Hilfe…ist „Zoom“ etwa eine Datenschleuder?

Vorwort: „Zoom“ steht aktuell erheblich im Hinblick auf „Datenschutz“ unter Kritik. Ich persönlich finde die Kritik zu großen Teilen unberechtigt. Aber: Es ist nicht zu bestreiten, dass „Zoom“ einen Teil der Kritik zum Anlass genommen hat, besser zu werden. In diesem Beitrag geht es allein um rechtliche Erwägungen. Also um die Frage, ob „Zoom“ in datenschutzrechtlich zulässiger Weise eingesetzt werden kann.

Viele rufen diesen Beitrag auf, um zu erfahren, ob „Zoom“ nun aktuell noch in datenschutzrechtlich zulässiger Weise genutzt werden kann. Daher gibt es meine aktuelle Meinung sowie das Datum dieser Aussage jeweils hier zu Beginn des Beitrags:

Zoom-Barometer: Kann „Zoom“ aktuell datenschutzrechtlich zulässig eingesetzt werden?
Ja, meiner Meinung nach kann „Zoom“ aktuell immer noch in datenschutzrechtlich zulässiger Weise eingesetzt werden (Stand: 02.04.2020 – 07:34 Uhr)

Update I (26.03.2020): Ich habe den Beitrag aktualisiert (weiter unten), um zu neuen Vorwürfen, dass „Zoom“ personenbezogene Daten an Drittanbieter „übermittele“, Feedback zu geben.
Update II (27.03.2020): Zur Übermittlung von Daten an Facebook bei Nutzung der iOS App (ganz unten).
Update III (27.03.2020): Anmerkungen zur Stellungnahme von Prof. Dr. Roßnagel
Update IV (28.03.2020): Zoom hat den Facebook-Bug in der iOS App behoben.
Update V (30.03.2020): Der heute vom Handelsblatt auf der Website veröffentlichte Artikel enthält keine neuen Vorwürfe. Sondern nur die, die hier bereits entkräftet wurden. Dieser Beitrag ist also immer noch aktuell. Und zur Klarstellung: Kein datenschutzrechtlich Verantwortlicher ist verpflichtet „Zoom“ zu nutzen. „Zoom“ ist aber ein Tool, das in datenschutzrechtlich zulässiger Weise eingesetzt werden kann.
Update VI (31.03.2020): Zoom hat seine Datenschutzhinweise aktualisiert. Und sie sind gut (s.u.).
Update VII (01.04.2020): Zu den neuen Vorwürfen gegenüber „Zoom“ („Zoombombing“, Softwareinstallation auf dem Mac, Verzeichnisdienst), s.u.
Update VIII (01.04.2020): Sicherheitslücke bzgl. UNC-Links und der „Root-Privilege-Bug“.
Update IX (02.04.2020): „The heat is on“ – Die Kritik an „Zoom“ wird immer lauter. Soll ich bei „Zoom“ bleiben?

Manchmal gehen mir die „sozialen“ Medien erheblich auf die Nerven. Ein unschönes Beispiel gab es gestern. Da setzt ein Mensch aus den USA diesen Tweet ab:

Der Mensch hat sich übrigens das Tool nach eigenen Angaben anscheinend nicht näher angesehen, behauptet aber, dass „zoom“ – ein Anbieter von Online-Meeting, Videokonferenz- und Webinarservices aus den USA – pauschal eine Überwachung der Teilnehmer an einem Meeting durchführt.

Schon gestern morgen bekam ich erste E-Mails, die mich alarmiert (oder besonnen) darauf hinwiesen, weil einigen bekannt ist, dass ich selbst „zoom“ nutze. Den Tweet hatte ich zu der Zeit schon gesehen, weil er zahlreich re-tweeted wurde. Und ich denke nicht, dass viele sich mal bewusst mit dem Thema auseinandergesetzt haben. Denn wenn sie das getan und sich einmal tiefer mit „zoom“ beschäftigt hätten, dann hätten sie gleich gewusst, um welches Feature es geht.

Es ist das sog. „Aufmerksamkeitstracking“. Dieses ist übrigens standardmäßig deaktiviert und muss vom „Host“ des sog. Meetings bewusst aktiviert werden.

Hier können wir also zunächst feststellen, dass eben nicht „zoom“ als Anbieter „überwacht“, sondern der Host des Meetings dies veranlasst. Nun könnte ich mir schon vorstellen, dass einige Arbeitgeber, die ihren Beschäftigten z.B. im Home Office nicht trauen, dieses Feature aktivieren. Das ist dann aber deren Entscheidung und Verantwortlichkeit.

Die Frage ist doch aber eigentlich, warum gibt es dieses Feature überhaupt? Und da ist die Antwort ganz einfach. Wenn man z.B. Fortbildungen „online“ anbietet, möchte (oder muss – wie z.B. bei Fachanwaltsfortbildungen) ich nicht nur die Einwahl in ein Webinar nachweisen, sondern auch die aktive (und aufmerksame) Teilnahme. Um E-Learning-Anbietern diese Möglichkeit zu bieten, bieten Anbieter wie „zoom“, Webex, GoToWebinar & Co. eine Funktion, die dem Host oder „Admin“ eines Webinars die Möglichkeit gibt, live oder nachträglich zu sehen, ob ein Teilnehmer das Webinar nur hat im Hintergrund laufen lassen, das Fenster also nicht aktiv war, sondern der Teilnehmer stattdessen mit einem anderen Programm, das in einem Fenster aktiv war, ggf. interagiert hat. Wenn ein Teilnehmer eines Webinars, für das ein Fortbildungsnachweis ausgestellt wird, also im Nachhinein bemerken würde, dass ein Teilnehmer 70% seiner Zeit nicht das Webinarfenster aktiv hatte, dann kann bei entsprechender vorheriger Ansage dazu führen, dass ein Fortbildungsnachweis eben nicht ausgestellt wird. Feature wie diese ermöglichen also erst, berufliche Fortbildung. Sie sollten gleichwohl bewusst und transparent eingesetzt werden.

