Zoom in der Kritik

In Zeiten von Corona ist Zoom für viele Unternehmen wie auch Verbraucher die erstbeste Lösung, um zu Arbeitskollegen, Geschäftspartnern, Familie oder Freunden per Video-Call Kontakt aufzunehmen. Andere Anbieter wie Microsofts Skype, Apples Facetime oder Googles Hangouts kommen an diesen Erfolg während der Corona-Pandemie bei weitem nicht heran.

Warum? Dafür gibt es eine plausible Erklärung: Zoom ist einfach zu bedienen. Man kann den Dienst – zumindest als Teilnehmer – ohne Profil, ohne App und ohne Passwort nutzen. Um ein Zoom-Meeting zu veranstalten, muss man sich als Host ein Zoom-Konto anlegen. Dafür müssen Name und E-Mail-Adresse hinterlegt werden. Die übrigen Teilnehmer benötigen lediglich einen Link und müssen dann nur noch ihren Namen eingeben, um an dem Meeting teilzunehmen.

Doch die einfachen Nutzungsmöglichkeiten scheinen ihren Preis zu haben. Mit den rasant steigenden Nutzerzahlen traten in den letzten Wochen auch einige Sicherheitslücken bei Zoom zutage.

Datentransfer in Drittländer

Der Cloud-Dienst von Zoom wird schwerpunktmäßig in den USA betrieben. Grundsätzlich ist jedoch eine Speicherung von Daten in Rechenzentren auf der ganzen Welt möglich. Zoom zeichnet Meetings allerdings nur auf und speichert diese, wenn ein Kunde als Meetingveranstalter dazu aufgefordert hat und die Meetingteilnehmer darüber benachrichtigt wurden. Wenn es um die Speicherung der Daten in den USA geht, hat sich Zoom dem EU-US-Privacy-Shield unterworfen. Durch die 2016 geschlossene informelle Vereinbarung zwischen der Europäischen Union und den Vereinigten Staaten soll der Zugriff auf personenbezogene Daten, die von der EU in die USA übermittelt werden, klaren Beschränkungen, Garantien und Aufsichtsmechanismen unterliegen. Hinsichtlich der Speicherung der Daten in allen anderen Drittländern bietet Zoom seinen Kunden den Abschluss eines EU-Standardvertrags an. Dadurch wird auch in diesen Ländern ein sicherer Umgang mit den Nutzerdaten gewährleistet.

Pflichten von Unternehmen bei der Zoom-Nutzung

Die Teilnehmer an den Zoom-Meetings geben nicht nur mit ihrem Namen und ihrer E-Mail-Adresse persönliche Daten preis. Wird der Dienst von Unternehmen genutzt, können in den Meetings vertrauliche Informationen über Mitarbeiter und Geschäftspartner kommuniziert werden. Zoom übermittelt bzw. verarbeitet diese Daten im Auftrag des Unternehmens, das das Zoom-Meeting veranstaltet und für die Datenverarbeitung verantwortlich ist. Bevor sich ein Unternehmen für die Nutzung entscheidet, sollte es daher mit Zoom einen Vertrag zu Auftragsverarbeitung gem. Art. 28 der Datenschutzgrundverordnung (DSGVO) abschließen. Nach Art. 28 DSGVO muss ein

„Auftragsverarbeiter hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet“

Renommierte Datenschutzrechtsexperten sehen die Anforderungen von Art. 28 DSGVO in dem von Zoom bereit gestellten Auftragsverarbeitungsvertrag gewahrt. Das Vertragsmuster enthält für die Speicherung der Daten in Drittländern auch einen EU-Standard-Vertrag.

Die Datenverarbeitung durch das jeweilige Unternehmen mithilfe von Zoom ist nach der DSGVO grundsätzlich zulässig. Sie kann gemäß Art. 6 Abs. 1 f) DSGVO dadurch gerechtfertigt werden, dass sie der Wahrung berechtigter Interessen des Unternehmens dient. Der Arbeitsbetrieb muss auch in Zeiten von Corona aufrechterhalten werden. Dafür ist eine schnelle und effektive Kommunikation auch sensibler Daten via Zoom nötig. Gleichzeitig ist das Unternehmen jedoch in der Pflicht, Mitarbeiter und Geschäftspartner über die Datenverarbeitung bei Zoom zu informieren.

Zoombombing und Aufmerksamkeitstracking – Sicherheitslücken bei Zoom

Ins Kreuzfeuer der Kritik geriet Zoom in den letzten Wochen vor allem wegen Fällen von „Zoombombing“. Der Begriff wird verwendet, wenn Hacker in Zoom-Meetings reinplatzen und dort ungebetene Inhalte veröffentlichen. In die Schlagzeilen gerieten Zoombombing-Fälle, in denen die Hacker unter anderem rassistische und pornografische Inhalte bei Schulstunden oder Gottesdiensten auf Zoom teilten. Hosts können das Zoombombing allerdings verhindern, indem sie die Konferenz durch ein Passwort sichern und die Teilnehmer erst im virtuellen Warteraum landen, bevor sie zur Konferenz hinzugefügt werden.  

Ebenso in der Kritik stand die Funktion zum so genannten Aufmerksamkeitstracking. Dadurch kann der Host sehen, ob die Konferenzteilnehmer das Zoom-Fenster auf ihrem Rechner im Focus haben, sie also aufmerksam beim Meeting dabei sind. Inzwischen ist die Einstellung jedoch standardmäßig deaktiviert und sollte nur in begründeten Ausnahmefällen und nach vorheriger Information der Teilnehmer aktiviert werden.

Bis Ende März war ein weiterer Kritikpunkt, dass die Zoom-App für iOS Nutzerdaten an Facebook weitergebe. Dieses Problem hat Zoom inzwischen jedoch behoben.

Aktuell sieht sich der Videochat-Dienst mit dem Vorwurf konfrontiert, dass er keine Ende-zu-Ende-Verschlüsselung anbietet. Das bedeutet, dass die Verbindung zwischen den Clients und den Zoom-Servern zwar verschlüsselt ist. Bei Zoom selbst liegen die Daten jedoch unverschlüsselt. Es hat damit uneingeschränkten Zugriff auf die Meeting-Daten. Trotz dieser Zugriffsmöglichkeit muss sich Zoom zwar stets an die Auftragsverarbeitungsvereinbarung gemäß Art. 28 DSGVO mit dem Kunden halten. Demnach würde die Nutzung der Daten zu eigenen Zwecken oder die unbefugte Weitergabe einen Vertragsbruch darstellen. Dennoch wird vor diesem Hintergrund zurzeit davon abgeraten, besonders sensible Inhalte wie zum Beispiel Geschäftsgeheimnisse über Zoom zu kommunizieren. Zoom hat am 9. 4. 2020 angekündigt, sich des Verschlüsselungsproblems anzunehmen und es innerhalb der nächsten 45 Tage zu beheben.

Die Meinungen zu dem millionenfach genutzten Videochat-Anbieter werden wohl gespalten bleiben. Eines ist Zoom auf jeden Fall zugute zu halten: Berechtigte Kritik wird Ernst genommen und es wird nachgebessert, wo immer es geht.

mle