Worum geht's?
Wenn es um Videokonferenzen geht, ist das amerikanische Tool Zoom wohl das meistgenutzte auf dem Markt. Da sich die Server von Zoom Video Communications, Inc. in den Vereinigten Staaten befinden, besteht eine rechtliche Lücke zwischen europäischen und US-amerikanischen Datenschutzbestimmungen. Eine rechtssichere und vor allem datenschutzkonforme Nutzung des Tools Zoom ist daher nicht immer gegeben. In unserem Artikel stellen wir Ihnen die wichtigsten Voraussetzungen zusammen, damit Sie Zoom DSGVO-konform nutzen können.
Zurück zur Übersicht: "Datenschutz"
1. Was ist Zoom und wozu wird es verwendet?
Besonders im Rahmen der Corona-Pandemie erfreut sich Zoom großer Beliebtheit. Die Nutzerzahlen schossen durch die Decke. Das Tool war in Klassenzimmern, Vorlesungen und bei Meetings in Unternehmen nicht mehr wegzudenken. Online-Seminare, Webinare, virtuelle Meetings und Unterricht kann so komplett online stattfinden.
Aufgrund der Pandemie mussten auch Hochschulen und Universitäten auf den Präsenzunterricht verzichten. Via Zoom können aber dank der Videokonferenzen weiterhin Seminare oder Vorlesungen problemlos stattfinden. In Zusammenhang mit dem Datenschutz war die Nutzung von Zoom allerdings immer mit Vorsicht zu genießen. Das Hessische Ministerium für Wissenschaft und Kultur hat nun allerdings Auflagen für die datenschutzkonforme Einbindung und Nutzung von Zoom an Hochschulen veröffentlicht.
2. Datenschutzrechtlicher Hintergrund von Zoom-Meetings
Während die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union einen umfassenden Schutz für die sensiblen personenbezogenen Daten der Nutzer bietet, sind die US-Datenschutzgesetze weniger streng. Daten, die von der Europäischen Union in die Vereinigten Staaten fließen, sind für US-Behörden leicht zugänglich. Es gibt keine Möglichkeit für eine gerichtliche Überprüfung gegen den Zugriff auf personenbezogene Daten.
Obwohl die DSGVO gilt, wenn der Anwender Zoom in der Europäischen Union (z. B. Deutschland) nutzt, hat dies jedoch keine Auswirkungen auf die Verarbeitung in den Vereinigten Staaten, da die DSGVO dort nicht gilt und der dortige Datenschutz nicht dem EU-Datenschutzniveau entspricht.
Dies stellt ein großes Problem dar, da Benutzer-, Meta- und Inhaltsdaten von Videokonferenzen nicht ausreichend geschützt sind und der Datenübermittlung sowie dem uneingeschränkten Zugriff durch US-Behörden unterliegen. Mit der Entscheidung des Europäischen Gerichtshofs vom 16. Juli 2020 (Schrems II) ist diese Verwendung daher deutlich in die Kritik geraten.
3. Geringes US-Datenschutzniveau bei Video-Konferenzen über Zoom
Das Vorgehen von Max Schrems gegen das EU-US Privacy Shield hat die Datenschutzwelt erneut erschüttert. Da durch die Entscheidung des Europäischen Gerichtshofs die wichtigste Rechtsgrundlage für die Übermittlung von Daten aus der Europäischen Union in die Vereinigten Staaten weggefallen ist, stellt sich zunehmend die Frage, was mit dem Einsatz von Tools aus den Vereinigten Staaten zu tun ist. Einerseits gilt die DSGVO in den USA nicht, andererseits müssen Anwender bei der Nutzung von Zoom in der EU die DSGVO-Vorgaben einhalten.
Da Nutzer-, Meta- und Inhaltsdaten von Videokonferenzen über das Videokonferenz-Tool Zoom in die USA gesendet und dort verarbeitet werden, können US-Behörden unverhältnismäßigen Zugriff auf diese Daten haben. Dies widerspricht der DSGVO. Sie laufen daher Gefahr, eine Abmahnung für die Gefährdung der Nutzerdaten Ihrer Kunden oder Mitarbeiter durch eine nicht rechtzeitige Integration datenschutzkonformer Maßnahmen zu erhalten.
4. Zoom datenschutzkonform nutzen
In den letzten Wochen hat sich jedoch die Möglichkeit herauskristallisiert, dass Sie gemäß DSGVO Zoom rechtskonform verwenden können. Der hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) hat unter Regie des Hessischen Ministeriums für Wissenschaft und Kultur (HMWK) bestimmte Auflagen für die Einbindung und Nutzung von Zoom an Hochschulen veröffentlicht.
Sie können Zoom für ein Online-Meeting oder im Rahmen von Webinaren rechtskonform verwenden, wenn Sie folgendes beachten:
- Hosten Sie ein Zoom-Meeting bei unabhängigen Auftragsverarbeitern in der EU, die Zoom betreiben (SCC Zoom-Hoster) und der Hochschule zur Verfügung stellen.
- Die Nutzung einer P2P-Verschlüsselung aller Inhaltsdaten sowie die Nutzung eines VPN.
