Wie Du mit ZOOM Datenschutz konform Videokonferenzen abhalten kannst

Erfahre hier, wie Du nach der DSGVO ZOOM ohne Abmahnung, Bußgeld oder Schadensersatz verwenden kannst

von Rechtsanwalt Dr. Ronald Kandelhard, Fachanwalt für Handels- und Gesellschaftsrecht. 

Aktualisierung 15.08.2024: Hinweise auf datenschutzfreundliche Lösungen von Zoom aufgenommen sowie Einarbeitung der neuesten Regelungen zum US-EU privacy framework.

Zoom hat in Zeiten der Corona-Ausgangsbeschränkungen deutlichen Zulauf erfahren. Gleichzeitig kamen jedoch viele kritische Stimmen zum Zoom Datenschutz auf. Zoom hat reagiert und einiges verbessert. Erfahre hier, ob und wie Du Zoom Datenschutz konform für Videokonferenzen und Webinare verwenden kannst. Letztes Update: 17.08.2021

Inhalt

1. Kann ich ZOOM DSGVO konform verwenden?
2. Kann ich ZOOM DSGVO konform verwenden, obwohl es ein US Anbieter ist?
3. Gibt es auch EU-Version von Zoom?
4. Brauche ich einen Auftragsverarbeitungsvertrag, um ZOOM Datenschutz konform zu verwenden?
5. Wie schließe ich den Auftragsverarbeitungsvertag mit Zoom Datenschutz konform ab?
6. Muss ich ZOOM in meiner Datenschutzerklärung angeben?
7. Muss ich die Videokonferenzen mit ZOOM für den Datenschutz verschlüsseln?
8. Muss ich weitere Einstellungen für ZOOM Datenschutz vornehmen?
9. Ergebnis zu ZOOM und DSGVO

1. Kann ich ZOOM DSGVO konform verwenden?

In letzter Zeit hat ZOOM einiges für den Datenschutz getan. Immer noch gibt es aber kritische Stimmen, so dass letzte Zweifel bei der Zulässigkeit von ZOOM nach der DSGVO verbleiben. Eine sehr aktuelle Darstellung zu den juristischen Zweifeln und Problemen finden sich in diesem Artikel. Die dort gut begründete Auffassung teile ich, daher gehe ich derzeit eher davon aus, dass ZOOM der DSGVO entspricht. Aber wie der Artikel zeigt, kann sich das immer auch recht schnell wieder ändern, von daher ist immer auch eine aktuelle Recherche zu empfehlen.

Kurz nach Veröffentlichung dieses Beitrages hat die Berliner Datenschutzbehörde eine aktuelle Einschätzung zur Zulässigkeit von US-Diensten für Videokonferenzen abgegeben. Danach soll ZOOM nicht zulässig sein. Rechtlich ist diese Auffassung jedoch nicht begründet. Die Behörde weist nur generell darauf hin, dass eine Rechtsverfolgung bei EU-Anbietern schwieriger sein könne. Weiter spricht die Behörde nicht ausdrücklich von einem Verbot, sondern empfiehlt nur eher europäische Anbieter. Update 19.5.2020: Aber auch die Behörde selbst hat offenbar eingesehen, dass die Einschätzung rechtlich nicht ganz haltbar ist und sie inzwischen gelöscht.

Insgesamt kann danach weiter davon ausgegangen werden, dass ZOOM datenschutzkonform ist. Dennoch, ein Einschreiten von Datenschutzbehörden kann ich weder ausschließen noch sicher bereits jede Entscheidung eines Gerichts zu diesem Thema vorhersagen. Wenn Du ganz sicher sein willst, wähle ggf. einen anderen Anbieter. 

2. Kann ich ZOOM DSGVO konform verwenden, obwohl es ein US Anbieter ist?

Bei jeder Nutzung von ZOOM werden Daten Deiner Kunden oder Mitarbeiter an ZOOM übermittelt. Nach der DSGVO ist ein Datenexport jedoch nur zulässig, wenn die Daten innerhalb der EU verbleiben oder die EU für das Empfängerland ein gleichwertiges Datenschutzniveau anerkannt hat. Ein solcher Schutz besteht beispielsweise für die Schweiz, Kanada oder Neuseeland. Für die USA gilt dies allerdings nicht ohne Weiteres. Zwar gab es mit Privacy Shield und Safe Harbour zwei Abkommen, die den Datenexport in die USA ermöglichen sollten, doch beide wurden vom EuGH für unwirksam erklärt. Mittlerweile gibt es mit dem EU-US Data Privacy Framework ein neues Abkommen, das den Datenexport in die USA unter bestimmten Bedingungen wieder erlaubt. Zusätzlich ist jedoch eine Risikoanalyse erforderlich, und gegebenenfalls müssen weitere Schutzmaßnahmen ergriffen werden. Die Details dazu findest Du hier. Zusätzlich ist jedoch eine Risikoanalyse erforderlich, und gegebenenfalls müssen weitere Schutzmaßnahmen ergriffen werden. 

