Datenschutz und Sicherheit bei Zoom

Die Otto-von-Guericke-Universität Magdeburg (OVGU) hat sich in der aktuellen Corona-Situation für einen – zunächst befristeten – Einsatz von Zoom in Lehre, Forschung und Verwaltung entschieden. Die Entscheidung, Zoom zu nutzen, ist vom Rektorat gemeinsam mit den Fakultäten getroffen worden, da Zoom sich als sehr leistungsfähiges Videokonferenzsystem erwiesen hat. Der Einsatz von Zoom wurde vor der Anschaffung datenschutzrechtlich bewertet. Die Datenverarbeitung erfolgt im Einklang mit und auf Basis der Datenschutz-Grundverordnung (DSGVO) und der sonstigen anwendbaren Datenschutzbestimmungen.

In der Medienberichterstattung zu Zoom wurde in den vergangenen Wochen verschiedentlich auf Sicherheitslücken verwiesen, die jedoch nicht unmittelbar Gegenstand des Vertrages der OVGU mit Zoom sind. Ein Teil der Sicherheitslücken lässt sich mit Hilfe entsprechender Einstellungen vermeiden. Zoom hat darüber hinaus auf Kritik reagiert, technische Fehler behoben, einzelne Aussagen korrigiert und die Datenschutzrichtlinien angepasst. Vor diesem Hintergrund ist ein Einsatz aus Sicht der OVGU weiterhin vertretbar. Auch diesen Aspekt wird die OVGU regelmäßig überprüfen. Die Universität hat sich mit der Entscheidung für den befristeten Einsatz von Zoom nicht dauerhaft festgelegt.

Für besonders vertrauliche Nutzungsanlässe steht auch weiterhin der DFNconf-Dienst zur Verfügung, über den Angehörige der Universität ebenfalls kostenfrei und ohne zusätzliche Registrierung Videokonferenzen durchführen können. Durch den plötzlichen starken Anstieg der Nutzung in Folge der Corona-Pandemie ist das System derzeit allerdings nicht uneingeschränkt verfügbar.

Neben Zoom stehen zudem weitere Tools für die Durchführung digitaler Lehr-/Lernformate (https://onlinelehre.ovgu.de) und für das Arbeiten im Homeoffice (https://urz.ovgu.de/heimarbeit) zur Verfügung.

Generell gilt, dass Beschäftigte der OVGU für Ihre dienstlichen Aufgaben nur solche Tools nutzen sollten, die seitens der Hochschule zentral beschafft und betrieben werden. 

1. Nutzung von Zoom in der Verwaltung, Lehre und Forschung

Zoom wird in Verwaltung, Lehre und Forschung verwendet, um Videokonferenzen und -besprechungen, interaktive Online-Kurse und Webinare durchzuführen und den Lehr- und Forschungsbetrieb zu unterstützen. Die OVGU stellt für die Nutzung von Zoom Lizenzen (Funktionsumfang entspricht der Business-Lizenz) zur Verfügung.

Zoom kann für Gremiensitzungen verwendet werden. Für vertrauliche Abstimmungen soll andere Software genutzt werden (z.B. EvaSys).

Besonders vertraulich zu behandelnde Informationen dürfen nicht mittels Zoom ausgetauscht werden (z.B. sensible Beratungsgespräche, Personalaktendaten, Gesundheitsdaten, Disziplinarberatungen). Bitte beachten Sie, dass bei Nutzung von Zoom keine Ende-zu-Ende Verschlüsselung im eigentlichen Sinn stattfindet.

Zweck der Verarbeitung

Zweck der Datenverarbeitung ist die Nutzung von Zoom als Tool zur Zusammenarbeit im Rahmen der dienstlichen Tätigkeit an der OVGU zur Erfüllung der gesetzlichen Hochschulaufgaben.

Erfasst ist die Nutzung der lizenzierten Produkte und Services, die Bereitstellung von Updates, die Gewährleistung der Informationssicherheit sowie technischen und kundenbezogenen-Support.

Eine Datenverarbeitung zu anderen als zu den angegebenen bzw. gesetzlich zugelassenen Zwecken erfolgt nicht.

Eine Nutzung von Zoom zu privaten Zwecken im Rahmen der zur Verfügung gestellten OVGU-Lizenzen ist nicht zulässig.

Eine Verhaltens- und Leistungskontrolle auf Basis der Nutzung von Zoom findet nicht statt. Die OVGU erhebt auch keine statistischen Daten aus Zoom, die eine solche Kontrolle ermöglichen könnten. Die Nutzung von Zoom zur Erstellung von personenbezogenen Statistiken ist nicht zulässig.

