Wie Sie die Meeting-Software Zoom so einrichten und nutzen, dass sie der Datenschutzgrundverordnung DSGVO entspricht: Informationen zu Zoom, Schritte zum Einrichten datenschutzkonformer Nutzung, Muster-Verträge und nützliche Links sowie Konfiguration der Software und Checklisten für Anfänger und Fortgeschrittene.

(zusammengetragen an einem regnerischen Sonntag im Mai 2020, aktualisiert am 5. Mai 2020)

Zoom ist in Zeiten von Corona schnell an die Spitze der beliebtesten und umstrittensten Meeting-Tools geschossen: beliebt, weil es einfach einzurichten und zu nutzen und technisch hervorragend ist, umstritten, weil Datenschutz und Datensicherheit nicht gegeben waren. Was ist an den Vorwürfen dran und wie kann ich Zoom nutzen, ohne meine Daten oder die meiner Meeting-Teilnehmer*innen in Gefahr zu bringen?

Hinweis: Dies ist kein bezahlter Beitrag und ich habe weder von Zoom noch von sonst jemandem den Auftrag bekommen, einen Beitrag zu schreiben. Es gibt nicht einmal einen Affiliate-Vertrag oder ähnliches, sonst hätte ich darauf hingewiesen.

Welche Datenschutz-Sünden hat Zoom begangen?

Zoom ist eine Meeting-Software, die genutzt werden kann, um Online-Meetings, Webinare und Konferenzen zu zweit oder mit hunderten von Teilnehmer*innen durchzuführen. Dabei können Kamera und Mikro sowie Chat-Funktionen genutzt und Aufzeichnungen gemacht werden, Daten ausgetauscht und Bildschirme geteilt werden. Die Nutzung ist unabhängig vom Endgerät (Laptop, PC, Smartphone oder Tablet) und kann über ein heruntergeladenes Programm, über den Web-Browser oder per App erfolgen.

Video-Meeting per Zoom
Zoom Meeting

Wegen der Corona-bedingten physischen Kontaktbeschränkungen ist so ein Programm für Meetings, Konferenzen, Schulungen und virtuelle Messen natürlich sehr gefragt. Weil Zoom kinderleicht einzurichten und die Technik in Bild, Ton und Schnelligkeit absolut überzeugt, boomte Zoom und konnte ältere und etwas angestaubte Lösungen wie Skype und GoToMeeting rasch überholen.

Bald kamen die ersten Vorwürfe und Stimmen wurden laut, die warnten: Zoom sei nicht datenschutzkonform. Zoom klaue Daten und schütze die Meetingräume nicht richtig. Zoom öffne Datendieben Tür und Tor und sei für seriöse Anwendungen nicht empfehlenswert. Bei einer Videokonferenz in einer Schule waren sogar plötzlich ungebetene Gäste zugegen und haben die Veranstaltung mit unerwünschten Inhalten gestört.*

*Dazu muss man sagen: Die vom Schulleiter anberaumte Konferenz war nicht passwortgeschützt. Wer wundert sich da über Eindringlinge? Der Veranstalter hatte offensichtlich sämtliche Optionen zur sicheren Konfiguration (Passwort, geschützte Gruppe, Warteraum … s. unten) nicht beachtet.

Kostenlose oder Pro-Version von Zoom

Die meisten Anwender*innen nutzen die kostenlose Version von Zoom, die technisch einwandfrei ist, aber nicht so viele Einstellungen ermöglicht und sich bei Gruppenbesprechungen mit drei oder mehr Teilnehmer*innen nach etwa 40 Minuten einfach abschaltet. Im privaten Kreis ist das kein besonderes Problem, denn nach erneutem Klick auf den Einladungslink läuft das Meeting sofort wieder weiter, die Unterbrechung macht sich kaum bemerkbar.

Für berufliche Verwendung, Online-Konferenzen und für Trainer*innen, die Online-Yoga oder -Pilates anbieten, empfiehlt sich jedoch die Pro-Version, die 14 € im Monat kostet. Damit können Veranstaltungen mit bis zu 100 Teilnehmer*innen (mehr gegen Aufpreis) mit verschiedenen Rollen (Rechteverwaltung) eingerichtet und bis zu 24 Stunden durchgeführt werden.

Die Merkmale und Unterschiede der verschiedenen Lösungspakete finden Sie auf der Zoom-Seite: Zoom – Abos und Preise

Wie reagiert Zoom auf die Vorwürfe?

