Zoom und die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union

Aktualisiert am: 18. August 2023

Zoom hat es sich zur Aufgabe gemacht, durch reibungslose Videokommunikation Freude zu verbreiten, und wir wissen, dass dies nur mit entsprechenden Datenschutz- und Sicherheitsmaßnahmen möglich ist. Deshalb sind wir bestrebt, die Kommunikation unserer Kunden bestmöglich zu schützen, so wie es die Datenschutzbestimmungen im Europäischen Wirtschaftsraum (EWR) vorsehen, insbesondere die Datenschutzgrundverordnung (DSGVO).

Zoom begrüßt die DSGVO als Gelegenheit, eine stärkere Grundlage für den Datenschutz zum Nutzen aller zu schaffen. Zoom ist sich bewusst, dass unsere Kunden ( die Datenverantwortlichen) sicherstellen müssen, dass Zoom (der Datenverarbeiter) technische und organisatorische Maßnahmen gemäß den Bestimmungen der DSGVO umsetzt. Wir bei Zoom möchten unseren Kunden in ihrer Rolle als Datenverantwortliche helfen und sie unterstützen.

Die folgenden Eckdaten spiegeln das Engagement von Zoom für den Datenschutz wider.

 

Vertragliche DSGVO-Verpflichtungen für alle Zoom-Kunden

Die DSGVO verlangt, dass Datenverantwortliche (wie Unternehmen und Entwickler, die die Dienste von Zoom nutzen) nur Datenverarbeiter (wie Zoom) einsetzen, die personenbezogene Daten im Auftrag des Datenverantwortlichen verarbeiten und angemessene Garantien für die Erfüllung der spezifischen Anforderungen der DSGVO bieten. Zoom bietet all seinen Kunden diese Garantie, indem wir den Nachtrag zur Datenverarbeitung durch Zoom in die Zoom-Nutzungsbedingungen aufnehmen.

Vertragliche Verpflichtungen von Zoom in Bezug auf die DSGVO:

  • Zoom ist um Transparenz bemüht und verpflichtet sich, personenbezogene Daten nur so zu verwenden, wie es in unserer Vereinbarung über die Erbringung von Dienstleistungen angegeben ist bzw. von unseren Kunden gewünscht wird.
  • Zoom setzt angemessene technische und organisatorische Sicherheitsmaßnahmen zum Schutz der durch uns verarbeiteten personenbezogenen Daten ein.
  • Zoom unterstützt Kunden bei der Erfüllung ihrer Verpflichtungen, wenn Anwender ihre Rechte im Zusammenhang mit den über unsere Dienste verarbeiteten personenbezogenen Daten wahrnehmen (z. B. Anträge auf Datenauskunft, -zugang, -berichtigung und -löschung).

 

Unterstützung bei internationaler Datenübermittlung

Im Juli 2020 entschied der Gerichtshof der Europäischen Union (EuGH) in der Rechtssache C-311/18 (gemeinhin als Schrems-II-Urteil“ bezeichnet) über die Gültigkeit von Datenübermittlungen außerhalb des EWR. Die Entscheidung in der Rechtssache Schrems II geht auf die Beschwerde des Österreichers Maximillian Schrems zurück, der sich über die Übermittlung seiner personenbezogenen Daten in die USA und den möglichen Zugriff von US-Behörden auf seine Daten beschwert hatte.

Im Zuge des Schrems-II-Urteils entschied der EuGH, dass der EU-US Privacy Shield kein zulässiges Mittel zur Übermittlung personenbezogener Daten aus dem EWR in die USA mehr darstellt.

Wichtig ist jedoch, dass der EuGH auch festhielt, dass die Standardvertragsklauseln (SCCs) der Europäischen Kommission, welche die Grundlage für internationale Übermittlungen durch Zoom bilden, als rechtmäßiger Mechanismus für die Übermittlung personenbezogener Daten aus dem EWR in Nicht-EWR-Länder bestehen bleiben.

Im Anschluss an diese Entscheidung veröffentlichte die Europäische Kommission im Juni 2021 neue SCCs. Zoom hat die neuen SCCs gemäß den von der Europäischen Kommission festgelegten Übergangsfristen (d. h. bis zum 27. September 2021 für neue Verträge und bis zum 27. Dezember 2022 für bestehende Verträge) in die betreffenden Verträge aufgenommen. Weitere Informationen finden Sie in unseren Kunden-FAQ zu den neuen SCCs.

