"Leider dürfen wir zoom nicht im Unternehmen meines Kunden nutzen, sondern nur MS Teams". Wie oft habe ich in den letzten Wochen diesen Satz gehört. Überall schwingt der Satz "zoom ist böse und MS Teams ist gut" mit.
Im Zuge dessen kommt dann auch immer irgendwann die Frage: "Wieso arbeitest du noch mit Zoom?" So nach dem Motto: Bist du des Wahnsinns, mit diesem Teufels-Anbieter zu arbeiten?
Die Antwort ist ganz einfach: Ja - wenn auch nicht aus Wahnsinn, sondern aus guter Überlegung heraus. Denn drei Voraussetzungen muss ein LiveOnline-Seminar-Anbieter für unsere Online-Seminare erfüllen:
1) Funktionalität (intuitive Bedienung, Interaktion, Zusammenarbeit, Gruppenräume ...),
2) Datenstabilität (keine großartigen Schwankungen auch wenn alle Video anhaben) und
3) Datenschutz.
Dass zoom ungeschlagen in Punkt 1 und 2 ist, ist unbestritten. Zusätzlich halten wir zoom mittlerweile auch für eine der sichersten LiveSeminar-Tools. Dies liegt zum einen daran, dass seit ca. Februar 2020 die gesamte Manpower von Zoom am Thema Sicherheit arbeitet und daher mehrmals pro Woche neue Security Features hinzukommen. Zum anderen kann jeder Host seinen Account zusätzlich sichern.
Was tut zoom für die Daten-Sicherheit?
- Zoom erfüllt die Anforderungen der DSGVO (hier kann über die Datenschutz-Richtlinien bei Zoom nachgelesen und mit den DSGVO-Anforderungen abgeglichen werden - die Infos sind in dem Brief an
die Kunden kompakt zusammengefasst).
https://zoom.us/docs/en-us/privacy-and-security.html - AVVs (Arbeits-Verarbeitungs-Verträge werden seit 08.04.2020 standardmäßig beim kostenpflichtigen Account im SCC erstellt). Standard Contractual Clauses (SCC) sind Standardschutzklauseln, die den Vertragspartner zur Einhaltung des Europäischen Datenschutzniveaus verpflichten. https://zoom.us/gdpr
- Zoom ist in San José im PrivacyShild gelistet, das die Einhaltung der Datenschutzrichtlinien (z.B. der DSGVO) überprüft, z.B. dass keine Metadaten abgegriffen werden. Hier kann selbst nachgeschaut werden: https://www.privacyshield.gov/
- Video, Audio, Chat etc. sind verschlüsselt. Wie bei fast allen Plattform-Anbietern ist es zwar keine End-to-End-Verschlüsselung wie man sie von z.B. bestimmten Messangern (iMessage oder Signal kennt) und der Schlüssel wird auch im eigenen Zentrum erzeugt (wie bei fast allen Plattform-Anbietern außer Webex von Cisco). Jedoch wird gewährleistet, dass kein Mitarbeiter und kein Externer Daten vom TN während oder nach der LiveConference abgreifen kann.
Was tun wir für die Sicherheit unserer Teilnehmenden?
- Wir empfehlen unseren TN, immer die neueste Version von zoom, mind. 5.04 (Stand 28.05.20) zu verwenden.
- Wir empfehlen unseren TN, sich direkt bei zoom zu registrieren und keine Fremdzugänge wie „facebook-Konto“ oder „google-Konto“ zu nutzen.
- Wir haben als Server-Nutzung Europa als bevorzugt ausgewählt (andere Länder, wie z.B. China werden ausgeschlossen). In jedem Meeting kann oben links mit Klick auf das kleine Security iCon noch einmal nachgeschaut werden, welches Rechenzentrum in dem aktuellen Meeting genutzt wird.
- Wir speichern die Aufzeichnung ausschließlich auf unseren Rechnern und nicht in einer Cloud von zoom. Die Aufzeichnung kann nur durch den Moderator erfolgen und auch nur durch das aktive Einverständnis der TN (Klick auf das Einverständnis).
- Wir haben immer einen Warteraum vorgeschaltet, so dass keine unbekannten Nutzer dabei sein können („Bombing“ ausgeschlossen).
- Bildschirmfreigabe kann durch den Moderator erlaubt und verboten werden (meist Selbstschutz für die TN, damit nicht unüberlegt sensible Daten freigegeben werden). Bei der Bildschirmteilung können nur einzelne Anwendungen freigegeben werden, der gesamte Desktop ist nicht notwendig.
- Wir erlauben die webbasierte Nutzung von zoom, damit kein Programm auf dem Rechner installiert werden muss - auch wenn es die Funktionalität in kleinen Teilen wohl einschränkt.
