[Update 10.04.2021] Datenschutzaspekte bei der Nutzung von Zoom (Videokonferenzen) und Alternativen

Inhalt:

1. Datenschutzrechtliche Aspekte bei Zoom u.a. Videokonferenzsystemen
   1.0 [Update 15.02.2021] Orientierungshilfe „Videokonferenzsysteme“ der Deutschen Datenschutzkonferenz [/Update]
   1.1. [Update 18.02.2021] Kurzprüfung von Videokonferenzdiensten – BlnBDI veröffentlicht Ergebnisse [/Update]
   1.2. [Update 29.05.2020] Das Kurzgutachten der Berliner Beauftragten für den Datenschutz und die Inforamtionsfreiheit [/Update]
   1.3. [Update 10.04.2021] Links zu verschiedenen Artikel zu Videokonferenzen im Allgemeinen und zur Zoom-Thematik im Besonderen[/Update]
2. Alternativen
   2.1. Jitsi-Meet
   2.2. [Update 23.05.2020] Nextcloud Talk [/Update]
   2.3 whereby
   2.4 RED Connect Videosprechstunde (kostenlos für ÄrztInnen und RechtsanwältInnen)
3. LfDI Baden-Württemberg: Datenschutzfreundliche technische Möglichkeiten der Kommunikation
4. Digitale Konferenzen – Anleitung der studentischen Initiative #gnuHU zum Abhalten digital-nachhaltiger Konferenzen mittels Freier Software

Da die Nutzung von Zoom für Videokonferenzen auf Grund der aktuellen Lage immer häufiger erfolgt und sich die Frage nach einem datenschutzkonformen Einsatz dieser Software stellen, habe ich hier mal einige Informationen zusammengestellt.

nach oben

1. Datenschutzrechtliche Aspekte bei Zoom

Da gibt es zum Einen den hilfreichen Artikel von Stephan Hansen-Oest (Rechtsanwalt & Fachanwalt für IT-Recht): „Datenschutz-Tipps 6/2020: Muster, Anleitungen & Co. für Online-Meetings via ‚zoom‘“. Damit lassen sich zumindest mal einige grundlegende formale Datenschutzvorgaben umsetzen. Zum Anderen hat Stephan Hansen-Oest einen inzwischen öfters aktualisierten Blogbeitrag mit dem Titel „Hilfe…ist „Zoom“ etwa eine Datenschleuder?“, in dem er zum Schluß kommt, dass Zoom keine Datenschleuder sei.

Allerdings würde ich der Aussage von RA Hansen-Oest nur noch sehr bedingt zustimmen, seitdem ich den vice-Artikel „Zoom iOS App Sends Data to Facebook Even if You Don’t Have a Facebook Account“ und den Heise-Artikel „Bericht: Zoom-App für iOS reicht Daten heimlich an Facebook weiter“ gelesen habe. Zoom hat in seinem Blogbeitrag „Zoom’s Use of Facebook’s SDK in iOS Client“ erklärt, dass es sich bei der Datenweitergabe um einen Fehler handelte, der in der aktuellen Version für iOS beseitigt sei (vgl. auch den Heise.de-Beitrag: „Zoom beendet Datenweitergabe der iOS-App an Facebook“). Es war dann aber ein ziemlich eklatanter Fehler, der den EntwicklerInnen vor der Veröffentlichung der entsprechenden Version hätte auffallen müssen. Ich bin mal gespannt, ob Zomm die nun gemäß Art. 33 DSGVO erforderliche Meldung an die Datenschutzaufsichtsbehörde vornimmt. Zoom hat auch in Europa Kontaktadressen (auf der Seite etwas nach unten scollen), in Frankreich („Zoom France“) könnte es sich sogar um eine Niederlassung handeln, diese müsste dann die Meldung vornehmen.

nach oben

1.0. [Update 15.02.2021] Orientierungshilfe „Videokonferenzsysteme“ der Deutschen Datenschutzkonferenz [/Update]

„Die vorliegende Orientierungshilfe erläutert datenschutzrechtliche Anforderungen an die Durchführung von Videokonferenzen durch Unternehmen, Behörden und andere Organisationen.“ (Quelle: Orientierungshilfe „Videokonferenzsystem“, Seite 4)

