Zoom und die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union

Aktualisiert: 30. Dezember 2022

Zoom hat es sich zur Aufgabe gemacht, durch reibungslose Videokommunikation Freude zu verbreiten, und wir wissen, dass dies nur mit entsprechenden Datenschutz- und Sicherheitsmaßnahmen möglich ist. Deshalb sind wir bestrebt, die Kommunikation unserer Kunden bestmöglich zu schützen, so wie es die Datenschutzbestimmungen im Europäischen Wirtschaftsraum (EWR) vorsehen, insbesondere die Datenschutzgrundverordnung (DSGVO).

Zoom begrüßt die DSGVO als Gelegenheit, eine stärkere Grundlage für den Datenschutz zum Nutzen aller zu schaffen. Zoom ist sich bewusst, dass unsere Kunden ( die Datenverantwortlichen) sicherstellen müssen, dass Zoom (der Datenverarbeiter) technische und organisatorische Maßnahmen gemäß den Bestimmungen der DSGVO umsetzt. Wir bei Zoom möchten unseren Kunden in ihrer Rolle als Datenverantwortliche helfen und sie unterstützen. 

Die folgenden Eckdaten spiegeln das Engagement von Zoom für den Datenschutz wider. 

 

Vertragliche DSGVO-Verpflichtungen für alle Zoom-Kunden

Die DSGVO verlangt, dass Datenverantwortliche (wie Unternehmen und Entwickler, die die Dienste von Zoom nutzen) nur Datenverarbeiter (wie Zoom) einsetzen, die personenbezogene Daten im Auftrag des Datenverantwortlichen verarbeiten und angemessene Garantien für die Erfüllung der spezifischen Anforderungen der DSGVO bieten. Zoom bietet all seinen Kunden diese Garantie, indem wir den Nachtrag zur Datenverarbeitung durch Zoom in die Zoom-Nutzungsbedingungen aufnehmen. 

Vertragliche Verpflichtungen von Zoom in Bezug auf die DSGVO:

  • Zoom ist um Transparenz bemüht und verpflichtet sich, personenbezogene Daten nur so zu verwenden, wie es in unserer Vereinbarung über die Erbringung von Dienstleistungen angegeben ist bzw. von unseren Kunden gewünscht wird.
  • Zoom setzt angemessene technische und organisatorische Sicherheitsmaßnahmen zum Schutz der durch uns verarbeiteten personenbezogenen Daten ein. 
  • Zoom unterstützt Kunden bei der Erfüllung ihrer Verpflichtungen, wenn Anwender ihre Rechte im Zusammenhang mit den über unsere Dienste verarbeiteten personenbezogenen Daten wahrnehmen (z. B. Anträge auf Datenauskunft, -zugang, -berichtigung und -löschung).

 

Unterstützung bei internationaler Datenübermittlung

Im Juli 2020 entschied der Gerichtshof der Europäischen Union (EuGH) in der Rechtssache C-311/18 (gemeinhin als Schrems-II-Urteil“ bezeichnet) über die Gültigkeit von Datenübermittlungen außerhalb des EWR. Die Entscheidung in der Rechtssache Schrems II geht auf die Beschwerde des Österreichers Maximillian Schrems zurück, der sich über die Übermittlung seiner personenbezogenen Daten in die USA und den möglichen Zugriff von US-Behörden auf seine Daten beschwert hatte.

Im Zuge des Schrems-II-Urteils entschied der EuGH, dass der EU-US Privacy Shield kein zulässiges Mittel zur Übermittlung personenbezogener Daten aus dem EWR in die USA mehr darstellt. 

Wichtig ist jedoch, dass der EuGH auch festhielt, dass die Standardvertragsklauseln (SCCs) der Europäischen Kommission, welche die Grundlage für internationale Übermittlungen durch Zoom bilden, als rechtmäßiger Mechanismus für die Übermittlung personenbezogener Daten aus dem EWR in Nicht-EWR-Länder bestehen bleiben. 

