Datenschutz bei Zoom

Wie auch Sie das Videokonferenztool Zoom datenschutzkonform Nutzen können

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(3 Bewertungen, 5.00 von 5)

Das Wichtigste in Kürze

  • Das Videokonferenztool Zoom (mit Sitz in den USA) bietet hinsichtlich des Datenschutzes seit dem Schrems-II-Urteil des EuGH kein hinreichendes Datenschutzniveau, weshalb Sie zeitnah darauf reagieren müssen, um Abmahnungen zu verhindern.
  • Die Nutzung von Verschlüsselungsoptionen und VPN-Clients kann das Risiko eines uneingeschränkten Zugriffs auf sensible personenbezogene Daten verhindern.
  • Wechseln Sie zu unabhängigen Auftragsverarbeitern, die Zoom auf Servern in der EU betreiben und abrechnen.

Worum geht's?

Wenn es um Videokonferenzen geht, ist das amerikanische Tool Zoom wohl das meistgenutzte auf dem Markt. Da sich die Server von Zoom Video Communications, Inc. in den Vereinigten Staaten befinden, besteht eine rechtliche Lücke zwischen europäischen und US-amerikanischen Datenschutzbestimmungen. Während die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union einen umfassenden Schutz für die sensiblen personenbezogenen Daten der Nutzer bietet, sind die US-Datenschutzgesetze weniger streng. Daten, die von der Europäischen Union in die Vereinigten Staaten fließen, sind für US-Behörden leicht zugänglich, und es gibt keine Möglichkeit für eine gerichtliche Überprüfung gegen den Zugriff auf personenbezogene Daten.


Zwar gilt die DSGVO, wenn der Anwender Zoom in der Europäischen Union (z. B. Deutschland) nutzt. Dies hat jedoch keine Auswirkungen auf die Verarbeitung in den Vereinigten Staaten, da die DSGVO dort nicht gilt und der dortige Datenschutz nicht dem EU-Datenschutzniveau entspricht. Dies stellt ein großes Problem dar, da Benutzer-, Meta- und Inhaltsdaten von Videokonferenzen nicht ausreichend geschützt sind und dem uneingeschränkten Zugriff durch US-Behörden unterliegen. Mit der Entscheidung des Europäischen Gerichtshofs vom 16. Juli 2020 (Schrems II) ist diese Verwendung daher deutlich in die Kritik geraten. Um datenschutzrechtlich auf der sicheren Seite zu sein, finden Sie in diesem Artikel die wichtigsten Voraussetzungen für eine rechtssichere und datenschutzkonforme Nutzung von Zoom (auch außerhalb der Universität).

Anzeige

 

Datenschutzrechtliche Bedenken bei Zoom

Das Vorgehen von Max Schrems gegen das EU-US Privacy Shield hat die Datenschutzwelt erneut erschüttert. Da durch die Entscheidung des Europäischen Gerichtshofs die wichtigste Rechtsgrundlage für die Übermittlung von Daten aus der Europäischen Union in die Vereinigten Staaten weggefallen ist, stellt sich zunehmend die Frage, was mit dem Einsatz von Tools aus den Vereinigten Staaten zu tun ist. Einerseits gilt die DSGVO in den USA nicht, andererseits müssen Anwender bei der Nutzung von Zoom in der EU die DSGVO-Vorgaben einhalten.

Da Nutzer-, Meta- und Inhaltsdaten von Videokonferenzen über das Videokonferenz-Tool Zoom in die USA gesendet und dort verarbeitet werden, können US-Behörden unverhältnismäßigen Zugriff auf diese Daten haben. Dies widerspricht der DSGVO, sodass Sie Gefahr laufen, eine Abmahnung für die Gefährdung der Nutzerdaten Ihrer Kunden oder Mitarbeiter durch eine nicht rechtzeitige Integration datenschutzkonformer Maßnahmen zu erhalten.

Zoom datenschutzkonform nutzen 

In den letzten Wochen hat sich jedoch die Möglichkeit herauskristallisiert, dass Zoom unter der DSGVO rechtskonform verwendet werden kann. Der hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) hat unter Regie des Hessischen Ministeriums für Wissenschaft und Kultur (HMWK) bestimmte Auflagen für die Einbindung und Nutzung von Zoom an Hochschulen veröffentlicht.

Sie können Zoom rechtskonform verwenden, wenn Sie folgendes beachten:

  • Hosten Sie Zoom bei unabhängigen Auftragsverarbeitern in der EU, die Zoom betreiben (SCC Zoom-Hoster) und der Hochschule zur Verfügung stellen.
  • Die Nutzung einer P2P-Verschlüsselung aller Inhaltsdaten sowie die Nutzung eines VPN.
  • Den Abfluss von Studierendendaten in die USA und Zugriff auf solche Daten aus den USA durch technische und organisatorische Maßnahmen verhindern (Pseudonymisierung, lokales Nutzermanagement, Vermeidung von Klarnamen).
  • Die datenminimierenden Voreinstellungen bei Zoom nutzen (Aufzeichnung, Speicherung deaktivieren).
  • Nutzung auf Lehrveranstaltungen beschränken. Bei sonstigen Prozessen, bei denen eine Verarbeitung sensibler personenbezogener Daten erfolgt, ist ein alternatives Videokonferenzsystem zu nutzen (z. B. bei Bewerbungsverfahren, Aufgaben der Hochschulverwaltung u. ä.).
  • Gegebenenfalls ein alternatives System für Lehrpersonal, das nicht auf Zoom arbeiten will, nutzen.
  • Ausführliche sowie leicht zugängliche Informationen zur Datenverarbeitung und zum Schutz der informationellen Selbstbestimmung bereitstellen.