 

Neue Anforderung: „Know-Your-Transfer“

Mit dem Schrems-II-Beschluss wurde auch eine neue Anforderung eingeführt. Vor der Übermittlung personenbezogener Daten in ein Land außerhalb des EWR, das kein angemessenes Schutzniveau gewährleistet, müssen Datenexporteure prüfen, ob die SCCs angemessen gewährleisten, dass die personenbezogenen Daten im Empfängerland in einem Maß geschützt bleiben, das den EU-Datenschutzvorschriften „weitgehend entspricht“.

Mit anderen Worten: Bevor sie sich auf SCCs berufen, müssen Datenexporteur und Datenimporteur von jetzt an prüfen, ob die Gesetze und Praktiken in dem Land, in das Daten übertragen werden, das ansonsten bestehende Schutzniveau gefährden könnten. Um unsere Kunden bei diesen Prüfungen zu unterstützen haben wir Abschätzungen der Folgen von Datenübertragungen für die folgenden Produkte verfasst:

Abschätzung der Folgen von Datenübertragungen für Zoom Meetings/Webinars/Team Chat
Abschätzung der Folgen von Datenübertragungen für Zoom Phone
Abschätzung der Folgen von Datenübertragungen für Zoom Contact Center
Abschätzung der Folgen von Datenübertragungen für Zoom Virtual Agent

Starke spezifische Maßnahmen, die europäischen Datenschutz gewährleisten

Zoom legt großen Wert auf die Gewährleistung eines hohen Sicherheitsniveaus:

  • Zoom nutzt eine Reihe von Verschlüsselungstechnologien, um Daten bei der Übertragung und im Ruhezustand zu schützen.
  • Zoom setzt Sicherheitsmaßnahmen zur Gewährleistung der kontinuierlichen Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit unserer Verarbeitungssysteme und Dienstleistungen ein.
  • Zoom ergreift Maßnahmen, um die unverzügliche Wiederherstellung der Verfügbarkeit und des Zugangs zu unseren Verarbeitungssystemen und Dienstleistungen im Falle eines physischen oder technischen Vorfalls zu ermöglichen.
  • Zoom nutzt ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen, die wir zur Gewährleistung der Sicherheit der von uns verarbeiteten Daten ergreifen.

Zu den Sicherheitsmaßnahmen, die Zoom einsetzt, um die Sicherheit der über die Zoom-Plattform gesendeten und dort gespeicherten Kommunikation zu gewährleisten, gehören insbesondere die folgenden:

  • Optionale Ende-zu-Ende-Verschlüsselung für Meetings: Benutzer haben die Möglichkeit, die Ende-zu-Ende-Verschlüsselung für Zoom-Meetings zu aktivieren. Dies bietet ein hohes Maß an Sicherheit, da Dritte – einschließlich Zoom – keinen Zugriff auf die privaten Schlüssel des Meetings haben.
  • Standardmäßige Verschlüsselung: Die Verbindung zwischen einem bestimmten Gerät und Zoom wird standardmäßig mit einer Mischung aus TLS 1.2+ (Transport Layer Security/Transportschichtsicherheit), 256-Bit-AES-GCM-Verschlüsselung nach Advanced Encryption Standard und SRTP (Secure Real-time Transport Protocol/Sicheres Echtzeit-Transportprotokoll) verschlüsselt. Die genaue Methode hängt davon ab, ob Benutzer den Zoom Client, einen Webbrowser, ein Gerät oder Dienst eines Drittanbieters oder Zoom Phone verwenden. Weitere Informationen finden Sie in unserem Verschlüsselungs-Whitepaper.
  • Schutz vor nicht autorisierten Meetingteilnehmern: Zoom setzt zahlreiche Sicherungsmaßnahmen und Kontrollelemente ein, um die Teilnahme Unbefugter an Meetings zu verhindern:
    • Einmalige 11-stellige Meeting-IDs
    • Komplexe Kennwörter
    • Warteräume mit der Möglichkeit, Teilnehmer aus Ihrer und anderen ausgewählten Domänen automatisch zuzulassen
    • Eine Sperrfunktion für Meetings, durch die beliebige Personen an der Teilnahme am Meeting gehindert werden können
    • Möglichkeit, Teilnehmer zu entfernen
    • Authentifizierungsprofile, die den Zutritt lediglich für registrierte Benutzer erlauben oder auf bestimmte E-Mail-Domänen einschränken
    • Das Melde-Tool für gefährdete Meetings, das öffentliche Beiträge auf Social-Media-Seiten und andere öffentliche Internetquellen nach Links zu Zoom-Meetings durchsucht
  • Selektive Meeting-Einladungen: Der Host kann ausgewählte Teilnehmer per E-Mail, Chat oder SMS einladen. Dadurch erhält der Host mehr Kontrolle über die Verbreitung der Zugriffsdaten zum Meeting. Zusätzlich kann der Host das Meeting auch so gestalten, dass nur Mitglieder gewisser E-Mail-Domänen teilnehmen können.
  • Meetingsicherheit: Während des Meetings stellt Zoom allen Teilnehmern des Zoom-Meetings Echtzeit-Rich-Media-Inhalte sicher zur Verfügung. Alle Inhalte, die in einem Meeting für die Teilnehmer freigegeben werden, sind nur eine Abbildung der Originaldaten. Diese Inhalte sind mittels einer sicheren Implementierung für die Freigabe kodiert und optimiert.
  • Host-Bedienelemente: Mit diesen Meeting-Bedienelementen kann der Host folgende Funktionen für die Teilnehmer aktivieren oder deaktivieren: Bildschirmfreigabe, Chat oder Sich umbenennen.
  • Meldung machen: Die Funktion „Einen Benutzer melden“ erlaubt dem Meetinghost auf problematisches Verhalten aufmerksam zu machen.
  • Im Produkt integrierte Sicherheitsbedienelemente: Sicherheitsbedienelemente mit einem dedizierten Sicherheitssymbol auf der Hauptbenutzeroberfläche
  • Rollenbasierte Benutzersicherheit: Die folgenden Sicherheitsfunktionen für Meetings stehen dem Host vor dem Meeting zur Verfügung:
    • Sichere Anmeldung mit Standard-Benutzername und Kennwort oder einmaliges Anmelden mit SAML
    • Start eines gesicherten Meetings mit Kenncode
    • Planung eines gesicherten Meetings mit Kenncode
  • Verhinderung von Robocalls: Benutzer können Anrufe von Anwählcomputern durch Durchsatzratenbegrenzung verhindern und reCAPTCHA (erfordert menschlichen Eingriff) plattformübergreifend aktivieren.

 

Optionen bezüglich der Verarbeitung und Speicherung von Daten

Zoom versteht, dass unsere Kunden sich Optionen bezüglich der Rechenzentren wünschen, die bestimmte Daten verarbeiten und speichern.

Daten, die übertragen und verarbeitet werden: Zoom überträgt Kundendaten über ein globales Netzwerk an zusammenhängenden Rechenzentren und öffentlichen Cloud-Rechenzentren (einschließlich Rechenzentren von Amazon Web Services („AWS“)). Die Funktionsweise der Zoom Services sieht vor, dass neue Daten in der Netzwerkumgebung von Zoom an das Rechenzentrum geleitet werden, das dem Benutzer, der die Daten versendet bzw. empfängt, am nächsten liegt.

Inhaber und Administratoren von kostenpflichtigen Konten können auf der Konto-, Gruppen- oder Benutzerebene bestimmte Zoom-Rechenzentren wählen oder abwählen, in denen die Echtzeitdaten zu Video, Audio und freigegebenen Inhalten von Teilnehmern in Meetings und Webinaren verwaltet werden. Die Rechenzentren in dem Land, das für die Region zuständig ist, in der ein Konto bereitgestellt wurde, werden automatisch für die Datenverarbeitung ausgewählt und können nicht abgewählt werden. Die Wahl der Zoom-Rechenzentren gilt nur, wenn unter einem Konto ein Meeting oder Webinar gehostet wird. Wurden unter einem Konto alle Rechenzentren abgewählt, werden alle Echtzeitdaten zu Video, Audio und freigegebenen Inhalten von Teilnehmern in Meetings und Webinaren nur von dem ausgewählten Zoom-Rechenzentrum verarbeitet. Es ist Zoom dennoch erlaubt, Daten über branchenübliche Protokolle für das Netzwerk-Routing zwischen Rechenzentren zu übertragen. Dabei werden private Netzwerke umgangen (Edge-Routing). Weitere Einzelheiten können Sie diesem Hilfe-Artikel entnehmen.

