Zoom: Datenschutz bei Online-Meetings

Wie auch Sie das Videokonferenztool Zoom datenschutzkonform nutzen können

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(17 Bewertungen, 4.12 von 5)

Das Wichtigste in Kürze

  • Nutzen Sie für Videokonferenzen Zoom, ist zu beachten, dass das Tool nicht automatisch ein hinreichendes Datenschutzniveau bietet.
  • Um Zoom datenschutzkonform zu nutzen, müssen Sie aktiv werden und Maßnahmen ergreifen.
  • Zu den Maßnahmen zählen die Auswahl datenschutzfreundlicher Einstellungen, der Abschluss eines AV-Vertrages sowie die Anpassung Ihrer Datenschutzerklärung.

Worum geht's?

Wenn es um Videokonferenzen geht, ist das amerikanische Tool Zoom nicht mehr wegzudenken. Da der Hauptsitz von Zoom Video Communications, Inc. in den Vereinigten Staaten liegt, ist bei der Verwendung von Zoom jedoch Vorsicht geboten. Befinden sich die Server in den USA, bedeutet dies auch einen Transfer von personenbezogenen Daten ins EU-Ausland. In unserem Artikel stellen wir Ihnen die wichtigsten Voraussetzungen zusammen, damit Sie Zoom DSGVO-konform nutzen können.

 

1. Was ist Zoom und wozu wird es verwendet?

Besonders im Rahmen der Corona-Pandemie erfreute sich Zoom großer Beliebtheit. Die Nutzerzahlen schossen durch die Decke. Das Tool war in Klassenzimmern, Vorlesungen und bei Meetings in Unternehmen nicht mehr wegzudenken. Online-Seminare, Webinare, virtuelle Meetings und Unterricht konnten so komplett online stattfinden.

Auch jetzt nach der Pandemie sind die Beliebtheit und die Nutzerzahlen geblieben und Zoom ist aus dem Alltag nicht mehr wegzudenken. An die meisten Universitäten ist der Präsenzunterricht zwar wieder zurückgekehrt und Meetings in Unternehmen finden wieder vor Ort in den Geschäftsräumen statt. Doch auf die Nutzung von Zoom möchte niemand mehr verzichten.

So nutzen viele Unternehmen den Dienst mittlerweile für die internationale Kommunikation mit Kunden und Geschäftspartnern. Aber auch im Homeoffice und bei Unternehmen mit mehreren Standorten sind Zoom Meetings fest in den Arbeitsalltag integriert. Durch die Pandemie konnten sich auch neue Unternehmensmodelle auf dem Markt etablieren und die Zahl an Online-Coachings, Online-Kursen und Weiterbildungen ist merklich gestiegen.

Im Zusammenhang mit Zoom sollten Unternehmer allerdings nicht nur beim Thema Datenschutz vorsichtig sein. Auch wenn Zoom in vielen Fällen den Arbeitsalltag erleichtert, gab es in der Vergangenheit dennoch Fälle, in denen das Programm zweckentfremdet wurde. Dazu zählte zum Beispiel vermehrtes Zoom Bombing oder unbefugtes Mitschneiden von Chats und Webinaren. Vereinzelte Unternehmen untersagten Ihren Mitarbeitern daraufhin die Teilnahme an Meetings per Zoom, da sie um den Schutz der Mitarbeiterdaten besorgt waren.

WUSSTEN SIE'S?

Zoom bombing liegt vor, wenn jemand unerwünscht in ein Meeting oder eine Unterhaltung eindringt, um zu stören und zu unterbrechen.

2. Datenschutzrechtlicher Hintergrund von Zoom-Meetings

Während die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union einen umfassenden Schutz für die sensiblen personenbezogenen Daten der Nutzer bietet, sind die US-Datenschutzgesetze weniger streng. Deshalb wurde das alte Datenschutzabkommen zwischen der EU und den USA (EU-US Privacy Shield) 2020 vom EuGH gekippt.

Denn: Die USA bot kein der EU der Sache nach gleichwertiges Datenschutzniveau für personenbezogene Daten von EU-Bürgern. Nach dem gescheiterten EU-US Privacy Shield Abkommen haben sich die Europäische Kommission und US-Präsident Joe Biden 2023 auf einen neuen transatlantischen Datenschutzrahmen geeinigt. Das Data Privacy Framework ist am 10.07.2023 in Kraft getreten und ermöglicht nun wieder einen sicheren Datentransfer in die USA. 