• Orientierungshilfe „Videkonferenzsystem“ (Stand: 23.10.2020) als PDF-Datei
• Checkliste hierzu als .odt-Datei und als PDF-Datei

nach oben

1.1. [Update 18.02.2021] Kurzprüfung von Videokonferenzdiensten – BlnBDI veröffentlicht Ergebnisse [/Update]

18.02.2021: „Mehr Ampeln auf Grün – Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat ihre Hinweise zu datenschutzgerechten Videokonferenzdiensten aktualisiert.“

• Pressemitteilung vom 18.02.2020 als PDF-Datei und hier auf der Website von datenschutz.de
• „Hinweise für Berliner Verantwortliche zu Anbietern von
  Videokonferenzdiensten“ (PDF-Datei)

03.07.2020: „Die Berliner Beauftragte für Datenschutz und Informationsfreiheit veröffentlicht die Ergebnisse einer Kurzprüfung von Videokonferenzdiensten für Berliner Verantwortliche.“

• Pressemitteilung vom 3. Juli 2020
• Hinweise für Berliner Verantwortliche zu Anbietern von Video-Konferenzdiensten, diese Hinweise enthalten die Bewertung vieler Videokonferenzanbieter
• Empfehlungen für die Prüfung von Auftragsverarbeitungsverträgen von Anbietern von Videokonferenz-Diensten
• Empfehlungen zur Durchführung von Videokonferenzen
• Checkliste für die Durchführung von Videokonferenzen

nach oben

[Update 29.05.2020]
1.2. Das Kurzgutachten der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI)

Über eine Anfrage auf der Plattform „Frage den Staat“  wurde ein Kurzgutachten vom 23. April 2020 zum Vertrag zur Auftragsverarbeitung (Auftragsverarbeitungsvertrag, AVV) bekannt. Dieses wurde in der Behörde der  BlnBDI erstellt. Der Titel des Gutachtens lautet: „Videokonferenzdienste: Prüfung des AVV der Zoom Video Communications, Inc.“ Der Titel hält allerdings nicht ganz, was er verspricht, denn die oder der AutorIn des Gutachtens hat keine vollständige Prüfung des „Global Data Processing Addendum“ von Zoom durchgeführt, „da bereits bei einer Kurzprüfung (..) teilweise schwerwiegende Verstöße gegen das Datenschutzrecht aufgefallen sind“. In dem Gutachten sind dann immerhin sieben Punkte aufgeführt, die den oder die AutorIn bei der Firma Zoom Video Communications, Inc.zweifeln lässt,

„ob es sich um einen Auftragsverarbeiter handelt, der hinreichend Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DS-GVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet (Art. 28 Abs. 1 DS-GVO)“

Aber lesen Sie selbst: https://fragdenstaat.de/dokumente/4380/

nach oben

[Update 10.04.2021]
1.3. (externe) Links zu verschiedenen Artikel zu Videokonferenzen im Allgemeinen und zur Zoom-Thematik im Besonderen

