Wie Du mit ZOOM Datenschutz konform Videokonferenzen abhalten kannst

Erfahre hier, wie Du nach der DSGVO ZOOM ohne Abmahnung, Bußgeld oder Schadensersatz verwenden kannst

von Rechtsanwalt Dr. Ronald Kandelhard, Fachanwalt für Handels- und Gesellschaftsrecht. 

Aktualisierung 20.11.2023: Hinweise auf datenschutzfreundliche Lösungen von Zoom aufgenommen sowie Einarbeitung der neuesten Regelungen zum US-EU privacy framework.

Zoom hat in Zeiten der Corona Ausgangsbeschänkungen deutlichen Zulauf erfahren. Gleichzeitig kamen jedoch viele kritische Stimmen zum Zoom Datenschutz auf. Zoom hat reagiert und einiges verbessert. Erfahre hier, ob und wie Du Zoom Datenschutz konform für Videokonferenzen und Webinare verwenden kannst. Letztes Update: 17.08.2021

Inhalt

1. Kann ich ZOOM DSGVO konform verwenden?
2. Kann ich ZOOM DSGVO konform verwenden, obwohl es ein US Anbieter ist?
3. Gibt es auch EU-Version von Zoom?
4. Brauche ich einen Auftragsverarbeitungsvertrag, um ZOOM Datenschutz konform zu verwenden?
5. Wie schließe ich den Auftragsverarbeitungsvertag mit Zoom Datenschutz konform ab?
6. Muss ich ZOOM in meiner Datenschutzerklärung angeben?
7. Muss ich die Videokonferenzen mit ZOOM für den Datenschutz verschlüsseln?
8. Muss ich weitere Einstellungen für ZOOM Datenschutz vornehmen?
9. Ergebnis zu ZOOM und DSGVO

1. Kann ich ZOOM DSGVO konform verwenden?

In letzter Zeit hat ZOOM einiges für den Datenschutz getan. Immer noch gibt es aber kritische Stimmen, so das letzte Zweifel bei der Zulässigkeit von ZOOM nach der DSGVO verbleiben. Eine sehr aktuelle Darstellung zu den juristischen Zweifeln und Probleme finden sich in diesem Artikel. Die dort gut begründete Auffassung teile ich, daher gehe ich derzeit eher davon aus, dass ZOOM der DSGVO entspricht. Aber wie der Artikel zeigt, kann sich das immer auch recht schnell wieder ändern, von daher ist immer auch eine aktuelle Recherche zu empfehlen.

Kurz nach Veröffentlichung dieses Beitrages hat die Berliner Datenschutzbehörde eine aktuelle Einschätzung zur Zulässigkeit von US-Diensten für Videokonferenzen abgegeben. Danach soll ZOOM nicht zulässig sein. Rechtlich ist diese Auffassung jedoch nicht begründet. Die Behörde weist nur generell darauf hin, dass eine Rechtsverfolgung bei EU-Anbietern schwieriger sein könne. Weiter spricht die Behörde nicht ausdrücklich von einem Verbot, sondern empfiehlt nur eher europäische Anbieter. Update 19.5.2020: Aber auch die Behörde selbst hat offenbar eingesehen, dass die Einschätzung rechtlich nicht ganz haltbar ist und sie inzwischen gelöscht.

Insgesamt kann danach weiter davon ausgegangen werden, dass ZOOM datenschutzkonform ist. Dennoch, ein Einschreiten von Datenschutzbehörden kann ich weder ausschließen noch sicher bereits jede Entscheidung eines Gerichts zu diesem Thema vorhersagen. Wenn Du ganz sicher sein willst, wähle ggf. einen anderen Anbieter. 

2. Kann ich ZOOM DSGVO konform verwenden, obwohl es ein US Anbieter ist?

Bei jeder Nutzung von ZOOM, werden Daten Deiner Kunden oder Mitarbeiter an ZOOM gesendet. Du darfst Daten jedoch nach der DSGVO nur exportieren, wenn die Daten innerhalb der EU verbleiben oder die EU für das Empfängerland einen gleichwertigen Datenschutz festgestellt hat. Ein solcher gleichwertiger Schutz besteht etwa für die Schweiz, Kanada oder Neuseeland. Für die USA gilt das aber nicht ohne weiteres. Hier gab es mit privacy shield und safe harbour zwei Abkommen, um den Datenexport in die USA zu ermöglichen, die aber jeweils vom EuGH für unwirksam erklärt wurden. Inzwischen gibt es mit dem privacy framework aber ein neues Abkommen, war bis vor kurzem mit privacy shield noch eine Art Abkommen in Kraft, mit dem Du Deine Daten in die USA exportieren konntest. Die Details dazu findest Du hier.