- Für die Meetings werden Kennwörter vergeben, die seit zoom5.0 nicht mehr in dem Meeting-Link sichtbar sein müssen.
- Wir nutzen kein Aufmerksamkeits-Tracking, was ohnehin nicht mehr möglich ist und von uns auch nie eingesetzt wurde.
- Wir erlauben die Aktivierung eines virtuellen Hintergrundes für die TN, damit sie selbst bestimmen können, was die anderen TN vom (privaten) Umfeld sehen können.
- Wir verpflichten die TN dafür zu sorgen, dass sie so am zoom-Meeting teilnehmen können, dass keine Unbefugten Blick auf den Bildschirm haben oder mithören können (ggfls. Headset aufsetzen).
Wenn zoom also gar nicht böse ist, ist dann MS Teams vielleicht gar nicht gut?
Diese Begrifflichkeiten "gut" und "böse" sind natürlich idiotisch, spiegeln aber die immer und immer wieder auftauchende Diskussionen gut wieder. Wir sind keine MS Teams Profis, haben in den letzten Wochen folgendes festgestellt (wenn hier nicht korrektes formuliert ist, bitte ich um Nachricht - die hier aufgeführten Punkte entsprechender nur der eigenen Erfahrung):
- um an einem Meeting teilnehmen zu können, müssen Name und E-Mail Adresse der TN vom Veranstalter abgefragt werden. Sie werden für die Einrichtung und Zuschaltung benötigt. Die Anmeldung erfolgt also nicht durch den TN.
- die Aufzeichnung kann ohne Wissen der TN gemacht werden (es braucht kein aktives Einverständnis)
- die Aufzeichnung wird automatisch in der Cloud eines MS Teams Rechenzentrum abgespeichert, sie kann nicht auf dem Rechner der Hosts hinterlegt werden
- die Art der Verschlüsselung ist undurchsichtig, es gibt keine eindeutige Aussage dazu
- Warteraum und virtuelle Hintergründe gibt es bei MS Teams auch
- In Punkto Stabilität und Funktionalität hinkt MS Teams hinter zoom weit her (keine eigenen Schreibwerkzeuge, keine klassischen Gruppenräume ...)
- In Punkto asynchrone Ergänzung zum LiveSeminar ist MS Teams zoom weit voraus: hier kann gechattet, gemeinsam an Dokumenten gearbeitet und Material übersichtlich abgelegt werden (dies alles fällt bei zoom komplett weg)
Wir stellen fest: es lohnt sich für die Unternehmen zoom (und auch MS Teams) hinsichtlich Datenschutz noch einmal kritisch zu analysieren. Denn in den letzten Wochen hat zoom extrem aufgeholt und lässt viele andere Anbieter jetzt in Sachen Datenschutz hinter sich.
Uns ist bewusst, dass kein digitales System 100%ig vor illegalem Datenklau oder Hacker-Angriff geschützt werden kann. Wichtig ist, dass seitens des Anbieters Maßnahmen ergriffen werden, um dies bestmöglich zu verhindern. Zoom hat alle notwendigen Vorkehrungen getroffen und erhöht den Sicherheits-Standard mit jedem Update.
Wir halten - wie viele Datenschützer und IT’ler in Unternehmen - zoom für sicher. Dennoch bleiben wir wachsam und verfolgen aktuelle Entwicklungen genau.
Weitere Infos:
https://datenschutz-generator.de/dsgvo-video-konferenzen-online-meeting/
https://www.datenschutz-notizen.de/ende-zu-ende-verschluesselung-von-videokonferenzen-1825597/
Kommentar schreiben
Roswitha Uhde (Donnerstag, 28 Mai 2020 23:43)
Ganz herzlichen Dank für diesen großartigen Artikel mit der ausführlichen Beschreibung der beiden Tools.
MS Teams habe ich noch nie genutzt, Zoom dagegen benutze ich ständig selbst als Veranstalter, aber auch als Teilnehmer. Und ich bin sehr zufrieden mit Zoom und finde toll, wie sie zum einen auf den Ansturm durch die Corona-Pandemie reagiert haben, aber auch auf die europäischen Forderungen nach mehr Datenschutz.
Liebe Grüße aus Berlin,
Roswitha
DIE Mutmacherin für 60+
Iris (Freitag, 29 Mai 2020 10:17)
Vielen Dank, Roswitha für wertschätzenden Worte - das freut uns sehr :-)
Mutmacherin 60+ hört sich übrigens sehr interessant an!
LG Iris
Ariane Hanfstein (Freitag, 29 Mai 2020 14:49)
Liebe Iris,
sehr wertvolle Argumente, auf die ich per Link zum Blog verweisen werde, hatte gerade gestern ein "Ja, aber Zooooom" am Telefon. Da helfen die Argumente und Links sehr gut. Schon komisch, dass eine auch nur kurze Kritik im Weg sich so in den Köpfen verankert.