• golem.de – 10.04.2012, 14:31: „Hack: Sicherheitslücken in Zoom erlauben Ausführen von Schadcode – Forschern ist es gelungen, ohne Benutzerinteraktion Schadcode per Zoom auszuführen. Präsentiert wurden die Lücken auf dem Hackerwettbewerb Pwn2own.“
• heise.de – 25.11.2020, 13:11 Uhr: „mailbox.org: Jitsi-Videokonferenzen für Unternehmen und Bildungseinrichtungen – Für bis zu 25 Unternehmensnutzer oder 50 Schüler stellt mailbox.org ab sofort DSGVO-konforme Videokonferenzen bereit. Als Software kommt Jitsi zum Einsatz.“
• heise.de – 10.10.2020, 07:54 Uhr: „Falsche Angaben zur Verschlüsselung bei Zoom: FTC verzichtet auf Strafzahlungen – Zoom hat jahrelang falsche Angaben zur Verschlüsselung des eigenen Dienstes gemacht. Die FTC drückt nun ein Auge zu, nachdem die Probleme behoben wurden.“
• heise.de – 10.10.2020, 10:47 Uhr: „Trotz Datenschutzbedenken: EU-Kommission nutzt immer noch Zoom – Die Videokonferenz-Plattform Zoom gilt bei der EU-Kommission nicht als zertifizierte IT-Lösung, ist aber weiter im Einsatz. Der EU-Rat sucht nach Alternativen.“
• heise.de – 31.07.2020, 14:07 Uhr: „Zoom-Meeting-Passwörter geknackt – Zoom vergab standardmäßig Passwörter aus 6 Ziffern; und die ließen sich einfach durchprobieren.“
• netzpolitik.org – 24.07.2020, 14:16 Uhr: „DSGVO – Der steinige Weg zu den eigenen Daten – Im März hat ein Nutzer bei Zoom seine Daten angefordert. Seitdem wartet er auf eine Antwort. Auch Datenschutzbehörden können bislang nicht weiterhelfen. Weil der Videokonferenzanbieter mehrere Büros in der EU unterhält, bleibt bis heute ungeklärt, wer eigentlich zuständig ist.„
• heise.de – 20.07.2020, 17:41 Uhr: „Videokonferenzsoftware Zoom: Präparierte Teilnahmelinks ermöglichten Phishing – Bis vor kurzem hätte man bei Zoom-Konferenzen mit manipulierten ‚Vanity URLs‘ eine beliebige Firmenzugehörigkeit vortäuschen können. Das Problem wurde behoben.„
• heise.de – 09.07.2020, 11:19 Uhr: „Microsoft kontert: Berlins Datenschutzbeauftragte beachtete Informationen nicht – Microsoft könne der Einschätzung der Berliner Datenschutzbeauftragten nicht folgen, gibt aber Übersetzungfehler zu.„
• heise.de – 03.07.2020, 17:36 Uhr: „Berliner Datenschützerin: Schlechte Noten für große Videokonferenzdienste – Skype, Teams, Zoom: Bei der rechtlichen Prüfung durch Berlins Datenschutzbeauftragte fallen einige der großen Videokonferenzanbieter durch.“ (siehe auch oben, Ziffer 1.1).
• baden-wuerttemberg.datenschutz.de – 24.06.2020: „Warnung des LfDI wurde gehört – Zoom bessert nach“ – Diese PM gibt es auch als PDF-Datei
• heise.de – 18.06.2020, 10:45 Uhr: „Zoom startet im Juli mit einer Betaversion der Ende-zu-Ende-Verschlüsselung – Der Videokonferenzdienst Zoom will im Juli seine Betaversion der Ende-zu-Ende-Verschlüsselung starten. Alle Nutzer können sie testen.„
• heise.de – 17.06.2020, 12:19 Uhr: „Videokonferenzen absichern: Neue Security-Funktionen für BlueJeans – Einmalkennwörter für Meetings, Warteräume und eine Verschlüsselung aller Inhalte – BlueJeans erweitert seine Videokonferenzen um viele Sicherheitsfunktionen.„
• internetworld.de – 12.06.2020, 09:45 Uhr: „Konten gesperrt – 
  Videoconferencing: Zoom beugt sich Anweisungen aus China“ – kurzes Zitat aus dem Artikel: „Kritiker verweisen schon länger darauf, dass große Teile der Zoom-Softwareentwicklung in China stattfänden und deshalb staatlichen Stellen Angriffsflächen böten. Die Regierung von Taiwan hat ihren Beamten deshalb die Nutzung von Zoom untersagt.“
• heise.de – 04.06.2020 13:35 Uhr: „Sicherheitsupdate: Angreifer könnten Schadcode in Zoom-Meetings schieben – Wer Zoom für Meetings nutzt, sollte aus Sicherheitsgründen prüfen, ob die aktuelle Version installiert ist.„
• security-insider.de – 30.05.2020: „Zoom 5.0  – Whitepaper liefert Roadmap für End-to-End-Verschlüsselung – Zoom setzt Fokus auf Sicherheit„
• heise.de – 26.05.2020, 10:36 Uhr: „Zoom entfernt vorübergehend Giphy aus seinem Chatdienst – Der Videokonferenzdienst Zoom entfernt Giphy für einige Zeit aus seinem Chat – um die Privatsphäre der Nutzer zu schützen.„