3. Gibt es auch EU-Version von Zoom?

Zoom bietet in Kooperation mit der Telekom inzwischen auch eine Version für Geschäftskunden unter der Bezeichnung Zoom X an. Im Gegensatz zur klassischen Zoom-Software basiert diese Variante auf der DSGVO und kann so innerhalb der EU rechtssicher genutzt werden. Der Datenschutz wird unter anderem durch Server auf deutschem Boden sichergestellt. Die Daten verbleiben also in Deutschland. Somit entfällt das Exportieren in die USA und Du musst die Teilnehmer Deiner Videokonferenzen nicht mehr um Erlaubnis für den Datenexport bitten. Da es immer wieder Kapriolen um den Datenexport in die USA gibt und auch gegen das neue privacy framework bereits Klage erhoben wurde, bietet es sich an, gleich Zoom X zu nutzen. 

4. Brauche ich einen Auftragsverarbeitungsvertrag, um ZOOM Datenschutz konform zu verwenden?

Jede Weitergabe von Daten an Dritte bedeutet mehr datenschutzrechtliche Risiken. Deshalb erlaubt die DSGVO eine Übertragung von personenbezogenen Daten an Dritte nur unter bestimmten Voraussetzungen.

Die DSGVO wollte Subunternehmer und Dienstleister aber nicht verhindern. An solche Dritte kannst Du die Daten Deiner Kunden weitergeben, wenn Du mit dem Anbieter einen Auftragsverarbeitungsvertrag abschließt. Darin ist festgehalten, dass der Dritte Deinen Anweisungen bei der Verarbeitung der Daten folgt. Der Subunternehmer, Dienstleister oder Drittanbieter wird damit zu einer Art verlängertem Arm von Dir. Er muss dann aufgrund des Vertrages ausführen, was Du ihm für die Daten Deiner Kunden vorgibst, etwa bestimmte Daten berichtigen, löschen oder in sonstiger Form verarbeiten.

5. Wie schließe ich den Auftragsverarbeitungsvertag mit Zoom Datenschutz konform ab?

Du musst also mit ZOOM einen Auftragsverarbeitungsvertrag abschließen, ehe Du damit Videokonferenzen abhalten kannst. Den Auftragsverarbeitungsvertrag für den ZOOM Datenschutz kannst Du Dir hier ansehen. Du musst ihn gegenüber ZOOM bestätigen, damit er gilt. Das erfolgt im Grundsatz im Rahmen der Bestellung von Zoom. Gem. Ziff. 19 der AGB werden alle Dokumente mit in den Vertrag einbezogen, die unter https://zoom.us/privacy-and-legal erwähnt sind. Das ist auch der soeben verlinkte Auftragsverarbeitungsvertrag. Anschließend bestätigt Zoom in Ziff. 19 der AGB von Zoom noch mal explizit, dass Zoom seine Services nach dem „Zoom Global Data Processing Addendum“ erbringen wird. Zugegeben ist der Verweis nicht grade der deutlichste Weg, um einen Auftragsverarbeitungsvertrag abzuschließen, vom deutschen AGB Recht aber wohl noch umfasst. 

Wenn Du einen ausdrücklicheren Abschluss des Auftragsverabeitungsvertrag sicherstellen willst oder Zoom bereits zuvor bestellt hast und Du Dir nicht sicher bist, ob Du den Auftragsverarbeitungsvertrag bereits akzeptiert hast, wenn Dich an den Customer Support von Zoom wegen des „Data Processing Agreement“. Die geben Dir dann im Zweifel die Möglichkeit, den Auftragsverarbeitungsvertrag noch mal explizit zu akzeptieren.

6. Muss ich ZOOM in meiner Datenschutzerklärung angeben?

Ob Du ZOOM nach der DSGVO in Deiner Datenschutzerklärung angeben must, entscheidet sich ein wenig danach, wie und wofür Du ZOOM verwendest.

Klar ist auf jeden Fall, für jede Verwendung von ZOOM brauchst Du eine Datenschutzerklärung. Immer erfasst ZOOM Daten Deines Kunden, Mitarbeiters oder der sonstigen Gesprächsteilnehmer, wie IP- und Mail-Adresse, aber auch weitere Daten wie Aussehen bei einer Videokonferenz. Ebenso werden die jeweils eigegebenen Daten und Gesprächsinhalte gespeichert und übertragen.

