Kategorien
Datenschutzrecht

Videokonferenzen ja, aber nicht mit Zoom

In Corona-Zeiten gehen Besprechungen oft nur auf Distanz. Als Ersatz für unmittelbare Begegnungen nehmen Video-Meetings rasant zu. Eine der aktuell beliebtesten Software-Lösungen für diesen Zweck kommt vom US-Anbieter Zoom. Für den Einsatz im Unternehmen eignet sie sich nicht.

Die Videokonferenz-Anwendung Zoom hat einiges zu bieten. Sie funktioniert stabil mit guter Bild- und Tonqualität auch in größeren Gruppen. Aus diesem Grund wird der Dienst in der aktuellen Situation überrannt. Die Entwicklung der Zoom-Nutzer-Zahlen dürfte ähnlich aussehen, wie die Ausbreitungskurve des Corona-Virus. Und doch wurde Zoom Opfer des eigenen Erfolges. Denn mit einer stärkeren Verbreitung, wird auch stärker hingeschaut. So sind in den letzten Wochen diverse Datenschutzbedenken zu Tage getreten. Eines der Hauptprobleme ist die mangelnde Absicherung von Videokonferenzen. Jeder Meeting-Raum verfügt über eine ID, bestehend aus mehreren Ziffern. Wer diese Zahlenkombination jedoch kennt oder sie einfach durch Ausprobieren errät, landet in Besprechungen von Dritten, in denen er oder sie nichts zu suchen hat. Das Phänomen scheint so verbreitet zu sein, dass dafür eigens ein neues Wort die Runde macht: Zoom-Bombing. Darüber hinaus wurden gravierende Verschlüsselungsprobleme erkannt. Zudem soll Zoom Daten der Nutzer an Facebook übermittelt haben, ohne dass darüber informiert worden wäre. Nahezu täglich kommen weitere mögliche Sicherheitslücken hinzu.

Inzwischen beschäftigt sich selbst der New Yorker Generalstaatsanwalt wegen möglicher Datenschutzverstöße mit Zoom.

Man muss Zoom zugestehen, auf die Kritik zu reagieren. Das Unternehmen hat seine Datenschutzbestimmungen schnell angepasst und sich in Blogposts zu den Vorwürfen geäußert. Darüber hinaus haben die Zoom-Apps ein Update erfahren, das neue Sicherheitsfeatures enthält. Eine Entwarnung ist das jedoch nicht. Versäumnisse aus mehreren Jahren dürften sich nicht über Nacht komplett beheben lassen.

Als Unternehmen sollte man daher nach datenschutzfreundlichen Alternativen suchen – und die gibt es. Der Landesdatenschutzbeauftragte Baden-Würtemberg etwa gibt eine Hilfestellung: „Bei der Auswahl von Video- oder Telefonkonferenzsystemen sollte aus technischer Sicht darauf geachtet werden, dass der Anbieter weder Metadaten (wer hat wann mit wem kommuniziert) noch die Inhaltsdaten der Kommunikation für eigene Zwecke auswertet oder an Dritte weitergibt. Dies können datenschutzrechtlich Verantwortliche am besten sicherstellen, wenn sie oder ihr Dienstleister (…) eine entsprechende Softwarelösung „On-Premises“ – also im eigenen Rechenzentrum – bereitstellen oder aufbauen. Dadurch ist es möglich, alle Datenflüsse und Datenerhebungen selbst zu kontrollieren. Dazu bieten sich zahlreiche Lösungen auf Basis von Open-Source-Software an (z.B. Nextcloud Talk, Jitsi Meet, RocketChat oder Matrix), die prinzipiell datenschutzgerecht einsetzbar sind.“

Die Software-Lösung Jitsi Meet funktioniert und kann bei Unternehmen in der eigenen IT-Infrastruktur-Umgebung installiert werden. Das hat auch den Vorteil, dass keine Daten auf Servern von Dritten (wie dem Videokonferenz-Dienstleister) gespeichert werden. Daher muss datenschutzrechtlich bei einer solchen Lösung auch kein Auftragsverarbeitungsvertrag mit dem Videokonferenz-Anbieter geschlossen werden.