Wie Du mit ZOOM Datenschutz konform Videokonferenzen abhalten kannst

Erfahre hier, wie Du nach der DSGVO ZOOM ohne Abmahnung, Bußgeld oder Schadensersatz verwenden kannst

von Rechtsanwalt Dr. Ronald Kandelhard, Fachanwalt für Handels- und Gesellschaftsrecht. 

Zoom hat in Zeiten der Corona Ausgangsbeschänkungen deutlichen Zulauf erfahren. Gleichzeitig kamen jedoch viele kritische Stimmen zum Zoom Datenschutz auf. Zoom hat reagiert und einiges verbessert. Erfahre hier, ob und wie Du Zoom Datenschutz konform für Videokonferenzen und Webinare verwenden kannst. 

Inhalt

  1. Kann ich ZOOM DSGVO konform verwenden?
  2. Kann ich ZOOM DSGVO konform verwenden, obwohl es ein US-Anbieter ist?
  3. Brauche ich einen Auftragsverarbeitungsvertrag, um ZOOM DSGVO konform zu verwenden?
  4. Muss ich ZOOM in meiner Datenschutzerklärung angeben?
  5. Muss ich die Videokonferenzen mit ZOOM für den Datenschutz verschlüsseln
  6. Muss ich weitere Einstellungen für ZOOM-Datenschutz vornehmen?
  7. Ergebnis zu ZOOM und DSGVO

1. Kann ich ZOOM DSGVO konform verwenden?

In letzter Zeit hat ZOOM einiges für den Datenschutz getan. Immer noch gibt es aber kritische Stimmen, so das letzte Zweifel bei der Zulässigkeit von ZOOM nach der DSGVO verbleiben. Eine sehr aktuelle Darstellung zu den juristischen Zweifeln und Probleme finden sich in diesem Artikel. Die dort gut begründete Auffassung teile ich, daher gehe ich derzeit eher davon aus, dass ZOOM der DSGVO entspricht. Aber wie der Artikel zeigt, kann sich das immer auch recht schnell wieder ändern, von daher ist immer auch eine aktuelle Recherche zu empfehlen.

 

2. Kann ich ZOOM DSGVO konform verwenden, obwohl es ein US Anbieter ist?

Bei jeder Nutzung von ZOOM, werden Daten Deiner Kunden oder Mitarbeiter an ZOOM gesendet. Du darfst Daten jedoch nach der DSGVO nur exportieren, wenn die Daten innerhalb der EU verbleiben oder die EU für das Empfängerland einen gleichwertigen Datenschutz festgestellt hat. Ein solcher gleichwertiger Schutz besteht etwa für die Schweiz, Kanada oder Neuseeland. Für die USA gilt das aber nicht ohne weiteres. Bei einem US-Anbieter ist zusätzlich erforderlich, dass er bei privacy shield registriert ist.

Nur für einen registrierten Anbieter ist ein gleichwertiger Datenschutz für US-Unternehmen gegeben. Ausführlicher habe ich die Voraussetzungen und eine Anleitung für Deine eigene Recherche hier dargestellt. ZOOM jedenfalls ist bei privacy shield registriert. Insoweit kannst Du ZOOM DSGVO konform verwenden.

Kurz nach Veröffentlichung dieses Beitrages hat die Berliner Datenschutzbehörde eine aktuelle Einschätzung zur Zulässigkeit von US-Diensten für Videokonferenzen abgegeben. Danach soll ZOOM nicht zulässig sein. Rechtlich ist diese Auffassung jedoch nicht begründet. Die Behörde wird nur generell darauf hin, dass eine Rechtsverfolgung bei EU-Anbietern schwieriger sein könne. Privacy shield bleibt aber dennoch eine taugliche Rechtsgrundlage für einen Datenexport in die USA. Weiter spricht die Behörde nicht ausdrücklich von einem Verbot, sondern empfiehlt nur eher europäische Anbieter. Update 19.5.2020: Aber auch die Behörde selbst hat offenbar eingesehen, dass die Einschätzung rechtlich nicht ganz haltbar ist und sie inzwischen gelöscht.  

