Video­kon­fe­ren­zen: Zoom daten­schutz­kon­form einsetzen

Der Video­kon­fe­renz­dienst­leis­ter Zoom hat nach einem Aus­tausch mit dem Zusam­men­schluss nie­der­län­di­scher Bildungs- und For­schungs­ein­rich­tun­gen SURF Anpas­sun­gen beim Daten­schutz vor­ge­nom­men. In sei­ner neu­en Datenschutz-Folgenabschätzung (DSFA) kommt SURF daher zum Ergeb­nis, dass kei­ne hohen Daten­schutz­ri­si­ken beim Ein­satz von Zoom bestehen. Für die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in Dritt­län­der wur­de zusätz­lich eine Fol­gen­ab­schät­zung für den Daten­trans­fer (sog. Data Trans­fer Impact Assess­ment) durch­ge­führt, die das Bestehen ange­mes­se­ner Garan­tien für die Daten­über­mitt­lung bestätigt.

Die wich­tigs­ten Maß­nah­men, die zwi­schen SURF und Zoom ver­ein­bart wur­den, sind:

• Ent­wick­lung von neu­en Daten­schutz­funk­tio­nenZoom wird Lösun­gen zur Daten­lo­ka­li­sie­rung anbie­ten und ver­pflich­tend bis Ende die­ses Jah­res die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten der euro­päi­schen Zoom-Kunden in der EU ermög­li­chen. Bis Mit­te 2022 wird Zoom einen EU-Supportdienst ein­rich­ten. Bei erfor­der­li­cher Mit­hil­fe eines Sup­ports außer­halb der EU bedarf es der aus­drück­li­chen Zustim­mung des Kun­den. Die Mög­lich­keit, Aus­kunfts­er­su­chen zu hand­ha­ben und zu beant­wor­ten, wird Zoom mit­tels zwei­er Selbstbedienungs-Tools für Admi­nis­tra­to­ren von Unternehmens- und Bil­dungs­kon­ten ver­bes­sern. Bis Ende 2022 wird Zoom ein Selbst­be­die­nungs­tool für alle errichten.
  
• Ver­bes­ser­te Trans­pa­renz und Doku­men­ta­ti­onZoom hat ein “Pri­va­cy Data Sheet” (PDF) ver­öf­fent­licht, das eine öffent­li­che Doku­men­ta­ti­on über die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten ent­hält und fort­lau­fend aktua­li­siert wer­den soll. Ein neu­es Data Trans­fer Impact Assess­ment  zeigt, dass die Daten­schutz­ri­si­ken aus Dritt­lands­über­mitt­lun­gen für Zoom-Kunden gering­fü­gig sind. Zoom hat außer­dem klar­ge­stellt, dass das Unter­neh­men grund­sätz­lich selbst Ver­ant­wort­li­cher für die Ver­ar­bei­tung aller per­so­nen­be­zo­ge­nen Daten ist. Soweit Kun­den aus dem Bildungs- und Unter­neh­mens­be­reich Zoom als Auf­trags­ver­ar­bei­ter ein­set­zen, wird Zoom durch die­se ermäch­tigt, eini­ge per­so­nen­be­zo­ge­ne Daten in eige­ner Ver­ant­wort­lich­keit zu verarbeiten.
  
• Ver­bes­se­rung der Daten­schutz­prak­ti­kenZoom hat sei­ne Prak­ti­ken zur Auf­be­wah­rung per­so­nen­be­zo­ge­ner Kun­den­da­ten prä­zi­siert und auf ein Mini­mum redu­ziert. Zoom wird ver­bes­ser­te Privacy-by-Design- und Default-Prozesse wäh­rend des gesam­ten Pro­dukt­ent­wick­lungs­zy­klus imple­men­tie­ren. Intern wer­den neue Mit­ar­bei­ter­schu­lun­gen ein­ge­führt, um einen ver­bes­ser­ten Daten­schutz durch jeden ein­zel­nen Mit­ar­bei­ter gewähr­leis­ten zu können.
  
