[Update 10.04.2021] Datenschutzaspekte bei der Nutzung von Zoom (Videokonferenzen) und Alternativen

Inhalt:

  1. Datenschutzrechtliche Aspekte bei Zoom u.a. Videokonferenzsystemen
    1.0 [Update 15.02.2021] Orientierungshilfe „Videokonferenzsysteme“ der Deutschen Datenschutzkonferenz [/Update]
    1.1. [Update 18.02.2021] Kurzprüfung von Videokonferenzdiensten – BlnBDI veröffentlicht Ergebnisse [/Update]
    1.2. [Update 29.05.2020] Das Kurzgutachten der Berliner Beauftragten für den Datenschutz und die Inforamtionsfreiheit [/Update]
    1.3. [Update 10.04.2021] Links zu verschiedenen Artikel zu Videokonferenzen im Allgemeinen und zur Zoom-Thematik im Besonderen[/Update]
  2. Alternativen
    2.1. Jitsi-Meet
    2.2. [Update 23.05.2020] Nextcloud Talk [/Update]
    2.3 whereby
    2.4 RED Connect Videosprechstunde (kostenlos für ÄrztInnen und RechtsanwältInnen)
  3. LfDI Baden-Württemberg: Datenschutzfreundliche technische Möglichkeiten der Kommunikation
  4. Digitale Konferenzen – Anleitung der studentischen Initiative #gnuHU zum Abhalten digital-nachhaltiger Konferenzen mittels Freier Software

Da die Nutzung von Zoom für Videokonferenzen auf Grund der aktuellen Lage immer häufiger erfolgt und sich die Frage nach einem datenschutzkonformen Einsatz dieser Software stellen, habe ich hier mal einige Informationen zusammengestellt.

nach oben

1. Datenschutzrechtliche Aspekte bei Zoom

Da gibt es zum Einen den hilfreichen Artikel von Stephan Hansen-Oest (Rechtsanwalt & Fachanwalt für IT-Recht): Externer LinkDatenschutz-Tipps 6/2020: Muster, Anleitungen & Co. für Online-Meetings via ‚zoom‘“. Damit lassen sich zumindest mal einige grundlegende formale Datenschutzvorgaben umsetzen. Zum Anderen hat Stephan Hansen-Oest einen inzwischen öfters aktualisierten Blogbeitrag mit dem Titel Externer LinkHilfe…ist „Zoom“ etwa eine Datenschleuder?“, in dem er zum Schluß kommt, dass Zoom keine Datenschleuder sei.

Allerdings würde ich der Aussage von RA Hansen-Oest nur noch sehr bedingt zustimmen, seitdem ich den vice-Artikel Externer LinkZoom iOS App Sends Data to Facebook Even if You Don’t Have a Facebook Account“ und den Heise-Artikel Externer LinkBericht: Zoom-App für iOS reicht Daten heimlich an Facebook weiter“ gelesen habe. Zoom hat in seinem Externer Link Blogbeitrag „Zoom’s Use of Facebook’s SDK in iOS Client“ erklärt, dass es sich bei der Datenweitergabe um einen Fehler handelte, der in der aktuellen Version für iOS beseitigt sei (vgl. auch den Heise.de-Beitrag: Externer LinkZoom beendet Datenweitergabe der iOS-App an Facebook“). Es war dann aber ein ziemlich eklatanter Fehler, der den EntwicklerInnen vor der Veröffentlichung der entsprechenden Version hätte auffallen müssen. Ich bin mal gespannt, ob Zomm die nun gemäß Art. 33 DSGVO erforderliche Meldung an die Datenschutzaufsichtsbehörde vornimmt. Zoom hat auch in Europa Kontaktadressen (auf der Seite etwas nach unten scollen), in Frankreich („Zoom France“) könnte es sich sogar um eine Niederlassung handeln, diese müsste dann die Meldung vornehmen.

nach oben

1.0. [Update 15.02.2021] Orientierungshilfe „Videokonferenzsysteme“ der Deutschen Datenschutzkonferenz [/Update]

„Die vorliegende Orientierungshilfe erläutert datenschutzrechtliche Anforderungen an die Durchführung von Videokonferenzen durch Unternehmen, Behörden und andere Organisationen.“ (Quelle: Orientierungshilfe „Videokonferenzsystem“, Seite 4)

nach oben

1.1. [Update 18.02.2021] Kurzprüfung von Videokonferenzdiensten – BlnBDI veröffentlicht Ergebnisse [/Update]

18.02.2021: „Mehr Ampeln auf Grün – Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat ihre Hinweise zu datenschutzgerechten Videokonferenzdiensten aktualisiert.“

