Der Videokonferenzdienstleister Zoom hat nach einem Austausch mit dem Zusammenschluss niederländischer Bildungs- und Forschungseinrichtungen SURF Anpassungen beim Datenschutz vorgenommen. In seiner neuen Datenschutz-Folgenabschätzung (DSFA) kommt SURF daher zum Ergebnis, dass keine hohen Datenschutzrisiken beim Einsatz von Zoom bestehen. Für die Übermittlung personenbezogener Daten in Drittländer wurde zusätzlich eine Folgenabschätzung für den Datentransfer (sog. Data Transfer Impact Assessment) durchgeführt, die das Bestehen angemessener Garantien für die Datenübermittlung bestätigt.
Die wichtigsten Maßnahmen, die zwischen SURF und Zoom vereinbart wurden, sind:
- Entwicklung von neuen DatenschutzfunktionenZoom wird Lösungen zur Datenlokalisierung anbieten und verpflichtend bis Ende dieses Jahres die Verarbeitung personenbezogener Daten der europäischen Zoom-Kunden in der EU ermöglichen. Bis Mitte 2022 wird Zoom einen EU-Supportdienst einrichten. Bei erforderlicher Mithilfe eines Supports außerhalb der EU bedarf es der ausdrücklichen Zustimmung des Kunden. Die Möglichkeit, Auskunftsersuchen zu handhaben und zu beantworten, wird Zoom mittels zweier Selbstbedienungs-Tools für Administratoren von Unternehmens- und Bildungskonten verbessern. Bis Ende 2022 wird Zoom ein Selbstbedienungstool für alle errichten.
- Verbesserte Transparenz und DokumentationZoom hat ein “Privacy Data Sheet” (PDF) veröffentlicht, das eine öffentliche Dokumentation über die Verarbeitung personenbezogener Daten enthält und fortlaufend aktualisiert werden soll. Ein neues Data Transfer Impact Assessment zeigt, dass die Datenschutzrisiken aus Drittlandsübermittlungen für Zoom-Kunden geringfügig sind. Zoom hat außerdem klargestellt, dass das Unternehmen grundsätzlich selbst Verantwortlicher für die Verarbeitung aller personenbezogenen Daten ist. Soweit Kunden aus dem Bildungs- und Unternehmensbereich Zoom als Auftragsverarbeiter einsetzen, wird Zoom durch diese ermächtigt, einige personenbezogene Daten in eigener Verantwortlichkeit zu verarbeiten.
- Verbesserung der DatenschutzpraktikenZoom hat seine Praktiken zur Aufbewahrung personenbezogener Kundendaten präzisiert und auf ein Minimum reduziert. Zoom wird verbesserte Privacy-by-Design- und Default-Prozesse während des gesamten Produktentwicklungszyklus implementieren. Intern werden neue Mitarbeiterschulungen eingeführt, um einen verbesserten Datenschutz durch jeden einzelnen Mitarbeiter gewährleisten zu können.
- Gemeinsame kontinuierliche Evaluation der Fortschritte in 2‑Monats-Rhythmen
Zusätzlich zu den Änderungen von Zoom rät SURF dazu, weitere Maßnahmen selbst umzusetzen und neue Datenverarbeitungsverträge mit Zoom abzuschließen. Mit Umsetzung dieser Maßnahmen sollen die Kunden Zoom für hochvertrauliche Kommunikation nutzen können und nicht mehr den zuvor als hoch eingestuften Datenschutzrisiken ausgesetzt sein.
Hierzu hat SURF Empfehlungen zu entsprechenden Zoom-Einstellungen (sowohl für Administratoren (PDF) als auch für End-Nutzer und Hosts (PDF)) veröffentlicht.
Praktische Auswirkungen: Kann Zoom DSGVO-konform eingesetzt werden?
Bei der Implementierung von Zoom ergeben sich aufgrund der Verarbeitung personenbezogener Daten zahlreiche datenschutzrechtliche Fragen. Die nunmehr veröffentlichte DSFA aus den Niederlanden und unsere praktischen Erfahrungen zeigen, dass bei Beachtung bestimmter datenschutzrechtlicher Maßnahmen ein DSGVO-konformer Einsatz von Zoom möglich ist. Möchten Sie Zoom in Ihrem Unternehmen oder einer öffentlichen Stelle einsetzen, ist die entscheidende Frage also nicht, ob ein datenschutzkonformer Einsatz möglich ist, sondern vielmehr welche datenschutzrechtlichen Maßnahmen zur DSGVO-Compliance erforderlich sind.
Hierzu empfehlen wir die folgenden fünf Schritte:
- Durchführung einer Datenschutzfolgenabschätzung nach Art. 35 DSGVO zur Identifikation von datenschutzrechtlichen Risiken und erforderlichen Abhilfemaßnahmen sowie zur Dokumentation.
- Identifizieren von Nutzungsszenarien und Bestimmen betroffener Personengruppen und Datenkategorien, um Verarbeitungsvorgänge und Zwecke der Verarbeitung festlegen zu können.
- Sicherstellen einer Rechtsgrundlage für alle festgelegten Verarbeitungszwecke.
- Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen auf Grundlage der jeweiligen Nutzungsszenarien.
- Umsetzen von technischen und organisatorischen Abhilfemaßnahmen zur Minimierung und zum Ausschluss identifizierter Risiken.
Fazit
Ein datenschutzkonformer Einsatz von Zoom ist möglich, erfordert jedoch, dass Verantwortliche aktiv tätig werden, Maßnahmen umsetzen und vor allem auch dokumentieren. Ob sich die nationalen Datenschutzbehörden und der Europäische Datenschutzausschuss dieser Auffassung anschließen, bleibt abzuwarten. Zoom hat jedoch erneut seine Bereitschaft unter Beweis gestellt, im Bereich Datenschutz und Cybersicherheit Verbesserungen vorzunehmen, wenn berechtigte Kritik an das Unternehmen herangetragen wird. Dies sollten insbesondere die deutschen Datenschutzaufsichtsbehörden zur Kenntnis nehmen, wenn sie zukünftig darüber nachdenken wegen des Einsatzes von Zoom Produktwarnungen auszusprechen oder Maßnahmen gegen Verantwortliche zu ergreifen.
zurück