• Gemein­sa­me kon­ti­nu­ier­li­che Eva­lua­ti­on der Fort­schrit­te in 2‑Monats-Rhythmen

Zusätz­lich zu den Ände­run­gen von Zoom rät SURF dazu, wei­te­re Maß­nah­men selbst umzu­set­zen und neue Daten­ver­ar­bei­tungs­ver­trä­ge mit Zoom abzu­schlie­ßen. Mit Umset­zung die­ser Maß­nah­men sol­len die Kun­den Zoom für hoch­ver­trau­li­che Kom­mu­ni­ka­ti­on nut­zen kön­nen und nicht mehr den zuvor als hoch ein­ge­stuf­ten Daten­schutz­ri­si­ken aus­ge­setzt sein.

Hier­zu hat SURF Emp­feh­lun­gen zu ent­spre­chen­den Zoom-Einstellungen (sowohl für Admi­nis­tra­to­ren (PDF) als auch für End-Nutzer und Hosts (PDF)) veröffentlicht.

Prak­ti­sche Aus­wir­kun­gen: Kann Zoom DSGVO-konform ein­ge­setzt werden?

Bei der Imple­men­tie­rung von Zoom erge­ben sich auf­grund der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zahl­rei­che daten­schutz­recht­li­che Fra­gen. Die nun­mehr ver­öf­fent­lich­te DSFA aus den Nie­der­lan­den und unse­re prak­ti­schen Erfah­run­gen zei­gen, dass bei Beach­tung bestimm­ter daten­schutz­recht­li­cher Maß­nah­men ein DSGVO-konformer Ein­satz von Zoom mög­lich ist. Möch­ten Sie Zoom in Ihrem Unter­neh­men oder einer öffent­li­chen Stel­le ein­set­zen, ist die ent­schei­den­de Fra­ge also nicht, ob ein daten­schutz­kon­for­mer Ein­satz mög­lich ist, son­dern viel­mehr wel­che daten­schutz­recht­li­chen Maß­nah­men zur DSGVO-Compliance erfor­der­lich sind.

Hier­zu emp­feh­len wir die fol­gen­den fünf Schritte:

1. Durch­füh­rung einer Daten­schutz­fol­gen­ab­schät­zung nach Art. 35 DSGVO zur Iden­ti­fi­ka­ti­on von daten­schutz­recht­li­chen Risi­ken und erfor­der­li­chen Abhil­fe­maß­nah­men sowie zur Dokumentation.
2. Iden­ti­fi­zie­ren von Nut­zungs­sze­na­ri­en und Bestim­men betrof­fe­ner Per­so­nen­grup­pen und Daten­ka­te­go­rien, um Ver­ar­bei­tungs­vor­gän­ge und Zwe­cke der Ver­ar­bei­tung fest­le­gen zu können.
3. Sicher­stel­len einer Rechts­grund­la­ge für alle fest­ge­leg­ten Verarbeitungszwecke.
4. Bewer­tung der Risi­ken für die Rech­te und Frei­hei­ten der betrof­fe­nen Per­so­nen auf Grund­la­ge der jewei­li­gen Nutzungsszenarien.
5. Umset­zen von tech­ni­schen und orga­ni­sa­to­ri­schen Abhil­fe­maß­nah­men zur Mini­mie­rung und zum Aus­schluss iden­ti­fi­zier­ter Risiken.

Fazit

Ein daten­schutz­kon­for­mer Ein­satz von Zoom ist mög­lich, erfor­dert jedoch, dass Ver­ant­wort­li­che aktiv tätig wer­den, Maß­nah­men umset­zen und vor allem auch doku­men­tie­ren. Ob sich die natio­na­len Daten­schutz­be­hör­den und der Euro­päi­sche Daten­schutz­aus­schuss die­ser Auf­fas­sung anschlie­ßen, bleibt abzu­war­ten. Zoom hat jedoch erneut sei­ne Bereit­schaft unter Beweis gestellt, im Bereich Daten­schutz und Cyber­si­cher­heit Ver­bes­se­run­gen vor­zu­neh­men, wenn berech­tig­te Kri­tik an das Unter­neh­men her­an­ge­tra­gen wird. Dies soll­ten ins­be­son­de­re die deut­schen Daten­schutz­auf­sichts­be­hör­den zur Kennt­nis neh­men, wenn sie zukünf­tig dar­über nach­den­ken wegen des Ein­sat­zes von Zoom Pro­dukt­war­nun­gen aus­zu­spre­chen oder Maß­nah­men gegen Ver­ant­wort­li­che zu ergreifen.