• datenschutz-berlin.de, 25. Mai 2020: „Berliner Datenschutzbeauftragte zur Durchführung von Videokonferenzen – Die Berliner Beauftragte für Datenschutz und Informationsfreiheit gibt Empfehlungen zur Durchführung von Videokonferenzen während der Kontaktbeschränkungen.“
  • Pressemitteilung
  • Empfehlungen zur Durchführung von Videokonferenzen
  • Checkliste zur Durchführung von Videokonferenzen
• heise.de – 25.05.2020, 15:53 Uhr:„Videokonferenz-Plattform Zoom: Bundesdatenschutzbeauftragter rät von Nutzung ab – Ulrich Kelber warnt vor Zoom, weil der Dienst nicht Ende-zu-Ende-verschlüsselt sei. Derweil hat Zoom ein entsprechendes Whitepaper veröffentlicht.„
• heise.de – 25.05.2020, 12:06 Uhr: „Teams & Co: Berliner Datenschutzbeauftragte legt im Streit mit Microsoft nach – Microsoft stört sich an einem kritischen Leitfaden zu Videokonferenzsoftware. Die abgemahnte Berliner Datenschutzbehörde bleibt aber bei ihrer Position.„
• heise.de – 07.05.2020, 19:00 Uhr: „Videokonferenzen: Zoom kauft Keybase und stärkt Krypto-Knowhow – Um bei der Einführung der Ende-zu-Ende-Verschlüsselung schneller voranzukommen, kauft Zoom den Krypto-Anbieter Keybase.„
• heise.de – 02.05.2020, 07:56 Uhr: „Videokonferenzen: Hilfestellungen zum datenschutzkonformen Betrieb – Videokonferenzen führten viele Unternehmen mit der Corona-Krise ohne Vorbereitung ein. Kein Grund, Sicherheit und Datenschutz zu vernachlässigen.„
• heise.de – 29.04.2020, 17:26 Uhr: „Schulsoftware: Threema ja, Zoom und Microsoft Office 365 eher nicht – In Baden-Württemberg können Lehrer jetzt Threema Work als Messenger nutzen. Datenschützer begrüßen das.„
• netzpolitik.org- 29.04.2020: „Videokonferenzen für Schulen – In Mannheim und Heidelberg kommt das digitale und offene Klassenzimmer – Die Initiative „Chaos macht Schule“ in Mannheim entwickelt eine Jitsi-Instanz für Schulen in der Region.„
• datenschutzzentrum.de – 29.04.2020: „Plötzlich Videokonferenz – und der Datenschutz? Die Landesbeauftragte für Datenschutz Schleswig-Holstein informiert“
  • Link zur siebenseitigen Information: „Datenschutz: Plötzlich Videokonferenzen – und nun?“ (PDF-Datei)
• heise.de – 22.04.2020: „Zoom erhält neues Update gegen Störer und für Sicherheit„
• datenschutz-generator.de – 16.04.2020: „DSGVO-sicher? Videokonferenzen, Onlinemeetings und Webinare (mit Anbieterübersicht und Checkliste)„
• dev.io – 16.04.2020: „Zoom Endpoint-Security Considerations – Who put the ‚Zoo‘ in ‚Zoom‘?„
• heise.de – 16.04.2020: „Videokonferenzsoftware: Hacker verkaufen angeblich Exploits für Zoom-Lücken – Es gibt Hinweise darauf, dass der Zoom-Client über zwei bislang nicht geschlossene kritische Sicherheitslücken angreifbar ist.„
• heise.de – 15.04.2020: „Videokonferenz-Plattform Zoom: Veröffentlichte Login-Daten aus Credential-Stuffing-Angriffen„
• Bundesamt für Sicherheit in der Informationstechnik – 14.04.2020: „BSI stellt Kompendium Videokonferenzsysteme vor“ – hier geht es ziemlich direkt zur PDF-Datei des Komendiums
• heise.de – 14.04.2020: „Zugangsdaten für hunderttausende Zoom-Accounts zum Kauf im Darknet entdeckt„
• heise.de – 09.04.2020: „Sicherheitsmängel: Google blockiert Zoom auf Arbeitsrechnern„
• security-insider.de – 09.04.2020: Risiko Zoom-Videokonferenz und die Gegenmaßnahmen
• reuschlaw.de – April 2020: „Berliner Datenschutzaufsicht: Stellungnahme und Checkliste zum Datenschutz bei Videokonferenzen – Dienstleistungen von Microsoft (insb. Teams und Skype) sowie Zoom sind nicht datenschutzgerecht„
• heise.de – 08.04.2020: „Zoom ruft Ex-Sicherheitschef von Facebook zur Hilfe„
• heise.de – 04.04.2020: „Gegen ‚Zoombombing‘: Meeting-Tool Zoom aktiviert Passwörter und Warteräume„
• heise.de – 02.04.2020: „Videokonferenz-Software: Ist Zoom ein Sicherheitsalptraum?„
• Berliner BfDI – 02.04.2020: „Berliner Datenschutzbeauftragte zur Durchführung von
  Videokonferenzen während der Kontaktbeschränkungen“ (PDF-Datei)
• Berliner BfDI – 02.04.2020: „Checkliste für die Durchführung von Videokonferenzen während der Kontaktbeschränkungen„
• heise.de – 01.04.2020: „New Yorker Staatsanwältin prüft Datenschutz bei Konferenz-App Zoom„
• datenschutzbeauftragter-info.de – 23.01.2019: „Webkonferenz-Tools im Unternehmen datenschutzkonform einsetzen„