Ich setze dieses Feature übrigens nicht ein. Ich finde es aber gerade im Fortbildungsbereich sehr sinnvoll, weil es Möglichkeiten für digitale Alternativen zu Präsenzschulungen ermöglicht. Und die brauchen wir in der aktuellen Zeit des Corona-Virus dringend.

Apropos Corona-Virus: Aktuell sind sehr viele Unternehmen auf der Suche nach Online-Meeting-Tools. Ich weiß nicht, wieviele Anfragen ich allein bzgl. „zoom“ erhalten habe…

Was mich wirklich nicht nur ärgert, sondern auch enttäuscht ist, dass unsachliche und undifferenzierte Tweets wie der Tweet am Anfang dieses Beitrages einfach weiterverbreitet werden. Ohne auch nur einmal zu hinterfragen, ob das auch stimmt. Und dass dann Organisationen wie z.B. „Digitalcourage e.V.“, die ich immer recht respektabel fand, so etwas tweeten:

Hört, hört…also Skype und „zoom“ sind also Datenschutz-Katastrohen. Unter Bezugnahme auf den falschen Ausgangstweet. Keinerlei Hinterfragen, keinerlei Sachlichkeit. In den von Digital-Courage verlinkten Beitrag zu „guten Alternativen“ finden wir dann diese Tools: Jitsi-Meet und Nextcloud Talk

Ich finde beide Tools toll, aber für den Massengebrauch leider häufig unbrauchbar. Wer Online-Meetings mit mehr als 5 oder gar 10 Personen macht, wird mit keinem der Tools eine vernünftige Lösung finden. Sie sind einfach nicht performant. Daher für mich keine Alternative.

Wir haben in unseren Online-Schulungen bis zu 500 Personen, manchmal sogar über 800 Personen. Keines dieser Tools hilft mir da weiter. Wer sich für diese Anforderungen deutsche Anbieter oder Anbieter aus der EU ansieht, wird kaum etwas Verlässliches finden. Einige Anbieter, die sich auf dem vermeintlich guten „deutschen Datenschutz“ und „deutschen Rechenzentren“ ausruhen, sind noch nicht einmal in der Lage, ihre Datenschutzhinweise auf der Website datenschutzkonform zu gestalten. Wie soll ich diese Anbieter ernst nehmen?

Und wieso gibt es eigentlich keine Alternativen aus der EU? Ich würde sie gerne einsetzen. Bei mir ist „zoom“ das einzige Tool gewesen, dass nachhaltig die Leistung hat, große Meetings zu „wuppen“, ohne dass Ton oder Bild ausfallen oder ich Meeting-Teilnehmende bitten muss, bitte ihre Kamera auszustellen, damit das mit der Bandbreite hinhaut.

Da können einige noch so viel herummurren, dass das ein böser US-Anbieter ist. Ich nutze seit > 2 Jahren „zoom“. Es gibt kaum ein „Tool“, in dem so feingranular Einstellungen zum Datenschutz vornehmen kann. Ich kann selbst dafür sorgen, dass nur wenige Daten anfallen und vor allem die anfallenden gelöscht werden.

Dann höre ich auch immer wieder, der Einsatz von „zoom“ sei nicht DSGVO-konform. Nun…warum nicht? Es gibt einen Auftragsverarbeitungsvertrag, der den Voraussetzungen von Art. 28 DSGVO entspricht. Und für das dann erforderliche angemessene Datenschutzniveau im Drittland (USA) sorgt rechtlich das Privacy Shield (allerdings nicht für HR-Daten). Ja…dass das „Privacy Shield“ datenschutzrechtlich nicht der große „Bringer“ ist, ist mir auch klar. Rein rechtlich ist es aber derzeit DSGVO-konform, „zoom“ zu nutzen, wenn du den Auftragsverarbeitungsvertrag mit „zoom“ schließt.

Und jeder, der jetzt Sorge (oder das Gefühl) hat, dass die Daten in den USA direkt den Geheimdiensten in die Hände fallen, der soll „zoom“ nicht einsetzen. Das ist doch völlig okay. Aber erzähl’ mir nicht, dass der Einsatz von „zoom“ rechtlich unzulässig wäre. Das ist er m.E. nicht. Und es wäre vielleicht auch etwas naiv zu glauben, dass bei einer Speicherung von Daten in Deutschland ohne eine Ende-zu-Ende-Verschlüsselung ein Zugriff durch Geheimdienste ausgeschlossen wäre. Seit „Edward Snowden“ wissen wir, dass wir uns da nicht so sicher sein können.

Letztlich muss jeder selbst wissen, wie er es mit der Informationssicherheit hält. Das hat aber nicht unmittelbar mit Datenschutzkonformität zu tun, sondern mit dem eigenen Anspruch an die Informationssicherheit. Das sind zwei verschiedene Dinge. Sie können sich überlagern, sind aber nicht zwingend deckungsgleich.

Und ganz ehrlich….ich habe in den letzten 17 Jahren viele deutsche Rechenzentren gesehen und viele deutsche Anbieter von Software auditiert. Ich denke, ich kann sagen, dass deine Informationen auch dort nicht immer zwingend gut aufgehoben sind. Die Argumentation, dass alles aus den USA böse sei, die „Datenschützer“ manchmal an den Tag legen, ist m.E. nicht haltbar.

