Ist Zoom datenschutzkonform? 3 Fakten, die dir nicht gefallen werden

Ist Zoom datenschutzkonform?

Die strenge Antwort lautet: „Nein“. Ich bin kein Rechtsanwalt, ich werde aber nachfolgend darstellen, wie man Zoom datenschutzkonform benutzen könnte und aufzeigen, welche Alternativen es gibt, wenn man sich nicht für Zoom entscheidet. Wie datenschutzkonform Zoom wirklich ist, das wird auch klar, wenn man die Aussagen der Berliner Datenschutzbeauftragten nachliest. Es gibt im Grunde zwei große Dimensionen, wenn es um solche Webinar- oder Konferenzsysteme geht. Auf der einen Seite steht die eigene Datenschutzerklärung sowie die DSGVO. Auf der anderen Seite stehen die Zoom Nutzungsbedingungen und es stellt sich die Frage, inwiefern man überhaupt einem US-Anbieter vertraut. In den USA gilt immerhin das FISA-Gesetz.

Zoom Auftragsverarbeitungsvertrag

Natürlich versucht Zoom, datenschutzkonform zu wirken und baut gesetzliche Brücken. Inzwischen schließt man mit Zoom automatisch bei der Registrierung einen Auftragsdatenverarbeitungsvertrag. Die Einzelheiten regelt Zoom hier.
Zoom datenschutzkonform
Serverstandort von Zoom Servern

1) Zoom Serverstandort macht es nicht zwingend DSGVO-konform

Zoom hat auf mehreren Kontinenten Server. Es ist möglich, Europäische Server zu nutzen. Betriebsdaten werden möglicherweise trotzdem in den USA gespeichert. Damit wäre Zoom streng gesehen nicht datenschutzkonform für Europa. Zoom äußert sich ausführlich zur DSGVO auf deren Seite Zoom und die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union.

2) Zoom DSGVO

Zoom bietet in seinen Datenschutzrichtlinien eine extra Abschnitt an, Informationen im Zusammenhang mit dem Datenschutz in Europa. Um das Recht auf Zugang und/oder Übertragbarkeit, das Recht auf Löschung, das Recht auf Berichtigung oder das Recht auf Einschränkung der Verarbeitung durchzusetzen, gibt es dort für uns Europäer einen Link zu einem Formular, dem Data Subject Access Rights Request Form.
Viele Menschen haben immer noch kein gutes Gefühl, wenn sie Zoom benutzen. In den Medien wurde berichtet, dass TESLA und Google sagten, sie werden Zoom nicht mehr einsetzen. Grund hierfür ist, dass Zoom eine Datenschutzpolitik betrieben hat, die eine Weitergabe personenbezogener Daten zwischen verschiedenen Systemen möglich gemacht hat. Was an dieser Stelle in Bezug auf die Aussage von Google wichtig ist: Google hat ein eigenes Videokonferenzsystem, das mit Zoom konkurriert. In der Presse wurde nicht bestätigt, dass dies der Grund dafür ist, dass Google den Einsatz von Zoom ablehnt. Allerdings beraten wir schon recht lange andere Trainer und Unternehmen dabei, wie sie Onlineseminare und -trainings abhalten können. Wenn ein Videokonferenzanbieter wie Google die Chance hat – wie aktuell – den Konkurrenten etwas „in die Erde zu drücken“, dann nutzt er diese Chance natürlich auch. Hier unser Video: „ZOOM und Datenschutz: Zoom Alternativen für DSGVO konforme Videokonferenzen & Webinare Zoom dsgvo Die Problematik bestand darin, dass Zoom Daten bereits bei der ZOOM-Anmeldung zwischen sich und Facebook „hin- und hergeschoben“ hat. Das war ein Problem für Tesla sowie für viele Datenschützer in Deutschland – und wohl auch für Google. Zoom hatte auch nicht kommuniziert, welche weiteren Daten es mit Facebook austauscht. Natürlich gehört eine solche Information in jede Datenschutzerklärung eines Unternehmens. Bei Zoom fehlte dies. Auch hat Zoom daraufhin bestimmte Verknüpfungen u.a. mit Facebook gelöst und beispielsweise das Facebook Developer Kit aus seinem System entfernt. In Deutschland müssen Sie eine eigene Datenschutzerklärung abgeben. Wichtig ist für Sie die Rechtslage in Deutschland. Hier müssen Sie eine eigene Datenschutzerklärung abgeben. Sie sind dabei verpflichtet, bestimmte Angaben zu machen. Grob dargestellt bedeutet dies Folgendes:
  • Sie müssen in Ihrer Datenschutzerklärung angeben, weshalb Sie ein bestimmtes Tool, wie z. B. Zoom, bzw. welche Funktionen dieses Tools Sie nutzen und
  • warum es keine bessere Alternative gibt.
  • Außerdem müssen Sie angeben, mit wem in diesem Zusammenhang Daten ausgetauscht werden.
  • Es ist empfehlenswert, sich hierbei von einem Profi helfen zu lassen
  • und – falls vorhanden – mit dem Betriebsrat oder dem Datenschutzbeauftragten Ihrer Firma zu sprechen.

Zoom datenschutzkonform?

Obwohl Zoom nicht datenschutzkonform ist, ist man nicht automatisch verpflichtet, eine Alternative zu wählen

Nur weil es eine deutsche Alternative zu Zoom gibt, bedeutet das nicht automatisch, dass diese sicherer ist und der Gesetzgeber erwartet, dass Sie sich für diese Alternative entscheiden. Viele deutsche Unternehmen und Behörden sind dennoch der Meinung, dass Unternehmen mit Sitz in den USA unter Druck wichtige Geheimnisse oder zumindest diverse Kontaktdaten an den amerikanischen Geheimdienst weitergeben können. Ganz unberechtigt ist ein solcher Verdachtsgedanke nicht.

