Datenschutzrechtliche Probleme rund um den Diensteanbieter Zoom
Was sollten Unternehmer tun, um rechtssicher Videokonferenzen mit Zoom abhalten zu können?
Zoom Video Communications ist ein amerikanisches Softwareunternehmen mit Sitz in San José, Kalifornien. Während der Pandemie stieg die Zahl der monatlichen Nutzer von 10 Mio. im Dezember 2019 auf 200 Mio. im März 2020 an. Allerdings wurde Zoom immer wieder für Sicherheitsmängel und Datenschutzlücken kritisiert, weshalb das Unternehmen versprach, die Software entsprechend nachzurüsten.
So wurde berichtet, dass bei Start und Nutzung der Zoom-App über iOS heimlich Nutzerdaten (verwendetes Gerät, Betriebssystem, Ad-ID, Zeitzone sowie Daten über das Mobilfunknetz) an die sog. Graph-API von Facebook gesendet werden würden.
Diese personenbezogenen Daten könnte Facebook einsetzen, um bei den Nutzern individualisierte Werbung zu schalten. Problematisch hieran ist, dass auch Daten von Nutzern, die gar kein Facebook-Konto besaßen, ausgetauscht wurden. Die App-Nutzer wurden zwar in der Datenschutzerklärung darauf aufmerksam gemacht, dass an Drittanbieter (wie Google Ads und Analytics) personenbezogene Daten übermittelt werden (sog. SDK- Software Development Kit), Facebook wurde in der Erklärung aber nicht erwähnt. Eine wirksame Einwilligung über die Verarbeitung personenbezogener Daten durch Facebook konnte somit nicht erfolgen.
Ferner bestand eine enorme Sicherheitslücke, da Dritte – per Zufallsprinzip generierte Meeting-IDs – einfach an fremden Video-Konferenzen teilnehmen konnten, um diese durch antisemitisches oder pornographisches Material zu stören (sog. Zoombombing).
Die mangelnde Verschlüsselung der Zoom-Meetings und die intransparente Datenschutzerklärung wurden zudem kritisiert und im Rahmen des sog. Attention-Trackings konnte der Host eine Überwachung der Teilnehmer veranlassen und so sehr genau nachverfolgen, wer aktiv am Meeting teilnahm.
Zoom hat auf die heftige Kritik reagiert. So wurde die Zusammenarbeit mit Facebook beendet bzw. ein Update für die iOS-App veröffentlicht sowie den (unerlaubten) Zugang zu Zoom-Meetings mittels Passwortfunktion, Warteräumen, der Stummschalt-Funktion und durch Einstellungen der Bildschirmfreigabe erschwert. Auch die Attention-Tracking-Funktion wurde im April 2020 dauerhaft entfernt und die Datenschutzerklärung Ende März 2020 überarbeitet und transparenter gemacht.
Welche Hinweise gibt die Datenschutzerklärung von Zoom?
Laut aktualisierter Datenschutzerklärung (Stand Juni 2021) erhebt und verarbeitet Zoom für die Nutzung seiner Produkte (Website, Webinare, Meetings und Chat-Funktion) personenbezogene Daten, wozu das Erfassen, Organisieren, Strukturieren, Speichern, Nutzen oder die Weitergabe der Daten gehören kann.
Unter diese Daten fallen u. a.
- Kontoinformationen (Name des Administrators, Konto-ID, Informationen zum Abonnement),
- Profil- und Teilnehmerinformationen (Name, Anzeigename, Bild, E-Mail-Adresse, Telefonnummer, Berufsinformationen, Standort),
- Kontakt- und Kalenderinforationen (Kontaktinformationen aus den Zoom-Kontaktlisten, integrierte Kalender),
- Informationen über Einstellungen (Audio- und Videoeinstellungen, Aufzeichnungsort der Datei),
- Geräteinformationen (IP-Adresse, Informationen über das verwendete Gerät, WLAN-Informationen),
- Informationen über die Inhalte des Meetings sowie
- Informationen zur Produkt- und Website-Nutzung (wann betritt/verlässt jemand ein Meeting, hat die Person Nachrichten versendet, mit wem tauscht sie Nachrichten aus, wurde die Stummtaste aktiviert/deaktiviert, Mausbewegungen und Tastenanschläge)
(vgl. Art 13 Abs 1 DS-GVO).
Zoom nutzt die personenbezogenen Daten in erster Linie, um Produkte und Dienste bereitstellen zu können (z. B., um Einladungslinks an Teilnehmer zu versenden) sowie zur Produktforschung und -verbesserung. Eine entscheidende Rolle spielt auch die Gewährleistung der Sicherheit und Integrität von Zoom-Meetings, um schädliches und unbefugtes Verhalten zu bekämpfen und Sicherheitsbedrohungen abzustellen. Zudem verhelfen die erhobenen Nutzerdaten der Zoom Video Communications, angebotene Dienste/Produkte weiter zu vermarkten und zu fördern.
