Praktisch die ganze Welt stellt mit Corona auf Home-Office um: Jedes Unternehmen, das seinen Betrieb nicht einstellen muss und die Arbeit vor Ort vermeiden kann, versucht den Heimarbeitsplatz seiner Mitarbeiter bestenfalls ganz so wie im Büro einzurichten. Eines der wichtigsten Elemente ist dafür das richtige Tool, um Videokonferenzen und -besprechungen abzuhalten. Denn Word und Outlook zu Hause zu verwenden, ist weniger eine Herausforderung als die Aufrechterhaltung des Austauschs mit Mitarbeitern oder externen Unternehmen, vor allem mit mehreren Personen in Konferenzen oder Meetings.

Mit seiner unkomplizierten Handhabung konnte der US-Dienst Zoom besonders punkten und kann stark ansteigende Nutzerzahlen verbuchen. Mittlerweile nutzen Zoom über 200 Millionen Menschen täglich. Doch gerade bei amerikanischen Anbietern werden Datenschützer schnell hellhörig, und tatsächlich ist vor allem Zoom zurzeit im Fokus einiger Kritik. Und CEO Eric Yuan selbst gibt zu, es in Sachen Datenschutz und Sicherheit bislang „wirklich vermasselt zu haben“. Für Unternehmen stellt sich daher die Frage, ob Zoom trotz seiner Vorzüge das Mittel der Wahl ist.

Zoom: Datenschutzchaos oder übertriebene Kritik?

Mängel in Bezug auf Datenschutz und Sicherheit sind bei Zoom an unterschiedlichen Stellen aufgefallen. So sortiert das Unternehmen seine Nutzer in Gruppen nach den E-Mail-Adressen, mit denen sich die Nutzer für den Dienst registrieren. Jeder Nutzer kann nun Namen, Adresse und gegebenenfalls vorhandene Profilbilder der teils völlig unbekannten Personen sehen, die sich in seiner Gruppe befinden. Hier hat Zoom allerdings bereits reagiert. Große Anbieter wie Google mit Gmail waren zwar ohnehin ausgenommen, doch inzwischen nimmt Zoom auch Anfragen an, um weitere Anbieter von dieser Einteilung auszuschließen.

Weiterhin wurde bekannt, dass Zoom umfangreiche Nutzerdaten an Facebook weitergeleitet hatte, etwa über Zeitpunkt und Dauer der Nutzung und über die verwendeten Geräte. In den USA wurden aus diesem Grund Behörden- und Klageverfahren angekündigt. Zoom hat auch hier gehandelt und nach eigenen Angaben die Weitergabe der Daten eingestellt. Ebenfalls beendet hat das Unternehmen nach Kritik das Feature Activity Tracker, mit dem überprüft und dem Administrator eines Meetings angezeigt werden konnte, ob ein Teilnehmer auch tatsächlich dem Gespräch folgt und nicht etwa ein Browserfenster oder ein anderes Programm offen hat.

Schließlich gab es Probleme mit den Kameraeinstellungen auf iOS-Geräten. Hier wurden ebenfalls Verfahren in den USA eingeleitet, da mit Zoom zugleich und weitestgehend unbemerkt eine Software mitinstalliert wurde, mit der die Kamerafunktion auch ohne die Zustimmung des Nutzers aktiviert werden konnte. Das war auch ein Einfallstor für Hacker. Auch diese Problematik scheint beseitigt, allerdings durch Maßnahmen von Apple selbst. Vorsicht ist aber dennoch geboten. Denn Experten gelang es, mit der Abfrage nach den Zugriffsrechten für Kamera und Mikrofon für Zoom diese Rechte für Schadsoftware gleich mit zu erhalten, was das Mitschneiden der Aufzeichnungen ermöglicht. Von Zoom heißt es, man arbeite an dem Problem. Da kommt es für das Unternehmen zu einem ungünstigen Zeitpunkt, dass zudem Hacker an die Login-Daten hunderttausender Zoom-Accounts gekommen sind. Ob dies aber explizit auf eine Sicherheitsschwachstelle zurückzuführen ist, blieb bislang unklar. Wer einen Zoom-Account besitzt, sollte jedenfalls sein Passwort ändern.

Insbesondere angekündigte und laufende Verfahren amerikanischer Behörden und Gerichte wie in New York und Kalifornien werfen angesichts dieser Vorfälle aus datenschutzrechtlicher Sicht kein gutes Licht auf die Zuverlässigkeit des Unternehmens. Dennoch ist zu bemerken, dass sich Zoom der Probleme schnell angenommen und diese weitestgehend beseitigt hat. Eine Bewertung, inwieweit dies tatsächlich gesehen hat, ist schwierig – Unternehmen sollten dafür die Verfahren verfolgen, die möglicherweise für Klarheit sorgen werden.

