Datenschutz im Unternehmen – Videokonferenzen mit Zoom

Unsere Gesellschaft wird von der Pandemie geprägt und besonders Unternehmen müssen sich auf die neue Situation einstellen. Durch die zunehmende Digitalisierung ist es modernen Betrieben möglich, Kundenbesuche auch über virtuelle Konferenzräume abzuhalten. Auch nach der Pandemie werden Videokonferenzen-Tools nicht verschwinden, da sich ein hoher Kosten-Nutzenfaktor bestätigt hat und somit langwierige Außendiensttermine auch aus dem eigenen Büro oder Homeoffice durchgeführt werden können.

Aber Datenschützer schlagen Alarm, da nicht alle Konferenz-Tools den Bestimmungen der DSGVO entsprechen. Die Anbieter der virtuellen Konferenzräume haben in den meisten Fällen ihren Hauptsitz in den Vereinigten Staaten oder in einem Drittland, welches außerhalb der EU liegt. Die verwendeten Server, über welche die Konferenzen abgehalten werden, sind in den meisten Fällen auch in diesen Ländern beheimatet und somit greift bei diesen nicht mehr die DSGVO. Besonders Global –Player, wie Microsoft, Google, Zoom und Facebook, welche Cloud- und Telekommunikationsdienstleistungen anbieten, richten sich nur nach den Datenschutzrichtlinien, die für den Standortserver gelten. Besonders diese Serverdaten sind für Geheimdienste, die Regierung und andere Unternehmen höchst interessant, da durch die enthaltenen Daten ein Profiling ermöglicht wird und weitere Daten zu Werbezwecken verwendet werden können.

Wie ist der Datenschutz zwischen den USA und der EU einzuschätzen?

Zwischen den USA und der EU bestand zwischen den Jahren 2016 bis 2020 das sogenannte Privacy-Shield-Abkommen. Diese Abkommen regelte die Verwendung und Weitergabe von personenbezogenen Daten von Personen aus den EU-Mitgliedsstaaten. In diesem Abkommen wurden aber die Datenschutzrichtlinien der Vereinigen-Staaten als ausreichend eingestuft – ein Trugschluss, da dieser Richtlinien für Menschen aus EU-Mitgliedsstaaten nicht ausreichend sind. US-Unternehmen konnten sich auf nicht geltende Datenschutzrichtlinien beziehen, während Deutschland sich an den besonders strengen Vorgaben zu orientieren hat. Auch die DSGVO (Datenschutz-Grundverordnung) aus dem Jahr 2018 konnte hier keine Abhilfe schaffen und die persönlichen Daten der EU-Bürger bleiben praktisch ungeschützt. Im Jahr 2020 wurde das Privacy-Shield-Abkommen seitens des Europäischen Gerichtshofes gekippt und außer Kraft gesetzt.

Datenschutz und das Videokonferenzen-Tool Zoom

Datenschützer beäugen Videokonferenzen mit Zoom ganz genau, da Zoom ein amerikanisches Unternehmen darstellt und der User bei der Nutzung des Tools gleichzeitig den vorgegebenen US-Nutzungsbedingungen zustimmen muss. Hier läuten bei Datenschützern die ersten Alarmglocken, da man hiermit auch in die Datennutzung der Geheimdienste einwilligt. Zoom bietet zwei Nutzungsmöglichkeiten: Verwendet man einen Zoom-Basic-Account, so kann man nicht über den Hostingstandort des verwendeten Servers entscheiden. Nutzt man ein kostenpflichtiges Konto, so ist das Hosting für den User regulierbar. Möchte eine öffentliche Einrichtung, beispielsweise eine Deutsche Universität, Zoom nutzen, so ist grundsätzlich ein europäischer Server auszuwählen.

Zoom ist ein gewinnorientiertes Unternehmen, dies sollte man bei der Nutzung immer beachten. Dies bedeutet im Umkehrschluss, dass der Datenschutz nicht an vorderster Stelle steht und die Datensicherheit teilweise zweitrangig behandelt wird. Im Bereich Zoom wird der Datenschutz durch die kostenpflichtigen Accounts sogar dem Kunden verkauft.

Durch die pandemische Lage wurde Zoom in der EU immer bekannter und beliebter, aber Datenschutzbeauftragte sind besorgt, da Verbesserungen in Bezug auf Sicherheitslücken eher stiefmütterlich behandelt wurden und Zoom somit als nicht DSGVO-konform eingestuft wurde. Sicherheitslücken haben dafür gesorgt, dass über 500.000 Metadaten im Darknet aufzufinden waren und Inhalte von Konferenzen konnten abgehört werden. Eine Ablehnungshaltung gegenüber Zoom konnte sogar von prominenter Stelle verzeichnet werden – Elon Musk und das FBI haben die Nutzung des Tools aus den Unternehmensbereichen verbannt. Auch MacOS bzw. der iOS-Client soll eine Datenabgabe an Facebook ermöglicht haben und Webcams und lokale Webserver wurden, für den User unsichtbar, angezapft.

Studiert man die Datenschutzhinweise der Webseite des Rechenzentrums von Zoom, so wird darauf hingewiesen, dass der Standort des Unternehmens in den USA liegt und somit auch für die Zoom-Webseite zuständig ist – dies beinhaltet somit auch die gesamte Datenverarbeitung. Lädt man die angebotene App, so sei an die angesprochenen Sicherheitsmängel erinnert. Möchte der User im Browser arbeiten, so werden nur die Basisfunktionalitäten angeboten. Nutzerdaten werden bei der Registrierung für mindestens einen Monat gespeichert. Ob der Server in Deutschland oder der EU steht, ist dabei zweitrangig, da das Unternehmen Zoom die Daten grundsätzlich in den USA verarbeitet.