03.07.2020: „Die Berliner Beauftragte für Datenschutz und Informationsfreiheit veröffentlicht die Ergebnisse einer Kurzprüfung von Videokonferenzdiensten für Berliner Verantwortliche.“

nach oben

[Update 29.05.2020]
1.2. Das Kurzgutachten der Berliner Beauftragten für Datenschutz und Informationsfreiheit (Externer LinkBlnBDI)

Über eine Externer LinkAnfrage auf der Plattform „Frage den Staat“  wurde ein Kurzgutachten vom 23. April 2020 zum Vertrag zur Auftragsverarbeitung (Auftragsverarbeitungsvertrag, AVV) bekannt. Dieses wurde in der Behörde der  BlnBDI erstellt. Der Titel des Gutachtens lautet: „Videokonferenzdienste: Prüfung des AVV der Zoom Video Communications, Inc.“ Der Titel hält allerdings nicht ganz, was er verspricht, denn die oder der AutorIn des Gutachtens hat keine vollständige Prüfung des Externer LinkGlobal Data Processing Addendum“ von Zoom durchgeführt, „da bereits bei einer Kurzprüfung (..) teilweise schwerwiegende Verstöße gegen das Datenschutzrecht aufgefallen sind“. In dem Externer Link Gutachten sind dann immerhin sieben Punkte aufgeführt, die den oder die AutorIn bei der Firma Zoom Video Communications, Inc.zweifeln lässt,

„ob es sich um einen Auftragsverarbeiter handelt, der hinreichend Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DS-GVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet (Art. 28 Abs. 1 DS-GVO)“

Aber lesen Sie selbst: Externer Linkhttps://fragdenstaat.de/dokumente/4380/

nach oben

[Update 10.04.2021]
1.3. (Externer Linkexterne) Links zu verschiedenen Artikel zu Videokonferenzen im Allgemeinen und zur Zoom-Thematik im Besonderen

Wenn ich das so lese, kann wohl niemand den Einsatz von Zoom in sensiblen Bereichen oder in Bereichen, in denen die Vertraulichkeit der Inhalte der Videokonferenz wesentlich ist, guten Gewissens empfehlen.
[/Update]

Zudem kommt, dass, wie RA Hanse-Oest selbst schreibt, die deutsche Übersetzung der Datenschutzerklärung ziemlich schlecht sei (und damit m.E. nicht den Anforderungen des Art. 12 DSGVO entspricht). Auch wird kein in der EU ansäßiger Vertreter gemäß Art. 27 DSGVO benannt, obwohl die Zoom VIdeo Communications Inc. m.E. hierzu verpflichtet wäre, da sie ihre Dienstleistungen auch an EinwohnerInnen in der EU anbietet und – je nach Einstellung – auch das Verhalten der NutzerInnen mit Hilfe der – in manchem Kontext nicht nur sinnvollen sondern sogar erforderlichen – Aufmerksamkeitsüberwachung überwacht und daher die Voraussetzung für die Anwendungen des Marktortprinzips aus Art. 3 Abs. 2 DSGVO gegeben sind.

Zusammendfassend bin ich nach wie vor der Meinung, dass der Einsatz von Zoom zumindest sehr kritisch zu sehen ist.

2. Alternativen

Digitalcourage nennt im Blogbeitrag Externer LinkVernetzt bleiben trotz Corona – datensparsame Tools fürs Homeoffice“ u.a. Jitsi-Meet und Nextcloud Talk als datensparsame Alternativen. Daneben gibt es auch andere kommerzielle Videokonferenzanbieter, die datenschutzfreundlich sind und ihren Sitz in der EU oder dem Europäischen Wirtschaftsraum (EWR) haben.

nach oben

2.1. Jitis-Meet

Zu Externer LinkJitis-Meet habe ich auf die Schnelle zwei deutsche Kurzanleitungen zur Installation gefunden:

Darüberhinaus gibt es noch die englische Externer LinkOriginal-Installationsanleitung.

Im oben genannten Externer LinkBlogbeitrag von Digitalcourage sind allerdings auch einige öffentliche jitsi-Meet-Server genannt, die ohne Anmeldung – und ohne Installation der Jitsi-Meet-Serversoftware – direkt via „click and play“ im Browser benutzt werden können.

nach oben

2.2. Nextcloud Talk

Externer LinkNextcloud Talk ist besonders für Firmen und Institutionen interessant, die bereits Nextcloud im Einsatz haben. Auch für Nextcloud gibt es eine Externer LinkInstallationsanleitung, wenn mensch es auf seinem eigenen Server betreiben will.