Obwohl sich die Voraussetzungen ausschließlich auf die Nutzung im Hochschulbereich beziehen, ist es möglich, die Voraussetzungen auch auf die Nutzung außerhalb der Hochschule, z. B. zur Kommunikation zwischen Mitarbeitern in Unternehmen und Betrieben oder Kunden, zu übertragen.

Anzeige

Das bedeutet für Sie vor allem folgendes, wenn Sie darüber nachdenken Zoom in Ihrem Unternehmen zu integrieren:

  • Schließen Sie einen Auftragsverarbeitungsvertrag mit einem unabhängigen Anbieter, dessen Hosting ausschließlich in der EU betrieben wird und Ihnen einen Zoom-Server zur Verfügung stellt. So werden keine Daten in die USA versendet.
  • Um Ihre Daten und die Daten Ihrer Mitarbeiter oder Kunden zu schützen, sollten Sie eine P2P-Verschlüsselung nutzen und auf einen VPN-Client zurückgreifen.
  • Nutzen Sie darüber hinaus technische und organisatorische Maßnahmen, wie Pseudonymisierung, und vermeiden Sie die Nutzung von Klarnamen.
  • Zoom bietet datenminimierende Voreinstellungen, die die Aufzeichnung und Speicherung von Daten minimieren. Nutzen Sie diese!
  • Beschränken Sie Zoom auf Teammeetings, auf denen keine sensiblen Informationen ausgetauscht werden. Hinsichtlich sensibler Informationen (z. B. innerhalb von Bewerbungsverfahren oder internen Unternehmensverwaltung) sollten Sie auf alternative Videokonferenzsysteme zurückgreifen.
  • Weigern sich Ihre Mitarbeiter Zoom zu nutzen, steigen Sie auf alternative Systeme um, die eine datenschutzkonforme Sicherheit bieten (z. B. Jitsi Meet oder Nextcloud Talk).
  • Informieren Sie Ihre Mitarbeiter über deren informationelle Selbstbestimmung und zeigen Sie deutlich auf, wie deren Daten verarbeitet werden. So bleiben Sie transparent!

Fazit

Wie Sie sehen, gibt es viele Möglichkeiten, Videokonferenz-Tools unter Einhaltung der Datenschutzbestimmungen zu nutzen und einzubinden. Wenn Sie sich an die von HBDI und HMWK entwickelten Vorgaben halten und versuchen, möglichst viele dieser Empfehlungen einfließen zu lassen, kann die Nutzung von Zoom auch außerhalb der Hochschule funktionieren. So minimieren Sie das Risiko möglicher Abmahnungen und können zudem datenschutzkonform und rechtssicher mit Ihren Mitarbeitern oder Kunden kommunizieren.

Anzeige
Sebastian Lenz
Sebastian Lenz

Sebastian Lenz ist Student und unterstützt nebenbei das eRecht24-Team in der Content-Erstellung von juristischen Beiträgen und Ratgebern. Durch seinen juristischen Background kann er komplizierte Sachverhalte und Themen in eine verständliche Form für die Praxis übertragen, sodass der Leser einen bestmöglichen Mehrwert daraus erhält. Seine Schwerpunkte und Interessen liegen besonders im IT-Recht sowie Strafrecht.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.


Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
CYBERLAW in Südafrika - E-Commerce, Verbraucherschutz, Datenschutz und Haftung
Weiterlesen...
Nutzer-Einwilligung auf Webseiten: Quatsch oder Pflicht?
Weiterlesen...
Private Termine in geschäftlichem Kalender: Dürfen Arbeitgeber mitlesen?
Weiterlesen...
Mahnung und Inkasso: Drohen mit Schufa-Eintrag ist nicht erlaubt
Weiterlesen...
Die 6 gängigsten Cookie Consent Tools
Weiterlesen...
Dashcams: Sind Filmaufnahmen in parkenden Autos erlaubt?
Weiterlesen...
Facebook, Google, Foren & Co.: So löschen Sie Ihren Account
Weiterlesen...
Datenschutz: Was jetzt für Kitas und Schulen wichtig ist
Weiterlesen...
Was Sie zur Geheimhaltungsvereinbarung 2022 wissen müssen
Weiterlesen...
Firmenwebsite: Wann können Mitarbeiter Informationen über sich löschen lassen?
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details
Support