Zoom in Zeiten von Corona
Während der Corona-Pandemie ist der US-amerikanische Anbieter Zoom zu einem der bedeutendsten Tools am Arbeitsplatz und an der Universität geworden. Meetings, Seminare, Bewerbungsgespräche, ja sogar der Schulunterricht – ohne Zoom als digitaler Treffpunkt ging nichts mehr. Aber auch jetzt, wo der Berufs-, Uni- und Schulalltag weitgehend wieder vor Ort stattfindet, ist Zoom ein fester Bestandteil des New Normal, einer Arbeitswelt, in der die Arbeit aus dem Homeoffice und Recruiting über Online-Meetings normal geworden sind. So praktisch Zoom auch ist – eine zufriedenstellende Compliance mit den Vorgaben der DSGVO ist nicht gerade festzustellen. Wie steht es also um den Datenschutz bei Zoom?
Datenschutzprobleme bei Zoom
Schon 2019 gab es Probleme mit der Verwendung von Zoom bei Geräten von Apple. Durch den Download der MacOS-Version wurde damals auf dem Gerät lokal ein Webserver installiert, der es offenbar für Unbefugte möglich machte, auf die Kamera zuzugreifen. Selbst nach der Deinstallation von Zoom verschwand der Webserver nicht. Apple handelte selbst und entfernte mit einem Update den Webserver. Bei der Nutzung der iOS-Version von Zoom sollen zudem personenbezogene Daten unrechtmäßig an Facebook übermittelt worden sein.
Administratoren sollen aufgrund vieler Rechte und Befähigungen personenbezogene Daten von Teilnehmern einsehen können, was ebenfalls nicht den Grundsätzen der DSGVO entspricht. Abgesehen von diesen konkreten Vorfällen konnte Zoom bisher auch nicht mit einer ausreichenden Verschlüsselung von Daten und Sicherheit gegen Hacker-Angriffe überzeugen. Zwar behauptete der Anbieter inzwischen, diese Probleme behoben zu haben. Doch die Skepsis bleibt. Ist sie weiterhin gerechtfertigt?
Diese Daten sammelt Zoom
Zoom sammelt wie jedes Software-Unternehmen die Daten von Nutzern, denn wie jedes andere Unternehmen im Software-Bereich braucht Zoom Nutzerdaten für Marketing und Werbung. Zu den personenbezogenen Daten gehören Namen der Nutzer, IP-Adressen und E-Mail-Adressen, was nicht ungewöhnlich ist. Aber auch andere Daten wie Abrechnungsdaten und Akkustand werden gespeichert. Das würde gegen die Grundlage der Zweckbindung verstoßen, die in der DSGVO festgehalten ist – wenn der User nicht in die Erhebung dieser Daten einwilligen würde. Doch genau diese Einwilligung wird von Zoom erfragt. Wer den Dienst also nutzt, stimmt zu, dass Zoom auf diese personenbezogenen Daten zugreifen darf. Was Zoom nun mit diesen Daten macht, unterliegt nicht den Vorgaben der DSGVO, sondern den US-amerikanischen Datenschutzgesetzen, die deutlich laxer sind. Das gilt nicht nur für private Nutzer, die Zoom Zugriff auf ihre personenbezogenen Daten gewähren. Auch Unternehmen innerhalb der EU, die Zoom für interne Meetings, Bewerbungsgespräche oder Kundengespräche verwenden, stehen in der Verantwortung, die Daten von Mitarbeitern, Bewerbern und Kunden zu schützen. Was also können Nutzer und Unternehmen tun, damit das gelingt?
Worauf man bei der Nutzung von Zoom achten sollte
Um auf Nummer sicher zu gehen, sollten möglichst wenige Daten über Zoom ausgetauscht werden. Dazu gehören vor allem sensible Daten, die besonders zu schützen sind. Das umfasst den Austausch von Daten im Chat von Zoom, aber auch das Teilen von Links und Dokumenten, die vor dem Zugriff Unbefugter geschützt werden müssen. Hier ist Zoom als Anbieter der unbefugte Dritte, der keinen Zugriff auf wichtige und sensible Daten erhalten sollte. Hier empfiehlt es sich, VPN zu nutzen, denn so können Informationen effektiv vor Zoom verborgen werden. Zusätzlicher Schutz besteht, wenn der Serverstandort manuell in der EU festgelegt wird. So wird ein unzulässiger Datentransfer in ein Drittland verhindert. Das ist aktuell jedoch nur mit der kostenpflichtigen Version möglich.
Meetings sollten in jedem Fall nur im Privatmodus abgehalten werden, damit nur ausgewählte Personen Zugang zum digitalen Meetingraum haben. Es sollten auch nur diese ausgewählten Personen den Link zum Meeting und das Passwort erhalten. Wenn alle Teilnehmer anwesend sind, sollte das Meeting gesperrt werden. Auf die Verwendung eines Sprachassistenten in Zusammenhang mit Zoom sollte verzichtet werden, da dieser ebenfalls unzulässigerweise Daten verarbeiten kann.
Trotz aller Skepsis arbeitet Zoom kontinuierlich daran, die Sicherheitsstandards zu verbessern und mögliche Sicherheitslücken zu schließen. Es empfiehlt sich also, ein regelmäßiges Update durchzuführen.
Zoom für Unternehmen: Unterstützung durch einen externen Datenschutzbeauftragen
All diese Vorkehrungen gelten sowohl für private Nutzer als auch für Unternehmen. Um den Verpflichtungen im Zuge der DSGVO nachzukommen, wird Unternehmen empfohlen Datenschutz extern zu vergeben. Der Datenschutzexperte unterstützt Unternehmen bei der Vermeidung von rechtlichen Fallstricken wie die Erwähnung der Nutzung von Zoom in der Datenschutzerklärung. Auch einzelne Mitarbeiter müssen um die Risiken von Zoom wissen, wenn sie die Software in ihrem Berufsalltag nutzen möchten. Dazu gehört die Einholung der ausdrücklichen Einwilligung von Teilnehmenden in die Aufzeichnung eines Zoom-Meetings. Im Rahmen einer Datenschutzschulung werden Mitarbeiter über die datenschutzkonforme Verwendung von Zoom aufgeklärt. Wenn ein Unternehmen sich an die genannten Tipps hält und auf die Expertise eines externen Datenschutzbeauftragten setzt, kann es auch bei der Nutzung von Zoom personenbezogene Daten schützen und Datenschutzverstöße vermeiden.
Die Immerce GmbH ist Ihre Internet Agentur im Allgäu und programmiert seit über 10 Jahren leistungsstarke Webshops auf Magento und Shopware Basis und betreibt für Ihre Kunden Suchmaschinenoptimierung. Seit 2018 mit der Einführung der DSGVO betreut die Immerce GmbH Ihre Kunden erfolgreich in Datenschutz & IT-Sicherheit mit TÜV geprüften Datenschutzauditoren und Informationssicherheitsbeauftragten nach ISO 27001.
Firmenkontakt
Immerce GmbH
Frank Müns
Kemptener Straße 9
87509 Immenstadt
+49 (0) 8323 – 209 99 40
info@immerce.de
https://www.immerce-consulting.de/
Pressekontakt
Immerce GmbH
Carvin Müns
Kemptener Straße 9
87509 Immenstadt
+49 (0)8323 – 209 99 40
carvin.muens@immerce.de
https://www.immerce-consulting.de/
Die Bildrechte liegen bei dem Verfasser der Mitteilung.