Datenspeicherung: Kunden können den Speicherort für manche ihrer Kundeninhalte wählen. Kundeninhalte sind Daten, die Kunden bei der Nutzung der Zoom Services bereitstellen. Hierzu gehören alle Daten, die Kunden bei einem Meeting oder Webinar aufzeichnen oder freigeben, unter anderem Cloud-Aufzeichnungen, Transkripte von Meetings, Chat-Transkripte (während des Meetings und/oder dauerhaft verfügbar) und Dateien, die während eines Meetings oder im durchgängigen Chatkanal ausgetauscht werden.

Kundeninhalte werden standardmäßig in den USA gespeichert. Bei manchen Kundeninhalten für ihr Konto können Kunden mit kostenpflichtigen Konten den Speicherort auswählen. Nur Kontoinhaber, Kontoadministratoren und Personen mit der Berechtigung für das Kontoprofil des Kunden können diese Einstellung ändern. Weitere Einzelheiten können Sie diesem Hilfe-Artikel entnehmen. Hinweis: Kundeninhalte, Kontodaten und Diagnosedaten werden weiterhin in den USA gespeichert.

 

Strenge Protokolle für die Beantwortung behördlicher Informationsanfragen

Zoom verpflichtet sich zum Schutz der Privatsphäre unserer Kunden und Benutzer und gibt nur Benutzerdaten an Behörden weiter, die in Übereinstimmung mit unserem Leitfaden für Behördenanfragen und den entsprechenden rechtlichen Richtlinien gültig und rechtmäßig angefordert werden.

Für alle geografischen Bereiche gilt:

  • Behördliche Anfragen müssen gemäß den geltenden Gesetzen und Vorschriften und auf offiziellem Wege erfolgen, d. h. es muss ein unterschriebenes offizielles Dokument oder eine E-Mail-Anfrage von der offiziellen E-Mail-Adresse einer staatlichen Stelle gesendet werden.
  • Jede Anfrage muss eindeutig und nicht zu weit gefasst sein und erfordert eine gültige Rechtsgrundlage. Anfragen, die diese Anforderungen nicht erfüllen, werden von uns abgelehnt oder angefochten.
  • Vor dem Hintergrund unserer Prinzipien und unseres Interesses an der Förderung einer erfolgreichen internationalen Zusammenarbeit gehen wir bei Behördenanfragen zu Benutzerinformationen besonders gewissenhaft vor.

Wenn eine Anfrage zu ungenau ist, stellt Zoom ihre Gültigkeit in Frage, um das Maß an übermittelten Informationen zu minimieren.

Zoom benachrichtigt Benutzer in der Regel über behördliche Anfragen nach Informationen und leitet die erhaltene Anfrage zur Kenntnisnahme an sie weiter, es sei denn, es ist uns gesetzlich untersagt, den Benutzer zu benachrichtigen. Anträge auf Ausnahmen von der Benutzerbenachrichtigung müssen eine Beschreibung der dringenden Umstände oder der potenziell nachteiligen Folgen enthalten.

 

Erhöhte Transparenz

  • Transparenzberichte: Zoom veröffentlichte im Dezember 2020 seinen ersten Bericht über die Anzahl der von US- und internationalen Behörden erhaltenen Anfragen (Government Request Transparency Report). Wir haben das Ziel, dass jeder Transparenzbericht den vorherigen übertrifft. Unseren neusten Transparenzbericht finden Sie hier. Weitere Transparenzberichte fügen wir zum Zoom Trust Center hinzu.
  • Produktinterne Benachrichtigungen: Zoom führt kontinuierlich Updates durch, um funktionsspezifische Datenschutzbenachrichtigungen in Zoom zu integrieren, damit Benutzer im konkreten Zusammenhang verstehen, wer die Inhalte und Informationen, die sie auf Zoom freigeben, sehen und weitergeben kann. Wenn ein Benutzer beispielsweise wissen möchte, wer die Nachrichten sehen kann, die er im Zoom-Chat versendet, kann er unter „Wer kann Ihre Nachrichten sehen?“ erfahren, wer auf die Nachrichten zugreifen kann, die er an alle bzw. privat versendet.

 

Bei der Entwicklung von Zoom-Angeboten stehen DSGVO-Anforderungen im Vordergrund

Zoom verpflichtet sich, alle erforderlichen Maßnahmen zu ergreifen, um Produktfunktionen zu entwickeln, die den DSGVO-Anforderungen entsprechen und den Schutz der über unsere Dienste verarbeiteten personenbezogenen Daten erhöhen. Weitere Informationen zu unserem Umgang mit Daten finden Sie in unserer Datenschutzerklärung. Bei Fragen zur DSGVO können Sie uns auch eine E-Mail an privacy@zoom.us schicken.