Es ist daher in jedem Fall zu empfehlen, dass Du ZOOM DSGVO konform in Deine Datenschutzerklärung aufnimmst. Dann kannst Du zum Start der Videokonferenz alle Teilnehmer jeweils auf Deine Datenschutzerklärung verweisen. Zwingend ist die Erwähnung von ZOOM in der Datenschutzerklärung, wenn Du die Möglichkeit bietest, ZOOM Videokonferenzen oder Webinare direkt über Deine Website zu buchen oder zu starten, denn an dieser Stelle musst Du auf die Verwendung der Daten hinweisen.

Für Zoom findest Du in dem Datenschutz-Generator von easyRechtssicher.

Zum Komplett-Schutz

Damit kannst Du Zoom DSGVO konform auf Knopfdruck in Deine Datenschutzerklärung aufnehmen und wir halten Deine Datenschutzerklärung für eventuelle rechtliche Änderungen automatisch aktuell.

7. Muss ich die Videokonferenzen mit ZOOM für den Datenschutz verschlüsseln?

Art. 5 Abs. 1 lit. f DSGVO regelt für jede Website, auf der Nutzer personenbezogene Daten eingeben können, dass sie zu verschlüsseln ist. Deshalb solltest Du insgesamt Deine Website verschlüsseln (https://). Das gilt auch für die ZOOM Konferenzen nach DSGVO. Auch bei diesen werden vom Kunden personenbezogene Daten eingegeben. Du solltest also eine verschlüsselte Übertragung einstellen.

8. Muss ich weitere Einstellungen für ZOOM Datenschutz vornehmen?

Die DSGVO regelt auch die Abhaltung der Videokonferenz selbst. Daher musst Du ZOOM DSGVO konform einstellen, ehe Du es verwendest.

Alle Einstellungen bei ZOOM, die ein:

• Tracking des Kundenverhaltens bei der Konferenz (z.B. Klicks an bestimmten Stellen),
• eine Beobachtung des Kundenverhaltens anlässlich der Konferenz (z.B. Aktivität bei der Teilnahme) oder
• eine Aufzeichnung (z.B. durch Aufnahme oder Screen-Sharing)

ermöglichen, solltest Du nur verwenden, wenn sie wirklich erforderlich sind: Das ist nur der Fall, wenn die Funktion

• einem erlaubten Zweck dient (z.B. nicht einfach Überwachung)
• geeignet ist, diesen Zweck zu erfüllen
• erforderlich ist, diesen Zweck zu erfüllen (es gibt kein milderes Mittel für den Datenschutz)
• soweit möglich, Schutzmaßnahmen ergriffen sind.

Geht es etwa um eine Videokonferenz, bei der später noch der genaue Inhalt relevant ist, kann eine Aufzeichnung erforderlich sein. Anders, wenn vielleicht nur ganz wenige Inhalte später noch relevant sind, weil man einzelne Punkte einfach (datenschutzfreundlicher) notieren könnte.

Auch musst Du bei der DSGVO konformen Verwendung von ZOOM beachten, dass möglichst wenig Daten anfallen und diese möglichst kurzfristig gelöscht werden. Das betrifft die Aufzeichnung selbst, aber auch den davon getrennten Chatverlauf, die Anmeldedaten und weiteres mehr. Hier findest Du weitergehende Einstellungen, die Du möglichst vornehmen solltest und hier noch spezielle Hinweise für ZOOM Datenschutz Einstellungen. Inzwischen hat Zoom auch selbst eine Checkliste für die datenschutzechtlichen Einstellungen heraus gegeben, die sich an den Empfehlungen der Datenschutzkonferenz orientiert. 

9. Ergebnis zu ZOOM und DSGVO

Videokonferenzen sind auf jeden Fall ein tolles Werkzeug für Dein Angebot und im Zuge von Corona wichtiger denn je. Beachtest Du die rechtlichen Vorgaben und nutzt die passenden Muster für Deine Datenschutzerklärung, kannst Du ZOOM DSGVO konform ohne Angst vor einer Abmahnung oder einem Bußgeld verwenden. Dafür wünschen wir viel Erfolg.

Welche Vorkehrungen Du allgemein für Videokonferenzen treffen solltest, findest Du in unserem umfassenden Guide hierzu.

Mehr Informationen zur DSGVO findest Du hier.

Für ZOOM findest Du in dem Datenschutz-Generator von easyRechtssicher.

Zum Komplett-Schutz

Damit kannst Du ZOOM DSGVO konform auf Knopfdruck in Deine Datenschutzerklärung aufnehmen und wir halten Deine Datenschutzerklärung für eventuelle rechtliche Änderungen automatisch aktuell.

Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7 automatisierte Lösungen für rechtliche Probleme von Unternehmen.