Voraussetzungen für eine zulässige Nutzung

Das Mindestalter für die Nutzung von Zoom beträgt 16 Jahre.

Es sollten in der Regel keine Inhalte über Zoom ausgetauscht werden, die einen hohen Schutzbedarf haben oder streng vertraulich sind (siehe oben). Für den Austausch von schützenswerten Dateien zwischen Teilnehmenden sollten sichere Kanäle oder geschützte Fileserver genutzt werden.

2. Hinweise zum Datenschutz

Eine Zoom-Lizenz erhalten Sie durch die Anmeldung im Zoom-Portal der OVGU mit Ihrem OVGU-Account. Dieser wird auch für das e-Learning, die E-Mail-Adresse "@ovgu.de" und andere Zugänge verwendet.

Für den Einsatz des lizensierten Zoom-Dienstes ist die OVGU datenschutzrechtlich verantwortlich, soweit zu der Zoom-Kommunikation von einem Universitätsaccount (@ovgu.de) eingeladen wurde. Es ist unzulässig, ohne Zoom-Lizenz der OVGU von einer solchen E-Mail-Adresse zu einer Zoom-Kommunikation einzuladen.

Bei der Nutzung von Zoom werden personenbezogene Daten verarbeitet und gespeichert. Einige Daten sind für die Nutzbarkeit zwingend erforderlich, andere hängen von Ihrem Kommunikations- und Nutzungsverhalten ab. Diese Datenverarbeitung ist datenschutzrechtskonform und gewährleistet für die oben genannten Nutzungsanlässe ein angemessenes Sicherheitsniveau. Wir informieren Sie in diesem Dokument gemäß Artikel 13 DSGVO über diese Datenverarbeitung und geben im Folgenden einen Überblick zu Datenarten und Zwecken der Verarbeitung.

Zoom Video Communications, Inc. ist unter dem Privacy-Shield-Abkommen zertifiziert und bietet hierdurch eine Garantie, das europäische Datenschutzrecht einzuhalten (https://www.privacyshield.gov/participant?id=a2zt0000000TNkCAAW&status=Active).

Verarbeitung personenbezogener Daten

Für Ihr Benutzungsprofil müssen Sie beim initialen Aufruf der Software nur Ihren Namen, sowie Ihren OVGU-Account (@ovgu.de) angeben. Auf freiwilliger Basis können Sie weitere Informationen hinterlegen und diese selbst jederzeit editieren. 
Ihre personenbezogenen Daten werden verarbeitet, damit Ihnen eine Teilnahme an der Kommunikation mittels Zoom möglich ist, also die Verbindung aufgebaut und genutzt werden kann. Hierfür werden in der Regel Ihr Name und die dienstliche oder studentische E-Mail-Adresse an Zoom übermittelt.

Ob weitere Datenarten betroffen sind, hängt von Ihrem Nutzungsverhalten ab. Zoom benutzt diese Daten auch, um die Funktionsfähigkeit und Sicherheit des Dienstes aufrechtzuerhalten. Bei der hier beschriebenen Zoom-Kommunikation, die von einem Universitätsaccount verwaltet wird, nutzt der technische Dienstleister Zoom solche Daten nicht für seine eigenen Zwecke. 

Bei Nutzung von Zoom werden folgende Daten erfasst:

Angaben zur/m Benutzer*in: 

  • Vorname, Nachname
  • Dienstliche E-Mail-Adresse
  • Anmeldeinformationen aus dem Identitätsmanagementsystem der Universität
  • Passwort

Technische Informationen zur Nutzung, sog. Meeting-Metadaten: 

  • Thema, Beschreibung (optional), 
  • Teilnehmer-IP-Adressen, Geräte-/Hardware-Informationen (z.B. IP-Adresse,  Betriebssystemdaten Ihres Endgeräts)

Text-, Audio- und Videodaten: 

  • Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, werden für die Dauer der Meetings die Daten vom Mikrofon des Endgeräts sowie von einer etwaigen Videokamera des Endgeräts verarbeitet. Die Kamera und das Mikrofon können jederzeit selbst über die Zoom-Applikation abgeschaltet bzw. stummgeschaltet werden. 
  • Texteingaben im Chat werden verarbeitet, um diese im Online-Meeting anzuzeigen

Aufzeichnungen (optional):

  • MP4-Datei aller Video-, Audio- und Präsentationsaufnahmen, 
  • Textdatei des Online-Meeting-Chats

Registrierung und Teilnahme an Veranstaltungen:
Für die bloße Teilnahme an einer Veranstaltung ist in der Regel keine Registrierung notwendig, die Veranstaltung kann über einen vom/von der Moderator*in verschickten Link aufgerufen und vollumfänglich besucht werden. Bei rein passiver Teilnahme werden nur die genannten technischen Meeting-Metadaten verarbeitet. Moderator*innen können allerdings aus Sicherheitsgründen die Teilnahme an einer Veranstaltung auf registrierte Teilnehmer*innen beschränken.