Rechtlich zulässig ist der Datentransfer aber nur an US-Unternehmen, die an dem Abkommen teilnehmen. Amerikanische Unternehmen müssen zunächst ein Selbstzertifizierungsverfahren durchlaufen, um auf die DPF Liste aufgenommen zu werden.

Auch wenn eine Datenübertragung aufgrund erfolgter Zertifizierung des Anbieters zulässig ist, ist die Nutzung von Zoom nicht automatisch DSGVO-konform.

Zum Beitrag

LESE-TIPP

Weitere Informationen zum Data Privacy Framework sowie eine Übersicht zum Zertifizierungsstatus der am meisten angefragten Tools finden Sie in unserem Artikel “Privacy Shield 2.0: Datentransfer in die USA”.

Zum Beitrag

Obwohl die DSGVO gilt, wenn der Anwender Zoom in der Europäischen Union (z. B. Deutschland) nutzt, hat dies jedoch keine Auswirkungen auf die Verarbeitung in den Vereinigten Staaten, da die DSGVO als europäische Verordnung dort keine Anwendung findet.

Datenschützer bemängelten besonders vor Inkrafttreten des neuen Data Privacy Framework den unzureichenden Schutz von Benutzer-, Meta- und Inhaltsdaten von Videokonferenzen.

Auch nach Inkrafttreten des DPF sind Kritiker nicht verstummt und bemängeln Zugriffsmöglichkeiten der US-Behörden auf personenbezogene Daten.

3. US-Datenschutzniveau bei Video-Konferenzen über Zoom

Doch was bedeutet das neue Data Privacy Framework für die Nutzung von Zoom?

Nachdem der Europäische Gerichtshof die zuvor bestehenden Angemessenheitsbeschlüsse für ungültig erklärt hatte, war eine zulässige Nutzung von Programmen und Tools mit Servern in den USA nur schwer möglich.

Da die DSGVO-Vorgaben von Unternehmen in Europa auch bei einer Datenübertragung in den außereuropäischen Raum eingehalten werden müssen, mussten zusätzliche Maßnahmen von den Unternehmen getroffen werden. Hierzu zählen der Abschluss von Standardvertragsklauseln (SCC) und im Rahmen eines Transfer Impact Assessments (TIA) die Vornahme einer eigenen Bewertung des Schutzniveaus für Datenübermittlung.

Für zertifizierte Unternehmen sind diese organisatorischen Maßnahmen nun nicht mehr notwendig. Liegt keine Zertifizierung vor, müssen die zuvor genannten Maßnahmen getroffen werden. Die Zertifizierung können Sie der offiziellen DPF-Liste entnehmen.

Zoom Video Communications, Inc. wird als aktiv zertifiziert gelistet [Stand: 07.02.2024].

4. Zoom datenschutzkonform nutzen 

Da eine Datenübertragung in die USA aufgrund der Zertifizierung zulässig ist, sind ein Abschluss von Standardvertragsklauseln sowie die Risikoeinschätzung im Rahmen des Transfer Impact Assessments (TIA) nicht mehr notwendig. Da sich die rechtliche Lage jedoch ändern kann, gehen Sie auf Nummer sicher, wenn Sie nach Möglichkeit weiterhin auf SCC und TIA zurückgreifen. 

Premium Mitglied werden

eRecht24 Premium für Dienstleister und Unternehmen

  • Inhalte, Muster und Verträge zum Data Privacy Framework
  • Tools wie die Praxis-Checkliste zum DPF
  • Live-Webinare und Know-How für rechtssicheres Business
Premium Mitglied werden

Sie nutzen Zoom in Ihrem Unternehmen und fragen sich jetzt, welche Maßnahmen Sie zusätzlich ergreifen können, um Zoom DSGVO-konform zu nutzen?

Sowohl bei kostenlosen als auch kostenpflichtigen Konten kann eine end-to-end-Verschlüsselung aktiviert werden. Die Verschlüsselung wird durch die Geräte der Teilnehmer hergestellt und kann daher nicht durch Zoom-Server entschlüsselt werden. Über die Kontoeinstellung kann die end-to-end-Verschlüsselung entweder als Standardverschlüsselung oder für bestimmte Meetings, die sensible Daten enthalten, ausgewählt werden.

