Was macht Zoom?
Zoom ist eine US-amerikanische Plattform für Video- und Audiokonferenzen. Das zentrale Produkt des Unternehmens ist „Zoom Meetings“, mit dem User Online-Videokonferenzen abhalten können. Zudem erlaubt ein Chat, Textnachrichten und Dateien auszutauschen. Daneben verfügt Zoom mit „Zoom Phone“ über eine virtuelle Telefonanlage sowie mit „Zoom Video Webinars“ über ein Tool für Videokonferenzen mit bis zu 100 Sprechern und bis zu 10.000 Zuschauern. Zoom hat derzeit über 300 Millionen tägliche Nutzer.
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellen
Warum ist Zoom datenschutzrechtlich relevant?
Zoom speichert die Daten seiner registrierten Kunden. Dazu zählen unter anderem
- Name,
- Benutzername,
- E-Mail,
- Telefonnummer,
- Name des Kontoinhabers,
- Rechnungsadresse und
- Zahlungsmethode.
Von Usern, die an Video- und Audiokonferenzen über Zoom teilnehmen, erfasst die Plattform zum Beispiel
- Benutzerdaten,
- IP-Adresse,
- E-Mail-Adresse,
- Betriebssystem,
- Geräteinformationen,
- Chat-Nachrichten und
- gesendete Dateien.
Zudem speichert Zoom Calls und Videoübertragungen, wenn Unternehmen dies vorher beauftragen. Sie müssen daher verschiedene Pflichten aus der Datenschutz-Grundverordnung (DSGVO) und dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) beachten.
Zoom datenschutzkonform nutzen
Um Zoom gemäß den Anforderungen der DSGVO und des TTDSG zu verwenden, müssen Unternehmen diese Vorgaben erfüllen:
Vertrag zur Auftragsverarbeitung abschließen
Geben Unternehmen personenbezogene Daten von Konferenz-Teilnehmern an Zoom weiter, müssen sie mit dem Anbieter einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) abschließen. Das schreibt Art. 28 DSGVO vor. Zoom erhebt automatisch Daten aller Gesprächsteilnehmer. Unternehmen müssen daher mit Zoom einen entsprechenden Vertrag eingehen. Das passiert bei Zoom seit April 2020 automatisch, wenn sie einen Account erstellen. Ob so auch bereits bestehende Kunden den Vertrag zur Auftragsverarbeitung geschlossen haben, ist unklar. Zoom hatte in seinen vorherigen AGB jedoch eine Änderungsklausel. Unternehmen können daher davon ausgehen, dass jetzt auch für Altkunden die neuen AGB gelten – und so auch ein wirksamer Vertrag zur Auftragsverarbeitung besteht. Sollte das nicht der Fall sein, können Kunden bei Zoom individuell einen entsprechenden Vertrag vereinbaren.
Unternehmen sollten beim AV-Vertrag darauf achten, dass dieser erwähnt,
- welche Userdaten Zoom speichert,
- wie lange Zoom diese Daten speichert,
- warum Zoom die Daten erhebt und aufbewahrt und
- welche Rechte und Pflichten die Verantwortlichen haben.
Datenschutzerklärung anpassen
Unternehmen, die mit Zoom einen AV-Vertrag geschlossen haben, müssen das in ihrer Datenschutzerklärung aufführen. Dabei sollten sie verdeutlichen,
- warum sie welche Userdaten erheben und speichern,
- wie lange sie die Daten speichern wollen,
- welche Rechtsgrundlage das ermöglicht (Art. 6 Abs. 1 lit. c DSGVO) und
- dass Nutzer der Datenerhebung jederzeit widersprechen können.
Datenschutzfreundliche Einstellungen wählen
Unternehmen sollten für ihre Videokonferenzen Einstellungen wählen, die den Datenschutz und die Privatsphäre der Teilnehmer schützen. Wollen sie beispielsweise die Aufmerksamkeit der Teilnehmer tracken oder eine Konferenz aufzeichnen, sollte das
- einem erlaubten Zweck dienen,
- geeignet sein, diesen Zweck zu erfüllen und
- erforderlich sein, diesen Zweck zu erfüllen.
Zudem sollten sie Schutzmaßnahmen ergreifen, soweit das möglich ist. Darüber hinaus müssen Unternehmen darauf achten, dass sie bei Zoom-Calls und -Konferenzen möglichst wenige Daten erheben und diese möglichst kurzfristig wieder löschen. Das kann zum Beispiel bei der Aufzeichnung von Video-Calls oder Chatverläufen notwendig sein.
Standardvertragsklauseln abschließen
Unternehmen dürfen die Daten ihrer Gesprächspartner, also ihrer Mitarbeiter oder Kunden, nur dann an Zoom weitergeben, wenn diese in der EU bleiben oder das Empfängerland einen gleichwertigen Datenschutz wie die Datenschutz-Grundverordnung (DSGVO) bietet. Bei deutschen Unternehmen leitet Zoom den Datenverkehr ausschließlich über Rechenzentren in Europa.
Dennoch kann der US-amerikanische Mutterkonzern jederzeit die Daten einsehen. Um Nutzerdaten daher zusätzlich zu schützen, sollten Unternehmen Standardvertragsklauseln mit Zoom abschließen. Diese stellen sicher, dass die Userdaten auch bei Einsicht oder Nutzung durch den US-amerikanischen Mutterkonzern einen Datenschutz wie durch die DSGVO genießen. Ob das derzeit der Fall ist, ist rechtlich ungeklärt.
Darüber hinaus müssen Unternehmen eine Risikoabschätzung vornehmen. Diese legt offen, wie sie Userdaten an Zoom weitergeben und ob der Anbieter Maßnahmen ergreift, um die Daten zu schützen.
Rechtsprechung zur Verwendung von Zoom
Für Zoom ist diese Rechtsprechung relevant:
Datenschutzbehörde Hamburg zum AV-Vertrag
Unternehmen, die keinen AV-Vertrag abschließen, müssen mit einem Bußgeld von bis zu 10 Millionen Euro oder von bis zu 2 Prozent des weltweiten Jahresumsatzes rechnen. Die Datenschutzbehörde Hamburg sprach am 17.12.2018 ein Bußgeld gegen ein Versandunternehmen aus. Dies musste 5.000 Euro zuzüglich Gebühren in Höhe von 250 Euro zahlen. Es hatte mit einem beauftragten Dienstleister keinen AV-Vertrag geschlossen.
Datenschutzbehörde Baden-Württemberg zum AV-Vertrag
Der Fußball-Bundesligaclub VfB Stuttgart hatte Mitgliederdaten an verschiedene Dienstleister weitergegeben, um diese weisungsgebunden verarbeiten zu lassen. Der Verein hatte mit den Dritten jedoch keinen AV-Vertrag abgeschlossen. Das wertete die Datenschutzbehörde Baden-Württemberg als einen Verstoß gegen die DSGVO. Sie verhängte daher ein Bußgeld in Höhe von 300.000 Euro.
Aktuelles zu Zoom
Im August 2021 warnte der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit die Senatskanzlei der Freien und Hansestadt Hamburg, weiter das Konferenz-Tool Zoom zu verwenden – insbesondere die On-Demand-Variante. Zoom übermittele personenbezogene Daten in die USA. Dort herrsche kein angemessener Datenschutz. Die Daten würden dort einer anlasslosen staatlichen Massenüberwachung ausgesetzt. Zoom verstoße daher gegen die DSGVO.