Keine angemessene Verschlüsselung bei Zoom?

Zoom behauptete, die sichere Ende-zu-Ende-Verschlüsselung zu verwenden. Das bedeutet: Die Nachrichten werden beim Versender verschlüsselt und erst beim Empfänger wieder entschlüsselt. Damit sind die Informationen über die gesamte Übertragungsstrecke hinweg von Ende zu Ende nicht für Dritte, nicht einmal für das Unternehmen, das die Anwendung für die Kommunikation anbietet, einsehbar. Gerade für Unternehmen ist das ein entscheidender Faktor.

Zumindest für die Kommunikation in Video- und Audiokonferenzen war das aber gar nicht der Fall, und Zoom hat die Aussage daher auch zurückgenommen. Kritiker bemängeln, dass es sich „nur“ um eine Transportverschlüsselung (TLS) handelt. Damit läge das andere Ende der verschlüsselten Übertragungsstrecke nicht beim Empfänger, sondern erst einmal bei einem Server von Zoom. Ob einem dies ausreicht oder die Risiken des Mithörens und Mitschneidens damit zu groß sind, muss im Einzelfall entschieden werden. Wenn dadurch Daten auf amerikanische Server von Zoom gelangen, ist das rein rechtlich allerdings zulässig. Datentransfers in die USA sind durch das Abkommen des Privacy Shields abgesichert, über das Zoom zertifiziert ist. Aber: Es kam ebenfalls heraus, dass Nutzerdaten auf chinesischen Servern verarbeitet wurden, weshalb Zoom für Behörden und Telekommunikationsunternehmen in Taiwan verboten wurde. Weitere bekannte Akteure, die Zoom inzwischen untersagt haben, sind das Raumfahrtunternehmen Space X und die US-Raumfahrtbehörde NASA.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Ein besonderes Problem: Zoom-Bombing

Ganz besonders für Aufsehen und sogar die Kreation eines eigenen Begriffs hat das sogenannte Zoom-Bombing gesorgt. Hier klinken sich Dritte heimlich in (öffentliche) Zoom-Konferenzen ein, indem sie die Meeting IDs ermitteln und dann ihren Bildschirm, meist schockierenden und provozierenden Inhalts, für alle Teilnehmer sichtbar teilen. Das FBI hat daher schon insbesondere vor der schulischen Verwendung gewarnt, da in den USA pornografische Inhalte und Hassreden unvermittelt eingeblendet wurden. In Schulen und Gottesdiensten waren auf einmal Nazisymbole zu sehen und bei einem Treffen der Anonymen Alkoholiker über Zoom Bilder trinkender Menschen.

Auch hier hat Zoom nachgebessert. Konferenzen können für weitere Teilnehmer gesperrt werden und nun wird für sie auch ein Passwort generiert, um unerwünschte Teilnehmer zu verhindern. Wer eine Einladung zu einem Meeting und die dazugehörige ID erhält, bekommt zusätzlich ein Passwort, das vor dem Eintritt abgefragt wird. Mit der Funktion „Warteraum aktivieren“ werden weitere Teilnehmer zunächst in einen Warteraum gesetzt und können nur mit der Erlaubnis des Administrators teilnehmen.

Auch zuvor war es für den Administrator eines Zoom-Meetings möglich, den Teilnehmern die Möglichkeit zu entziehen, ihren Bildschirm einfach mit den anderen zu teilen. Diese Konfiguration sollte man auch weiterhin vornehmen, ganz besonders wenn es sich um größere Konferenzen handelt, bei denen nicht auf einen Blick kontrolliert werden kann, wer alles teilnimmt.

Welche Möglichkeiten gibt es noch?

Vor diesem Hintergrund sollte man sich die Frage stellen, ob man nicht eine andere Anwendung verwenden kann. Ob diese ebenfalls den Ansprüchen an Funktionalität genügen, muss im Einzelfall entschieden werden. Es bleibt zu beachten, dass bei anderen Programmen ähnliche Probleme wie bei Zoom auftreten können.