Zur Verarbeitung von Cookies finden Sie weitere Hinweise unter https://zoom.us/cookie-policy.

Die Bereitstellung personenbezogener Daten und die Benutzung von Zoom ist für Beschäftigte der Universität im Rahmen des Beschäftigungsverhältnisses verpflichtend. Für Studierende, insbesondere Prüflinge, ist die Nutzung bei Lehrveranstaltungen ohne Anwesenheitspflicht und mündlichen Prüfungen derzeit freiwillig. Falls Studierende diese Form nicht wünschen, wird die Prüfung auf einen Zeitpunkt verlegt, an dem Präsenzveranstaltungen wieder möglich sind bzw. versucht, die Teilnahme an einer späteren Veranstaltung zu ermöglichen.

Aufzeichnung und Protokollierung der Kommunikation mit Zoom

In der Regel wird die Kommunikation mittels Zoom nicht aufgezeichnet. Eine Aufzeichnung darf nur mit dem ausdrücklichen Einverständnis der betroffenen Teilnehmenden erfolgen und nur soweit dies im Rahmen des geltenden Rechts und für dienstliche Zwecke bzw. für die konkrete Aufgabenerfüllung erforderlich ist. Hierunter fallen z.B. die Protokollierung von Ergebnissen bei Prüfungen oder Gremiensitzungen. Teilnehmer*innen werden darüber im Vorfeld des Meetings informiert und um ihre Einwilligung gebeten und können die Aufzeichnung zudem während des Meetings erkennen.

Sofern eine Aufzeichnung und Protokollierung erfolgt, werden Ihre Daten (Video-, Audiodaten, Fragen und Chatbeiträge) auf Servern von Zoom gespeichert und nach spätestens 30 Tagen gelöscht. Eine anschließende Speicherung auf Servern der Universität wird nach den allgemeinen Regeln entsprechend der fachlichen Aufbewahrungsdauer bestimmt.

Bei der Nutzung von Zoom ist darauf zu achten, dass smarte Geräte, wie z.B. Alexa, Siri, Google Home, sich nicht im Anwendungsbereich befinden oder aktiv sind, um unzulässige Datenverarbeitungen bzw. Aufnahmen zu verhindern. 

Zoom als Auftragsverarbeiter der OVGU

Zoom ist als Auftragsverarbeiter der OVGU tätig, d.h. Zoom ist durch einen Auftragsverarbeitungsvertrag verpflichtet, personenbezogene Daten nur für die Zwecke der Universität und nicht für eigene Geschäftszwecke zu nutzen. Diese Auftragsverarbeitung geht der teilweise weiter gefassten Privacy Policy von Zoom vor. Im Rahmen der Auftragsverarbeitung werden personenbezogene Daten auch an Server mit Standorten außerhalb der EU übermittelt. Diese Übermittlung ist zulässig, weil Zoom sich teilweise auf einen Angemessenheitsbeschluss der EU-Kommission stützen kann („Privacy Shield“) und im Übrigen mit der Universität sogenannte Standardvertragsklauseln abgeschlossen hat, die nach der DSGVO diese Drittlandübermittlung legitimieren.

3. Nutzungsvorgaben für Hosts/Moderator*innen

Generell wird empfohlen, den Zugang zu Zoom-Meetings zu kontrollieren. Soweit im Rahmen der Lehre urheberrechtlich geschützte Werke in dem zulässigen Maß verwendet werden, ist die wirksame Beschränkung des Nutzerkreises auf die Veranstaltungsteilnehmer*innen gesetzlich vorgeschrieben. Neben dem (systemweit aktivierten) Passwortschutz haben Sie die Möglichkeit: 

  • in den Meeting-Optionen eine Registrierung der Teilnehmer*innen vorzusehen,
  • einen Warteraum einzurichten (für Meetings mit wenigen Teilnehmer*innen), aus dem Sie die Teilnehmer*innen einzeln/manuell zum Meeting zulassen.
  • Wenn Sie als Host Aufzeichnungen von Meetings anfertigen möchten, holen Sie bitte das Einverständnis aller Teilnehmer*innen vor Beginn der Aufzeichnung mündlich ein (die Teilnehmer*innen müssen der Aufnahme zusätzlich in der Zoom-Anwendung zustimmen). Löschen Sie Aufzeichnungen zum frühestmöglichen Zeitpunkt aus der Zoom-Cloud, und stellen Sie Aufzeichnungen von Lehrveranstaltungen bevorzugt über Mediasite bereit.