Wie das Externer Linkix magazin (auf heise.de) am 22.05.2020 um 15:15 Uhr berichtet, stellt Nextcloud sein High-Performance Back-End nun unter Open-Source-Lizenz. Zudem kommen mit der Version 9 mehrere neue Funktionen für Nextclouds Talk. Das High-Performance Back-End ist für Videokonferenzen von 10 bis 50 TeilnehmerInnen gedacht.

nach oben

2.3 whereby

Eine weitere Alternative ist Externer Linkwhereby, dies ist ein Videokonferenzdienst der norwegischen Firma Video Communication Services AS mit Sitz in Norwegen. Das ist zwar nicht in der EU, aber immerhin im Europäischen Wirtschaftsraum (EWR), auch dort ist die DSGVO anzuwenden. Bei whereby werden kostenlose Videomeeetings für bis zu vier TeilnehmerInnen angeboten, die kostenpflichtige Pro-Version erlaubt bis zu 12 Video-Konferenz-TeilnehmerInnen, bei der teureren Business-Version sind zusätzlich bis zu 38 Audio-TeilnehmerInnen möglich.

nach oben

2.4. RED connect Videosprechstunde

Die RED connect Videosprechstunde wird von der Firma RED Medical Systems GmbH für ÄrztInnen – und zu Zeiten von Corona – auch für RechtsanwältInnen kostenlos angeboten.

nach oben

3. LfDI Baden-Württemberg: Datenschutzfreundliche technische Möglichkeiten der Kommunikation

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BaWü) schreibt in seinem Externer Linkaktuellen Beitrag vom 27.03.2020 (Hervorhebung von mir):

Datenschutzfreundliche technische Möglichkeiten der Kommunikation (insbesondere Videokonferenzsysteme)
Zusammenfassung

Angesichts der aktuellen Situation um Covid-19 stehen datenschutzrechtlich Verantwortliche vor der Aufgabe, technische Möglichkeiten der Online-Kommunikation einzuführen oder auszuweiten. Hierbei stellen sich auch einige Herausforderungen bei der Einhaltung geltender Datenschutzgesetze.

Bei der Auswahl von Video- oder Telefonkonferenzsystemen sollte aus technischer Sicht darauf geachtet werden, dass der Anbieter weder Metadaten (wer hat wann mit wem kommuniziert) noch die Inhaltsdaten der Kommunikation für eigene Zwecke auswertet oder an Dritte weitergibt. Dies können datenschutzrechtlich Verantwortliche am besten sicherstellen, wenn sie oder ihr Dienstleister (im öffentlichen Bereich sind das z.B. BITBW bei Landesbehörden oder ITEOS bei Kommunen) eine entsprechende Softwarelösung „On-Premises“ – also im eigenen Rechenzentrum – bereitstellen oder aufbauen. Dadurch ist es möglich, alle Datenflüsse und Datenerhebungen selbst zu kontrollieren. Dazu bieten sich zahlreiche Lösungen auf Basis von Open-Source-Software an (z.B. Nextcloud Talk, Jitsi Meet, RocketChat oder Matrix), die prinzipiell datenschutzgerecht einsetzbar sind.“

Details weiterlesen: Externer Linkhttps://www.baden-wuerttemberg.datenschutz.de/datenschutzfreundliche-technische-moeglichkeiten-der-kommunikation/

nach oben

4. Digitale Konferenzen – Anleitung der studentischen Initiative #gnuHU zum Abhalten digital-nachhaltiger Konferenzen mittels Freier Software

Auf der Webseite https://hu.berlin/FreieKonferenzen finden sich verschiedene Lösungsvorschläge zum „zum Abhalten digital-nachhaltiger Konferenzen mittels Freier Software“. Dabei werden für unterschiedliche Szenarien unterschiedliche Lösungsansätze vorgeschlagen. Einer der Lösungsansetze ist ein selbstgehosteter BigBlueButton-Server. Die Software hierzu ist unter https://github.com/bigbluebutton/bbb-install zu finden.

Der Kurzlink für diese Seite ist: https://ds-exp.de/zoomDS

Über Werner Hülsmann

Geboren 1961; 1982 - 1988: Informatikstudium mit Schwerpunkt Datenschutzrecht, Abschluß Diplom; 1988 - 1991: SW-Entwickler bei Telenorma; 1992 - 1999: Referatsleiter Technik und wissenschaftlicher Mitarbeiter beim Landesbeauftragten für Datenschutz der Freien Hansestadt Bremen; seit 1999 selbständiger Datenschutzberater; seit 2004 anerkannter Datenschutzsachverständiger; seit 2013 intensiv mit der DSGVO beschäftigt. Seit 2010 Beiratsmitglied des FIfF e.V.; von 2015 bis Mai 2022 stellv. Vorsitzender der Deutschen Vereinigung für Datenschutz (DVD) e.V., seit Juni 2021 Vorstandsmitglied im gemeinnützigen Verein Computertruhe e.V. In einem Projekt zur Umsetzung der DSGVO auch als Datenschutz-Nerd bezeichnet.
Dieser Beitrag wurde unter DSGVO-Allgemein abgelegt und mit , , , , , , , , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu [Update 10.04.2021] Datenschutzaspekte bei der Nutzung von Zoom (Videokonferenzen) und Alternativen

