Ein datenschutzkonformer Einsatz der Videoplattform Zoom kann möglich sein

In unserem letzten Newsletter vom Dezember 2020 haben wir eine kurze Bestandsaufnahme zu Videokonferenzsystemen veröffentlicht. Dieser Beitrag soll das weitverbreitete und beliebte Videokonferenzsystem Zoom aus den USA aus datenschutzgesichtspunkten ein wenig näher vorstellen.

Datenschutz und USA in einem Satz lassen meist nichts Gutes erahnen. Nach der Schrems II-Entscheidung des Europäischen Gerichtshof und dem Wegfall des EU-US Privacy-Shields stellt der Datentransfer von personenbezogenen Daten aus Europa in die USA eine besondere Herausforderung mit hohen Hürden dar. Der Grund dafür ist, dass in den USA kein angemessenes Datenschutzniveau vorhanden ist und Unionsbürgern kein wirksamer Rechtsbehelf, beispielsweise gegen die Überwachung von Geheimdiensten oder den Zugriff durch staatliche Behörden in den USA, zur Verfügung steht.

Datentransfer von personenbezogenen Daten

Für einen Datentransfer von personenbezogenen Daten in sog. Drittländer außerhalb der EU, wozu auch die USA zählen, bedarf es nun mehr besonderer vertraglicher Voraussetzungen, bspw. durch den Abschluss von Standardvertragsklauseln sowie durch die Hinzuziehung oder Garantie zusätzlicher Sicherheiten und Schutzmechanismen. Die Standardvertragsklauseln allein scheiden im Hinblick auf die USA jedoch aus, da diese aufgrund der landesspezifischen Umstände kein ausreichendes Datenschutzniveau bieten können.

Mit dem ersten Lockdown im Jahr 2020 wurde eine Vielzahl an Videokonferenzsystemen populär. Das Videokonferenzsystem Zoom insbesondere deswegen, weil es zum einen einfach zu bedienen ist und weil es im Gegensatz zu anderen Systemen stabil und ohne Ausfälle genutzt werden konnte. Der Datenschutz sowie die allgemeinen Geschäftsbedingungen waren zu diesem Zeitpunkt jedoch ein großes Problem, die einen datenschutzkonformen Einsatz nicht möglich machten.

Einführung einer E2EE-Verschlüsselung

Seitdem hat Zoom jedoch permanent an Verbesserungen gearbeitet, um den Problemen abzuhelfen. Ein wesentlicher Punkt hierbei stellt die Einführung einer Ende-zu-Ende-Verschlüsselung (E2EE) dar. Ab der Zoom Version 5.4.0 für Desktop Clients sowie der Version 5.2.2 für Zoom Room Meeting (Konferenzräume) steht diese zusätzliche technische Maßnahme zur Verfügung und kann im Zoom Webportal in den Kontoeinstellungen für Benutzer und durch Administratoren für Gruppen aktiviert werden.

Die Ende-zu-Ende-Verschlüsselung stellt hierbei eine starke zusätzliche Sicherheit und Schutzmechanismus dar, die einen Einsatz mit der Hinzuziehung von Standardvertragsklauseln möglichen machen können. Basierend auf der Orientierungshilfe zum Datenschutz bei Videokonferenzsystemen der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) vom 23. Oktober 2020 hat Zoom, wie bereits erwähnt, weitere Verbesserungen vorgenommen und unter anderem auch eine Datenschutz-Checkliste veröffentlicht, um weitere Transparenz sicherzustellen und Hilfestellungen zur Verfügung zu stellen.

Fazit zum Einsatz und Nutzung von Zoom

Unter Berücksichtigung der formalen Voraussetzungen, wie dem Abschluss der Standardvertragsklauseln, den datenschutzrechtlichen Informationspflichten sowie ggf. die Einholung von Einwilligungen kann der Einsatz von Zoom möglich sein. Der Einsatz und die Nutzung sollten jedoch individuell, je nach Zweck und Umfang, betrachtet und bewertet werden. Das Team von MKM Datenschutz steht Ihnen hierzu gern zur Verfügung.

Autor: Robert Postler (LL.M.) – Senior Data Privacy Consultant