Videokonferenzen der IG Metall Region Hamburg

Zoom-Meeting und Datenschutz

(05.05.2020) Videokonferenzen sind in Zeiten von Corona aus unserem Leben kaum noch wegzudenken. Gleichzeitig ist in den Medien eine Debatte ber die Datensicherheit einiger Anbieter entstanden. Im Fokus der Diskussion steht dabei der Konferenzdienst ?Zoom?, der auch von der IG Metall genutzt wird. Wir mchten in diesem Beitrag erlutern, wie wir als IG Metall damit umgehen.

Warum nutzt die IG Metall Zoom?

Als Videokonferenz-Anwendung ist Zoom aus guten Grnden einer der Marktfhrer. Die Qualitt, mit vielen Personen zuverlssig zu kommunizieren, ist mit keinem anderen Tool, das der IG Metall zurzeit zur Verfgung steht, zu erreichen. Zoom funktioniert auch mit vielen Personen einwandfrei. Die Nutzung ist intuitiv und leicht zu erlernen.

In vielen Unternehmen wird Microsoft Teams oder Skype verwendet. Diese Programme sind mit unserer aktuellen IT-Infrastruktur nur passiv nutzbar. D.h. wir knnen nur an Videokonferenz teilnehmen, die von anderen erstellt wurden und knnen keine eigenen Konferenzen generieren. Andere Anwendungen, wie beispielsweise Web-ex, sind qualitativ keine echte Alternative zu Zoom.

Sicherheitslcken bei Zoom

In den Medien wurde ber verschiedene Privatsphre- und Sicherheitsprobleme bei Zoom berichtet. Die Kritik bezog sich auf aufgezeichnete Video-Meetings, die sich im Internet wiederfanden (das sogenanntes ?Zoom-Bombing?), und die Datenspeicherung sowie -weitergabe durch Zoom.

Zoom hat auf die Berichterstattung schnell reagiert und kurz nach Bekanntwerden der Sicherheitsprobleme Updates seines Programms bereitgestellt sowie weitere Vorkehrungen getroffen. Darber hinaus haben wir als IG Metall die Datenschutzeinstellungen unserer Accounts so optimiert, dass ein guter Datenschutz gewhrleistet ist.

Aufzeichnung von Videomeeting

Aufzeichnungen durch das Programm selbst knnen nicht ohne eine Information an die Teilnehmer*innen gestartet werden. Sobald ein/e Teilnehmer*in oder der Gastgeber des Meetings eine Aufzeichnung startet, werden die Teilnehmer*innen benachrichtigt und haben die Mglichkeit, das Meeting zu verlassen.

Wir bekommen hufig die Anfrage, ob unsere Webinare oder Vortrge aufgezeichnet und zur Verfgung gestellt werden knnen. Wir haben uns als IG Metall Region Hamburg dazu entschieden, grundstzlich keine Videokonferenzen aufzuzeichnen, weil das aus Datenschutzgrnden immer problematisch ist. Daher knnt ihr davon ausgehen, dass bei keiner der Videokonferenzen, die wir als IG Metall Region Hamburg organisieren, Aufzeichnungen stattfinden.

Zoom-Bombing

Als sogenanntes ?Zoom-Bombing? werden digitale ?Streiche? bezeichnet, in denen sich Unbefugte in eine Videokonferenz einwhlen, um dieses Meeting zu stren. Dabei handelt es sich nicht um ein Sicherheitsproblem des Konferenzdienstes, sondern ist eine Frage der Bereitstellung der Zugangsdaten und der Grundeinstellungen der jeweiligen Meetings.

Die Zugangsdaten fr Videokonferenzen der IG Metall Region Hamburg sind weder ber unsere Internetseite noch ber Facebook oder andere Social-Media-Kanle frei zugnglich. Fr die meisten Meetings msst ihr euch bei uns in der Geschftsstelle anmelden oder erhaltet von uns eine persnliche E-Mail mit der Einladung und den Zugangsdaten.

Wir arbeiten zustzlich mit einem sogenannten Warteraum, sodass jede/r Teilnehmer*in von der/vom Moderator*in freigeschaltet werden muss, bevor sie/er Eintritt zum eigentlichen Meeting bekommt. Gleichzeitig knnen hierdurch auch unberechtigte Teilnehmer*innen durch die/den Moderator*in aus der Videokonferenzen wieder ausgeschlossen werden.

Speicherung und Weitergabe von Daten

Im Zusammenhang mit der Datenspeicherung und -weitergabe gab es verschiedene Vorwrfe an Zoom. Darunter das Auftauchen von Benutzerdaten im Darknet, das sogenannte ?Eye-Tracking?, eine Weitergabe von Daten an Facebook und die Speicherung von personenbezogenen Daten durch Zoom.

Zugangsdaten fr Zoom wurden in Foren des Darknet gehandelt. Es ist offen, ob es sich um eine Sicherheitslcke bei Zoom handelt. Vieles spricht dafr, dass hier unsichere Passwrter durch das automatisierte Durchprobieren von Login-Daten geknackt wurden. Bei den Daten handelt es sich um ltere Daten. Aber dennoch sollte man sicherheitshalber sein Passwort bei Zoom ndern und natrlich keine unsicheren Passwrter wie ?12345678? verwenden. Das gilt aber nur fr diejenigen, die einen eigen Account bei Zoom nutzen. Wenn ihr an einer Videokonferenz der IG Metall teilnimmt, ist dafr kein Account und auch keine nderung eines Passwortes erforderlich.