  1. Kautzmann-Raabe sagt:

    Lieber Herr Hülsmann,
    vielen Dank für den wertvollen Beitrag. Ich stolpere über die potenzielle Empfehlung Red Connect als Alternative nutzen zu können. Meines Erachtens kann man auch diesen Anbieter nicht empfehlen, da Red Connect eine facebook-Fanpage betreibt und somit nur in Teilen Datensicherheit gewährleistet werden kann. Die Firma räumt in den AGBs ein, keine Transparenz über den Datenverkehr via facebook geben zu können „Wir weisen darauf hin, dass evtl. Informationen mit Ihren Profilen auf den Kanälen verknüpft werden können. Diese geschieht z.B. wenn Sie gleichzeitig angemeldet sind. Wir haben keinen Einfluss auf den Umfang und die Verarbeitung der Daten, die diese sozialen Medien wie z.B.Facebook erhebt.“ (Quelle: redmedical, aufgerufen am 24.04.20; URL:https://www.redmedical.de/datenschutzhinweise/). Wegen der Fanpage kann meines Erachtens die Firma trotz aller sonst eigentlich meiner Meinung nach guten Sicherheitsvorkehrungen, die primär in Aussicht gestellte Sicherheit eben nicht garantieren und leider somit auch nicht empfohlen werden. Das sollte man im Blick haben. Es ergibt sich eine unüberwindbare Schwierigkeit bei der Umsetzung der DSGVO bezüglich der grundsätzlichen technologischen Bedingungen der notwendigen Datenvermittlung im Internet in Zusammenhang mit der Weigerung seitens Facebook auf die Erhebung von Daten Dritter zu verzichten.
    Meines Erachtens qualifizieren sich nur Anbieter, die auf social-media Kanäle verzichten, als relativ datensicher.
    Wie sehen Sie das?
    Ich freue mich auf Ihre Antwort und grüße herzlich,
    NKR, (MedienkulturwissenschaftlerIn)

    • ob ein Unternehmen Social-Media-Kanäle betreibt oder nicht hat sicher etwas mit dem grundsätzlichen Datenschutzverständnis des Unternehmens zu tun. Ich würde aber nicht von einer Social-Media-Nutzung des Unternehmens darauf schließen, dass bei konkreten Produkten Datenschutz- oder Datensicherheitsprobleme bestehen.

  2. Helmut Fahr sagt:

    Hallo Herr Hülsmann,
    unter Inhalt führen Sie Alternativen zu Zoom auf, etwa vier Software Systeme. Ich bin seit 20 Jahren in der Videokonferenz Branche tätig, und mich stört es wenn Internet Usern dadurch suggeriert wird dass es nur solche unbekannte kostenlose Tools gibt, die noch dazu von deutschen Unternehmen so gut wie gar nicht verwendet werden. Weshalb werden keine professionellen Videokonferenz Lösungen erwähnt, das wäre repräsentativ da diese auch von der deutschen und europäischen Wirtschaft auch verwendet werden. Diese namhaften Hersteller halten sich an die DSGVO und sollten hier auch deshalb veröffentlicht werden damit User auch auf professionelle Lösungen zurück greifen, und nicht nur auf kostenlose Tools.
    Wir sehen doch wozu es führt wenn kostenlose Tools verwendet werden, Whatsapp kotsenlos = unsicher, Facebook kostenlos = Datenschutz Dilemma, Zoom kostenlos für 40 Minuten für jedermann = hinreichend bekannt.

    Mit freundlichen Grüßen
    Helmut Fahr

    Namhafte internationale Videokonferenz Hersteller mit professionellen Lösungen für den Konferenzraum, für Arbeitsplätze und mobile Videokommunikation:
    Avaya, Cisco, Sony, LifeSize, Poly, RHUB TurboMeeting, TrueConf, Vidyo, Yealink.

    Namhafter europäischer Videokonferenz Hersteller mit professionellen Lösungen für den Konferenzraum, für Arbeitsplätze und mobile Videokommunikation:
    Wildix Lösungen: Kite, ubiconf, Wizyconf
    Hersteller: https://www.wildix.com/de/uber-wildix/

    • Hallo Herr Fahr,
      vielen Dank für Ihren Kommentar. Ich habe in meinem Beitrag bei den Alternativen über entsprechene Empfehlungen anderer Institutionen berichtet. Selbstverständlich kommen auch kommerzielle Lösungen für Unternehmen in Betracht. Meine Empfehlung wären hier allerdings grundsätzlich Anbieter mit Sitz und Serverbetrieb in der EU oder dem Europäischen Wirtschaftsraum (EWR).
      Viele Grüße;
      Werner Hülsmann

Kommentare sind geschlossen.