Worum geht's?
Wenn es um Videokonferenzen geht, ist das amerikanische Tool Zoom nicht mehr wegzudenken. Da der Hauptsitz von Zoom Video Communications, Inc. in den Vereinigten Staaten liegt, ist bei der Verwendung von Zoom jedoch Vorsicht geboten. Befinden sich die Server in den USA, bedeutet dies auch einen Transfer von personenbezogenen Daten ins EU-Ausland. In unserem Artikel stellen wir Ihnen die wichtigsten Voraussetzungen zusammen, damit Sie Zoom DSGVO-konform nutzen können.
1. Was ist Zoom und wozu wird es verwendet?
Besonders im Rahmen der Corona-Pandemie erfreute sich Zoom großer Beliebtheit. Die Nutzerzahlen schossen durch die Decke. Das Tool war in Klassenzimmern, Vorlesungen und bei Meetings in Unternehmen nicht mehr wegzudenken. Online-Seminare, Webinare, virtuelle Meetings und Unterricht konnten so komplett online stattfinden.
Auch jetzt nach der Pandemie sind die Beliebtheit und die Nutzerzahlen geblieben und Zoom ist aus dem Alltag nicht mehr wegzudenken. An die meisten Universitäten ist der Präsenzunterricht zwar wieder zurückgekehrt und Meetings in Unternehmen finden wieder vor Ort in den Geschäftsräumen statt. Doch auf die Nutzung von Zoom möchte niemand mehr verzichten.
So nutzen viele Unternehmen den Dienst mittlerweile für die internationale Kommunikation mit Kunden und Geschäftspartnern. Aber auch im Homeoffice und bei Unternehmen mit mehreren Standorten sind Zoom Meetings fest in den Arbeitsalltag integriert. Durch die Pandemie konnten sich auch neue Unternehmensmodelle auf dem Markt etablieren und die Zahl an Online-Coachings, Online-Kursen und Weiterbildungen ist merklich gestiegen.
Im Zusammenhang mit Zoom sollten Unternehmer allerdings nicht nur beim Thema Datenschutz vorsichtig sein. Auch wenn Zoom in vielen Fällen den Arbeitsalltag erleichtert, gab es in der Vergangenheit dennoch Fälle, in denen das Programm zweckentfremdet wurde. Dazu zählte zum Beispiel vermehrtes Zoom Bombing oder unbefugtes Mitschneiden von Chats und Webinaren. Vereinzelte Unternehmen untersagten Ihren Mitarbeitern daraufhin die Teilnahme an Meetings per Zoom, da sie um den Schutz der Mitarbeiterdaten besorgt waren.
WUSSTEN SIE'S?
Zoom bombing liegt vor, wenn jemand unerwünscht in ein Meeting oder eine Unterhaltung eindringt, um zu stören und zu unterbrechen.
2. Datenschutzrechtlicher Hintergrund von Zoom-Meetings
Während die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union einen umfassenden Schutz für die sensiblen personenbezogenen Daten der Nutzer bietet, sind die US-Datenschutzgesetze weniger streng. Deshalb wurde das alte Datenschutzabkommen zwischen der EU und den USA (EU-US Privacy Shield) 2020 vom EuGH gekippt.
Denn: Die USA bot kein der EU der Sache nach gleichwertiges Datenschutzniveau für personenbezogene Daten von EU-Bürgern. Nach dem gescheiterten EU-US Privacy Shield Abkommen haben sich die Europäische Kommission und US-Präsident Joe Biden 2023 auf einen neuen transatlantischen Datenschutzrahmen geeinigt. Das Data Privacy Framework ist am 10.07.2023 in Kraft getreten und ermöglicht nun wieder einen sicheren Datentransfer in die USA.
Rechtlich zulässig ist der Datentransfer aber nur an US-Unternehmen, die an dem Abkommen teilnehmen. Amerikanische Unternehmen müssen zunächst ein Selbstzertifizierungsverfahren durchlaufen, um auf die DPF Liste aufgenommen zu werden.
Auch wenn eine Datenübertragung aufgrund erfolgter Zertifizierung des Anbieters zulässig ist, ist die Nutzung von Zoom nicht automatisch DSGVO-konform.
LESE-TIPP
Weitere Informationen zum Data Privacy Framework sowie eine Übersicht zum Zertifizierungsstatus der am meisten angefragten Tools finden Sie in unserem Artikel “Privacy Shield 2.0: Datentransfer in die USA”.
Obwohl die DSGVO gilt, wenn der Anwender Zoom in der Europäischen Union (z. B. Deutschland) nutzt, hat dies jedoch keine Auswirkungen auf die Verarbeitung in den Vereinigten Staaten, da die DSGVO als europäische Verordnung dort keine Anwendung findet.