Insgesamt kann danach weiter davon ausgegangen werden, dass ZOOM datenschutzkonform ist. Dennoch, ein Einschreiten von Datenschutzbehörden kann ich weder ausschließen noch sicher bereits jede Entscheidung eines Gerichts zu diesem Thema vorhersagen. Wenn Du ganz sicher sein willst, wähle ggf. einen anderen Anbieter. 

3. Brauche ich einen Auftragsverarbeitungsvertrag, um ZOOM Datenschutz konform zu verwenden?

Jede Weitergabe von Daten an Dritte bedeutet mehr datenschutzrechtliche Risiken. Deshalb erlaubt die DSGVO eine Übertragung von personenbezogenen Daten an Dritte nur unter bestimmten Voraussetzungen.

Die DSGVO wollte Subunternehmer und Dienstleister aber nicht verhindern. An solche Dritte kannst Du die Daten Deiner Kunden weitergeben, wenn Du mit dem Anbieter einen Auftragsverarbeitungsvertrag abschließt. Darin ist festgehalten, dass der Dritte Deinen Anweisungen bei der Verarbeitung der Daten folgt. Der Subunternehmer, Dienstleister oder Drittanbieter wird damit zu einer Art verlängertem Arm von Dir. Er muss dann aufgrund des Vertrages ausführen, was Du ihm für die Daten Deiner Kunden vorgibst, etwa bestimmte Daten berichtigen, löschen oder in sonstiger Form verarbeiten.

 

4. Wie schließe ich den Auftragsverörbeitungsvertag mit Zoom Datenschutz konform ab?

Du musst also mit ZOOM einen Auftragsverarbeitungsvertrag abschließen, ehe Du damit Videokonferenzen abhalten kannst. Den Auftragsverarbeitungsvertrag für den ZOOM Datenschutz kannst Du Dir hier ansehen. Du musst ihn gegenüber ZOOM bestätigen, damit er gilt. Das erfolgt im Grundsatz im Rahmen der Bestellung von Zoom. Gem. Ziff. 19 der AGB werden alle Dokumente mit in den Vertrag einbezogen, die unter https://zoom.us/privacy-and-legal erwähnt sind. Das ist auch der soeben verlinkte Auftragsverarbeitungsvertrag. Anschließend bestätigt Zoom in Ziff. 19 der AGB von Zoom noch mal explizit, dass Zoom seine Services nach dem „Zoom Global Data Processing Addendum“ erbringen wird. Zugegeben ist der Verweis nicht grade der deutlichste Weg, um einen Auftragsverarbeitungsvertrag abzuschließen, vom deutschen AGB Recht aber wohl noch umfasst. 

Wenn Du einen ausdrücklicheren Abschluss des Auftragsverabeitungsvertrag sicher stellen willst oder Zoom bereits zuvor bestellt hast und Du Dir nicht sicher bist, ob Du den Auftragsverarbeitungsvertrag bereits akzeptiert hast, wenn Dich an den Customer Support von Zoom wegen des „Data Processing Agreement“. Die geben Dir dann im Zweifel die Möglichkeit, den Auftragsverarbeitungsvertrag noch mal explizit zu akzeptieren. 

 

5. Muss ich ZOOM in meiner Datenschutzerklärung angeben?

Ob Du ZOOM nach der DSGVO in Deiner Datenschutzerklärung angeben must, entscheidet sich ein wenig danach, wie und wofür Du ZOOM verwendest.

 

Klar ist auf jeden Fall, für jede Verwendung von ZOOM brauchst Du eine Datenschutzerklärung. Immer erfasst ZOOM Daten Deines Kunden, Mitarbeiters oder der sonstigen Gesprächsteilnehmer, wie IP- und Mail-Adresse, aber auch weitere Daten wie Aussehen bei einer Videokonferenz. Ebenso werden die jeweils eigegebenen Daten und Gesprächsinhalte gespeichert und übertragen. 

 

Es ist daher in jedem Fall zu empfehlen, dass Du ZOOM DSGVO konform in Deine Datenschutzerklärung aufnimmst. Dann kannst Du zum Start der Videokonferenz alle Teilnehmer jeweils auf Deine Datenschutzerklärung verweisen. Zwingend ist die Erwähnung von ZOOM in der Datenschutzerklärung, wenn Du die Möglichkeit bietest, ZOOM Videokonferenzen oder Webinare direkt über Deine Website zu buchen oder zu starten, denn an dieser Stelle musst Du auf die Verwendung der Daten hinweisen.