Zoom gibt – nach Einwilligung der betroffenen Person – die Daten (teilweise) an externe Vertriebspartner, externe Anbieter, Marketing- und Analysepartner weiter. Letztere sind in der Lage, beim Nutzer Cookies zu setzen. Die betroffene Person kann dies deaktivieren, indem sie das Cookie-Verwaltungs-Tool von Zoom aufsucht und ihre Zustimmung entsprechend verweigert (vgl. Art. 6, 7 DS-GVO). Zudem gibt Zoom Daten an verbundene Unternehmen wie Zoom Voice Communications. Aus der Datenschutzerklärung allein wird nicht deutlich, an welche Drittanbieter genau Zoom Daten weitergibt. Nach einer Untersuchung des Web-Magazins Motherboard gibt Zoom Userdaten u. a. an Doubleclick, Google Analytics, Hotjar, Yahoo Advertising und Wootric weiter.
Welche Hinweise gibt Zoom für EU-Bürger?
In der Datenschutzerklärung für EU-Bürger geht Zoom darauf ein, dass Zoom als internationaler Dienstleister tätig ist und deshalb Userdaten (auch außerhalb des Landes, in dem sie erhoben werden) übertragen, gespeichert und verarbeitet werden. Mit der Verwendung von Zoom-Produkten oder der Bereitstellung personenbezogener Daten für einen der oben genannten Zwecke würden die User anerkennen, dass ihre personenbezogenen Daten in die USA sowie in andere Länder außerhalb des EWR, der Schweiz und des Vereinigten Königreichs übermittelt und/oder dort gespeichert werden können (vgl. Art. 13 Abs.1 f) DS-GVO). Zoom weist zusätzlich darauf hin, dass dort andere Datenschutzbestimmungen gelten können und verpflichtet sich dazu, in Ländern mit einem geringeren Datenschutzniveau als in der EU den europäischen Datenschutzstandard einzuhalten.
Die Daten werden so lange aufbewahrt, wie sie für die in dieser Datenschutzerklärung beschriebenen Verwendungszwecke erforderlich sind; es sei denn, geltendes Recht schreibt eine längere Aufbewahrungsfrist vor. Zoom geht zudem auf die Kriterien für die Festlegung der Speicherdauer ein (vgl. Art. 13 Abs. 2a) DS-GVO).
Gemäß des Zoom Help Centers können (nur) Inhaber eines zahlungspflichtigen Kontos entscheiden, wo ihre Kommunikationsdaten gespeichert werden und dabei auch Deutschland als Speicherort auswählen. Die Konto- und Betriebsdaten werden jedoch weiterhin in den USA gespeichert.
Welche datenschutzrechtlichen Probleme ergeben sich bei der Nutzung von Zoom?
Setzen Unternehmer für ihre Arbeit aus dem Homeoffice oder vom Büro aus Konferenzsoftware wie Zoom ein, so stellt dies ein Sicherheitsrisiko dar. Neben der eigentlichen Video-, Chat- und Telefonfunktion können auch andere Inhalte, z. B. Kalenderdateien oder Bildschirminhalte geteilt und Dokumente gemeinsam bearbeitet werden. Außerdem können Teilnehmende mittels des Videos Einblick in das Zuhause der anderen Konferenzteilnehmer – und damit in einen sehr privaten Bereich – nehmen. Dadurch werden nicht nur Informationen über die Konferenzteilnehmer, sondern auch die anderen übermittelten Daten auf den Servern der Konferenzplattform verarbeitet. Da der Großteil der Unternehmen ihren Sitz in den USA hat, besteht die Möglichkeit, dass Nutzerdaten in die USA exportiert und dort gespeichert werden. Allerdings besteht auch bei in der EU gespeicherten Daten von US-Firmen die Gefahr, dass die Unternehmen auf Basis des sog. Cloud Acts Zugriff auf diese haben.
Nach der DS-GVO stellt der Einsatz eines Konferenzdienstes eine Auftragsverarbeitung im Sinne des Art 28. DS-GVO dar. Die Norm ermöglicht es dem Verantwortlichen, seinen eigenen Handlungsradius dadurch zu vergrößern, dass er die Datenverarbeitung nicht selbst vornimmt, sondern von einem anderen spezialisierten Anbieter (Auftragsverarbeiter) durchführen lässt. Nach Abs. 1 trägt dabei der Verantwortliche die Auswahlverantwortung. Ein Auftragsverarbeiter muss (gemäß seiner Zuverlässigkeit, seines Fachwissens und seiner verfügbaren Ressourcen) die Gewähr dafür bieten, dass die Datenverarbeitung mittels geeigneter technischer und organisatorischer Vorkehrungen die Anforderungen der DS-GVO einhält sowie „den Schutz der Rechte der betroffenen Person gewährleistet“. Die Einhaltung genehmigter Zertifizierungsverfahren nach Art. 42 DS-GVO oder die Befolgung der Verhaltensregeln nach Art. 40 DS-GVO dienen als Indiz, um insoweit hinreichende Garantien im Sinne des Art. 28 I DS-GVO nachzuweisen. Wird die Auswahlverantwortung vom Verantwortlichen missachtet, so kann die Aufsichtsbehörde nach Art. 83 Abs. 4 a) DS-GVO das Fehlverhalten mit Geldbuße von bis zu 10 000 000 € oder bis zu 2% des gesamten weltweiten Jahresumsatzes sanktionieren.