Datenschutzkonforme Konfiguration der Zoom-Plattform

Im Sinne einer datenschutzkonformen Nutzung können folgende Einstellungen nicht von einzelnen Hosts geändert werden:

  • Kalender- und Kontakt-Integration [deaktiviert]
  • Beim Anberaumen neuer Meetings Kennwort verlangen [aktiviert]
  • Verschlüsselung für Endpunkte von Drittanbietern erforderlich (H323/SIP) [aktiviert]
  • Verhindern, dass Teilnehmer den Chat speichern [aktiviert]
  • Chats automatisch speichern [deaktiviert]
  • Fernsteuerung [deaktiviert]
  • Kamerafernsteuerung [deaktiviert]
  • Benachrichtigung, bevor eine Cloud-Aufzeichnung aus dem Papierkorb gelöscht wird [aktiviert]
  • Automatische Aufzeichnung [deaktiviert]
  • Nur der Host kann Cloud-Aufzeichnungen herunterladen [aktiviert]
  • Nur berechtigte Benutzer können Cloud-Aufzeichnungen einsehen [aktiviert]
  • Kennwort verlangen, mit dem man auf freigegebene Cloud-Aufzeichnungen zugreifen kann [aktiviert]
  • Cloud-Aufzeichnungen nach 120 Tagen automatisch löschen [aktiviert]
  • Aufnahmeeinverständnis [aktiviert]
  • Mehrere Audiobenachrichtigungen bei der Aufzeichnung des Meetings/dem Beenden der Aufzeichnung [aktiviert]
  • Fremde Meetings anzeigen [deaktiviert]
  • Durchgehende Chatverschlüsselung aktivieren [aktiviert]
  • Cloud-Speicherung für Chat-Inhalte (30 Tage) [aktiviert]
  • Chat-Daten vom Gerät löschen (30 Tage) [aktiviert]
  • Bearbeitete und gelöschte Nachrichtenüberarbeitungen speichern [deaktiviert]
  • Archivierung von Chat-Daten bei Drittanbietern [deaktiviert]
  • Unternehmenskontakte [deaktiviert]

4. Aktuelle Entwicklungen

Stellungnahmen von Zoom

Zoom kommentiert mittlerweile regelmäßig neue Problembereiche unter: https://blog.zoom.us

Aktivitätstracking

Es bestand die Möglichkeit, dass die Aufmerksamkeit der Meetingteilnehmer über ein Aktivitätstracking verfolgt werden konnte. Diese Option hat Zoom 01.04.2020 entfernt, so dass kein Tracking stattfinden kann.

Wie sogenanntes „Zoombombing“ unterbunden werden kann

Wer Videokonferenzen ohne weiteren Zutrittsschutz erstellt (z.B. ein Passwort) und die URL dann öffentlich verfügbar macht, setzt sich dem Risiko aus, das ungewollte Konferenzteilnehmer eintreten und unerwünschtes Verhalten zeigen. Diese Probleme sind dem Bereich Spam, Trolling oder ggf. auch Phishing zuzurechnen, bei dem laufende Kommunikation, die frei im Netz erreichbar ist, gestört wird. Jeder Gastgeber hat bei Erstellung einer Konferenz dafür Sorge zu tragen, dass die Einstellungen korrekt gesetzt sind. So muss jedes Meeting mit einem Passwort geschützt werden, es kann ggf. ein Warteraum eingerichtet werden, der Bildschirm sollte nur vom Host geteilt werden und ein Meeting sollte, wenn es vollständig ist auch geschlossen werden, so dass kein weiter Zugang möglich ist.

Einordnung der Meldung, dass rund 500.000 Logindaten (E-Mail-Adresse & Passwort) im Darknet käuflich zu erwerben sind

Hier hat es sich schnell herausgestellt, dass es sich dabei um Kombinationen von E-Mail-Adressen und Passwörtern aus alten Hacks anderer Anbieter (z.B. LinkedIn) handelt. Dies ist also kein originäres „Zoom“-Problem, sondern vielmehr noch einmal Anlass für die dringende Bitte an alle Internet-Nutzer, bitte nicht dieselben Passwörter für eine Anmeldung bei verschiedenen Internetdiensten zu verwenden.

Zoom Serverauswahl

Nach Kritik an der Weiterleitung von Daten über chinesische Server, können Nutzer mit einem bezahlten Konto die Regionen für den Datentransfer aussuchen. Voreingestellt ist die Region, in der das Konto bereitgestellt wurde.  Nun können Administratoren die Rechenzentrumsregionen für Konten festlegen. Dies bedeutet für die Mitglieder der OVGU, dass der Datentransfer über Server in Europa abgewickelt wird.