hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) hat unter Regie des Hessischen Ministeriums für Wissenschaft und Kultur (HMWK) bestimmte Auflagen für die Einbindung und Nutzung von Zoom an Hochschulen veröffentlicht.

Sie können Zoom für ein Online-Meeting oder im Rahmen von Webinaren rechtskonform verwenden, wenn Sie folgendes beachten:

  • Hosten Sie ein Zoom-Meeting bei unabhängigen Auftragsverarbeitern in der EU, die Zoom betreiben (SCC Zoom-Hoster) und der Hochschule zur Verfügung stellen.
  • Die Nutzung einer P2P-Verschlüsselung aller Inhaltsdaten sowie die Nutzung eines VPN.
  • Den Abfluss von Studierendendaten in die USA und Zugriff auf solche personenbezogenen Daten aus den USA durch technische und organisatorische Maßnahmen verhindern (Pseudonymisierung, lokales Nutzermanagement, Vermeidung von Klarnamen).
  • Die datenminimierenden Voreinstellungen bei Zoom nutzen (Aufzeichnung, Speicherung deaktivieren).
  • Nutzung auf Lehrveranstaltungen beschränken. Bei sonstigen Prozessen, bei denen eine Verarbeitung sensibler personenbezogener Daten erfolgt, sollten Sie ein alternatives Videokonferenzsystem nutzen (z. B. bei Bewerbungsverfahren, Aufgaben der Hochschulverwaltung u. ä.).
  • Gegebenenfalls ein alternatives System für Lehrpersonal, das nicht auf Zoom arbeiten will, nutzen.
  • Ausführliche sowie leicht zugängliche Informationen zur Datenverarbeitung und zum Schutz der informationellen Selbstbestimmung bereitstellen.

Praxis-Tipp:

Seit dem 14. Juli 2022 bietet Zoom die Ende-zu-Ende-Verschlüsselung für Ihr Online-Meeting an. Ist die Ende-zu-Ende-Verschlüsselung aktiviert, müssen alle Teilnehmer vom Zoom Client über den Desktop, die Zoom App oder von Zoom Rooms aus beitreten. Per Telefon, über Drittanbieter-Clients oder den Zoom Web Client ist die Ende-zu-Ende-Verschlüsselung nicht möglich.

Checkliste für datenschutzkonforme Zoom-Meetings im Unternehmen

Obwohl sich die Voraussetzungen ausschließlich auf die Nutzung im Hochschulbereich beziehen, können wir die Voraussetzungen auch auf die Nutzung außerhalb der Hochschule, z.B. zur Kommunikation zwischen Mitarbeitern in Unternehmen und Betrieben oder Kunden übertragen.

Checkliste
Das bedeutet für Sie vor allem folgendes, wenn Sie darüber nachdenken Zoom in Ihrem Unternehmen zu integrieren:
  • Schließen Sie für die Nutzung von Zoom einen Auftragsverarbeitungsvertrag mit einem unabhängigen Anbieter, dessen Hosting ausschließlich in der EU betrieben wird und Ihnen einen Zoom-Server zur Verfügung stellt. So wird die Verarbeitung personenbezogener Daten durch das Versenden in die USA verhindert.
  • Um Ihre personenbezogenen Daten und die Daten Ihrer Mitarbeiter oder Kunden zu schützen, sollten Sie eine P2P-Verschlüsselung nutzen und auf einen VPN-Client zurückgreifen.
  • Nutzen Sie darüber hinaus technische und organisatorische Maßnahmen, wie Pseudonymisierung, und vermeiden Sie die Nutzung von Klarnamen.
  • Zoom bietet datenminimierende Voreinstellungen, die die Aufzeichnung und Speicherung von Daten minimieren. Nutzen Sie diese!
  • Beschränken Sie das Tool auf Zoom-Meetings, auf denen keine sensiblen Informationen ausgetauscht werden. Hinsichtlich sensibler Informationen (z. B. innerhalb von Bewerbungsverfahren oder internen Unternehmensverwaltung) sollten Sie auf alternative Videokonferenzsysteme zurückgreifen.
  • Weigern sich Ihre Mitarbeiter Zoom zu nutzen, steigen Sie auf alternative Systeme um, die eine datenschutzkonforme Sicherheit bieten (z. B. Jitsi Meet oder Nextcloud Talk).
  • Informieren Sie Ihre Mitarbeiter über deren informationelle Selbstbestimmung und zeigen Sie deutlich auf, wie deren personenbezogene Daten verarbeitet werden. So bleiben Sie transparent!

Grundsätzlich können Sie Zoom kostenfrei nutzen. Empfehlenswert ist dies für Unternehmen allerdings nicht. Neben der Beschränkung eines Zoom-Meetings auf 40 Minuten, sind die notwendigen DSGVO-Einstellungen nur bei einem kostenpflichtigen Account möglich. Hinweis: alle Teilnehmenden sollten die aktuelle Version von Zoom nutzen.