Haben Sie schon von einer Peer-to-Peer-Verbindung gehört? Diese kann in einem Zoom Meeting von zwei Personen aktiviert werden und führt dazu, dass die Daten nicht erst über die Zoom Cloud gehen, sondern direkt zwischen den Teilnehmern weitergeleitet werden. Hierdurch kann sich auch die Qualität von Zoom-Meetings verbessern.

Daneben gibt es weitere Einstellungen, die Sie standardisiert für alle Meetings einstellen können oder jeweils aktiv für einzelne Meetings auswählen.

Hierzu zählen die Fernsteuerung von Kameras, die Mikrofoneinstellungen, Live-Streaming-Optionen, Remote-Unterstützung, Einrichtung eines Warteraums und Meeting-Passwörter. Auch kann die Aufzeichnungsfunktion als Standardeinstellung deaktiviert werden, sodass sie auch nicht vom jeweiligen Moderator aktiviert werden kann. Generell darf eine Aufzeichnung nur mit Einwilligung der Teilnehmer erfolgen, um keine Urheber- oder Persönlichkeitsrechte zu verletzen.

Auch bei der Anfertigung von Screenshots ist Vorsicht geboten. Verwenden Sie Zoom in Ihrem Unternehmen, sollten Sie Schulungen zum Umgang mit Zoom für Ihre Mitarbeiter anbieten.

Schützen Sie Ihre IP Adresse durch Nutzung eines VPN und deaktivieren Sie die private Chat Funktion. Weisen Sie Mitarbeiter im Homeoffice darauf hin, dass Sie Ihre Privatsphäre durch Einstellen eines virtuellen Hintergrunds oder durch Verwischen des Hintergrunds schützen können.

PRAXIS-TIPP

Seit dem 14. Juli 2022 bietet Zoom die Ende-zu-Ende-Verschlüsselung für Ihr Online-Meeting an. Ist die Ende-zu-Ende-Verschlüsselung aktiviert, müssen alle Teilnehmer vom Zoom Client über den Desktop, die Zoom App oder von Zoom Rooms aus beitreten. Per Telefon, über Drittanbieter-Clients oder den Zoom Web Client ist die Ende-zu-Ende-Verschlüsselung nicht möglich.

5. Checkliste für datenschutzkonforme Zoom-Meetings im Unternehmen

Damit Sie Zoom in Ihrem Online-Business oder Unternehmen sorgenfrei nutzen können, haben wir Ihnen die wichtigsten Maßnahmen für datenschutzkonforme und rechtssichere Online-Meetings in einer Checkliste zusammengestellt. 

Checkliste
Maßnahmen für eine datenschutzkonforme Einbindung von Zoom in Ihr Unternehmen: 
  • Behalten Sie die Zertifizierung nach dem DPF von Zoom Video Communications, Inc. im Blick. Der Anbieter ist nach dem DPF zertifiziert [Stand: 07.02.2024].
  • Schließen Sie für die Nutzung von Zoom einen Auftragsverarbeitungsvertrag mit einem unabhängigen Anbieter ab, dessen Hosting ausschließlich in der EU betrieben wird und Ihnen einen Zoom-Server zur Verfügung stellt. So wird die Verarbeitung personenbezogener Daten durch das Versenden in die USA verhindert.
  • Um Ihre personenbezogenen Daten und die Daten Ihrer Mitarbeiter oder Kunden zu schützen, sollten Sie eine P2P-Verschlüsselung nutzen und auf einen VPN-Client zurückgreifen.
  • Nutzen Sie darüber hinaus technische und organisatorische Maßnahmen, wie die Pseudonymisierung, und vermeiden Sie die Nutzung von Klarnamen. Zur Dokumentation der TOMs können Sie unser Datenschutz-Management-System auf eRecht24 Premium nutzen.
  • Zoom bietet datenminimierende Voreinstellungen, die die Aufzeichnung und Speicherung von Daten minimieren. Nutzen Sie diese!
  • Bieten Sie Schulungen für Ihre Mitarbeiter zur datenschutzkonformen Verwendung von Zoom an.
  • Sollen Videokonferenzen aufgezeichnet werden, müssen Einwilligungen der Teilnehmer eingeholt werden.
  • Teilnahme-Links und Screenshots von Zoom-Meetings sollten niemals auf Social-Media-Plattformen geteilt werden. 
  • Weigern sich Ihre Mitarbeiter Zoom zu nutzen, steigen Sie auf alternative Systeme um, die eine datenschutzkonforme Sicherheit bieten (z. B. Jitsi Meet oder Nextcloud Talk).
  • Informieren Sie Ihre Mitarbeiter über deren informationelle Selbstbestimmung und zeigen Sie deutlich auf, wie deren personenbezogene Daten verarbeitet werden. So bleiben Sie transparent!