Fazit und Handlungsempfehlungen für die Nutzung von Zoom
Folglich müssen Unternehmer, die Zoom einsetzen möchten, sich vergewissern, dass diese Dienste die Vorgaben der DS-GVO einhalten. Eine ordnungsgemäße Beauftragung sollte in der Regel ausgeschlossen sein, wenn tatsächlich Hinweise auf eine regelwidrige Verarbeitung personenbezogener Daten bestehen. Die Datenverarbeitung erfolgt gem. Art. 28 Abs. 3 auf Grundlage eines Vertrags mit dem Auftragsverarbeiter (AV). Die Vorschrift normiert einen nicht abschließenden Katalog („insbesondere“) an Mindestvoraussetzungen an den Vertrag bzw. das Rechtsinstrument. Dazu zählt beispielsweise die genaue Festlegung des Vertragsgegenstandes, eine Vertraulichkeitsverpflichtung aller zur Datenverarbeitung befugten Personen und eine Informationspflicht des Auftragsverarbeiters.
Der Unternehmer sollte folglich sicherstellen, dass ein AV-Vertrag geschlossen wurde und dass dieser den Mindestanforderungen gem. Art. 28 Abs.3 DS-GVO genügt. Bei Zoom wird dieser seit dem 07.04.2020 automatisch bei Erstellung eines Zoom-Accounts geschlossen, indem durch Akzeptieren der Nutzungsbedingungen von Zoom auch automatisch alle unter www.zoom.us/legal verlinkten Dokumente in das Vertragsverhältnis eingebunden werden. Davon erfasst ist auch das DPA (Data Processing Agreement). Wurde der Zoom-Account vor dem 07.04.2020 angelegt, kann davon ausgegangen werden, dass das DPA „automatisch“ gilt: Die vorherigen Zoom-AGB enthielten eine Änderungsklausel, wegen der auch für Altkunden die neuen AGB gelten, welche das DPA automatisch miteinbeziehen. Mithin besteht auch für Altkunden ein wirksamer AV-Vertrag.
Zusätzlich ist für die Verwendung dieser Dienste eine Einwilligung der betroffenen Person erforderlich. Da bei jedem Gespräch mit Kunden, Mitarbeitern und Behörden über einen Anbieter von Videokonferenzen personenbezogene Daten von externen Anbietern wie Zoom erhoben und verbreitet werden und diese u. a. Zugriff auf die IP-Adresse und E-Mail (aber auch auf die Inhalte des Gesprächs und die gefilmte Konversation/Bilder) erhalten, müssen die betroffenen Personen in die Datenverarbeitung einwilligen (Art. 6 Abs.1a, 7 DS-GVO). Dazu kann die Datenschutzerklärung des verwendeten Anbieters in die eigenen Datenschutzhinweise integriert, vor dem Start einer Videokonferenz darauf hingewiesen oder auch in der E-Mail mit dem Einladungslink bereitgestellt werden: „Zur Durchführung des Online-Meetings verwenden wir Zoom. Hinweise zur Datenverarbeitung finden Sie insoweit unter [Link auf die Datenschutzerklärung auf der Webseite].“
Nach Art.5 Abs.1f) DS-GVO sind alle personenbezogenen Daten in einer Weise zu verarbeiten, die eine angemessene Sicherheit der Daten gewährleistet. Hier eingeschlossen ist der Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung durch geeignete organisatorische und technische Maßnahmen. Daraus ergibt sich, dass die Daten, die während der Videokonferenz erhoben werden, verschlüsselt werden müssen. Hierfür ist mindestens eine Transportverschlüsselung entsprechend den Richtlinien des Bundesamts für Sicherheit und Informationstechnik erforderlich.
Bei der Verarbeitung sensibler Daten im Rahmen der Videokonferenz, die mit einem hohen Risiko für die betroffenen Personen verbunden sind (z. B. Gesundheitsdaten), sollte zudem eine Ende-zu-Ende-Verschlüsselung und eine Verschlüsselung gespeicherter Daten vorhanden sein.
Bei Fragen rund um das Thema DSGVO wenden Sie sich gerne an uns.