Sören Siebert
Sören SiebertRechtsanwalt

Fazit zum Thema Datenschutz bei Zoom

Wie Sie sehen, gibt es viele Möglichkeiten, Videokonferenz-Tools unter Einhaltung der Datenschutzbestimmungen zu nutzen und einzubinden. Wenn Sie sich an die von HBDI und HMWK entwickelten Vorgaben halten und versuchen, möglichst viele dieser Empfehlungen einfließen zu lassen, kann die Nutzung von Zoom auch außerhalb der Hochschule funktionieren. So minimieren Sie das Risiko möglicher Abmahnungen und können zudem datenschutzkonform und rechtssicher mit Ihren Mitarbeitern oder Kunden via Zoom kommunizieren.

FAQ – Zoom-Datenschutz

Auf welche meiner Daten hat Zoom Zugriff?

Trotz sämtlicher Nachbesserungen sammelt Zoom Daten, die für das Unternehmen von Interesse sind. Dabei handelt es sich um personenbezogene Daten wie der Name des Administrators und seine Konto-ID, sein Bild, seine E-Mail-Adresse, seine Kontakte und ggf. sogar seine Kalenderdaten.

Zudem speichert Zoom Einstellungs-Informationen wie Audio- und Videopräferenzen oder den Konfigurationsstatus, die mit einem Zoom-Konto verknüpft sind. Auch die Geräte der Zoom-Nutzer sind für das Unternehmen von Interesse. Dazu werden WLAN-Status, Akkustand, IP-Adresse, Festplatten-ID, PC-Name, MAC-Adresse und die Version der Betriebssysteme gespeichert.

Was macht Zoom mit meinen Daten?

Zoom nutzt Ihre gesammelten personenbezogenen Daten für unterschiedliche Zwecke. Dazu zählt beispielsweise die Bereitstellung von Zoom-Produkten und -Funktionen, Produktforschung und Produktentwicklung, Marketingzwecke oder die Kundenkommunikation.

Lieber Browser oder Zoom-App nutzen?

In Hinblick auf den Datenschutz, kann es ratsam sein, Zoom über den Browser zu nutzen. Es werden so weniger Daten in Bezug auf die verwendeten Geräte erhoben. Allerdings kann so die Funktion des virtuellen Hintergrundes – vor allem im Homeoffice zum Schutz der Privatsphäre – nicht genutzt werden. Obwohl im Client mehr Daten über die eingesetzten Geräte gesammelt werden, funktioniert das Tool hierüber problemloser.

Wie Sie sehen, gibt es viele Möglichkeiten, Videokonferenz-Tools unter Einhaltung der Datenschutzbestimmungen zu nutzen und einzubinden. Wenn Sie sich an die von HBDI und HMWK entwickelten Vorgaben halten und versuchen, möglichst viele dieser Empfehlungen einfließen zu lassen, kann die Nutzung von Zoom auch außerhalb der Hochschule funktionieren. So minimieren Sie das Risiko möglicher Abmahnungen und können zudem datenschutzkonform und rechtssicher mit Ihren Mitarbeitern oder Kunden kommunizieren.

Caroline Schmidt
Caroline Schmidt

Caroline Schmidt ist Online-Redakteurin und bei eRecht24 für Content und SEO zuständig. Als Legal Writer kümmert sie sich um die Aktualisierung bestehender Beiträge und bereitet sowohl alte als auch neue Texte verständlich auf. Nach ihrem Studium der Medienbildung konnte sie bereits erste redaktionelle Erfahrung in verschiedenen Rechtsgebieten z. B. Arbeits-, Verkehrs- und Familienrecht sammeln.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.


Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
Social Media Guidelines: Wie kommunizieren Ihre Mitarbeiter bei Facebook & Co?
Weiterlesen...
Erstellen Sie kostenlos Ihr Impressum: der eRecht24 Impressums-Generator ist online
Weiterlesen...
Die 10 häufigsten Fehler bei der Eröffnung eines Online-Shops
Weiterlesen...
Datenschutz: Was jetzt für Kitas und Schulen wichtig ist
Weiterlesen...
DSGVO und Datenschutzmanagement: Darauf müssen Sie bei der Wahl Ihrer Datenschutzsoftware achten
Weiterlesen...
Rechtssicher in der Cloud: Ihre Daten bei Dropbox, iCloud, Google Drive & Co
Weiterlesen...
Home Office wegen Corona: Was Unternehmer und Mitarbeiter zu Datenschutz und Arbeitsrecht beachten müssen (mit Generator...
Weiterlesen...
Firmenwebsite: Wann können Mitarbeiter Informationen über sich löschen lassen?
Weiterlesen...
Viren, Trojaner, Phishing und Co: 10 Regeln zum Schutz Ihrer Daten
Weiterlesen...
EuGH erklärt Privacy-Shield-Abkommen für ungültig
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details
Support