Das sogenannte ?Eye-Tracking? oder auch ?Aufmerksamkeitstracking? war bei Zoom Meetings bisher mglich. Damit konnte nachvollzogen werden, ob die Teilnehmer*innen eines Meetings ihren Blick auf den Bildschirm richteten oder nicht. Es handelt sich hierbei um eine Funktion, die von einem Zoom-Administrator aktiv eingeschaltet werden musste. Bei Videokonferenzen der IG Metall war das Tracking von Anfang an immer ausgestellt. Mittlerweile wurde diese Funktion aber auch von Zoom entfernt, sodass Eye-Tracking gar nicht mehr mglich ist.

Eine Weitergabe von Daten an Facebook hat bis vor kurzen tatschlich stattgefunden. Allerdings geschah dies lediglich ber die Zoom-App auf IOS bzw. Apple-Gerten, nicht ber die Website oder andere Zugnge. Dabei handelte es sich auch nur um anonymisierte und nicht-personenbezogenen Daten. Dies wurde mit einem der letzten Softwareupdates beendet und findet nicht mehr statt.

Ein weiterer Vorwurf ist, dass Zoom personenbezogene Daten erhebt und zu Werbezwecke verwendet. Zoom erhebt zwar Benutzerdaten, aber es handelt sind dabei nicht um personenbezogene, sondern um anonymisierte technische Daten, wie Zeitzone, die Gerteart (Smartphone oder Computer), Betriebssystem (z.B. Windows-Version), Provider, Bildschirmgre, Prozessorgeschwindigkeit, Gre der Festplatten, IP-Adresse (anonymisiert), MAC-Adresse, Kameratyp, Mikrofon oder Lautsprecher. Diese Daten werden nicht zu Werbezwecken verwendet, sondern zur Optimierung der Anwendungen, was bei der Vielzahl unterschiedlicher Gerte der Nutzer auch erforderlich ist. Das ist eine Herangehensweise, die im Internet blich und aus Datenschutzgesichtspunkten auch unproblematisch ist.

Die Datenschutzvereinbarung von Zoom hat zum Teil fr Verunsicherung gesorgt. Sie weist einige Unklarheiten und Ungenauigkeiten auf. Auch standen die Server bisher ausschlielich in den USA. Die IG Metall hat fr die Accounts der IG Metall-Beschftigten eine eigene Datennutzungsvereinbarung mit Zoom getroffen, die weitreichender ist als die allgemeine Datenschutzvereinbarung. Damit fallen alle Meetings, die von der IG Metall erstellt werden, unter diese erweiterte Datenschutzvereinbarung. Die Serverstandorte sind mittlerweile auf Europa erweitert worden, wodurch die Zustndigkeit der europischen Datenschutzgrundverordnung eindeutig geklrt ist.

Nutzungsverbote von Zoom

Generell besteht bei Webmeeting-Anwendungen wie Zoom, Web-ex, Skype, etc. das Problem, dass diese in die IT-Infrastruktur von Organisationen und Unternehmen eingreifen. Das ist kein Zoom-typisches Problem. Einige Unternehmen haben aber aufgrund der Berichte ber Sicherheitslcken bei Zoom deren Nutzung eingeschrnkt oder gar untersagt. Es ist unbedingt zu prfen, was dabei untersagt wird und wie weit die Nutzungseinschrnkung geht. Die meisten Unternehmen verbieten den Download des Zoom-Programms bzw. der Zoom-App. Die browserbasierte Nutzung wird dabei meist nicht eingeschrnkt.

Wenn ihr von uns zu einer Videokonferenz ber Zoom einladen werdet, dann msst ihr euch weder eine App noch ein Programm installieren, sondern knnt ber den zur Verfgung gestellten Link ber euren Browser (z.B. Firefox, Internetexplorer, etc.) oder ber Telefon an dem Meeting teilnehmen. Auerdem nutzen wir als IG Metall die Business-Lizenz von Zoom, bei der die Verbindung verschlsselt wird.

Wenn bei euch im Unternehmen die Nutzung von Zoom auf den dienstlichen Gerten vollstndig ? also auch die browserbasierte Nutzung ? verboten ist, dann ist die einzige Alternative, ein privates Endgert zu nutzen oder euch per Telefon einzuwhlen.

Fazit

Zoom hat nach Bekanntwerden der Sicherheitslcken und Datenschutzprobleme schnell reagiert und bei allen wesentlichen Kritikpunkten nachgesteuert. Die Nutzung von Zoom ist mit einer aktualisierten Version und ber den Browser aus datenschutzrechtlicher Sicht unbedenklich und steht nach neuesten Prfungen in Sachen Datensicherheit anderen Anwendungen in nichts nach. Gleichzeitig haben wir als IG Metall eine eigene weitreichendere Datenschutzvereinbarung mit Zoom abgeschlossen und die Einstellungen unserer Accounts so verbessert, dass bekannte Probleme wie ?Zoom-Bombing? vermieden werden.

Wenn bei euch im Betrieb die Nutzung von Zoom eingeschrnkt ist, solltet ihr mit eurem IT-Service das Gesprch suchen, um zu klren, wie weitreichend die Einschrnkung ist. Bei einem vlligen Nutzungsverbot knntet ihr noch auf private Endgerte zurckgreifen oder euch per Telefon einwhlen.

:: IG Metall-Infoblatt zu Zoom-Meeting und Datenschutz (PDF | 96 KiB)