Wenn ich das so lese, kann wohl niemand den Einsatz von Zoom in sensiblen Bereichen oder in Bereichen, in denen die Vertraulichkeit der Inhalte der Videokonferenz wesentlich ist, guten Gewissens empfehlen.
[/Update]

Zudem kommt, dass, wie RA Hanse-Oest selbst schreibt, die deutsche Übersetzung der Datenschutzerklärung ziemlich schlecht sei (und damit m.E. nicht den Anforderungen des Art. 12 DSGVO entspricht). Auch wird kein in der EU ansäßiger Vertreter gemäß Art. 27 DSGVO benannt, obwohl die Zoom VIdeo Communications Inc. m.E. hierzu verpflichtet wäre, da sie ihre Dienstleistungen auch an EinwohnerInnen in der EU anbietet und – je nach Einstellung – auch das Verhalten der NutzerInnen mit Hilfe der – in manchem Kontext nicht nur sinnvollen sondern sogar erforderlichen – Aufmerksamkeitsüberwachung überwacht und daher die Voraussetzung für die Anwendungen des Marktortprinzips aus Art. 3 Abs. 2 DSGVO gegeben sind.

Zusammendfassend bin ich nach wie vor der Meinung, dass der Einsatz von Zoom zumindest sehr kritisch zu sehen ist.

2. Alternativen

Digitalcourage nennt im Blogbeitrag „Vernetzt bleiben trotz Corona – datensparsame Tools fürs Homeoffice“ u.a. Jitsi-Meet und Nextcloud Talk als datensparsame Alternativen. Daneben gibt es auch andere kommerzielle Videokonferenzanbieter, die datenschutzfreundlich sind und ihren Sitz in der EU oder dem Europäischen Wirtschaftsraum (EWR) haben.

nach oben

2.1. Jitis-Meet

Zu Jitis-Meet habe ich auf die Schnelle zwei deutsche Kurzanleitungen zur Installation gefunden:

• https://www.golem.de/news/homeoffice-videokonferenzen-auf-eigenen-servern-mit-jitsi-meet-2003-147239.html
• https://www.kuketz-blog.de/kurzanleitung-jitsi-meet-videokonferenz-per-browser-oder-app/

Darüberhinaus gibt es noch die englische Original-Installationsanleitung.

Im oben genannten Blogbeitrag von Digitalcourage sind allerdings auch einige öffentliche jitsi-Meet-Server genannt, die ohne Anmeldung – und ohne Installation der Jitsi-Meet-Serversoftware – direkt via „click and play“ im Browser benutzt werden können.

nach oben

2.2. Nextcloud Talk

Nextcloud Talk ist besonders für Firmen und Institutionen interessant, die bereits Nextcloud im Einsatz haben. Auch für Nextcloud gibt es eine Installationsanleitung, wenn mensch es auf seinem eigenen Server betreiben will.