 

Grundsätzlich können Sie Zoom kostenfrei nutzen. Empfehlenswert ist dies für Unternehmen allerdings nicht.

Neben der Beschränkung eines Zoom-Meetings auf 40 Minuten, sind die notwendigen DSGVO-Einstellungen nur bei einem kostenpflichtigen Account möglich. Hinweis: alle Teilnehmenden sollten die aktuelle Version von Zoom nutzen.

Sören Siebert
Sören SiebertRechtsanwalt

6. Fazit zum Thema Datenschutz bei Zoom

Wie Sie sehen, gibt es viele Möglichkeiten, Videokonferenz-Tools unter Einhaltung der Datenschutzbestimmungen zu nutzen und einzubinden.

Wenn Sie die Vorgaben der Datenschutz Grundverordnung umsetzen, kann Zoom als Tool rechtssicher in den Arbeitsalltag integriert werden. So minimieren Sie das Risiko möglicher Abmahnungen und können zudem datenschutzkonform und rechtssicher mit Ihren Mitarbeitern oder Kunden via Zoom kommunizieren.

7. FAQ – Zoom-Datenschutz

Auf welche meiner Daten hat Zoom Zugriff?

Trotz sämtlicher Nachbesserungen sammelt Zoom Daten, die für das Unternehmen von Interesse sind. Dabei handelt es sich um personenbezogene Daten wie den Namen des Administrators und seine Konto-ID, sein Bild, seine E-Mail-Adresse, seine Kontakte und ggf. sogar seine Kalenderdaten.

Zudem speichert Zoom Einstellungs-Informationen wie Audio- und Videopräferenzen oder den Konfigurationsstatus, die mit einem Zoom-Konto verknüpft sind. Auch die Geräte der Zoom-Nutzer sind für das Unternehmen von Interesse. Dazu werden WLAN-Status, Akkustand, IP-Adresse, Festplatten-ID, PC-Name, MAC-Adresse und die Version der Betriebssysteme gespeichert.

Was macht Zoom mit meinen Daten?

Zoom nutzt Ihre gesammelten personenbezogenen Daten für unterschiedliche Zwecke. Dazu zählen beispielsweise die Bereitstellung von Zoom-Produkten und -Funktionen, Produktforschung und Produktentwicklung, Marketingzwecke oder die Kundenkommunikation.

Lieber Browser oder Zoom-App nutzen?

In Hinblick auf den Datenschutz, kann es ratsam sein, Zoom über den Browser zu nutzen. Es werden so weniger Daten in Bezug auf die verwendeten Geräte erhoben. Obwohl im Client mehr Daten über die eingesetzten Geräte gesammelt werden, funktioniert das Tool hierüber problemloser.

Das Thema Datenschutz spielt jedoch nicht nur bei der Nutzung von Videokonferenz-Tools eine Rolle, sondern auch beim Einrichten einer Unternehmenswebsite. Wir von eRecht24 unterstützen Sie hierbei mit unseren Premium-Tools und Generatoren und sichern Ihre Website ab. 

Website absichern

eRecht24 Premium für Webseitenbetreiber, Dienstleister und kleine Unternehmen

  • Generatoren, AGB, Muster & Verträge
  • Cookie Consent Tool & Premium Scanner
  • Live-Webinare und Know-How
Website absichern

 

Katharina Steinröder
Katharina Steinröder, Ass. jur.
Legal Writerin

Katharina Steinröder ist Volljuristin und seit 2023 als Legal Writerin Teil des Redaktionsteams von eRecht24. Während Ihres Studiums hat sie sich vertieft mit strafrechtlichen Themen auseinandergesetzt. Bei eRecht24 schreibt sie vor allem Inhalte mit Bezug zum Internet- und Datenschutzrecht. Zusätzlich zu Ihrer Tätigkeit als Legal Writerin arbeitet sie als nebenamtliche Dozentin im öffentlichen Recht.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details