Zoom hat die Vorwürfe von Beginn an ernst genommen und reagiert: Die iOS-App, die Daten ungefragt an Facebook übertragen hat, wurde schnell bereinigt. Die Funktion „Attention tracking“, mit deren Hilfe ein Moderator verfolgen konnte, ob er noch die Aufmerksamkeit seiner Zuhörer hat, wurde komplett herausgenommen. (Diese Funktion war für Schulungen und Lehrgänge gedacht, in denen es durchaus sinnvoll sein kann, zu verfolgen, wie die Schüler*innen eine Aufgabe angehen, und sie war auch nicht standardmäßig aktiv, sondern musste vom Moderator aktiv angeworfen werden.)

Weitere Sicherungsmaßnahmen wurden von Zoom in Angriff genommen und ein ganzes Entwicklerteam auf das Thema Datenschutz angesetzt. Die Ende April erschienene Version 5** des Programms sollte einige weitere Lücken schließen beziehungsweise neue Sicherheitsfunktionen beinhalten. Dazu gibt es einen Artikel in t3n: „Zoom 5.0 erschienen: Anbieter bessert bei Sicherheit und Datenschutz nach

**Wenn Sie wissen wollen, welche Version Sie nutzen, starten Sie Zoom und klicken oben rechts auf das kleine Profilbild -> Hilfe -> Über Zoom

Zoom DSGVO-konform nutzen

Ja, ich kann Zoom DSGVO-konform nutzen, wenn ich 1. meinen gesunden Menschenverstand einsetze und 2. einige technische und organisatorische Maßnahmen ergreife.

Was hat der gesunde Menschenverstand hier verloren?

Den gesunden Menschenverstand erwähne ich hier deshalb, weil es anscheinend nicht mehr selbstverständlich ist, dass Anwender und Anwenderinnen sich auch selbst ein paar Gedanken machen zu den Programmen und Apps, die sie nutzen.

Die gleichen Leute, die niemals ihren Browserverlauf löschen, auch wenn sie auf einem öffentlichen Rechner gegoogelt oder Daten eingegeben haben, die niemals ihren Firmen-Rechner sperren, wenn sie ihren Arbeitsplatz im Büro für längere Zeit verlassen, obwohl der Rechner von jedem Kollegen und jeder Kollegin, die Zugang zum Gebäude hat, missbraucht werden kann, die bei jedem Gewinnspiel und jeder Social-Media-Plattform ihre Daten preisgeben und bereitwillig private Fotos auf WhatsApp posten, diese Leute schreien laut auf, wenn sie von einer Sicherheitslücke in einem Programm hören, die sie selbst mit wenig Aufwand hätten schließen können. Und statt diese angebliche Sicherheitslücke zu untersuchen oder sich schlau zu machen, wie sie sie schließen können, stimmen sie ein in den Chor der Zoom-Verdammer und haben doch keine Ahnung, wovon sie reden.

Ich will damit sagen: Bitte prüfen Sie selbst erst einmal, was sie verwenden. So wie kleine Kinder lernen müssen, dass es gefährlich ist, alles einfach in den Mund zu stecken, so sollten wir im Umgang mit Geräten und Programmen lernen, zuerst zu prüfen, was wir damit preisgeben und wie wir den größten Nutzen daraus ziehen können, ohne unsere Seele beziehungsweise unsere Daten zu verkaufen.

Kurz: Jedes neue Programm schau ich mir doch erst einmal genau an und prüfe, welche Informationen und Rechte es haben will, aus welchem Stall es kommt, wie seriös das Angebot ist. Bei einem Programm wie Zoom bedeutet das: Wo ist der Sitz des Herstellers und wo sind seine Server? Ist er in einer seriösen Liste von Herstellern gelistet, damit ich ihn im Zweifel oder bei Fragen kontaktieren kann? Bietet er mir einen Auftragsverarbeitungsvertrag und ist seine Datenschutzerklärung öffentlich zugänglich? Reagiert er auf Kritik mit Transparenz und Verbesserung (s. oben)? Kann das Programm die Anforderungen erfüllen, die ich erwarte, und ist die Software datenschutzkonform konfigurierbar, ohne Qualitätseinbußen?