3. Gibt es auch EU-Version von Zoom?

Zoom bietet in Kooperation mit der Telekom inzwischen auch eine Version für Geschäftskunden unter der Bezeichnung Zoom X an. Im Gegensatz zur klassischen Zoom-Software basiert diese Variante auf der DSGVO und kann so innerhalb der EU rechtssicher genutzt werden. Der Datenschutz wird unter anderem durch Server auf deutschem Boden sichergestellt. Die Daten verbleiben also in Deutschland. Somit entfällt das Exportieren in die USA und Du musst die Teilnehmer Deiner Videokonferenzen nicht mehr um Erlaubnis für den Datenexport bitten. Da es immer wieder Kapriolen um den Datenexport in die USA gibt und auch gegen das neue privacy framework bereits Klage erhoben wurde, bietet es sich an, gleich Zoom X zu nutzen. 

4. Brauche ich einen Auftragsverarbeitungsvertrag, um ZOOM Datenschutz konform zu verwenden?

Die Weitergabe von Daten an Dritte birgt stets zusätzliche datenschutzrechtliche Risiken. Daher gestattet die DSGVO die Übertragung personenbezogener Daten an Dritte nur unter strengen Voraussetzungen.

Die DSGVO zielt nicht darauf ab, die Zusammenarbeit mit Subunternehmern und Dienstleistern zu verhindern. Du kannst die Daten Deiner Kunden an solche Dritte weitergeben, wenn Du mit dem Anbieter einen Auftragsverarbeitungsvertrag abschließt. Dieser Vertrag stellt sicher, dass der Dritte bei der Verarbeitung der Daten strikt Deinen Anweisungen folgt. Der Subunternehmer, Dienstleister oder Drittanbieter wird somit zu einem verlängerten Arm Deines Unternehmens. Er ist vertraglich verpflichtet, genau das umzusetzen, was Du ihm vorgibst, etwa bestimmte Daten zu berichtigen, zu löschen oder auf andere Weise zu verarbeiten. Für Dienste wie ZOOM ist der Abschluss eines AVV besonders wichtig, da Zoom personenbezogene Daten als SaaS-Dienst verarbeitet und Zugriff darauf hat.

5. Wie schließe ich den Auftragsverarbeitungsvertag mit Zoom Datenschutz konform ab?

Du musst also mit ZOOM einen Auftragsverarbeitungsvertrag abschließen, ehe Du damit Videokonferenzen abhalten kannst. Den Auftragsverarbeitungsvertrag für den ZOOM Datenschutz kannst Du Dir hier ansehen. Du musst ihn gegenüber ZOOM bestätigen, damit er gilt. Das erfolgt im Grundsatz im Rahmen der Bestellung von Zoom. Gem. Ziff. 19 der AGB werden alle Dokumente mit in den Vertrag einbezogen, die unter https://zoom.us/privacy-and-legal erwähnt sind. Das ist auch der soeben verlinkte Auftragsverarbeitungsvertrag. Anschließend bestätigt Zoom in Ziff. 19 der AGB von Zoom noch mal explizit, dass Zoom seine Services nach dem „Zoom Global Data Processing Addendum“ erbringen wird. Zugegeben ist der Verweis nicht gerade der deutlichste Weg, um einen Auftragsverarbeitungsvertrag abzuschließen, vom deutschen AGB Recht aber wohl noch umfasst. 

Wenn Du einen ausdrücklicheren Abschluss des Auftragsverabeitungsvertrag sicherstellen willst oder Zoom bereits zuvor bestellt hast und Du Dir nicht sicher bist, ob Du den Auftragsverarbeitungsvertrag bereits akzeptiert hast, wenn Dich an den Customer Support von Zoom wegen des „Data Processing Agreement“. Die geben Dir dann im Zweifel die Möglichkeit, den Auftragsverarbeitungsvertrag noch mal explizit zu akzeptieren.

6. Muss ich ZOOM in meiner Datenschutzerklärung angeben?

Ob Du ZOOM nach der DSGVO in Deiner Datenschutzerklärung angeben must, entscheidet sich ein wenig danach, wie Du ZOOM verwendest und wofür.

Klar ist auf jeden Fall, für jede Verwendung von ZOOM brauchst Du eine Datenschutzerklärung. Immer erfasst ZOOM Daten Deines Kunden, Mitarbeiters oder der sonstigen Gesprächsteilnehmer, wie IP- und Mail-Adresse, aber auch weitere Daten wie Aussehen bei einer Videokonferenz. Ebenso werden die jeweils eigegebenen Daten und Gesprächsinhalte gespeichert und übertragen.