Danke Euch und schöne Pfingsten, Ariane
Christian (Sonntag, 31 Mai 2020 09:06)
Zoom kommt mir nicht wieder auf den Rechner. Nicht nur wegen der Warnung unseres Bundesdatenschutzbeauftragten. Ich hatte selbst schon "Spaß" mit Zoom und seltsamen Methoden die eigene Software auf dem Rechner halten zu wollen. Denn nach der Deinstallation war sie plötzlich wieder da. Zoom hat bei mir das Vertrauen total verspielt und auch in dem Konzern in dem ich arbeite sagt die zentrale IT: Kein Zoom. Und meinen eigenen Erfahrungen mit Zoom nach muss ich sagen: richtig so.
Iris (Sonntag, 31 Mai 2020 09:18)
Danke für die Rückmeldung. Frage: ich vermute, dass die negative Erfahrung vor Februar 2020 und Mac betreffend war? Da wurde nämlich ordentlich gepfuscht! Jetzt jedoch komplett neu aufgesetzt.
Der Datenschutz-Beauftragte hat Zoom nie geprüft, es lohnt sich das Original-Interview mit Hr. Kleber zu lesen.
Welches Tool empfiehlt die IT in deinem Unternehmen? Das wäre sehr interessant!
Danke für eine Antwort
LG, iris
Iris (Sonntag, 31 Mai 2020 09:22)
Hier der aktuelle, viel zitierte Artikel, in dem es nur peripher um Zoom ging.
https://www.google.de/amp/s/amp2.handelsblatt.com/politik/deutschland/ulrich-kelber-im-interview-bundesdatenschuetzer-warnt-vor-falschen-anreizen-zur-nutzung-der-corona-warn-app/25846226.html
Andreas (Montag, 01 Juni 2020 22:00)
https://zoom.us/docs/en-us/privacy-and-security.html
Leider lässt sich der Link für mich nicht öffnen. Der Inhalt wäre sicher interessant.
Weiters bin ich mir nicht sicher, ob es Feature seitig nun gut oder schlecht ist, dass die Aufzeichnung lokal gespeichert wird, denn hier hängt die Sicherheit der Videodatei sprichwörtlich am Tropf des PC-Nutzers. Ist Sie hingegen in zertifizierten und in DSGVO-konformen Cloud-Rechenzentren gespeichert und die entsprechenden Business-Administratoren sind ebenso geschult, würde ich das fast "besser" finden.
Andreas (Montag, 01 Juni 2020 22:09)
Entschuldigt. Ich schon wieder :-). Wenn ich bei Zoom direkt unter Datenschutz auf Subprozessoren gehe, gibt die Liste viele 3rd Party Lösungen an, deren Dienste in den USA gehosted werden. Beispielsweise der CRM Dienst für Inkasso und automatisierte Abrechnung Zuora, sowie der Anrufbeantworter für den Kundensupport, als auch Zendesk als Kundendienstplattform. D.h. persönliche, personenbezogene User-Daten können sehr wohl in den USA landen. Ein Betriebsrat oder im öffentlichen Dienst ein Personalrat wird an dieser Stelle Veto oft einlegen... Hier noch der Link zu der Seite von Zoom: https://zoom.us/de-de/subprocessors.html - VG Andi
Iris (Dienstag, 02 Juni 2020 10:45)
Hallo Andi,
vielen Dank für diese Info, darauf habe ich bisher noch nicht geachtet, als ich Plattformen für uns geprüft habe. Schade, dass ich bei anderen Anbietern diese Info noch nicht gefunden habe :-(.
Da du dich anscheinend sehr gut auskennst: hast du eine Empfehlung für eine Plattform die datenschutzrechtlich sicher und zugleich die gleichen Funktionionalitäten und Stabilitäten aufweist wie zoom? Würde mich sehr interessieren!
Andi (Mittwoch, 03 Juni 2020 09:17)
Hallo Iris,
ich habe dir auf LinkedIn geschrieben :-).
VG Andi
Claudia (Dienstag, 23 Juni 2020 16:34)
Liebe Iris,
ganz herzlichen Dank für den Artikel - spricht mir total aus dem Herzen. Auch ich habe immer wieder Diskussionen mit Kunden. Auch wenn viele mittlerweile etwas entspannter sind, hält sich dieses Negativimage hartnäckig. Ursprünglich habe ich Zoom im vergangenen Jahr als Alternative zu Skype ausprobiert, da Skype mir zu instabil war. Ich bin nach wie vor überzeugter Nutzer - daher DANKE nochmals für den Artikel.
Herzliche Grüße
Claudia