 

Für Zoom findest Du in dem Datenschutz-Generator von easyRechtssicher.

Zum Komplett-Schutz

Damit kannst Du Zoom DSGVO konform auf Knopfdruck in Deine Datenschutzerklärung aufnehmen und wir halten Deine Datenschutzerklärung für eventuelle rechtliche Änderungen automatisch aktuell.

6. Muss ich die Videokonferenzen mit ZOOM für den Datenschutz verschlüsseln?

Art. 5 Abs. 1 lit. f DSGVO regelt für jede Website, auf der Nutzer personenbezogene Daten eingeben können, dass sie zu verschlüsseln ist. Deshalb solltest Du insgesamt Deine Website verschlüsseln (https://). Das gilt auch für die ZOOM Konferenzen nach DSGVO. Auch bei diesen werden vom Kunden personenbezogene Daten eingegeben. Du solltest also eine verschlüsselte Übertragung einstellen.

 

7. Muss ich weitere Einstellungen für ZOOM Datenschutz vornehmen?

Die DSGVO regelt auch die Abhaltung der Videokonferenz selbst. Daher musst Du ZOOM DSGVO konform einstellen, ehe Du es verwendest.  

 

Alle Einstellungen bei ZOOM, die ein:

  • Tracking des Kundenverhaltens bei der Konferenz (z.B. Klicks an bestimmten Stellen),
  • eine Beobachtung des Kundenverhaltens anlässlich der Konferenz (z.B. Aktivität bei der Teilnahme) oder
  • eine Aufzeichnung (z.B. durch Aufnahme oder Screen-Sharing)

ermöglichen, solltest Du nur verwenden, wenn sie wirklich erforderlich sind: Das ist nur der Fall, wenn die Funktion

  • einem erlaubten Zweck dient (z.B. nicht einfach Überwachung)
  • geeignet ist, diesen Zweck zu erfüllen
  • erforderlich ist, diesen Zweck zu erfüllen (es gibt kein milderes Mittel für den Datenschutz)
  • soweit möglich, Schutzmaßnahmen ergriffen sind.

Geht es etwa um eine Videokonferenz, bei der später noch der genaue Inhalt relevant ist, kann eine Aufzeichnung erforderlich sein. Anders, wenn vielleicht nur ganz wenige Inhalte später noch relevant sind, weil man einzelne Punkte einfach (datenschutzfreundlicher) notieren könnte.

 

Auch musst Du bei der DSGVO konformen Verwendung von ZOOM beachten, dass möglichst wenig Daten anfallen und diese möglichst kurzfristig gelöscht werden. Das betrifft die Aufzeichnung selbst, aber auch den davon getrennten Chatverlauf, die Anmeldedaten und weiteres mehr. Hier findest Du weitergehende Einstellungen, die Du möglichst vornehmen solltest und hier noch spezielle Hinweise für ZOOM Datenschutz Einstellungen.

 

8. Ergebnis zu ZOOM und DSGVO

Videokonferenzen sind auf jeden Fall ein tolles Werkzeug für Dein Angebot und im Zuge von Corona wichtiger denn je. Beachtest Du die rechtlichen Vorgaben und nutzt die passenden Muster für Deine Datenschutzerklärung, kannst Du ZOOM DSGVO konform ohne Angst vor einer Abmahnung oder einem Bußgeld verwenden. Dafür wünschen wir viel Erfolg.

 

Welche Vorkehrungen Du allgemein für Videokonferenzen treffen solltest, findest Du in unserem umfassenden Guide hierzu.

Mehr Informationen zur DSGVO findest Du hier.

 

Für ZOOM findest Du in dem Datenschutz-Generator von easyRechtssicher.

Zum Komplett-Schutz

Damit kannst Du ZOOM DSGVO konform auf Knopfdruck in Deine Datenschutzerklärung aufnehmen und wir halten Deine Datenschutzerklärung für eventuelle rechtliche Änderungen automatisch aktuell.

 

 


Rechtsanwalt Dr. Ronald Kandelhard

Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7 automatisierte Lösungen für rechtliche Probleme von Unternehmen.

1 Kommentare

  1. Pingback: Webinar und Datenschutz: So setzt du Webinare DSGVO-konform ein - VideoRhetorik Steffen Grützki

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.