Aber es ist natürlich einfach, diese Vorurteile unkritisch weiterzuverteilen. Wir können – gerade in Zeiten wie diesen – sachliche Informationen gebrauchen. Unsachliche Retweets können wir hingegen nicht gebrauchen. In „sozialen“ Medien ist viel Rauschen und häufig zu wenig „Signal“. Bitte lasst uns doch gemeinsam dazu beitragen, dass nicht jeder Beitrag in sozialen Medien für „wahr“ gehalten wird, weil er möglichst häufig geteilt wird. Bitte doch einmal zumindest nachfragen, ob es vielleicht sein kann, dass das Ganze sich ganz anders darstellt. Aber ein Knopf ist schnell gedrückt, ein Beitrag schnell geteilt und schon ist die vermeintliche „Wahrheit“ gewiss…so einfach ist das eben nicht.

Und übrigens…da mir das heute ja auch bei Twitter unterstellt wurde: Ich habe keinerlei „Aktien“ oder sonstige finanziellen Beteiligungen an „zoom“. Ich möchte hier einfach nur verlässlich arbeiten und mich nicht mit technischen Problemen bei Bild und Ton herumschlagen.

Update I, 26.03.2020: Ist an dem Vorwurf „Zoom übermittelt personenbezogene Daten an Drittanbieter“ etwas dran?

Der (auch von mir*) geschätzte IT-Sicherheitsexperte Mike Kuketz hat in seinem Blog seine zuvor schon geäußerte Kritik konkretisiert. Und zwar hier: Zoom übermittelt personenbezogene Daten an Drittanbieter

* Glaubt Kuketz mir vielleicht nicht, weil er mich neuerdings als „Hütchenspieler vom Jahrmarkt“ bezeichnet. Ist aber so. Dabei bin ich auch gar kein Hütchenspieler. Mir fehlt das Talent dafür…egal, ich nehme es mit Humor. 🙂

Aber kommen wir zum Thema: Mike Kuketz hat sich den Dienst „Zoom“ mal ein wenig angeguckt und vor allem auch seine Kritik an den Datenschutzhinweisen von „Zoom“ geäußert. Das ist legitim. Und ich finde es gut, wenn sich Sicherheitsexperten diese Dienste ansehen und kritisieren.

Denn nur so kann eine Verbersserung stattfinden. Und vor allem haben die technischen Experten mehr Kenntnis darüber, wie man sich die Datenflüsse in den Applikationen ansieht und analysiert.

Schauen wir uns mal die Vorgehensweise an: Kuketz hat sich zunächst die Datenschutzrichtlinien von „Zoom“ angesehen. Er verlinkt auf die deutsche Fassung der „Zoom“-Datenschutzhinweise – zu Recht natürlich.

Leider ist die deutsche Fassung der „Zoom“-Datenschutzhinweise auch nicht gerade ein gelungenes Beispiel für eine gute Übersetzung. So wurde z.B. der Datenverarbeitungsvorgang der „Erhebung“ von Daten, der im englischen „collect“ heißt, mit „sammeln“ übersetzt. Das erweckt natürlich schon den Eindruck, dass „Zoom“ Daten sammelt. Das ist vermeintlich auch der Grund, warum einige Kritiker die Datenschutzhinweise von „Zoom“ für eine „Datenschutz-Katastrophe“ oder „gruselig“ halten.

Allerdings ist das insoweit m.E. ein Erkenntnisproblem. Denn dem Datenschutzrechtler fällt dieser Fehler sofort auf, da es ein Standardproblem in Übersetzungen ist, dass „collect“ nicht mit „erheben“ übersetzt wird. Das könnte „Zoom“ sicher besser machen und ist insoweit auch nicht sonderlich professionell.

Viel Grusel oder Katastrophe kann ich den Datenschutzhinweisen von „Zoom“ allerdings nicht entnehmen. Sicher würde ich die anders schreiben.

Update, 31.03.2020: Zoom hat seine Datenschutzhinweise am 30.03.2020 aktualisiert. Die Vorwürfe, die man Zoom zuvor machen konnte, sind damit erledigt. Details dazu weiter unten.

Bei allen Punkten, die „Zoom“ dort als Erhebung und Verarbeitung angibt, kann ich nach über zwei Jahren „Zoom“-Nutzerschaft aber jeweils zuordnen, warum es dort steht und die Angaben insoweit korrekt sind. Das kann ich von anderen Diensten, die ich nutze nicht immer unbedingt sagen. Da wundere ich mich schon, dass manche Dinge anderer Anbieten nicht in deren Datenschutzhinweisen stehen.

Aber weiter zur Vorgehensweise von Kuketz. Er reibt sich zunächst an der ersten Aussage von „Zoom“ in ihrer Datenschutzrichtlinie. Denn dort steht etwas vom Schutz der Privatsphäre. Nun, mir gehen diese Aussagen auch immer auf die Nerven. Das ist „Datenschutz-Prosa“. Braucht man nicht. Da sind wir uns also auch einig.

Kuketz hat sich dann die Website angesehen und richtigerweise eine ganze Reihe eingebundener Scripts zu Diensten gefunden, die für Marketing-, Webanalyse und Supportzwecke eingebunden werden. Die dazu geäußerte Kritik kann ich gut nachvollziehen. Da würde ich mir auch weniger wünschen, aber nun ja…

Ein nicht ganz unwichtiges Kriterium erwähnt Kuketz allerdings nicht. Denn auf den Seiten, die „Zoom“-Nutzer an Meeting-Teilnehmende senden, ist der Großteil dieser Trackingdienste nicht eingebunden. Vielleicht nicht ganz unwichtig zu wissen, wenn es um die Weitergabe von Meeting-Links geht.

Unabhängig davon ist natürlich auch die Teilnahme an einem „Zoom“-Meeting möglich, wenn die Meeting-ID und ggf. die weiteren Zugangsdaten in der „Zoom“-Applikation selbst eingegeben werden.

