2B Advice
TEL: +49 (228) 926165100
FREE DOWNLOAD
Datenschutz und Zoom

Datenschutz mit der Videokonferenz-Software Zoom

Was müssen Datenschutzexperten bei Zoom beachten?

In den letzten zwei Jahren ist die Nutzung von Videokonferenzen, insbesondere mit der Software Zoom, sprunghaft angestiegen. In Büros und Klassenzimmern ist es schwierig, eine ansprechende Remote-Erfahrung zu ermöglichen und gleichzeitig eine effiziente Kommunikation mit Mitschülern und Teamkollegen aufrechtzuerhalten.

Daher ist die Nutzung von Diensten für Video- und Online-Konferenzen, Unterricht, Meetings oder Webinare, wie z. B. Zoom, oft wünschenswert. Bei der Nutzung eines solchen Tools müssen jedoch die Anforderungen der GDPR an Privatsphäre und Datenschutz eingehalten werden, auch in Krisenzeiten. Bei der Auswahl der geeigneten Lösung sollte ein Unternehmen oder eine Organisation die rechtlichen und technischen Gegebenheiten sorgfältig prüfen und abwägen sowie den Entscheidungsprozess dokumentieren.

Bei der Nutzung von Zoom werden verschiedene Arten von Daten verarbeitet. Wie viele identifizierenden Informationen der Nutzer angibt, bleibt ihm selbst überlassen. Die Angabe des Namens wird grundsätzlich für das Starten eines Online-Meetings oder das Betreten des Meeting-Raums verlangt. Beim Anlegen eines Kontos oder beim Hinzufügen weiterer personenbezogener Daten verarbeitet Zoom die folgenden Daten:

  • Nutzerdaten:
    Vorname, Nachname, Telefon (optional), E-Mail-Adresse, Passwort (wenn “Single Sign-On” nicht verwendet wird), Profilbild (optional), Abteilung (optional)
  • Meeting-Metadaten:
    Thema, Beschreibung (optional), Teilnehmer-IP-Adressen, Geräte-/Hardware-Informationen.
  • Wenn Aufzeichnung (optional):
    MP4-Datei aller Video-, Audio- und Präsentationsaufzeichnungen, M4A-Datei aller Audioaufzeichnungen, eine Textdatei des Online-Meeting-Chats.
  • Bei Einwahl mit dem Telefon:
    o Informationen über die ein- und ausgehende Rufnummer, Ländername, Start- und Endzeit. Bei Bedarf können weitere Verbindungsdaten wie die IP-Adresse des Geräts gespeichert werden.


Im April 2020 kritisierte die Federal Trade Commission (FTC) Zoom für seine vage Definition von End-to-End-Verschlüsselung (E2E) und die scheinheilige Speicherung kryptografischer Schlüssel. Zoom fügte später seine E2E-Einstellungen hinzu, um zu ermöglichen, dass Daten zwischen zwei Zoom-Benutzern bleiben. Diese Einstellung ist jedoch nicht standardmäßig aktiviert und muss in den Einstellungen von Zoom manuell aktiviert werden.

Ein weiteres Problem, das Zoom erlebte, waren “Zoom-Bombings”, die es jedem mit einem Zoom-ID-Code erlaubten, einen Anruf zu tätigen. Dies veranlasste Zoom, eine Warteraumfunktion hinzuzufügen, die es dem Administrator ermöglicht, Benutzer einzeln einem Anruf beitreten zu lassen sowie einen passwortgeschützten Anruf usw. zu tätigen. Da das Zoom-Passwort in weniger als 30 Minuten gehackt werden konnte, ersetzte Zoom das sechsstellige Passwort durch alphanumerische Zeichen und vom Administrator erstellte Passwörter.

