Kategorien
Datenschutzrecht

Videokonferenzen ja, aber (noch) nicht mit Zoom

Aktualisiert am 14.07.2020

In Corona-Zeiten gehen Besprechungen oft nur auf Distanz. Als Ersatz für unmittelbare Begegnungen nehmen Video-Meetings rasant zu. Eine der aktuell beliebtesten Software-Lösungen für diesen Zweck kommt vom US-Anbieter Zoom. Für den Einsatz im Unternehmen eignet sie sich (noch) nicht.

Die Videokonferenz-Anwendung Zoom hat einiges zu bieten. Sie funktioniert stabil mit guter Bild- und Tonqualität auch in größeren Gruppen. Aus diesem Grund wird der Dienst in der aktuellen Situation überrannt. Die Entwicklung der Zoom-Nutzer-Zahlen dürfte ähnlich aussehen, wie die Ausbreitungskurve des Corona-Virus. Und doch wurde Zoom Opfer des eigenen Erfolges. Denn mit einer stärkeren Verbreitung, wird auch stärker hingeschaut. So sind in den letzten Wochen diverse Datenschutzbedenken zu Tage getreten. Eines der Hauptprobleme ist die mangelnde Absicherung von Videokonferenzen. Jeder Meeting-Raum verfügt über eine ID, bestehend aus mehreren Ziffern. Wer diese Zahlenkombination jedoch kennt oder sie einfach durch Ausprobieren errät, landet in Besprechungen von Dritten, in denen er oder sie nichts zu suchen hat. Das Phänomen scheint so verbreitet zu sein, dass dafür eigens ein neues Wort die Runde macht: Zoom-Bombing. Darüber hinaus wurden gravierende Verschlüsselungsprobleme erkannt. Zudem soll Zoom Daten der Nutzer an Facebook übermittelt haben, ohne dass darüber informiert worden wäre. Nahezu täglich kommen weitere mögliche Sicherheitslücken hinzu. Inzwischen beschäftigt sich selbst der New Yorker Generalstaatsanwalt wegen möglicher Datenschutzverstöße mit Zoom.

Man muss Zoom aber zugestehen, auf die Kritik zu reagieren. Das Unternehmen hat seine Datenschutzbestimmungen schnell angepasst und sich in Blogposts zu den Vorwürfen geäußert. Zoom verfolgt nun einen 90-Tage-Plan zur Stärkung wichtiger Datenschutz- und Sicherheitsmaßnahmen, über dessen Fortschritt auf dem Blog des Startups informiert wird. So haben die Zoom-Apps bereits Updates erfahren, die neue Sicherheitsfeatures enthalten. Der Anbieter hat sich auch personell verstärkt und den Stanford-Cybersicherheitsexperten Alex Stamos an Bord geholt. Das Unternehmen befindet sich in einer Datenschutzoffensive und versucht unter Hochdruck, den eigenen Laden in Ordnung zu bringen. Eine Entwarnung ist das jedoch (noch) nicht. Versäumnisse aus mehreren Jahren dürften sich nicht über Nacht komplett beheben lassen.

Daher ist es wenig überraschend, dass einige Datenschutzbehörden den Einsatz von Zoom für nicht datenschutzkonform halten. In einem Interview mit dem Handelsblatt vom 24.05.2020 warnt der Bundesdatenschutzbeauftragte Ulrich Kelber vor dem Videokonferenz-Anbieter. Von dieser Kommunikationsform sei abzuraten, wenn personenbezogene Daten im Spiel sind, da es bei Zoom an einer tauglichen Ende-zu-Ende-Verschlüsselung mangele.

Auch dieser Punkt steht auf der Zoom-To-Do-Liste. Um die Entwicklung hier zu beschleunigen, hat die Firma das Krypto-Startup Keybase gekauft. Allerdings dämpft Zoom die Erwartungen. Die Ende-zu-Ende-Verschlüsselung soll in Zukunft nicht sämtlichen Nutzern, sondern nur den Bezahlkunden zur Verfügung stehen. So verkündete der Zoom-CEO Eric Yuan:

„Free users for sure we don’t want to give [end-to-end encryption] because we also want to work together with FBI, with local law enforcement in case some people use Zoom for a bad purpose“

Eric Yuan, CEO von Zoom

Zoom will den Sicherheitsbehörden die Arbeit erleichtern und wird mit diesem vorauseilenden Gehorsam ganz sicher nicht zum Datenschutz-Musterschüler.