Dann folgt in dem Beitrag der eigentlich „spannende“ Teil, der die Ausgangsthese, dass „Zoom“ personenbezogene Daten an „Drittanbieter übermittelt“, belegen soll.

Kuketz stellt hierbei kurz dar, wie er die Anmeldung bei „Zoom“ durchläuft:

Nach der Angabe einer E-Mail-Adresse und Einwilligung in die nebulöse Datenschutzerklärung wird der Account erstellt. Den Aktivierungslink bestätige ich und soll anschließend noch Vor- und Nachname angeben. Nachdem die Informationen eingetragen sind sende ich das Formular ab – eine Einwilligung in die Datenschutzerklärung wird nicht gesondert (bspw. über ein Häkchen) eingeholt.

Kurze Anmerkung. Dass keine Einwilligung eingeholt wird, ist rechtlich übrigens genau richtig. Denn die Einwilligung wäre für „Zoom“ hier die falsche Rechtsgrundlage. Der Dienst ließe sich sonst nicht vertragskonform für die zahlenden „Zoom“-Nutzer erbringen.

Im weiteren Verlauf stellt Mike Kuketz dann fest, dass bei der Anmeldung die E-Mail-Adresse (offenbar aber nicht Vor- und Nachname) an den Anbieter „Wootric“ übertragen werden. Daraus schließt Kuketz, dass deswegen eine „Übermittlung personenbezogener Daten an Drittanbieter“ vorliege. Weiter führt er aus, dass dies in den Datenschutzhinweisen von „Zoom“ nicht erwähnt würde.

Nun…wo ist der Skandal?

Ich hatte bei der Überschrift des Beitrages eigentlich erwartet, dass „Zoom“ vielleicht wirklich etwas Schlimmes und/oder Rechtswidriges macht. Allerdings liegt weder das eine oder andere vor.

Schauen wir uns an, was Kuketz herausgefunden hat:

Festgestellt hat Kuketz, dass ein Teil der Daten, d.h. die E-Mail-Adresse an den Dienstleister Wootric übertragen wird.

Als Jurist frage ich mich dann, ob das nun ein Verstoß ist. In rechtlicher Hinsicht stellt die Übertragung der E-Mail-Adresse an den Anbieter Wootric eine Offenlegung von personenbezogenen Daten dar. Allerdings nicht, wovon Kuketz wohl ausgeht, an einen „Dritten“. „Wootric“ ist zwar Empfänger der Daten i.S.d. Art. 4 Nr. 9 DSGVO, aber nach Art. 4 Nr. 10 DSGVO eben kein Dritter. Das ist ein feiner und rechtlich entscheidender Unterschied.

In der Liste der Unterauftragsverarbeiter („Subprocessors“) von „Zoom“ ist Wootric entsprechend ausgeführt:

Die Aussage von Kuketz „Zoom übermittelt personenbezogene Daten an Drittanbieter“ ist – da dürfen wir Juristen genau arbeiten – im Hinblick auf die Offenlegung der E-Mail-Adresse an den Unterauftragnehmer „Wootric“ also rechtlich falsch.

Kuketz moniert weiter, dass die Offenlegung der Daten von „Zoom“ an „Wootric“ nicht in den Datenschutzhinweisen von „Zoom“ angegeben werde. Das ist richtig. Richtig ist aber auch, dass „Zoom“ das gar nicht tun muss.
Eine Pflicht zur Angabe von Unterauftragsverarbeitern in Datenschutzhinweisen gibt es nämlich nach wohl h.M. nicht.
Hintergrund: Art. 13 DSGVO ist insoweit primärrechtskonform auszulegen. Eine Pflicht zur Nennung von Unterauftragnehmern würde Art. 15 und 16 GRCh widersprechen.
Wichtig: Bei einem Auskunftsersuchen nach Art. 15 DSGVO wären Unterauftragnehmer wie „Wootric“ aber anzugeben.

Zwischenfazit von Kuketz ist:

Zoom nutzt also X-Dienstleister, mit denen dann vermutlich X-Verträge zur Auftragsverarbeitung abgeschlossen wurden, in denen die Unternehmen verpflichtet werden, die Daten ausschließlich zur Durchführung der »angeforderten Dienstleistung« zu verwenden. Sofern so umgesetzt, wäre das zumindest rechtlich in Ordnung. Nur hat das nichts mit dem Versprechen aus der Datenschutzerklärung zu tun:

„Ihre Privatsphäre zu schützen und sicherzustellen“

Die X-Dienstleister, die bei der Nutzung der eigentlichen „Zoom“-Services (zu unterscheiden von der reinen Website), sind dieser Liste zu entnehmen. Ich habe 15 Dienstleister gezählt. Ich finde, das sind für einen Service wie „Zoom“ nicht viele. Ich hätte da mehr erwartet.

Warum nun der Einsatz von Dienstleistern dem Schutz der „Privatsphäre“ widersprechen soll, verstehe ich nicht. Wenn wir den Gedanken zu Ende führen, dann dürften wir gar keine Auftragsverarbeiter mehr einsetzen, sondern würden alles selbst machen. Ich fürchte, das würde nicht zu mehr Datensicherheit führen.

Mein Fazit

Ich kann mich nur wiederholen. Wer „Zoom“ nicht einsetzen mag, weil er seine Informationssicherheit nicht als gewährleistet ansieht, der soll es lassen. Ich habe dafür Verständnis. Und es ist eine legitime Entscheidung.

Die Behauptung, dass „Zoom“ nicht datenschutzkonform einsetzbar ist, ist aus datenschutzrechtlicher Sichtweise aber offensichtlich falsch.

Genauso wenig stimmt in rechtlicher Hinsicht, dass „Zoom“ personenbezogene Daten an „Drittanbieter“ übermittelt.