Wenn ich alle diese Fragen beantworten kann und so eine Transparenz und Basis für eine vernünftige Geschäftsbeziehung herstellen kann, gibt es m. E. keinen Grund, die Software abzulehnen – zumal Zoom selbst auf die Vorwürfe sofort reagiert hat, an einer Mängelbeseitigung nachweislich arbeitet und wichtige Tipps zum Datenschutz bereitstellt. Diese Tipps finden Sie hier: „Bewährte Methoden zum Schutz Ihrer Zoom-Meetings“

Bevor Sie anfangen …

Zu Beginn stehen einige Schritte, die der Prüfung und Absicherung dienen. Denn wie bei jeder Software, die mit personenbezogenen Daten natürlicher Personen arbeitet, haben wir die Verpflichtung, das Programm zu prüfen, ob es nach den Bestimmungen der DSGVO datenkonform zu handhaben ist, bevor wir Kund*innen oder Klient*nnen oder Mitarbeiter*innen zu einem Zoom-Meeting einladen.

1. Privacy List

Da Zoom ein kalifornisches Unternehmen ist, sollte es wie alle seriösen Unternehmen in der Privacy List aufgeführt sein. Damit können wir uns versichern, ob es

  1. ein seriöses Unternehmen ist und
  2. über eine Datenschutzerklärung (Privacy Policy) verfügt und
  3. per eMail oder Telefon zu erreichen ist und
  4. eine Auftragsdatenverarbeitung (Data Processing Agreement) zur Verfügung steht

Klicken Sie hier auf die Privacy List oder finden Sie diese über Google. Über diesen Link erreichen Sie den Zoom-Eintrag auf der Privacy List.

2. Datenschutzerklärung

Die Datenschutzerklärung von Zoom finden Sie hier sogar auf Deutsch: Zoom Video Communications DSGVO-Compliance, aktualisiert am 13. April 2020. Hier der Link zur englischen Version: Zoom Privacy Policy.

3. Auftragsdatenverarbeitungsvertrag

Wie mit jedem anderen Dienstleister auch, der personenbezogene Daten für Sie verarbeitet, müssen Sie mit Zoom einen Vertrag zur Verarbeitung von Auftragsdaten (Data Processing Addendum) abschließen. Zoom stellt uns den Vertrag online zur Verfügung, wir müssen ihn also nur herunterladen und abspeichern, damit wir ihn gegebenenfalls vorweisen können. Hier finden Sie den Vertrag zur Auftragsdatenverarbeitung: Zoom Video Communications, Inc. Global Data Processing Addendum

Nachtrag vom 5. Mai 2020: Zoom hat das Prozedere am 07. April 2020 geändert: Bei der Registrierung eines Zoom-Accounts wird der Auftragsverarbeitungsvertrag automatisch geschlossen. Indem Sie die Nutzungsbedingungen akzeptieren, sind automatisch alle unter www.zoom.us/legal verlinkten Dokumente in das Vertragsverhältnis einbezogen. Dazu gehört auch der Vertrag „Global DPA“.

Der Datenschutz-Guru schreibt dazu:

Da der Auftragsverarbeitungsvertrag in der Regel aber nur für „Unternehmen“ bzw. im unternehmerischen Geschäftsverkehr relevant wird und insoweit geringere Anforderungen an eine wirksame Einbeziehung gestellt werden können, meine ich, dass auf diese Weise ein Auftragsverarbeitungsvertrag wirksam zustande kommen kann.

Quelle: https://www.datenschutz-guru.de/so-schliesst-du-einen-auftragsverarbeitungsvertrag-mit-zoom/

Wenn Sie als Geschäftskunde einen dezidierteren Vertragsabschluss wünschen, können Sie sich an das Sales-Team von Zoom wenden und dort einen individuellen Abschluss vereinbaren.

4. Verzeichnis der Verarbeitungstätigkeiten

Laut DSGVO müssen Sie ein Verzeichnis der Verarbeitungstätigkeiten personenbezogener Daten führen, das Sie gegebenenfalls einer Aufsichtsbehörde vorlegen können. Darin sollte auch Zoom aufgenommen sein. Betroffene Personen können Auskunft über ihre gespeicherten Daten verlangen und ihre Löschung beantragen. Auftragsverarbeiter wie Zoom müssen im Verzeichnis erfasst und die Einhaltung des Datenschutzes nachgewiesen werden.

Zoom datenschutzkonform konfigurieren

Nachdem Sie die beschriebenen 4 Vorbereitungsschritte sorgfältig ausgeführt haben, kommen wir jetzt zur eigentlichen Konfigurierung – die geht auch wirklich ganz einfach und schnell:

  1. Serverwahl
  2. Informationspflicht
  3. Passwortschutz
  4. Warteraum
  5. Aufzeichnung
  6. Sichtbarkeit

1. Serverwahl

Wenn Sie Zoom geschäftlich nutzen, für Meetings oder Webinare, sollten Sie die kostenpflichtige Pro-Version wählen, um auf der sicheren Seite zu sein. Bei der Einrichtung Ihres Meetingraums können Sie dann bestimmen, in welcher Region der Server für die Datenverarbeitung stehen soll. Sie können hier beispielsweise „Europa“ wählen und das auch Ihren Kunden mitteilen, falls diese wegen eines amerikanischen Servers Datenschutzbedenken haben.