- Den Abfluss von Studierendendaten in die USA und Zugriff auf solche personenbezogenen Daten aus den USA durch technische und organisatorische Maßnahmen verhindern (Pseudonymisierung, lokales Nutzermanagement, Vermeidung von Klarnamen).
- Die datenminimierenden Voreinstellungen bei Zoom nutzen (Aufzeichnung, Speicherung deaktivieren).
- Nutzung auf Lehrveranstaltungen beschränken. Bei sonstigen Prozessen, bei denen eine Verarbeitung sensibler personenbezogener Daten erfolgt, sollten Sie ein alternatives Videokonferenzsystem nutzen (z. B. bei Bewerbungsverfahren, Aufgaben der Hochschulverwaltung u. ä.).
- Gegebenenfalls ein alternatives System für Lehrpersonal, das nicht auf Zoom arbeiten will, nutzen.
- Ausführliche sowie leicht zugängliche Informationen zur Datenverarbeitung und zum Schutz der informationellen Selbstbestimmung bereitstellen.
Praxis-Tipp:
Seit dem 14. Juli 2022 bietet Zoom die Ende-zu-Ende-Verschlüsselung für Ihr Online-Meeting an. Ist die Ende-zu-Ende-Verschlüsselung aktiviert, müssen alle Teilnehmer vom Zoom Client über den Desktop, die Zoom App oder von Zoom Rooms aus beitreten. Per Telefon, über Drittanbieter-Clients oder den Zoom Web Client ist die Ende-zu-Ende-Verschlüsselung nicht möglich.
5. Checkliste für datenschutzkonforme Zoom-Meetings im Unternehmen
Obwohl sich die Voraussetzungen ausschließlich auf die Nutzung im Hochschulbereich beziehen, können wir die Voraussetzungen auch auf die Nutzung außerhalb der Hochschule, z.B. zur Kommunikation zwischen Mitarbeitern in Unternehmen und Betrieben oder Kunden übertragen.
- Schließen Sie für die Nutzung von Zoom einen Auftragsverarbeitungsvertrag mit einem unabhängigen Anbieter, dessen Hosting ausschließlich in der EU betrieben wird und Ihnen einen Zoom-Server zur Verfügung stellt. So wird die Verarbeitung personenbezogener Daten durch das Versenden in die USA verhindert.
- Um Ihre personenbezogenen Daten und die Daten Ihrer Mitarbeiter oder Kunden zu schützen, sollten Sie eine P2P-Verschlüsselung nutzen und auf einen VPN-Client zurückgreifen.
- Nutzen Sie darüber hinaus technische und organisatorische Maßnahmen, wie Pseudonymisierung, und vermeiden Sie die Nutzung von Klarnamen.
- Zoom bietet datenminimierende Voreinstellungen, die die Aufzeichnung und Speicherung von Daten minimieren. Nutzen Sie diese!
- Beschränken Sie das Tool auf Zoom-Meetings, auf denen keine sensiblen Informationen ausgetauscht werden. Hinsichtlich sensibler Informationen (z. B. innerhalb von Bewerbungsverfahren oder internen Unternehmensverwaltung) sollten Sie auf alternative Videokonferenzsysteme zurückgreifen.
- Weigern sich Ihre Mitarbeiter Zoom zu nutzen, steigen Sie auf alternative Systeme um, die eine datenschutzkonforme Sicherheit bieten (z. B. Jitsi Meet oder Nextcloud Talk).
- Informieren Sie Ihre Mitarbeiter über deren informationelle Selbstbestimmung und zeigen Sie deutlich auf, wie deren personenbezogene Daten verarbeitet werden. So bleiben Sie transparent!
Grundsätzlich können Sie Zoom kostenfrei nutzen. Empfehlenswert ist dies für Unternehmen allerdings nicht. Neben der Beschränkung eines Zoom-Meetings auf 40 Minuten, sind die notwendigen DSGVO-Einstellungen nur bei einem kostenpflichtigen Account möglich. Hinweis: alle Teilnehmenden sollten die aktuelle Version von Zoom nutzen.
6. Fazit zum Thema Datenschutz bei Zoom
Wie Sie sehen, gibt es viele Möglichkeiten, Videokonferenz-Tools unter Einhaltung der Datenschutzbestimmungen zu nutzen und einzubinden. Wenn Sie sich an die von HBDI und HMWK entwickelten Vorgaben halten und versuchen, möglichst viele dieser Empfehlungen einfließen zu lassen, kann die Nutzung von Zoom auch außerhalb der Hochschule funktionieren. So minimieren Sie das Risiko möglicher Abmahnungen und können zudem datenschutzkonform und rechtssicher mit Ihren Mitarbeitern oder Kunden via Zoom kommunizieren.
7. FAQ – Zoom-Datenschutz
DSGVO einfach und schnell umsetzen?
Auch Ihre Unternehmenswebsite muss den datenschutzrechtlichen Anforderungen genügen. Mit eRecht24 Premium haben Sie alle Vorgaben der DSGVO im Blick.
- Zurück zur Übersicht: "Datenschutz"
- Was müssen Unternehmen nach der DSGVO intern regeln?
- Google Analytics
- Datenschutz bei Videokonferenzen
- Datenschutz von Mitarbeiterdaten
- Formulare
- Pur-Abo-Modell für Content-Unternehmen
- Datenschutz & Datenschutzerklärung für Handwerker