Weit verbreitet sind vor allem Google Hangouts, für Apple-Nutzer Facetime und Microsoft Skype oder Teams. Gemeinsam haben diese Unternehmen allerdings ihre Herkunft aus den USA sowie eigene Diskussionen um unzureichenden Datenschutz. Von Skype wurde beispielsweise berichtet, dass Dritte Gespräche mitgehört haben sollen, und Google ist im Hinblick auf Datensammeln ohnehin nicht zurückhaltend. Relativ neu im Gespräch sind Anwendungen wie die freien Softwares Jitsi Meet und BigBlueBotton oder das norwegische Unternehmen Whereby, die auch mit mehr Sicherheit, Privatsphäre und Datenschutz werben. Ob diese Tools eine ausreichende Praktikabilität bieten, muss jeweils ausprobiert werden.

Trotz allem dürften sich die viele Unternehmen allein aufgrund der weiten Verbreitung der Anwendungen für US-Anbieter entscheiden. Daher gilt es, wegen der aktuellen Diskussionen um Zoom bei diesem Tool besonders, aber selbstverständlich auch bei allen anderen, alle Möglichkeiten auszuschöpfen, um die Nutzung so sicher wie möglich zu gestalten. Dazu gehört, die Sicherheits- und Datenschutzeinstellungen des jeweiligen Anbieters so weit wie möglich zu nutzen und auf die größtmögliche Sicherheitsstufe einzurichten.

Öffentliche Meetings sollten am besten vermieden werden. Bei Zoom sollten Meeting IDs für jedes Meeting gesondert erstellt und das Feature des Warteraums genutzt werden. Für eine besonders sichere Einstellung kann der Link zum Meeting getrennt vom Passwort versendet werden. Schließlich lässt sich in der Regel einstellen, welche Teilnehmer ihren Bildschirm teilen dürfen und welche nicht.

Fazit

Für das Tool Zoom ist nicht von der Hand zu weisen, dass es mit einigen datenschutzrechtlich relevanten Problemen zu kämpfen hat. Rechtlich gesehen ergibt ein Blick in die Datenschutzerklärung des Unternehmens, jedenfalls nach den neuesten Verbesserungen, nicht, dass es das Thema Datenschutz lockerer sieht als andere Anbieter von Tools für Videokonferenzen. Zudem ist festzuhalten, dass Zoom auf die Vorwürfe bislang schnell reagiert hat und allgemein betont, die Thematik Sicherheit und Datenschutz ganz oben auf die eigene Agenda gesetzt zu haben und die Schwachstellen in den kommenden drei Monaten zu beheben. Damit sind selbstverständlich nicht alle Probleme aus dem Weg geräumt, weshalb man sich über vertrauliche Informationen wie Geschäftsgeheimnisse nicht auf Zoom austauschen sollte – aber auch das dürfte für die allermeisten anderen Tools gelten. Für diejenigen, die das Tool aber nutzen wollen oder müssen, gilt: auf alle Sicherheitseinstellungen achten, das weitere Vorgehen von Zoom genau verfolgen und im Notfall auf die Nutzung doch verzichten, wenn es zu weiteren Vorfällen kommt.

Mehr zum Thema

  • Anonymisierung Pseudonymisierung

    Anonymisierung und Pseudonymisierung in der Praxis

    Wie der vermeintliche Widerspruch zwischen Datenschutz durch Pseudonymisierung und dem Nutzen personenbezogener Daten in der wissenschaftlichen Praxis bearbeitet werden kann, beleuchten wir in diesem Beitrag. Außerdem werfen wir einen Blick auf die besonderen Herausforderungen, denen Akteur:innen des Gesundheitswesens bei diesem Thema begegnen.

    Weiterlesen

  • Best of 2020: Diese 10 Blog-Artikel haben Sie im letzten Jahr am meisten interessiert

    Wie gewohnt starten wir das neue Jahr mit einem Rückblick: Welche Themen haben unsere Leserinnen und Leser im vergangenen Jahr am meisten interessiert? Welche Artikel wurden am häufigsten gelesen? Und welche spannenden Entwicklungen gab es im Bereich Datenschutz?

    Weiterlesen

  • Datenschutzkonformität von Microsoft Teams, Zoom und Webex

    Die Berliner Datenschutzbehörde hat sich in ihrer neuesten Stellungnahme kritisch gegenüber der Verwendung von Videokonferenzdiensten geäußert. Gerade in der Corona-Krise sind aber die meisten Unternehmen auf diese Anbieter angewiesen. Der folgende Beitrag nimmt die Kritik der Behörde zu den Anbietern Microsoft Teams, Zoom und Webex aus datenschutzrechtlicher Sicht genauer unter die Lupe.

    Weiterlesen

Wir melden uns bei Ihnen!

In unserer Datenschutzerklärung finden Sie weitere Informationen, wie wir mit Ihren personenbezogenen Daten umgehen und welche Rechte Sie haben.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.