Wie gesagt…ich mag es, wenn wir Dinge differenziert betrachten. Mike Kuketz macht seine Arbeit im technischen Bereich sicher prima. Und ich maße mir nicht an, über die Datenflüsse mehr zu wissen oder analysieren zu können als er. Was die juristische Beurteilung angeht, liegt er da aber falsch.

Und jetzt hoffe ich, dass sich die Gemüter mal wieder beruhigen und wir alle unsere Arbeit machen können.

Update II (27.03.2020) – Zum Vorwurf der Übermittlung von Daten an Facebook bei Nutzung der iOS App

Gestern (am 27.03.2020) wurde in dem Online-Journal Vice dieser Artikel veröffentlicht: Zoom iOS App Sends Data to Facebook Even if You Don’t Have a Facebook Account

Es wurde offenbar herausgefunden, dass in der „Zoom“ iOS App das Facebook SDK zum Einsatz kommt. Dieses wird von App-Entwicklern gerne verwendet, um Funktionalitäten von Facebook in einer App einzusetzen. Meine Vermutung ist, dass „Zoom“ das Facebook SDK in der iOS App einsetzt, um die Funktionalität, sich mit seinem „Facebook Konto“ anzumelden, umzusetzen.

Durch den Einsatz des Facebook SDK kommt nach Angaben in dem Vice-Bericht dazu, dass beim Start der iOS App Daten an die sog. Graph-API von Facebook gesendet werden. An diese API werden offenbar Daten über das vom Nutzer verwendete Gerät, Zeitzone und Stadt (der Einwahl) den Mobilfunknetzanbieter und eben auch eine generierte ID, die Facebook dann nutzen könnte, um diesen Nutzer mit Werbung anzusprechen.

Stimmen diese Vorwürfe? Nun…überprüft habe ich das nicht. Dafür fehlen mir auch ehrlich gesagt Mittel und Know-How. Die Angaben in dem Artikel klingen aber glaubhaft. Und es ist anscheinend nicht nur von einem Datensicherheits-Unternehmen herausgefunden, sondern von einem anderen Spezialisten bestätigt worden.

Was ist für mich die Konsequenz? Da „Zoom“ sich bislang nicht zu den Vorwürfen geäußert hat, habe ich heute morgen, unter Bezugnahme auf meinen Auftragsverarbeitungsvertrag das Datenschutzteam von „Zoom“ angeschrieben und konkrete Fragen zur Aufklärung gestellt.

Ich werde meinen Datenschutz-Coaching-Mitgliedern empfehlen, vorerst die iOS App von „Zoom“ nur dann zu verwenden, wenn sie für sich eine etwaige Übermittlung von Daten an Facebook für unproblematisch halten.

Bei der Desktop-App von „Zoom“ werden meines Wissens keine Daten an Facebook übertragen. Ich habe dies gerade vor einigen Tagen im Hinblick auf von mir verwendete macOS-Version mittels eines Netwerk-Monitors überprüft und keine entsprechenden Verbindungsaufrufe gefunden.

Ich hoffe sehr, dass „Zoom“ hier schnell reagiert und Abhilfe schafft. Ich habe die letzten zwei Tage damit verbracht, mir Alternativen anzuschauen. Die gibt es aber nur für Webinare bis maximal 250 Personen. Das ist für uns leider zu klein. Wir brauchen mindestens eine Kapazität für 400 Teilnehmer, besser bis zu 700 (oder 1000).


Update IV, 28.03.2020: Durch ein Update der iOS App wurde der Fehler gestern Abend behoben.

Empfohlen wurde mir z.B. BigBlueButton. Das klang zunächst vielversprechend. Allerdings ist der Aufwand für ein eigenes Hosting für uns viel zu hoch. Ehrlich gesagt ist mir das zu viel „Gefrickel“. Das könnte man natürlich hosten und supporten lassen, denke ich. Nur habe ich mir dann mal das Benutzerinterface und die Technik angesehen und muss leider sagen, dass das nicht ist, was wir brauchen. Das wäre im Vergleich zu „Zoom“ ein absoluter Rückschritt. Ist es das wert? Derzeit nicht.

Andere Anbieter wie Cisco Webex habe ich mir letztes Jahr als Alternative angesehen. Hat für uns nicht gepasst. Gleiches gilt für GoToWebinar. Die habe ich vor „Zoom“ genutzt und die Unzufriedenheit war damals der Grund für den Wechsel zu „Zoom“.

Ich halte die Augen offen und hoffe, dass „Zoom“ hier umgehend aufklärt und – falls erforderlich – unverzüglich Anpassungen vornimmt.

Update III (27.03.2020): Anmerkungen zur Stellungnahme von Prof. Dr. Roßnagel

Prof. Dr. Roßnagel hat mit Datum vom 23.03.2020 eine Stellungnahme zu „Zoom und Datenschutz“ (PDF) auf den Seiten seiner Hochschule veröffentlicht.

Die Stellungnahme stellt eine „Analyse“ der Datenschutzrichtlinien von „Zoom“ dar, die zugegebenermaßen „suboptimal“ (s.o.) formuliert sind. Roßnagel findet kleinere Mängel im Hinblick auf Art. 13 DSGVO, weil keine Hinweise auf ein Beschwerderecht bei einer Aufsichtsbehörde gegeben werden. Sicher kein kritischer Mangel, der zudem geheilt werden kann (s.u.).

Dann kommen Ausführungen zu Art. 14 DSGVO. Und da muss ich leider sagen, dass ich meine, dass die Ausführungen ein bisschen neben der Spur liegen. Denn für die Nutzung von „Zoom“ muss ich entweder die Applikation oder die Browser-Variante nutzen und bin damit immer unmittelbar Betroffener i.S.d. Art. 13 DSGVO. Soweit überhaupt Daten nicht vom Betroffenen selbst erhoben werden, wird dies bei der Nutzung der Online-Meeting-Services auch nicht von „Zoom“ verantwortet werden, sondern vom jeweiligen „Zoom“-Host, der insoweit als Verantwortlicher agiert.

