von Die Video-Konferenzlösung Zoom erhält hinsichtlich des Datenschutzes von der Berliner Datenschutzbeauftragten keine guten Noten. Die Leuphana und die Studierendenschaft setzen Zoom fast ausschließlich ein. Ein anderer Anbieter wurden nach einer Testphase bereits gekündigt. Gibt es Alternativen?
Derzeit bleibt Zoom für die Leuphana die einzige Lösung, die für Vorlesungen, Seminare und andere Konferenzen genutzt wird. Nicht nur Gremiensitzungen der Leuphana sondern auch das StuPa setzt Zoom ein.
Im Rechen- und Medienzentraum (MIZ) wurden nach Aussage des Pressesprechers der Leuphana andere Programme, darunter auch Open-Source-Lösungen, ausprobiert. Gleich zu Beginn hatte die Leuphana mit GoToMeeting experimentiert, jedoch nach einer Test-Phase die Verträge wieder gekündigt. Zoom gewann hinsichtlich der Audio- und Video-Qualität und Stabilität, was Studierende und Lehrende bestätigten. Die Leuphana erläutert auf einer Seite die Nutzung, Funktionen und den Datenschutz rund um Zoom, dort findet sich auch Datenschutzhinweise nach Art. 13 und 21 der DSGVO.
Die Kritik an Zoom ist nicht unerheblich – einige Sicherheitslücken wurden mittlerweile allerdings vom Anbieter behoben.
Zoom wegen Sicherheitslücken in der Kritik
Die Berliner Datenschutzbeauftragte hat zahlreiche Dienste einer datenschutzrechtlichen Prüfung unterzogen. Dabei fallen viele der großen Videokonferenzanbieter durch, darunter auch Zoom. Weiterhin gibt es derzeit keine Ende-zu-Ende-Verschlüsselung (E2EE) bei Zoom, somit kann der Betreiber oder andere sich mit entsprechendem technischem Aufwand theoretisch in den Datenstrom einklinken und mithören und -sehen. Eine E2EE Funktion soll ab Ende Juli getestet werden, eine vorherige Registierung wird jedoch Pflicht.
Die Mängel, die es bei Zoom gibt, sind Mängel im Auftragsverarbeitungsvertrag: unzulässige Einschränkungen der Löschpflicht sowie unzulässige Datenexporte. Und schließlich Zweifel an der Zuverlässigkeit des Anbieters. Näheres ist dem Bericht zu entnehmen.
Urteil des EuGH
Der Datenschutz von Zoom unterliegt unter anderem dem EU-US Privacy Shield Abkommen zwischen den USA, der EU und der Schweiz. Der EuGH (C311/18 – Schrems II) kippte kürzlich das Abkommen, nun muss der Datenschutz zwischen der EU und den USA neu geregelt werden. Das Abkommen regelt etwa den Schutz von persönlichen Daten, die aus der EU in die USA abfließen. Für Datenschützer ein Sieg, jedoch nun mehr Arbeit für die Datenschutzbeauftragten. Entsprechend muss nun geprüft werden, ob Standard-Vertragsklauseln angewendet werden können und wie diese auszusehen haben. Die Berliner Datenschutzbeauftragte erhöht nun den Druck auf die betroffenen Konzerne nach dem Urteil.
Mit Beginn der COVID-19-Pandemie waren viele Hochschulen gezwungen, schnelle Lösungen für den Lehrbetrieb zu finden – so zeigt sich, dass viele Hochschulen Zoom einsetzen. Ein großes Grundproblem bleibt, dass viele Videokonferenz-Anbieter in den USA sitzen und es kaum europäische oder gar deutsche Anbieter gibt.