Wer Zoom misstraut, wählt in der Praxis einen Dienst mit Sitz in Europa

Wenn der Auftraggeber oder man selbst Zoom misstraut, kann man sich auch für einen Dienst mit Sitz in der EU oder in Deutschland entscheiden. Beachten Sie jedoch hierbei, dass Sie nach deutschem Recht bei allen Diensten, sei es Zoom oder eine deutsche Alternative, einen Auftragsdatenverarbeitungsvertrag haben müssen. In Deutschland gehostete Dienste sind u.a.:
  • meetyoo
  • meetgreen
  • fastviewer
  • [Browser-basiert] edudip
  • TeamViewer Blizz
  • [Browser-basiert] YuLinc
  • MVC Mobile Video Communication / Personal-Meeting-Room
  • RED connect von redmedical.de
  • [Browser-basiert] onconsult.de
  • socialhub.io
  • Telekom Conferencing & Collaboration Tools
  • Schweiz: wire.com/de
Wir haben ein kostenfreies eBook zum Thema, welche weiteren Plattformen es für Online-Trainings und Webinare gibt und wofür sie sich jeweils am besten eignen.

3) Zoom privacy shield – Fehlanzeige

Unter dem Privacy Shield ist ein Abkommen zwischen der EU und den USA zu verstehen, die auf den Schutz von personenbezogenen Daten bei der Übertragung zwischen Mitgliedsstaaten der EU auf der einen und den USA auf der anderen Seite abzielt. Der europäische Gerichtshof hat allerdings das Privacy Shield im Juli 2020 für ungültig erklärt. Der Eintrag in der Datenbank des US Handelsministeriums listet Zoom hier. Dort ist auch zu lesen:
  • EU-U.S. Privacy Shield Framework: Inactive – Withdrawal “ und
  • Swiss-U.S. Privacy Shield Framework: Inactive – Withdrawal„.
Withdrawal bedeutet: Ungültig bzw. zurückgezogen. Das Privacy Shield Abkommen zwischen EU und USA fiel deshalb wie ein Kartenhaus in sich zusammen, weil wir durch die Enthüllungen von Edward Snowden, einem Ex-Gemeimdienstangestellten der USA heute wissen: Die USA schreibt gesetzlich die Überwachung von Ausländern vor. Das Gesetz dazu wird kurz FISA bezeichnet, Foreign Intelligence Surveillance Act. Der geltende Standard, FISA 702 kann US-Anbieter von „elektronischen Kommunikationsdiensten“vorschreiben, US-Sicherheitsbehörden Zugang zu den personenbezogenen Daten von „Nicht-US-Personen“ zu gewähren. Noyb – Europäisches Zentrum für digitale Rechte, schreibt zutreffend hierzu: „Die Überwachungsanordnungen nach diesem Gesetz müssen nicht spezifisch auf ein einzelnes Ziel ausgerichtet sein, sondern ermöglichen vielmehr ein ganzes pauschales Überwachungsprogramm wie PRISM oder Upstream. Es gibt keine individualisierte gerichtliche Genehmigung für Nicht-US-Personen. FISA 702 erlaubt auch die Überwachung für recht weit gefasste Zwecke, wie z.B. „Informationen, die sich … auf … die Führung der auswärtigen Angelegenheiten der Vereinigten Staaten beziehen“
Das Privacy Shield ist vorallem deswegen vom Europäischen Gerichtshof für ungültig erklärt worden, weil
  • es in den USA eine Überwachungsvorschrift gibt, die auch Europäer trifft.
  • In Europa dagegen herrscht ein Überwachungsverbot.
Diese beiden Prinzipien sind für den EuGH nicht vereinbar gewesen.
Dieses Problem trifft somit grundsätzlich alle US-Anbieter von Video-Konferenz-Lösungen, auch Microsoft. Zum Privacy Shield und Zoom sowie die Möglichkeit, Standard Vertragsklauseln zu nutzen habe ich auch mit Achim Zimmermann gesprochen.

Ob Zoom datenschutzkonform ist, das kann sich schnell ändern

Gesetze und Technologien ändern sich, manchmal über Nacht. Bitte beachte, dass dieser Artikel keine Rechtsberatung darstellen kann. Die Informationen können aufgrund von Änderungen nur teilweise oder nicht mehr gültig sein.

Eine einzigartige Business-Trainer Ausbildung

Sie dir einmal die Business-Trainer-Ausbildung Online der Corporate Training Academy an.
Bei uns wirst du in 3 Monaten Trainer:in mit Unternehmer-Skills, nebenberuflich & live-online. Inklusive Zertifikat des BDVT (Geprüfte/r Online Trainer:in).

Wir kennen derzeit keine Ausbildung, die Trainerinnen und Trainer so gut auf Positionierung, Marketing-Strategie und Vertrieb vorbereitet!

ÜBER DEN AUTOR

Marius Jost

Marius Jost leitet die Trainerausbildung der Corporate Training Academy (bis 2021 noch Institut für systemisches Training) sowie die Fachgruppe Online-Training des BDVT. Er begann seine berufliche Laufbahn als zunächst als IT-Analyst und entwickelte sich zum Lobbying- und PR-Spezialist für die IT-Branche. Er betreute u.a. als Senior-Associate für die Public Affairs Agentur Burson-Marsteller globale Kunden. Zuletzt durfte er als Kommunikationsmanager bei STADA weitere Erfahrungen sammeln. Jost ist Business Coach (DBVC) und hat sein Studium „International Business Administration” in Paris (ABS) und Frankfurt am Main (Goethe) absolviert.