2. Informationspflicht

Zur Informationspflicht: Wenn Sie Teilnehmer*innen zu Ihrer Zoom-Sitzung einladen, weisen Sie bereits in der Einladung darauf hin, dass das Meeting über Zoom läuft und dass sie dem mit ihrer Teilnahme zustimmen. Schicken Sie am besten gleich einen Link zu Ihrer Datenschutzerklärung und zum Auftragsdatenverarbeitungsvertrag mit, den Sie mit Zoom abgeschlossen haben.

3. Passwort

Wenn Sie ein neues Meeting planen, öffnet sich ein Programmfenster mit der individuellen Meeting-ID (das geht schon in der freien Version von Zoom). Unter „Bearbeiten“ können Sie bestimmen, dass ein Meetingpasswort benötigt wird und somit ihr Meeting zusätzlich schützen.

Diejenigen, die ihren Meeting-Teilnehmer*innen wenig Arbeit machen möchten, kann ich beruhigen: Das Passwort ist im Link zum Meeting integriert. Wer den Link in Ihrer Einladung zum Meeting erhält, muss das Passwort nicht (oder nur in Ausnahmefällen) per Hand eingeben.

4. Geschlossene Gruppe

Sie können ein Meeting so planen, dass die Teilnehmer*innen sich mit eMail, Namen und benutzerdefinierten Fragen registrieren müssen. Die Registrierungsseite können Sie mit einem Banner und einem Logo individuell gestalten. Sie können einstellen, ob nur registrierte Zoom-Benutzer teilnehmen dürfen und das sogar auf Benutzer mit E-Mail-Adressen einer bestimmten Domäne einschränken.

5. Persönliche Meeting-ID

Für Adhoc-Meetings erhalten Sie als registrierter Benutzer eine persönliche Meeting-ID (PMI). Die sollten Sie vertraulich behandeln, sie ist der Schlüssel zu Ihrem persönlichen Meeting-Raum für Ihre Adhoc-Meetings und nicht für öffentliche Meetings bestimmt. In Ihren Profileinstellungen können Sie Ihre PMI beim Start eines Sofort-Meetings ausschalten.

Für öffentliche Meetings sollten Sie immer ein neues Meeting mit einer zufällig generierten Meeting-ID planen. Dann wissen nur eingeladene Teilnehmer*innen, wie sie an Ihrem Meeting teilnehmen können.

6. Warteraum

Sie können bei den Einstellungen einen Warteraum einrichten: Nur Sie als Moderator sehen, wer im Warteraum ist, und bestimmen, wer das Meeting betreten darf. So können keine ungebetenen Gäste Ihr Meeting stören. Mehr noch: Trainer*innen können damit gewährleisten, dass alle Teilnehmer*innen pünktlich auf der Matte sitzen 🙂 Während des Meetings können Sie sogar Teilnehmer*innen ausschließen, indem Sie sie in den Wareteraum zurückschicken oder ganz aus dem Meeting hinauswerfen.

7. Aufzeichnung

Aufzeichnung: An der gleichen Stelle können Sie bestimmen, ob das Meeting automatisch auf Ihrem Computer aufgezeichnet werden soll. Das ist sinnvoll vor allem bei Webinaren und Konferenzen, die später noch einmal nachverfolgt werden sollen. Informieren Sie unbedingt vorher alle Teilnehmer*innen, wenn Sie vorhaben, das Meeting aufzuzeichnen! Und überlegen Sie gemeinsam eine Lösung für diejenigen, die das nicht möchten. (Stummschalten, keine Klarnamen, Kamera aus usw.)

8. Sichtbarkeit

Während des Meetings kann der Moderator die Mikros der Teilnehmer*innen und ihre Kameras ausschalten (was bei großen Gruppen oder Trainings unbedingt sinnvoll ist) und er kann sogar alle Teilnehmer*innen auf „unsichtbar“ stellen, so dass nur Moderator oder Moderatorin und Sprecher oder Sprecherin zu sehen sind. Das ist bei Meetings mit vielen Teilnehmer*innen eine zusätzliche Schutzmaßnahme.