Im Anschluss an diese Entscheidung veröffentlichte die Europäische Kommission im Juni 2021 neue SCCs. Zoom hat die neuen SCCs gemäß den von der Europäischen Kommission festgelegten Übergangsfristen (d. h. bis zum 27. September 2021 für neue Verträge und bis zum 27. Dezember 2022 für bestehende Verträge) in die betreffenden Verträge aufgenommen.  Weitere Informationen finden Sie in unserer Kunden-FAQ zu den neuen SCCs

 

Neue Anforderung: „Know-Your-Transfer“

Mit dem Schrems-II-Beschluss wurde auch eine neue Anforderung eingeführt. Vor der Übermittlung personenbezogener Daten in ein Land außerhalb des EWR, das kein angemessenes Schutzniveau gewährleistet, müssen Datenexporteure prüfen, ob die SCCs angemessen gewährleisten, dass die personenbezogenen Daten im Empfängerland in einem Maß geschützt bleiben, das den EU-Datenschutzvorschriften „weitgehend entspricht“.

Mit anderen Worten: Bevor sie sich auf SCCs berufen, müssen Datenexporteur und Datenimporteur von jetzt an prüfen, ob die Gesetze und Praktiken in dem Land, in das Daten übertragen werden, das ansonsten bestehende Schutzniveau gefährden könnten. Um unsere Kunden bei dieser Beurteilung zu unterstützen, haben wir Data Transfer Impact Assessments für die folgenden Produkte erstellt:

Zoom Meetings/Webinar/Chat Data Transfer Impact Assessment
Zoom Phone Data Transfer Impact Assessment
Zoom Contact Center Data Transfer Impact Assessment

Für weitere Informationen zu den von Zoom ergriffenen Maßnahmen und den zusätzlichen Sicherheitsmaßnahmen, die bei Übermittlungen personenbezogener Daten aus dem EWR oder Großbritannien in die USA vorhanden sind, siehe unsere “FAQs: Internationale Datenübermittlungen.

 

Starke spezifische Maßnahmen, die europäischen Datenschutz gewährleisten 

Zoom legt großen Wert auf die Gewährleistung eines hohen Sicherheitsniveaus:

  • Zoom nutzt eine Reihe von Verschlüsselungstechnologien, um Daten bei der Übertragung und im Ruhezustand zu schützen.
  • Zoom setzt Sicherheitsmaßnahmen zur Gewährleistung der kontinuierlichen Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit unserer Verarbeitungssysteme und Dienstleistungen ein.
  • Zoom ergreift Maßnahmen, um die unverzügliche Wiederherstellung der Verfügbarkeit und des Zugangs zu unseren Verarbeitungssystemen und Dienstleistungen im Falle eines physischen oder technischen Vorfalls zu ermöglichen.
  • Zoom nutzt ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen, die wir zur Gewährleistung der Sicherheit der von uns verarbeiteten Daten ergreifen.

Zu den Sicherheitsmaßnahmen, die Zoom einsetzt, um die Sicherheit der über die Zoom-Plattform gesendeten und dort gespeicherten Kommunikation zu gewährleisten, gehören insbesondere die folgenden:

  • Optionale Ende-zu-Ende-Verschlüsselung für Meetings: Benutzer haben die Möglichkeit, die Ende-zu-Ende-Verschlüsselung für Zoom-Meetings zu aktivieren. Dies bietet ein hohes Maß an Sicherheit, da Dritte – einschließlich Zoom – keinen Zugriff auf die privaten Schlüssel des Meetings haben. 
  • Standardmäßige Verschlüsselung: Die Verbindung zwischen einem bestimmten Gerät und Zoom wird standardmäßig mit einer Mischung aus TLS 1.2+ (Transport Layer Security/Transportschichtsicherheit), 256-Bit-AES-GCM-Verschlüsselung nach Advanced Encryption Standard und SRTP (Secure Real-time Transport Protocol/Sicheres Echtzeit-Transportprotokoll) verschlüsselt. Die genaue Methode hängt davon ab, ob Benutzer den Zoom Client, einen Webbrowser, ein Gerät oder Dienst eines Drittanbieters oder Zoom Phone verwenden. Weitere Informationen finden Sie in unserem Verschlüsselungs-Whitepaper.
  • Schutz vor nicht autorisierten Meetingteilnehmern: Zoom setzt zahlreiche Sicherungsmaßnahmen und Kontrollelemente ein, um die Teilnahme Unbefugter an Meetings zu verhindern:
    • Einmalige 11-stellige Meeting-IDs
    • Komplexe Kennwörter
    • Warteräume mit der Möglichkeit, Teilnehmer aus Ihrer und anderen ausgewählten Domänen automatisch zuzulassen
    • Eine Sperrfunktion für Meetings, durch die beliebige Personen an der Teilnahme am Meeting gehindert werden können
    • Möglichkeit, Teilnehmer zu entfernen
    • Authentifizierungsprofile, die den Zutritt lediglich für registrierte Benutzer erlauben oder auf bestimmte E-Mail-Domänen einschränken
    • Das Melde-Tool für gefährdete Meetings, das öffentliche Beiträge auf Social-Media-Seiten und andere öffentliche Internetquellen nach Links zu Zoom-Meetings durchsucht 
  • Selektive Meeting-Einladungen: Der Host kann ausgewählte Teilnehmer per E-Mail, Chat oder SMS einladen. Dadurch erhält der Host mehr Kontrolle über die Verbreitung der Zugriffsdaten zum Meeting. Zusätzlich kann der Host das Meeting auch so gestalten, dass nur Mitglieder gewisser E-Mail-Domänen teilnehmen können.
  • Meetingsicherheit: Während des Meetings stellt Zoom allen Teilnehmern des Zoom-Meetings Echtzeit-Rich-Media-Inhalte sicher zur Verfügung. Alle Inhalte, die in einem Meeting für die Teilnehmer freigegeben werden, sind nur eine Abbildung der Originaldaten. Diese Inhalte sind mittels einer sicheren Implementierung für die Freigabe kodiert und optimiert.
  • Host-Bedienelemente: Mit diesen Meeting-Bedienelementen kann der Host folgende Funktionen für die Teilnehmer aktivieren oder deaktivieren: Bildschirmfreigabe, Chat oder Sich umbenennen.
  • Meldung machen: Die Funktion „Einen Benutzer melden“ erlaubt dem Meetinghost auf problematisches Verhalten aufmerksam zu machen.
  • Im Produkt integrierte Sicherheitsbedienelemente: Sicherheitsbedienelemente mit einem dedizierten Sicherheitssymbol auf der Hauptbenutzeroberfläche
  • Rollenbasierte Benutzersicherheit: Die folgenden Sicherheitsfunktionen für Meetings stehen dem Host vor dem Meeting zur Verfügung:
    • Sichere Anmeldung mit Standard-Benutzername und Kennwort oder einmaliges Anmelden mit SAML
    • Start eines gesicherten Meetings mit Kenncode
    • Planung eines gesicherten Meetings mit Kenncode
  • Verhinderung von Robocalls: Benutzer können Anrufe von Anwählcomputern durch Durchsatzratenbegrenzung verhindern und reCAPTCHA (erfordert menschlichen Eingriff) plattformübergreifend aktivieren.

 

Optionen für Daten während der Übertragung und im Ruhezustand

Zoom versteht, dass unsere Kunden sich Optionen bezüglich der Rechenzentren wünschen, die ihre Daten während der Übertragung und im Ruhezustand verarbeiten. 

Bei der Datenübertragung (Data in Transit oder Data in Motion) werden Daten von einem Ort zu einem anderen transportiert, z. B. über das Internet oder über ein privates Netzwerk. Für Daten während der Übertragung können Kontoinhaber und Administratoren von kostenpflichtigen Konten bestimmte Rechenzentrumsregionen für das Hosting von Echtzeit-Meeting- und Webinardaten während der Übertragung deaktivieren (mehr dazu in diesem Hilfeartikel). Zoom macht die Datenweiterleitung über das Kontoverwaltungs-Dashboard transparent. 

Ruhende Daten sind Daten, die gerade nicht von einem Gerät an ein anderes Gerät oder von einem Netzwerk an ein anderes Netzwerk übertragen werden, sondern im Cloud-Rechenzentrum gespeichert sind. Kunden können den Speicherort für manche ihrer ruhenden Kundeninhalte wählen. 

„Kundeninhalte“ sind alle Daten, einschließlich Text-, Ton-, Video- oder Bilddateien, die ein Kunde zur Verarbeitung in den Zoom-Service eingibt und zur Speicherung oder weiteren Verarbeitung auf die Cloud-Server von Zoom hochlädt. Bei Kundeninhalten kann es sich z. B. um Videoaufzeichnungen, Cloud-Aufzeichnungen, Transkripte, Chats während eines Meetings, anhaltende Chats oder Dateien, die während eines Meetings ausgetauscht wurden, handeln.

