Liebe Mitarbeiter*innen,

viele von Ihnen werden gerade in dieser besonderen Situation der Corona-Pandemie privat auf Videokonferenzen zurückgreifen, in den meisten Fällen wird hierzu der kostenfreie Anbieter "Zoom" verwendet. Dieser Anbieter kann jedoch aus datenschutzrechtlichen Gründen nicht für dienstliche Zwecke eingesetzt werden, in denen personenbezogene Daten bzw. Betriebs- u. Geschäftsgeheimnisse besprochen bzw. gezeigt werden sollen. Ich habe daher für Sie folgende Übersicht zusammengestellt:

Übersicht über sichere Alternativen zu "Zoom":

Videokonferenz und Cloudanbieter

Videokonferenzen Übersicht

Weitere Infos:

Berliner Datenschutzbeauftragte aktualisiert Videokonferenz Liste heise online 2021 02 19

Videokonferenzen detaillierte Übersicht Berliner Datenschutzbeauftragte 2021 02 18

Handreichung zu Videokonferenzsystemen d. Landesbeauftragten f. Datenschutz Baden-Württemberg

Schulen u Videostreaming u Tools

Übersicht über Plattformen und Tools zur Zusammenarbeit:

Tools zur Zusammenarbeit

Hintergrundinformationen und Prüfschemata des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein
(die für uns zuständige Aufsichtsbehörde im bereich Datenschutz):
Videokonferenzsysteme Orientierungshilfe Konferenz Datenschutzaufsichtsbehörden 2020 10 23
Checkliste Videokonferenzsysteme ULD 2020 11 11
Falschmeldung ULD u Zoom im Schulbereich 2021 01 13

Warum kann der Anbieter "Zoom" nicht genutzt werden?

Ich möchte Sie hiermit über die Hintergründe informieren, warum Sie diesen Anbieter generell nicht für dienstliche Zwecke nutzen können.

Eine dienstliche Nutzung setzt ein Mindestmaß an Sicherheit und Datenschutz voraus, beides ist bei "Zoom" nicht gewährleistet. So werden u.U. die Handyrufnummern der Teilnehmer*innen für alle sichtbar in der Teilnehmerliste veröffentlicht, Daten werden u.U. für das Training von KI-Systemen verwendet, die AGBs werden ohne Mitteleilung an die Anwender, tlw. auch rückwirkend, geändert.
Es gibt aber auch noch zahlreiche weitere Probleme aus datenschutzrechtlicher Sicht, siehe meine Artikelsammlung.

Leider sind hierzu fragwürdige Informationen von einem "Datenschutz-Guru", einem Rechtsanwalt aus Flensburg, im Umlauf, die dem Anbieter "Zoom" eine ausreichende Sicherheit bescheinigen. Meine Anmerkungen hierzu habe ich deshalb diesem Artikel beigefügt.

Die näheren Informationen entnehmen Sie bitte der nachfolgenden Quellensammlung.

Zusätzlich stelle ich in einer Übersicht die Vor- und Nachteile für sichere Alternativen vor.

Verleihung des "Big Brother Awards" d. Vereins Digitalcourage 2023:
Big brother Award 2023 f. Zoom

Artikel über bekannt gewordene Sicherheitslücken:

Verwendung der Nutzerdaten zum Trainung v. KI-Systemen:
Zoom nutzt Nutzerdaten zum Trainieren v. KI-Systemen, netzpolitik.org; 07.08.2023
Zoom nutzt Nutzerdaten zum Trainieren v. KI-Systemen und ändert AGBs ohne Mitteilung rückwirkend, Rechtsanwalt Martin Steiger; 07.08.2023
   Artikel als offline-Version: Zoom_nutzt_Nutzerdaten_f_KI_Training_07_08_2023

TAZ-Artikel: Zoom und die Corona-Krise

Zoom Artikel des ORF FM4 Radio

Zoom-Artikel des ORF

Internetartikel v. «Business-Insider«

Internetartikel v. «Notebookcheck«

Artikel der Tagesschau

Internetartikel v. «Kuketz-Blog«

Zitat aus einem Artikel der „TAZ“:

Die Firma setze sich "über sämtliche Regeln der Datensicherheit und des Datenschutzes hinweg", kritisiert Thilo Weichert, ehemaliger Datenschutzbeauftragter von Schleswig-Holstein und Gründer des Netzwerks Datenschutzexpertise. "Aus meiner Sicht darf niemand andere dazu veranlassen, Zoom zu nutzen." Das gelte insbesondere für Behörden, Schulen, Arbeitgeber, politische Parteien, Veranstalter und Gesundheitsdienstleister.

In einem Artikel des selbsternannten "Datenschutz-Gurus", Herr Stephan Hansen-Oest, Rechtsanwalt aus Flensburg, geht dieser detailliert auf die einzelnen Vorwürfe ein und versucht in diesem Text die DSGVO-Konformität dieses Anbieters zu belegen:

Hinweise des «Datenschutz-Gurus«

Ich halte diese Vorgehensweise und Argumentation aus folgenden Gründen für unseriös:
Falsche Systematik:

1. Der Ansatz, die datenschutzrechtliche Sicherheit nachzuweisen, indem man fortlaufend auf bekannt gewordene Sicherheitsmängel eingeht und versucht, diese zu entkräften, ist unzulässig.
   Sicherheit kann man nicht dadurch beweisen, indem man auf öffentlich bekannt gewordene Lücken reagiert und gegenargumentiert.
   Andersherum muss man nachweisen, warum dieses Verfahren sicher sein soll, z. B. durch Zertifikate unabhängiger Prüfer.
   
   
2. Es wird nicht darauf eingegangen, dass es sich um einen Anbieter in einem gem. DSGVO unsicheren Drittland (USA / China) handelt, zu dem es derzeit kein wirksames Datenschutz-Abkommen mit Europa gibt.
   
   
3. Es wird nicht darauf eingegangen, warum man einem Anbieter ohne weitere Nachweise vertrauen sollte, bei dem in der Vergangenheit derart gravierende Sicherheitsmängel aufgedeckt wurden. Dies gilt besonders für kostenfrei angebotene Dienstleistungen, hinter denen ein hohes Datenvolumen und damit ein großer Kostenaufwand stecken.
   Zitat aus dem Artikel des österreichischen ORF:
   „Für Zoom gilt zuvorderst also der Misstrauensgrundsatz wie für jede kommerzielle Anwendung, die selbstgestrickte, proprietäre Kryptographieverfahren nutzt. Dass die Geschäftsführung über die Sicherheit so offen gelogen hat, macht Zoom zum No-Go für sämtliche wichtigen Prozesse in der Wirtschaft, für Behörden oder in der Politik.“
   
   
4. Unklar ist, aus welcher Motivation heraus von dem „Datenschutz-Guru“ tlw. mehrfach täglich „Updates“ kostenfrei veröffentlicht werden, die die angebliche DSGVO-Konformität dieses einen Anbieters belegen sollen.
   Hinweis: Der Stundensatz gem. eigenen Angaben auf seiner Webseite liegt bei 714,00 € inkl. MwSt. (Stand 09.04.2020).
   
   

Olaf Kuhlbrodt

Über Rückmeldungen sowie Anregungen für weitere Themen würde ich mich sehr freuen.