Stellungnahme vom AStA und vom Niedersächsischen Datenschutz
Der AStA schreibt zum Thema Zoom und deren mehrheitliche Nutzung an der Leuphana: „Wir sind uns der Kontroversen um Zoom bewusst, können die Kosten-Nutzen-Rechnung der Universität aber sehr gut nachvollziehen. Eine hohe Varianz an Softwarelösungen zur Abdeckung kleinteiligster Bedarfe erscheint in Anbetracht des Feedbacks von Endnutzer*innen als eine suboptimale Lösung, welche einen Schulungs- und Wartungsaufwand unproportionaler Größe mit sich bringen würde. Zudem hat das MIZ eine sehr eingehende Überprüfung vieler Angebote durchgeführt und auch die Rückmeldung der Student*innen sehr ernst genommen. Wir bewerten die intensive Nutzung von Zoom durch die Universität als „ausreichend“ (Schulnote: 3), erkennen aber an, dass es die im Vergleich beste Note ist.“
Und auf die Frage, ob der AStA weiterhin Zoom nutzen wird: „Wir werden nach aktuellem Stand weiter bei Zoom bleiben, sofern es keine anders lautende Beschlüsse gibt, oder sich adäquat performende Alternativen mit besseren Konditionen anbieten.“
Ähnlich äußert sich die Landesdatenschutzbeauftragte für Niedersachsen: „Die LfD Niedersachsen berät verantwortliche Stellen in Niedersachsen zum Einsatz von Videokonferenzsystemen, wenn diese dazu Anfragen stellen. Zudem wird die Landesdatenschutzbeauftragte demnächst eine umfassende Handreichung und FAQ zum Thema Videokonferenzen veröffentlichen. Pauschale Aussagen zu einzelnen Anbietern sind in der Regel nicht möglich, da stets die Umstände des Einzelfalls betrachtet werden müssen und sich die Leistungsmerkmale und Funktionen in engen Produktzyklen sehr häufig ändern können. Das erfordert eine fortlaufende Überprüfung der Systeme und Abläufe.
Bei der Auswahl der Videokonferenzprodukte obliegt es dem Verantwortlichen – hier der Universität – Art, Umfang, Umstände und Zwecke dieser Verarbeitung festzulegen. Unter deren Prämisse muss er in einer Risikoanalyse die Gefährdungen für die Rechte der Betroffenen, die jeweilige Schadenshöhe und Eintrittswahrscheinlichkeit untersuchen. Auf Grundlage dieses ermittelten Risikowertes, in Abwägung mit den Implementierungskosten und unter Berücksichtigung des Standes der Technik, muss er schließlich wirksame und angemessene technische und organisatorische Maßnahmen (TOM) festlegen und implementieren, die den Schutz gewährleisten, indem sie die Risiken auf ein vertretbares Maß reduzieren.
Als eine der wichtigsten Gefährdungen gelten Verstöße durch Verletzung der Vertraulichkeit und der Integrität der Daten. Der Konferenzstream mit dem Videomaterial, der Audiospur, der Chatkorrespondenz, den geteilten und kollaborativ bearbeiteten Dokumenten sowie den Metadaten darf Dritten (Unberechtigten) nicht zugänglich sein. Neben der Transportverschlüsselung ist die wirksamste Methode die Ende-zu-Ende-Verschlüsselung, bei der die Kontrolle über die Daten und das Schlüsselmanagement nur an den Endstellen, nicht aber beim Dienstanbieter liegt.“
Alternativen und Empfehlungen
Für eine datenschutzkonforme Nutzung gibt es zahlreiche Empfehlungen und eine Checkliste von der Berliner Beauftragten für den Datenschutz und Informationsfreiheit.
Eine Marktübersicht mit Alternativen bietet die c’t, iX oder eRecht24. Das DFN (Deutsches Forschungsnetz) stellt eine DFN Conf Lösung zur Verfügung.
Foto: Videokonferenz Pc Computer Business Digital Zoom – (c) Pixabay
Hinweis: Die Anfragen und Antworten der Leuphana und des AStA haben wir vor dem EuGH-Urteil gestellt bzw. erhalten.
Update 22.07.2020 – 10:45 Uhr: Wir haben einen Link zur Informationsseite der Leuphana zum Thema Zoom ergänzt.