Grundsätzliche Überlegungen

Generell ist es so, dass das Kopieren eines Links in eine Einladung keine Daten an Zoom übermittelt, die sensibel sein könnten. Wenn Sie aber Zoom direkt mit Ihrem Kalender verbinden, um Zeit zu sparen, sieht das möglicherweise anders aus. Ich wäre vorsichtig damit – wie bei jeder anderen Software – Drittsysteme wie Outlook einzubinden, weil man schnell die Kontrolle verliert.

Außerdem ist es vermutlich sicherer, alle relevanten Einstellungen manuell vorzunehmen – statt sie zu automatisieren – und Zoom über das Programm oder den Browser zu starten statt über eine App: Apps können anders programmiert sein und in den verschiedenen Betriebssystemen könnten sich andere Merkmale verbergen.

Fazit: Zoom ist so datenschutzkonform, wie Sie es einrichten

Wenn Sie Ihren gesunden Menschenverstand einsetzen und die obigen Schritte befolgen, können Sie mit Fug und Recht behaupten, dass Sie Zoom datenschutzkonform nutzen. Natürlich müssen Sie weiterhin beobachten, wie Zoom sich zukünftig entwickelt und bei jedem Update des Programms Ihre Einstellungen überprüfen – aber auch das sagt Ihnen Ihr gesunder Menschenverstand.

Zum Schluss möchte ich noch einmal alle hilfreichen Links aufzählen, die im Text bereits genannt sind. Zuvor aber noch ein Hinweis: Ich bin keine Datenschutzberaterin und dies ist keine Rechtsberatung. Ich möchte mit diesem Blogbeitrag lediglich allen eine Hilfestellung an die Hand geben, die durch die vielen negativen Artikel und Berichte arg verunsichert worden sind. Ich frage Sie: Haben Sie sich auch so viele Gedanken gemacht, als Sie mal jemanden zu einem Skype-Meeting eingeladen haben?

100prozentige Sicherheit gibt es nicht

Das Gute daran ist: Jetzt beschäftigen die Nutzer sich endlich mal ein wenig mit dem Datenschutz und werden sensibel, was die Nutzung und den Missbrauch ihrer Daten angeht. Das ist eine Entwicklung, die ich durchaus begrüße, denn ich habe oft das Gefühl, gegen Windmühlenflügel zu kämpfen, wenn ich auf die Nachlässigkeit hinweise, mit der Daten, Informationen und Kommunikation behandelt werden.

Die Sensibilisierung sollte jedoch nicht dazu führen, dass Sie vor lauter Angst gar nichts mehr machen oder Webinare und Online-Konferenzen gänzlich meiden. Das wäre schade um die tollen Möglichkeiten, die sie gerade in der Zeit der Corona-Pandemie bieten.

Wie so oft liegt die Wahrheit im vernünftigen Maßhalten, was wir in Zeiten der Corona-Krise in so vielerlei Hinsicht lernen müssen, so auch hier: Nutzen Sie Zoom (oder eine andere Meeting-Software), aber mit Augenmaß und nicht leichtsinnig, dann werden Sie viel Nutzen daraus ziehen.

Zoom und DSGVO: Links und weitere Informationen

Auch interessant

Disclaimer

Diese Empfehlungen und Tipps erfolgen nicht im Rahmen eines konkreten Vertragsverhältnisses. Die Verfasserin ist keine Rechtsberaterin und übernimmt keinerlei Gewähr für die Aktualität, Korrektheit, Vollständigkeit oder Qualität der bereitgestellten Informationen. Haftungsansprüche, die sich auf Schäden materieller oder ideeller Art beziehen, die durch die dargebotenen Informationen oder durch die Nutzung fehlerhafter und unvollständiger Informationen verursacht wurden, sind grundsätzlich im weitest zulässigen Rahmen ausgeschlossen.

Ideen, Fragen, Widersprüche?

Wenn Sie ergänzende Links oder weitere Fragen haben, etwas Ihrer Meinung nach falsch beschrieben ist oder wenn Sie sich einfach bedanken möchten, dass ich mir die Arbeit gemacht habe, diese Informationen für Sie zusammenzutragen: Bitte gerne, die Kommentare sind eröffnet!

e04d35ccdfaa4fb8bb8b09d12e63e91e

TopBlogs.de das Original - Blogverzeichnis | Blog Top Liste

Beiträge abonnieren

Mit Absenden des Formulars abonnieren Sie den Newsletter und akzeptieren die Datenschutzbestimmungen der Website.