Und da wären wir auch schon beim Grundproblem der Stellungnahme. Roßnagel verliert kein Wort über die dem Service zugrundeliegende Auftragsverarbeitung und das Data Processing Addendum von „Zoom“, das auch den Auftragsverarbeitungsvertrag i.S.d. Art. 28 DSGVO enthält. Ich frage mich: Warum nicht? Ist das einfach übersehen worden? Ist die Funktionsweise des Dienstes nicht verstanden worden? Oder soll es nur eine reine Betrachtung der Datenschutzrichtlinien für die „Website“ von „Zoom“ sein. Letzteres drängt sich als Eindruck auf.

Nur wird damit übersehen, dass die „Website“ von „Zoom“ nicht identisch mit dem „Online-Meeting-Service“ ist, für den „Zoom“ insoweit nur als Auftragsverarbeiter agiert. Als Auftragsverarbeiter ist „Zoom“ allerdings auch nicht nach den Art. 13, 14 DSGVO verpflichtet. Daher sind auch die weiteren Vorwürfe im Hinblick auf eine Nichteinhaltung von Art. 25 DSGVO im Hinblick auf den „Online-Meeting“-Service durch „Zoom“ nicht richtig zugeordnet. Auch Art. 25 DSGVO richtet sich an den Verantwortlichen, nicht den Auftragsverarbeiter.

Im Ergebnis will Roßnagel dann auch noch eine gemeinsame Verantwortlichkeit zwischen „Zoom“ und der Universität Kassel als Verantwortlichem herleiten. Dabei wird allerdings auch übersehen, dass eine Nutzung der „Zoom“-Applikation auch ohne die Website möglich ist. Ein Anknüpfungspunkt für eine gemeinsame Verantwortlichkeit fehlt dann jedoch.

Die Kritik von Roßnagel ist in Teilen berechtigt. In den entscheidenden Teilen aber nicht. Bei mir ist der Eindruck entstanden, dass Roßnagel sich den Dienst gar nicht näher angesehen, sondern sein Urteil allein auf Basis der Internetseite von „Zoom“ getroffen hat. Ich denke allerdings schon, dass hier differenziert werden muss.

Update, 31.03.2020: Die von Prof. Dr. Roßnagel geäußerte Kritik ist mit den am 30.03.2020 aktualisierten Datenschutzhinweise von „Zoom“ weitestgehend gegenstandslos. Ich bin gespannt, ob die Stellungnahme von Prof. Dr. Roßnagel aktualisiert wird.

Update VI, 31.03.2020: „Zoom“ hat seine Datenschutzhinweise aktualisiert

Als bekennender „Zoom“-Nutzer ist mir gestern Abend ein kleiner Stein vom Herzen gefallen, also den Tweet vom CEO von „Zoom“ las, aus dem sich ergab, dass „Zoom“ offenbar seine Datenschutzhinweise überarbeitet hat.

Das musste nicht zwingend etwas Gutes bedeuten. Aber schon der erste Blick war eine Erleichterung. Sie haben es endlich kapiert. Datenschutz und klare Aussagen dazu sind wichtig. Und so beginnen die Datenschutzhinweise von „Zoom“ nun mit einem klaren Statement der Leiterin der Rechtsabteilung von „Zoom“. Dort heißt es nun:

Wir verkaufen Ihre personenbezogenen Daten nicht. Egal, ob Sie ein Unternehmen, eine Schule oder ein einzelner Benutzer sind, wir verkaufen Ihre Daten nicht.

Ihre Meetings gehören Ihnen. Wir überwachen sie nicht und speichern sie nach Abschluss Ihres Meetings auch nicht, es sei denn, wir werden vom Gastgeber des Meetings beauftragt, sie aufzuzeichnen und zu speichern. Wir benachrichtigen die Teilnehmer sowohl über Audio als auch über Video, wenn sie an Meetings teilnehmen, ob der Gastgeber ein Meeting aufzeichnet, und die Teilnehmer haben die Möglichkeit, das Meeting zu verlassen

Großartig. Endlich. Richtig. Und gut gemacht. Auch der Rest der Datenschutzhinweise ist nun transparent und unterscheidet endlich zwischen der Website von „Zoom“ und dem Dienst „Zoom“. Das sind nämlich zwei verschiedene Dinge.

Die bislang unglücklich formulierte Passage in den Datenschutzhinweise zu einem „Verkauf“ von Daten, die wohl humorvoll sein sollte, ist nun endlich durch ein kräftiges und deutliches Statement ersetzt worden. Es werden keine Daten verkauft. Punkt.

Die verschiedenen Datenarten werden mit Beispielen und den jeweiligen Zwecken der Datenverarbeitung nun transparent und übersichtlich in tabellarischen Auflistungen dargestellt.

Das so umstrittene Feature des „Aufmerksamkeits-Trackings“, das Anlass für diesen Beitrag war (bzw. die Kritik an diesem Feature), ist nun auch ausdrücklich erklärt. Insbesondere wird hier jetzt deutlich gemacht, dass der Gastgeber eines Meetings (oder sein Account-Administrator) diese Funktion anschalten muss.

Übrigens erfüllen die neuen Datenschutzhinweise von „Zoom“ nun endlich auch alle Anforderungen aus Art. 13 DSGVO. Allerdings scheint die Angabe des „Vertreters“ in der EU zu fehlen. Das sollte „Zoom“ ergänzen.