Wie das ix magazin (auf heise.de) am 22.05.2020 um 15:15 Uhr berichtet, stellt Nextcloud sein High-Performance Back-End nun unter Open-Source-Lizenz. Zudem kommen mit der Version 9 mehrere neue Funktionen für Nextclouds Talk. Das High-Performance Back-End ist für Videokonferenzen von 10 bis 50 TeilnehmerInnen gedacht.

nach oben

2.3 whereby

Eine weitere Alternative ist whereby, dies ist ein Videokonferenzdienst der norwegischen Firma Video Communication Services AS mit Sitz in Norwegen. Das ist zwar nicht in der EU, aber immerhin im Europäischen Wirtschaftsraum (EWR), auch dort ist die DSGVO anzuwenden. Bei whereby werden kostenlose Videomeeetings für bis zu vier TeilnehmerInnen angeboten, die kostenpflichtige Pro-Version erlaubt bis zu 12 Video-Konferenz-TeilnehmerInnen, bei der teureren Business-Version sind zusätzlich bis zu 38 Audio-TeilnehmerInnen möglich.

nach oben

2.4. RED connect Videosprechstunde

Die RED connect Videosprechstunde wird von der Firma RED Medical Systems GmbH für ÄrztInnen – und zu Zeiten von Corona – auch für RechtsanwältInnen kostenlos angeboten.

nach oben

3. LfDI Baden-Württemberg: Datenschutzfreundliche technische Möglichkeiten der Kommunikation

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BaWü) schreibt in seinem aktuellen Beitrag vom 27.03.2020 (Hervorhebung von mir):

„Datenschutzfreundliche technische Möglichkeiten der Kommunikation (insbesondere Videokonferenzsysteme)
Zusammenfassung

Angesichts der aktuellen Situation um Covid-19 stehen datenschutzrechtlich Verantwortliche vor der Aufgabe, technische Möglichkeiten der Online-Kommunikation einzuführen oder auszuweiten. Hierbei stellen sich auch einige Herausforderungen bei der Einhaltung geltender Datenschutzgesetze.

Bei der Auswahl von Video- oder Telefonkonferenzsystemen sollte aus technischer Sicht darauf geachtet werden, dass der Anbieter weder Metadaten (wer hat wann mit wem kommuniziert) noch die Inhaltsdaten der Kommunikation für eigene Zwecke auswertet oder an Dritte weitergibt. Dies können datenschutzrechtlich Verantwortliche am besten sicherstellen, wenn sie oder ihr Dienstleister (im öffentlichen Bereich sind das z.B. BITBW bei Landesbehörden oder ITEOS bei Kommunen) eine entsprechende Softwarelösung „On-Premises“ – also im eigenen Rechenzentrum – bereitstellen oder aufbauen. Dadurch ist es möglich, alle Datenflüsse und Datenerhebungen selbst zu kontrollieren. Dazu bieten sich zahlreiche Lösungen auf Basis von Open-Source-Software an (z.B. Nextcloud Talk, Jitsi Meet, RocketChat oder Matrix), die prinzipiell datenschutzgerecht einsetzbar sind.“

Details weiterlesen: https://www.baden-wuerttemberg.datenschutz.de/datenschutzfreundliche-technische-moeglichkeiten-der-kommunikation/

nach oben

4. Digitale Konferenzen – Anleitung der studentischen Initiative #gnuHU zum Abhalten digital-nachhaltiger Konferenzen mittels Freier Software

Auf der Webseite https://hu.berlin/FreieKonferenzen finden sich verschiedene Lösungsvorschläge zum „zum Abhalten digital-nachhaltiger Konferenzen mittels Freier Software“. Dabei werden für unterschiedliche Szenarien unterschiedliche Lösungsansätze vorgeschlagen. Einer der Lösungsansetze ist ein selbstgehosteter BigBlueButton-Server. Die Software hierzu ist unter https://github.com/bigbluebutton/bbb-install zu finden.