Es wurden viele weitere Sicherheitsprobleme gefunden: Der Verkauf von Daten an Facebook von Nutzern, die sich über Zoom bei der sozialen Plattform angemeldet haben und an die Software, die sich auf iOS-Geräte herunterlädt. sowie die Möglichkeit, die Kameras der Teilnehmer einzuschalten und Nutzer zwangsweise zu einem Anruf hinzuzufügen. Chatboxen waren ebenfalls ein Problem, da Hacker sie manipulieren und bösartige GIF-Dateien erstellen konnten, die inzwischen verboten wurden. Andere Dateitypen, die Hacker über die Chatbox an Nutzer sendeten waren z.B. komprimierte Dateien wie .zip-Dateien, Untitled.html, Untitled.Properties, Untitled.rtf, und Untitled.txt. Der Admin kann weiterhin entscheiden, welche Arten von Dateien in der Chatbox gesendet werden dürfen.

Videokonferenzen für Unternehmen müssen nicht unbedingt ein Sicherheitsrisiko darstellen. Neben dem Standort der Server und dem Dienstanbieter sollten bei der Auswahl der passenden Software auch folgende Aspekte betrachtet werden:

  • Gibt es eine Business-Version des gewünschten Tools? Diese Versionen bieten oft noch höhere Sicherheitsstandards. Ist eine geschäftliche Nutzung erlaubt?
  • Bietet das Videokonferenzsystem datenschutzfreundliche Prozess- und Einstellungsmöglichkeiten (Art. 25 (2) DS-GVO)
  • Findet die Übertragung in verschlüsselter Form statt? Wie werden die Informationen verschlüsselt (z.B. Ende-zu-Ende)?
  • Ist eine ausdrückliche Einwilligung für die Übertragung oder Aufzeichnung auf dem Bildschirm erforderlich?
  • Werden Gesprächsverläufe und Aufzeichnungen nach Beendigung des Gesprächs gelöscht? Wenn nicht, kann dies geändert werden?
  • Werden Verhaltensprofile der Teilnehmer erstellt? Wenn ja, kann diese Funktion ausgeschaltet werden?
  • Bei allen Tracking-, Beobachtungs-, Protokollierungs-, Screen-Sharing- und Aufzeichnungsfunktionen empfiehlt es sich, stets zu prüfen, ob diese Funktionen zwingend erforderlich sind und/oder in den Einstellungen abgeschaltet werden können

Obwohl Zoom mehrfach kritisiert wurde, arbeitet das Unternehmen ständig mit Sicherheitsforschern zusammen, um Schwachstellen zu finden, und hat die meisten alarmierenden Sicherheitsprobleme behoben. Benutzer sollten sich dennoch vor Phishingmails mit Zoom-Einladungen in Acht nehmen, die mit gängigen Betreffs wie “Zoom invite” verschickt werden und die Kunden auffordern, sich anzumelden. Zoom-Administratoren und -Nutzern wird außerdem empfohlen, passwortgeschützte Meetings zu erstellen, die Warteraum-Funktion zu nutzen und die Sitzung zu sperren, sobald alle Teilnehmer anwesend sind.

Nichtsdestotrotz ist es immer am sichersten, die Datenschutzexperten von 2BAdvice um Rat zu fragen, um sicherzustellen, dass die von Ihren Mitarbeitern verwendeten Tools den Datenschutzstandards entsprechen.

Ähnliche Blog-Beiträge

Datenschutz für Vereine Datenschutz für Vereine

Jeder Verein oder Verband mit mehr als 20 Mitarbeitern muss einen externen Datenschutzbeauftragten benennen. Worauf sollten Sie dabei achten?

Ausbildung zum Datenschutzbeauftragten: Welche Ausbildung lohnt sich? Ausbildung zum Datenschutzbeauftragten: Welche Ausbildung lohnt sich?

Wie ist eigentlich der Stand um eine eine offizielle Berufsausbildung oder Studiengänge zum Thema Datenschutzbeauftragte?

Unterschied zwischen Datenschutz und Datensicherheit Unterschied zwischen Datenschutz und Datensicherheit

Datenschutz und Datensicherheit werden häufig synonym verwendet. Sie sind jedoch nicht deckungsgleich und adressieren verschiedene Ansätze.

ALLE BLOG-BEITRÄGE IN DIESER KATEGORIE ANSCHAUEN

Blog-Kategorien

Haben Sie Fragen an uns?

KONTAKT

2B Advice GmbH
Joseph-Schumpeter-Allee 25
53227 Bonn

Tel: +49 (228) 926 165-100
E-Mail:
info@2b-advice.com