Update VII, 01.04.2020: Zu den neuen Vorwürfen gegenüber „Zoom“ („Zoombombing“, Softwareinstallation auf dem Mac, Verzeichnisdienst und Ende-zu-Ende-Verschlüsselung)

Auch gestern wurde wieder Kritik gegenüber „Zoom“ geäußert. Um es vorwegzunehmen. In rechtlicher Hinsicht halte ich einen Part der Kritik für relevant. Und zwar hat „Zoom“ offensichtlich in seinem „Company Directory“ ein Problem bzw. Problem gehabt. Das lässt sich in diesem Artikel bei VICE nachlesen. Die technische Konfiguration dieses Dienstes (den ich nicht nutze) lässt oder ließ offensichtlich zu wünschen übrig. Der Fehler ist zwar aktuell behoben, aber nicht strukturell. Hier sollte „Zoom“ also eine verlässlichere Umsetzung implementieren.

Führt dieser Vorfall nun aber unweigerlich zu der Konsequenz, dass „Zoom“ datenschutzrechlich nicht mehr einsetzbar sei? Ich meine „Nein“. Es war allerdings der erst Fehler, den ich ernsthaft für rechtlich relevant halte.

Der zweite neue Vorwurf der Art und Weise der Softwareinstallation unter macOS ist mir schon seit jeher ein Dorn im Auge, weil „Zoom“ sich hier aus Gründen der vermeintlichen „Dummheit“ von Nutzern eines Tricks bedient, damit man bei weiteren Updates der „Zoom“ App unter macOS nicht jedesmal seinen Administratornamen und das Passwort eingeben muss. Wobei es meist nicht einmal, die vermeintliche „Dummheit“ der User ist, sondern die Tatsache, dass diese keine Software installieren können sollen. Und das ja „eigentlich“ auch seinen Grund. Daher ist dieses Vorgehen keine gute Idee von „Zoom“, aber datenschutzrechtlich nicht von Belang. Kenner wissen übrigens, wie das zu umgehen ist. Noch besser wäre allerdings, wenn „Zoom“ seine macOS App im Mac App Store anbieten würde. Das würde das Problem auch für die Nutzer beheben.

Weiter wurde „Zoom“ nun vorgeworfen, dass sie in ihren Marketing- und Produktinformationen den Eindruck erwecken würden, dass „Zoom“ eine Ende-zu-Ende-Verschlüsselung einsetze. Ich wurde vorgestern Abend schon mit dem Vorwurf konfrontiert und war überrascht. Ich bin noch nie davon ausgegangen, dass Video- und Audio-Meeting bei „Zoom“ Ende-zu-Ende-verschlüsselt sind. Ich habe erst wegen des Beitrags auf der Website von „The Intercept“ davon erfahren, dass „Zoom“ das überhaupt erwähnt. Wenn man sich das näher ansieht, erfährt man allerdings auch, dass nur die Chat-Inhalte Ende-zu-Ende-verschlüsselt sind. Letzteres war mir übrigens auch nicht mehr bekannt. Ich bin auch da nur davon ausgegangen, dass wie bei Video- und Audio nur die übliche Transportverschlüsselung via TLS zum Einsatz kommt.
Lange Rede, kurzer Sinn…die Aufregung kann ich hier aus datenschutzrechtlicher Sicht nicht nachvollziehen. Und wer lesen kann, ist klar im Vorteil. Ich habe in meinem Umfeld mal „Zoom-Nutzer“ gefragt. Niemand hatte die Idee, dass bei Video und Audio in „Zoom“-Meetings eine Ende-zu-Ende-Verschlüsselung zum Einsatz kommt. Das ist natürlich nicht repräsentativ. Ich habe nur den Eindruck, dass jetzt bei „Zoom“ gerade von Tech-Journalisten jeder Stein zweimal umgedreht wird. Auch das finde ich gut, solange es gut recherchiert ist. Rein rechtlich ist dieser Vorwurf für mich als Datenschutzrechtler aber nicht relevant. „Zoom“ hat dies am 01.04.2020 hier dann auch noch einmal klargestellt: „The Facts Around Zoom and Encryption for Meetings/Webinars“

Dann zum „Zoombombing“, also den Vorfällen, dass fremde Menschen sich einfach nach dem Zufallsprinzip über Meeting-IDs in fremde Meetings einwählen und dort dann z.B. pornografische Fotos zeigen etc.
Da muss ich sagen, dass es wieder mal Sache des Gastgebers eines „Zoom“-Meetings ist, hier Vorsorge zu treffen. Und das ist nicht schwer. Meetings also nur mit Passwort, ggf. mit Warteraum etc. Und vor allem sollte man in den Grundeinstellungen vorsehen, dass der Bildschirm nur vom Host geteilt werden kann. Wenn alle Meeting-Teilnehmenden da sind, kann zudem ein Meeting geschlossen werden („Lock the Meeting“), so dass keiner mehr hinzukommen kann etc.
Dafür gibt es also ausreichend Schutzmechanismen, die man aber auch als Gastgeber einer „Zoom“-Konferenz nutzen sollte. Den schwarzen Peter hier „Zoom“ zuzuschieben, ist nach meiner bescheidenen Auffassung jetzt eher eine schwache Argumentation.

Dann ist noch hinzugekommen, das nun die New Yorker Generalstaatsanwältin nun Untersuchungen gegen „Zoom“ wegen der „Datenschutz- und der Datensicherheitspraxis“ eingeleitet hat. Nun…ich finde das gut. Auch das wird mehr Klarheit bringen. Und letztlich wird auch das dazu beitragen, dass „Zoom“ den nun begonnenen Weg, den Aspekten des „Datenschutzes“ im Unternehmen noch mehr Fokus und Gewicht zu geben, noch verstärken werden muss. Ein bisschen Druck kann da nicht schaden.