Wie verarbeitet Zoom die erhobenen Daten und wie funktioniert der Datenschutz – ein Beispiel

Studiert der Kunde einige Textpassagen des Zoom-Rechenzentrums, so wird man auf einige schwammige Formulierungen stoßen, die den Stellenwert des Datenschutzes im Unternehmen Zoom erahnen lassen.

Laut Zoom dürfen hierbei personenbezogene Daten, die durch die Teilnahme an Videokonferenzen erhoben und verarbeitet werden, nicht an Dritte übermittelt werden. Eine Ausnahme besteht laut Zoom darin, wenn die Daten zur Weitergabe bestimmt sind. Nachfolgend wird von Zoom angemerkt, dass Daten aus den Konferenzen gleichzeitig auch oft zu Kommunikationszwecken und für eine Weitergabe bestimmt sind.

Derartige Passagen sind bei Datenschützern eher unbeliebt, da einerseits die Daten nicht übermittelt werden sollen, aber auf der anderen Seite das Tool diese Funktionalität beinhalten sollte, da eine Kommunikation ja meistens gewünscht ist. In einem persönlichen Meeting kann man Dateninhalte mit einem begrenzten Teilnehmerkreis teilen, aber Zoom ermöglicht sogar das Zuschalten von unbekannten Konferenzteilnehmern. Hier kommt der praktizierte Datenschutz an seine Grenzen.

Zoom-Alternativen – wie sind Konferenz-Tools datenschutzrechtlich zu bewerten?

Allgemein kann man sagen, dass kein Tool eine vollständige Datensicherheit anbietet. Möchte man eine datenschutzkonforme Lösung erwerben oder benutzen, so sollte man in jedem Fall einige Kriterien beachten.

Handelt es sich um einen vertrauenswürdigen Anbieter?

Dies kann man nicht pauschal beantworten, aber das Studieren von Presseberichten verschafft hier einen guten Überblick. Ist ein Anbieter schon mehrfach wegen Datenschutzverstößen auffällig geworden, so ist von einer Toolnutzung abzuraten.

Datensicherheit und Verschlüsselung

Video, Audio, Screensharing, Verbindungsdaten und Metadaten sollten immer verschlüsselt übermittelt werden. In diesem Bereich hat Webex der Firma Cisco die Nase vorne. Auch in der kostenlosen Version von Webex wird eine Verschlüsselung der Metadaten als Standard angeboten.

Der Sitz des Anbieters – ein wichtiges Kriterium für den Datenschutz

Grundsätzlich sollte man auf einen Anbieter setzten, der sein Geschäft aus der EU oder dem Europäischen Wirtschaftsraum tätigt. Die Anwendungen Demodesk und Teamviewer bieten hier Sicherheit, da der Unternehmenssitz in Deutschland beheimatet ist.

Eigene Server – beste Sicherheit

Möchte man auf Nummer Sicher gehen, dann ist ein Hosting auf eigenen Servern sicher die beste Wahl. Zwar haben „On-Premise-Lösungen“ hier noch die Nase vorne, aber Datenschützer raten zu einer „self-hosted“ Lösung, die beispielsweise Jitsi Meet und Nextcloud Talk anbieten.

Welcher Anbieter im Bereich Videokonferenzen ist datenschutzrechtlich zu empfehlen?

Datenschutzbehörden empfehlen hier eindeutig Jitsi Meet und Nextcloud Talk. Bei diesen Tools ist der Datenschutz gegeben und die Anwendung läuft über die Server des Kunden. Leider gibt es Meldungen, dass Jitsi Meet eine nicht optimale Konferenzqualität anbietet – ein Punkt, wo es Kompromissbereitschaft erfordert. Nextcloud Talk weist Schwierigkeiten mit größeren Meetings vor und steckt daher noch in den Kinderschuhen.

Betrachtet man den Datenschutz der einzelnen Tools, so kann man vier Anbietergruppen grob unterscheiden:

„Secure Leaders“

Dieses Feld ist bisher leider fast unbesetzt. „Secure Leaders“ sollten ein Höchstmaß an Execution Power und Datenschutz vorweisen können. Cisco Webex ist der einzige Anbieter, der dieser Gruppe am nächsten kommt, kann aber im Punkt Datenschutz nicht vollständig punkten.

„Unsecure Leaders“

Diese Anbietergruppe kann eine hohe Nutzerfreundlichkeit und Bekanntheit vorweisen. Hier finden sich Anbieter wie Zoom, Microsoft-Teams, Skype oder GotoMeeting, welche aber alle einen unzureichenden Datenschutz vorweisen.

„Secure Visionaries“

Legt man Wert auf den Bereich Datenschutz, so ist ein Unternehmen bei einem „Secure Visionaires“ Anbieter gut aufgehoben. Diese Anbieter weisen noch keine hohe Nutzerakzeptanz vor und sind eher unbekannt. Zu dieser Gruppe zählen Blizz, Jitsi, Nextcloud und Avaya Aura.

„Niche Players“

Ein Anbieter der Gruppe „Niche Players“ ist für Unternehmen und staatliche Institutionen nicht zu empfehlen. Diese Anbieter können keine Marktpenetration vorweisen und verhalten sich auch hinsichtlich des Datenschutzes eher unzureichend. Zu nennen ist hierbei der Anbieter Amazon Chime.