Andere Schwachstellen des Dienstes hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit ausfindig gemacht. Sie hat sich zu den gängigen Videokonferenz-Diensten geäußert und eine Checkliste mit Vorgaben zur Auswahl von Anbietern, sowie eine ausführliche Einschätzung veröffentlicht. Die Kernaussage in ihrem Fazit lautet:

„Wir weisen darauf hin, dass einige verbreitet eingesetzte Anbieter zu Redaktionsschluss (22.Mai 2020) nicht alle Rechtmäßigkeitsvoraussetzungen erfüllen, darunter gängige Produkte von Microsoft, Skype Communications und Zoom Video Communications.“

Berliner Beauftragte für Datenschutz und Informationsfreiheit

Eine Begründung, an welchen Rechtmäßigkeitsvoraussetzung es fehlt, bleibt die Behörde an dieser Stelle aber schuldig.

Einen Anhaltspunkt liefert ein internes Kurzgutachten des Berliner Beauftragten für Datenschutz und Informationsfreiheit. Ein Mitarbeiter hat den Auftragsverarbeitungsvertrag von Zoom geprüft, den man in jedem Fall beim Einsatz des Dienstes im Unternehmen abschließen muss. Bereits bei einer Kurzprüfung seien „teilweise schwerwiegende Verstöße gegen das Datenschutzrecht aufgefallen“. Der Vertrag entspreche nicht den gesetzlichen Vorgaben.

Mit seiner Orientierungshilfe zu Videokonferenz-Anbietern vom 03.07.2020 legt der Berliner Beauftragte für Datenschutz und Informationsfreiheit noch einmal nach. Zoom ist bei der Prüfung erneut durchgefallen. Der Dienst weise Mängel auf, die eine rechtskonforme Nutzung ausschließen. Genannt werden „Mängel im Auftragsverarbeitungsvertrag. Unzulässige Einschränkungen der Löschpflicht. Unzulässige Datenexporte“ und ganz generell „Zweifel an der Zuverlässigkeit des Anbieters“.

Eine Kehrtwende ist hingegen bei anderen Aufsichtsbehörden zu beobachten. Während der Landesdatenschutzbeauftragte Baden-Würtembergs zunächst vor dem Einsatz von Zoom im Unterricht warnte, zog er seine Warnung am 24.06.2020 wieder zurück. Die Datenschutzoffensive des Anbieters hat die Behörde umgestimmt. „Das ist ein guter Weg, den Zoom hier eingeschlagen hat (…) und diese Fortschritte nehmen wir als Datenschutz-Aufsichtsbehörde positiv zur Kenntnis.“ Daher bestehe aus Sicht des Landesdatenschutzbeauftragte Baden-Würtembergs jedenfalls kein Anlass mehr, seine Warnung länger aufrechtzuerhalten.

Die Datenschutzaufsicht sendet also widersprüchliche Signale. Unternehmen gibt das in jeglicher Hinsicht keine Sicherheit. Man sollte aktuell daher weiter nach datenschutzfreundlichen Alternativen suchen – und die gibt es. Der Landesdatenschutzbeauftragte Baden-Würtemberg etwa gibt liefert eine Hilfestellung:

„Bei der Auswahl von Video- oder Telefonkonferenzsystemen sollte aus technischer Sicht darauf geachtet werden, dass der Anbieter weder Metadaten (wer hat wann mit wem kommuniziert) noch die Inhaltsdaten der Kommunikation für eigene Zwecke auswertet oder an Dritte weitergibt. Dies können datenschutzrechtlich Verantwortliche am besten sicherstellen, wenn sie oder ihr Dienstleister (…) eine entsprechende Softwarelösung ‚On-Premises‘ – also im eigenen Rechenzentrum – bereitstellen oder aufbauen. Dadurch ist es möglich, alle Datenflüsse und Datenerhebungen selbst zu kontrollieren. Dazu bieten sich zahlreiche Lösungen auf Basis von Open-Source-Software an (z.B. Nextcloud Talk, Jitsi Meet, RocketChat oder Matrix), die prinzipiell datenschutzgerecht einsetzbar sind.“

Landesdatenschutzbeauftragter Baden-Würtemberg

Die Software-Lösung Jitsi Meet funktioniert und kann bei Unternehmen in der eigenen IT-Infrastruktur-Umgebung installiert werden. Das hat auch den Vorteil, dass keine Daten auf Servern von Dritten (wie dem Videokonferenz-Dienstleister) gespeichert werden. Daher muss datenschutzrechtlich bei einer solchen Lösung auch kein Auftragsverarbeitungsvertrag mit dem Videokonferenz-Anbieter geschlossen werden.

Wem die Auswahl eines Videokonferenzsystems schwer fällt oder wer sich die Entscheidung aufgrund der Sensibilität der eigenen Daten und Geschäftsgeheimnisse nicht zu einfach machen sollte, dem sei diese Praxishilfe der Gesellschaft für Datenschutz und Datensicherheit (GDD) nahegelegt. Die GDD hat auch einen guten Marktüberblick der Videokonferenzsystem-Anbieter erstellt. Über Sicherheitsanforderungen an ein solches System informiert erschöpfend das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einem Kompendium.