Datenschützer bemängelten besonders vor Inkrafttreten des neuen Data Privacy Framework den unzureichenden Schutz von Benutzer-, Meta- und Inhaltsdaten von Videokonferenzen.
Auch nach Inkrafttreten des DPF sind Kritiker nicht verstummt und bemängeln Zugriffsmöglichkeiten der US-Behörden auf personenbezogene Daten.
3. US-Datenschutzniveau bei Video-Konferenzen über Zoom
Doch was bedeutet das neue Data Privacy Framework für die Nutzung von Zoom?
Nachdem der Europäische Gerichtshof die zuvor bestehenden Angemessenheitsbeschlüsse für ungültig erklärt hatte, war eine zulässige Nutzung von Programmen und Tools mit Servern in den USA nur schwer möglich.
Da die DSGVO-Vorgaben von Unternehmen in Europa auch bei einer Datenübertragung in den außereuropäischen Raum eingehalten werden müssen, mussten zusätzliche Maßnahmen von den Unternehmen getroffen werden. Hierzu zählen der Abschluss von Standardvertragsklauseln (SCC) und im Rahmen eines Transfer Impact Assessments (TIA) die Vornahme einer eigenen Bewertung des Schutzniveaus für Datenübermittlung.
Für zertifizierte Unternehmen sind diese organisatorischen Maßnahmen nun nicht mehr notwendig. Liegt keine Zertifizierung vor, müssen die zuvor genannten Maßnahmen getroffen werden. Die Zertifizierung können Sie der offiziellen DPF-Liste entnehmen.
Zoom Video Communications, Inc. wird als aktiv zertifiziert gelistet [Stand: 07.02.2024].
4. Zoom datenschutzkonform nutzen
Da eine Datenübertragung in die USA aufgrund der Zertifizierung zulässig ist, sind ein Abschluss von Standardvertragsklauseln sowie die Risikoeinschätzung im Rahmen des Transfer Impact Assessments (TIA) nicht mehr notwendig. Da sich die rechtliche Lage jedoch ändern kann, gehen Sie auf Nummer sicher, wenn Sie nach Möglichkeit weiterhin auf SCC und TIA zurückgreifen.
Sie nutzen Zoom in Ihrem Unternehmen und fragen sich jetzt, welche Maßnahmen Sie zusätzlich ergreifen können, um Zoom DSGVO-konform zu nutzen?
Sowohl bei kostenlosen als auch kostenpflichtigen Konten kann eine end-to-end-Verschlüsselung aktiviert werden. Die Verschlüsselung wird durch die Geräte der Teilnehmer hergestellt und kann daher nicht durch Zoom-Server entschlüsselt werden. Über die Kontoeinstellung kann die end-to-end-Verschlüsselung entweder als Standardverschlüsselung oder für bestimmte Meetings, die sensible Daten enthalten, ausgewählt werden.
Haben Sie schon von einer Peer-to-Peer-Verbindung gehört? Diese kann in einem Zoom Meeting von zwei Personen aktiviert werden und führt dazu, dass die Daten nicht erst über die Zoom Cloud gehen, sondern direkt zwischen den Teilnehmern weitergeleitet werden. Hierdurch kann sich auch die Qualität von Zoom-Meetings verbessern.
Daneben gibt es weitere Einstellungen, die Sie standardisiert für alle Meetings einstellen können oder jeweils aktiv für einzelne Meetings auswählen.
Hierzu zählen die Fernsteuerung von Kameras, die Mikrofoneinstellungen, Live-Streaming-Optionen, Remote-Unterstützung, Einrichtung eines Warteraums und Meeting-Passwörter. Auch kann die Aufzeichnungsfunktion als Standardeinstellung deaktiviert werden, sodass sie auch nicht vom jeweiligen Moderator aktiviert werden kann. Generell darf eine Aufzeichnung nur mit Einwilligung der Teilnehmer erfolgen, um keine Urheber- oder Persönlichkeitsrechte zu verletzen.
Auch bei der Anfertigung von Screenshots ist Vorsicht geboten. Verwenden Sie Zoom in Ihrem Unternehmen, sollten Sie Schulungen zum Umgang mit Zoom für Ihre Mitarbeiter anbieten.
Schützen Sie Ihre IP Adresse durch Nutzung eines VPN und deaktivieren Sie die private Chat Funktion. Weisen Sie Mitarbeiter im Homeoffice darauf hin, dass Sie Ihre Privatsphäre durch Einstellen eines virtuellen Hintergrunds oder durch Verwischen des Hintergrunds schützen können.