Wenn ein Kunde Inhalte auf den Zoom Cloud-Service hochlädt, werden diese im globalen Netzwerk von Amazon Web Services (AWS) gehostet. Der Hosting-Standort kann für verschiedene Zoom-Kunden variieren, wenn die Organisation unsere Funktion zur Speicherung von Kommunikationsinhalten nutzt. Diese Speicherortfunktion ermöglicht es globalen Teams, auszuwählen, in welcher Region bestimmte Arten von ruhenden Daten gespeichert werden sollen. Bitte beachten Sie, dass bestimmte Datenkategorien dennoch in den USA verarbeitet werden. 

 

Strenge Protokolle für die Beantwortung behördlicher Informationsanfragen 

Zoom verpflichtet sich zum Schutz der Privatsphäre unserer Kunden und Benutzer und gibt nur Benutzerdaten an Behörden weiter, die in Übereinstimmung mit unserem Leitfaden für Behördenanfragen und den entsprechenden rechtlichen Richtlinien gültig und rechtmäßig angefordert werden. 

Für alle geografischen Bereiche gilt:

  • Behördliche Anfragen müssen gemäß den geltenden Gesetzen und Vorschriften und auf offiziellem Wege erfolgen, d. h. es muss ein unterschriebenes offizielles Dokument oder eine E-Mail-Anfrage von der offiziellen E-Mail-Adresse einer staatlichen Stelle gesendet werden.
  • Jede Anfrage muss eindeutig und nicht zu weit gefasst sein und erfordert eine gültige Rechtsgrundlage. Anfragen, die diese Anforderungen nicht erfüllen, werden von uns abgelehnt oder angefochten.
  • Vor dem Hintergrund unserer Prinzipien und unseres Interesses an der Förderung einer erfolgreichen internationalen Zusammenarbeit gehen wir bei Behördenanfragen zu Benutzerinformationen besonders gewissenhaft vor.

Wenn eine Anfrage zu ungenau ist, stellt Zoom ihre Gültigkeit in Frage, um das Maß an übermittelten Informationen zu minimieren.

Zoom benachrichtigt Benutzer in der Regel über behördliche Anfragen nach Informationen und leitet die erhaltene Anfrage zur Kenntnisnahme an sie weiter, es sei denn, es ist uns gesetzlich untersagt, den Benutzer zu benachrichtigen. Anträge auf Ausnahmen von der Benutzerbenachrichtigung müssen eine Beschreibung der dringenden Umstände oder der potenziell nachteiligen Folgen enthalten.

 

Erhöhte Transparenz 

  • Transparenzberichte: Zoom veröffentlichte im Dezember 2020 seinen ersten Bericht über die Anzahl der von US- und internationalen Behörden erhaltenen Anfragen (Government Request Transparency Report). Wir haben das Ziel, dass jeder Transparenzbericht den vorherigen übertrifft. Unseren neusten Transparenzbericht finden Sie hier. Weitere Transparenzberichte fügen wir zum Zoom Trust Center hinzu. 
  • Produktinterne Benachrichtigungen: Zoom führt kontinuierlich Updates durch, um funktionsspezifische Datenschutzbenachrichtigungen in Zoom zu integrieren, damit Benutzer im konkreten Zusammenhang verstehen, wer die Inhalte und Informationen, die sie auf Zoom freigeben, sehen und weitergeben kann. Wenn ein Benutzer beispielsweise wissen möchte, wer die Nachrichten sehen kann, die er im Zoom-Chat versendet, kann er unter „Wer kann Ihre Nachrichten sehen?“ erfahren, wer auf die Nachrichten zugreifen kann, die er an alle bzw. privat versendet.

 

Bei der Entwicklung von Zoom-Angeboten stehen DSGVO-Anforderungen im Vordergrund 

Zoom verpflichtet sich, alle erforderlichen Maßnahmen zu ergreifen, um Produktfunktionen zu entwickeln, die den DSGVO-Anforderungen entsprechen und den Schutz der über unsere Dienste verarbeiteten personenbezogenen Daten erhöhen. Weitere Informationen zu unserem Umgang mit Daten finden Sie in unserer Datenschutzerklärung. Bei Fragen zur DSGVO können Sie uns auch eine E-Mail an privacy@zoom.us schicken.