Update VIII, 01.04.2020: Sicherheitslücke „UNC-Links“ & „Camera Bug“

Heute gab es weitere Vorwürfe gegenüber „Zoom“.
Der eine Beitrag richtet sich (richtigerweise) gegen die bereits oben beschriebene Installationsweise von „Zoom“ unter macOS. Der Beitrag zeigt dann, wie dadurch theoretisch jemand durch eine Manipulation des Installations-Scripts die Webkamera „hijacken“ könnte. Gut, theoretisch ist das möglich. Das praktische Risiko für aktuelle Zoom-User im Home Office dürfte aber doch sehr gering sein. Also: Richtiger Hinweis, aber Risiko gering. Das Problem würde sich lösen, wenn „Zoom“ endlich seine Installationsroutine unter macOS ändern würde (s.o.). Im Ergebnis aber kein Drama.

Den zweiten Hinweis auf eine Sicherheitslücke fand ich auf den ersten Blick dann schon erheblicher. Und zwar „rendert“ die Zoom-App sog. „UNC-Links“ und macht sie anklickbar. In diesem Beitrag ist recht allgemein verständlich beschrieben, wie das Angriffszenario aussieht. Ich habe die betreffende Passage mal ins Deutsche übersetzt:

Wenn ein Angreifer einen UNC-Link in einem Zoom-Besprechungs-Chatfenster veröffentlicht hat und Sie als Zoom-Benutzer auf diesen Link klicken und Ihr Windows-Computer oder Ihre Firewall die Netzwerkfreigabe über das Internet erlaubt, dann würde Ihr Computer versuchen, auf die angegebenen Dateien auf dem Server unter foobar.com mit dem SMB-Dateifreigabeprotokoll (Server Message Block) zuzugreifen.

Ihr Computer würde versuchen, sich beim foobar.com-Server anzumelden, indem er Ihren Windows-Benutzernamen und eine schwach verschlüsselte Form Ihres Windows-Kennworts an den Fernserver sendet.

Dieses Passwort könnte mit dem Windows-NTLM-Algorithmus verschlüsselt sein, der sehr leicht zu "knacken" ist, um das eigentliche Passwort abzuleiten. Wenn dies der Fall ist, kann sich der Idiot, der den UNC-Link gepostet hat, jetzt bei Ihrem Computer anmelden.

Und wenn der UNC-Dateipfad zu einer Anwendung oder einer anderen ausführbaren Datei auf dem foobar.com-Server führt, dann könnte sich die Anwendung – bei der es sich leicht um Malware handeln könnte – öffnen und auf Ihrem Rechner laufen. Der Idiot, der Ihre Windows-Anmeldeinformationen hat, könnte diese Malware verwenden, um aus der Ferne auf Ihren Computer zuzugreifen.

Das hört sich übel an. Bei näherer Hinsicht ist das allerdings auch nicht wirklich ein „Drama“. Denn in gleicher Art und Weise funktioniert z.B. der Windows Explorer. Entsprechend wurde dieser „Bug“ unter IT-Securtiy-Fachleuten z.T. auch als vollkommen übertrieben dargestellt (z.B. hier und hier).

Wie ansonsten auch, sollte man bei „Zoom“-Meetings darauf achten, dass keine „Fremden“ teilnehmen und dass Menschen auch darauf achten, worauf sie klicken. Intern könnten zudem bestimmte Ports für Netzwerkzugriffe nach außen geblockt werden, um das Risiko zu minimieren. Für Anbieter von Webinaren mit „Zoom“ und einer offenen Teilnehmergruppe wäre es allerdings schon wünschenswert, dass der Fehler durch „Zoom“ so schnell wie möglich behoben wird.

Update IX, 02.04.2020: Soll ich bei „Zoom“ bleiben?

„The heat is on“. So könnte man wohl die letzten Tage bzgl. „Zoom“ nennen. Viel schlechte Presse, neue Sicherheitsvorwürfe. Soll ich persönlich dennoch bei „Zoom“ bleiben?
Ich bin ehrlich. Ich habe mich in den letzten Tagen immer wieder nach Alternativen umgesehen. Und für den reinen Meeting-Bereich, also Online-Meetings mit bis zu 50 Personen (oder ggf. bis zu 200 Personen) gibt es gute oder zumindest brauchbare Alternativen. Da kann sich jeder einmal umsehen, wenn er sich bei „Zoom“ nicht mehr wohlfühlt.

Da ich „Zoom“ für große Webinare benötige, habe ich persönlich immer noch keine Alternative gefunden. Und ich bin nach wie vor der Meinung, dass „Zoom“ in datenschutzrechtlich zulässiger Weise eingesetzt werden kann.

Ärgerlich ist, wenn jetzt z.B. bei Twitter gewarnt und dringend empfohlen wird, die „Zoom“-App auf dem Mac zu löschen (wie z.B. hier). Das ist nicht seriös, denn zur Ausnutzung der betreffenden Sicherheitslücke müsste der Angreifer einen lokalen Zugang zu dem Mac haben (s.o.). Darauf sollte in so einem Tweet dann auch hingewiesen werden. Nicht jeder, der den guten Artikel von Patrick Wardle liest, kann diesen auch verstehen.

Warten wir mal ab, was der Tag für „Zoom“ heute wieder bringt…

Aktuell noch nicht von „Zoom“ behobene kleinere Mängel

  1. Das Data Processing Agreement hat einen Paginierungsfehler – ein Sprung von Seite 15 auf 17. Der ist rechtlich nicht von Belang, da die vom Kunden unterschriebene Fassung zum Vertragssschluss führt und selbst vorgehalten werden kann. Ich habe „Zoom“ aber Ende März über diesen Fehler informiert. Der wird hoffentlich behoben.
  2. Es fehlt die Angabe des Vertreters in der EU (Art. 27 DSGVO) in den Datenschutzhinweisen. Hierauf habe ich „Zoom“ am 31.03.2020 hingewiesen.