PRAXIS-TIPP
Seit dem 14. Juli 2022 bietet Zoom die Ende-zu-Ende-Verschlüsselung für Ihr Online-Meeting an. Ist die Ende-zu-Ende-Verschlüsselung aktiviert, müssen alle Teilnehmer vom Zoom Client über den Desktop, die Zoom App oder von Zoom Rooms aus beitreten. Per Telefon, über Drittanbieter-Clients oder den Zoom Web Client ist die Ende-zu-Ende-Verschlüsselung nicht möglich.
5. Checkliste für datenschutzkonforme Zoom-Meetings im Unternehmen
Damit Sie Zoom in Ihrem Online-Business oder Unternehmen sorgenfrei nutzen können, haben wir Ihnen die wichtigsten Maßnahmen für datenschutzkonforme und rechtssichere Online-Meetings in einer Checkliste zusammengestellt.
- Behalten Sie die Zertifizierung nach dem DPF von Zoom Video Communications, Inc. im Blick. Der Anbieter ist nach dem DPF zertifiziert [Stand: 07.02.2024].
- Schließen Sie für die Nutzung von Zoom einen Auftragsverarbeitungsvertrag mit einem unabhängigen Anbieter ab, dessen Hosting ausschließlich in der EU betrieben wird und Ihnen einen Zoom-Server zur Verfügung stellt. So wird die Verarbeitung personenbezogener Daten durch das Versenden in die USA verhindert.
- Um Ihre personenbezogenen Daten und die Daten Ihrer Mitarbeiter oder Kunden zu schützen, sollten Sie eine P2P-Verschlüsselung nutzen und auf einen VPN-Client zurückgreifen.
- Nutzen Sie darüber hinaus technische und organisatorische Maßnahmen, wie die Pseudonymisierung, und vermeiden Sie die Nutzung von Klarnamen. Zur Dokumentation der TOMs können Sie unser Datenschutz-Management-System auf eRecht24 Premium nutzen.
- Zoom bietet datenminimierende Voreinstellungen, die die Aufzeichnung und Speicherung von Daten minimieren. Nutzen Sie diese!
- Bieten Sie Schulungen für Ihre Mitarbeiter zur datenschutzkonformen Verwendung von Zoom an.
- Sollen Videokonferenzen aufgezeichnet werden, müssen Einwilligungen der Teilnehmer eingeholt werden.
- Teilnahme-Links und Screenshots von Zoom-Meetings sollten niemals auf Social-Media-Plattformen geteilt werden.
- Weigern sich Ihre Mitarbeiter Zoom zu nutzen, steigen Sie auf alternative Systeme um, die eine datenschutzkonforme Sicherheit bieten (z. B. Jitsi Meet oder Nextcloud Talk).
- Informieren Sie Ihre Mitarbeiter über deren informationelle Selbstbestimmung und zeigen Sie deutlich auf, wie deren personenbezogene Daten verarbeitet werden. So bleiben Sie transparent!
Grundsätzlich können Sie Zoom kostenfrei nutzen. Empfehlenswert ist dies für Unternehmen allerdings nicht.
Neben der Beschränkung eines Zoom-Meetings auf 40 Minuten, sind die notwendigen DSGVO-Einstellungen nur bei einem kostenpflichtigen Account möglich. Hinweis: alle Teilnehmenden sollten die aktuelle Version von Zoom nutzen.
6. Fazit zum Thema Datenschutz bei Zoom
Wie Sie sehen, gibt es viele Möglichkeiten, Videokonferenz-Tools unter Einhaltung der Datenschutzbestimmungen zu nutzen und einzubinden.
Wenn Sie die Vorgaben der Datenschutz Grundverordnung umsetzen, kann Zoom als Tool rechtssicher in den Arbeitsalltag integriert werden. So minimieren Sie das Risiko möglicher Abmahnungen und können zudem datenschutzkonform und rechtssicher mit Ihren Mitarbeitern oder Kunden via Zoom kommunizieren.
7. FAQ – Zoom-Datenschutz
Das Thema Datenschutz spielt jedoch nicht nur bei der Nutzung von Videokonferenz-Tools eine Rolle, sondern auch beim Einrichten einer Unternehmenswebsite. Wir von eRecht24 unterstützen Sie hierbei mit unseren Premium-Tools und Generatoren und sichern Ihre Website ab.
- Zurück zur Übersicht: "Datenschutz"
- Was müssen Unternehmen nach der DSGVO intern regeln?
- Google Analytics
- Google Consent Mode
- Datenschutz bei Videokonferenzen
- Datenschutz von Mitarbeiterdaten
- Formulare
- Pur-Abo-Modell für Content-Unternehmen
- Datenschutz & Datenschutzerklärung für Handwerker
- Datenschutz für Immobilienmakler