Es ist daher in jedem Fall zu empfehlen, dass Du ZOOM DSGVO konform in Deine Datenschutzerklärung aufnimmst. Dann kannst Du zum Start der Videokonferenz alle Teilnehmer jeweils auf Deine Datenschutzerklärung verweisen. Zwingend ist die Erwähnung von ZOOM in der Datenschutzerklärung, wenn Du die Möglichkeit bietest, ZOOM Videokonferenzen oder Webinare direkt über Deine Website zu buchen oder zu starten, denn an dieser Stelle musst Du auf die Verwendung der Daten hinweisen.

Für Zoom findest Du in dem Datenschutz-Generator von easyRechtssicher.

Zum Komplett-Schutz

Damit kannst Du Zoom DSGVO konform auf Knopfdruck in Deine Datenschutzerklärung aufnehmen und wir halten Deine Datenschutzerklärung für eventuelle rechtliche Änderungen automatisch aktuell.

7. Muss ich die Videokonferenzen mit ZOOM für den Datenschutz verschlüsseln?

Art. 5 Abs. 1 lit. f DSGVO schreibt vor, dass jede Website, auf der Nutzer personenbezogene Daten eingeben können, verschlüsselt sein muss. Daher solltest Du sicherstellen, dass Deine gesamte Website verschlüsselt ist (https://). Diese Anforderung gilt ebenso für ZOOM-Konferenzen gemäß DSGVO, da auch hierbei personenbezogene Daten der Kunden verarbeitet werden. Es ist daher unerlässlich, eine sichere, verschlüsselte Übertragung zu aktivieren und regelmäßig zu überprüfen, ob die von Zoom implementierten technischen und organisatorischen Maßnahmen (TOMs) den DSGVO-Anforderungen entsprechen.

8. Muss ich weitere Einstellungen für ZOOM Datenschutz vornehmen?

Die DSGVO regelt auch die Abhaltung der Videokonferenz selbst. Daher musst Du ZOOM DSGVO konform einstellen, ehe Du es verwendest.

Alle Einstellungen bei ZOOM, die ein:

• Tracking des Kundenverhaltens bei der Konferenz (z.B. Klicks an bestimmten Stellen),
• eine Beobachtung des Kundenverhaltens anlässlich der Konferenz (z.B. Aktivität bei der Teilnahme) oder
• eine Aufzeichnung (z.B. durch Aufnahme oder Screen-Sharing)

ermöglichen, solltest Du nur verwenden, wenn sie wirklich erforderlich sind: Das ist nur der Fall, wenn die Funktion

• einem erlaubten Zweck dient (z.B. nicht einfach Überwachung)
• geeignet ist, diesen Zweck zu erfüllen
• erforderlich ist, diesen Zweck zu erfüllen (es gibt kein milderes Mittel für den Datenschutz)
• soweit möglich, Schutzmaßnahmen ergriffen sind.

Geht es etwa um eine Videokonferenz, bei der später noch der genaue Inhalt relevant ist, kann eine Aufzeichnung erforderlich sein. Anders, wenn vielleicht nur ganz wenige Inhalte später noch relevant sind, weil man einzelne Punkte einfach (datenschutzfreundlicher) notieren könnte.

Auch musst Du bei der DSGVO konformen Verwendung von ZOOM beachten, dass möglichst wenig Daten anfallen und diese schnellstmöglich gelöscht werden. Das betrifft die Aufzeichnung selbst, aber auch den davon getrennten Chatverlauf, die Anmeldedaten und weiteres mehr. Hier findest Du weitergehende Einstellungen, die Du möglichst vornehmen solltest und hier noch spezielle Hinweise für ZOOM Datenschutz Einstellungen. Inzwischen hat Zoom auch selbst eine Checkliste für die datenschutzechtlichen Einstellungen heraus gegeben, die sich an den Empfehlungen der Datenschutzkonferenz orientiert. 

9. Ergebnis zu ZOOM und DSGVO

Videokonferenzen sind zweifellos ein wertvolles Werkzeug für Dein Angebot und seit der Corona-Pandemie wichtiger denn je. Wenn Du die rechtlichen Vorgaben beachtest und die passenden Muster für Deine Datenschutzerklärung verwendest, kannst Du ZOOM DSGVO-konform nutzen, ohne Angst vor einer Abmahnung oder einem Bußgeld zu haben. Um die DSGVO-Compliance langfristig sicherzustellen, empfehlen wir zudem regelmäßige Schulungen für Deine Mitarbeiter und die Benennung von Datenschutzkoordinatoren in den Abteilungen. Dafür wünschen wir viel Erfolg.

Welche Vorkehrungen Du allgemein für Videokonferenzen treffen solltest, findest Du in unserem umfassenden Guide hierzu.

Mehr Informationen zur DSGVO findest Du hier.

Für ZOOM findest Du in dem Datenschutz-Generator von easyRechtssicher.

Zum Komplett-Schutz

Damit kannst Du ZOOM DSGVO konform auf Knopfdruck in Deine Datenschutzerklärung aufnehmen und wir halten Deine Datenschutzerklärung für eventuelle rechtliche Änderungen automatisch aktuell.

Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7 automatisierte Lösungen für rechtliche Probleme von Unternehmen.