Der Videokonferenz-Dienst Zoom bewegt sich. Im April hatte der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI), Dr. Stefan Brink, anlässlich eines Sicherheitsvorfalls an einer Freiburger Schule vor der Nutzung des Dienstes im Schulunterricht gewarnt. Hierauf reagierten erfreulicher Weise nicht nur Schulen, sondern auch Zoom.

In intensiven Gesprächen zwischen dem LfDI und Zoom wurden die schweren Sicherheitslücken, für welche Zoom in der Vergangenheit schon mehrfach in der Kritik stand, ebenso zum Thema wie das eingesetzte Tracking und Fragen der Nutzerfreundlichkeit. Im Verlauf der Gespräche zeigte Zoom deutlich den Willen zur Verbesserung seines Dienstes – und ließ dem auch Taten folgen:

Gegenüber dem LfDI konnte Zoom eine Änderung beim Umgang mit Datensicherheitsfragen glaubhaft machen und hat dies durch mehrere zwischenzeitlich durchgeführte Updates zur Version Zoom 5.0 belegt. Dazu zählen Verbesserungen bei nutzer- und datenschutzfreundlichen Voreinstellungen („Privacy by Default“). So ist seit dem letzten Update des Videokonferenzsystems die Einrichtung eines Warteraums ebenso voreingestellt wie die passwortgeschützte Einwahl. Hierdurch wird nutzerbedingten Datenschutzproblemen entgegengewirkt. Eine Verwendung der Daten von Nutzer*innen (inkl. der Benutzer-IDs ihrer Endgeräte) zu wirtschaftlichen Zwecken wird von Zoom jetzt ausdrücklich ausgeschlossen. Inwieweit Daten zu unternehmenseigenen Zwecken genutzt werden, ist aus Sicht des LfDI allerdings noch zu klären. Zudem wurde angekündigt, dass die Video-Kommunikation künftig – zumindest in der kostenpflichtigen Geschäftskunden-Version – Ende-zu-Ende verschlüsselt wird. Wichtig für die Erreichbarkeit von Zoom durch seine Nutzer*innen und für die Durchsetzung von Betroffenenrechten ist auch, dass Zoom als Unternehmen ohne Niederlassung in Europa einen „Vertreter in der EU“ benannt hat.

„Das ist ein guter Weg, den Zoom hier eingeschlagen hat“, konstatiert der LfDI Stefan Brink, „und diese Fortschritte nehmen wir als Datenschutz-Aufsichtsbehörde positiv zur Kenntnis.“ Daher besteht aus Sicht des LfDI kein Anlass mehr, seine an alle Schulen in Baden-Württemberg ausgesprochene Warnung länger aufrechtzuerhalten.

Schulen und andere Verantwortliche sind aber weiterhin für die von ihnen initiierte Verarbeitung personenbezogener Daten verantwortlich und gegenüber den betroffenen Personen rechenschaftspflichtig.

„Aus unserer Sicht haben nahezu alle Videokonferenzsysteme in Sachen Datenschutz noch nachzubessern“, so LfDI Brink weiter. Uneingeschränkt empfohlen werden kann bislang nur BigBlueButton, das in die vom Land bereit gestellte Lernmanagementsoftware Moodle integriert ist. „Hier bleiben alle Daten der Lehrer*innen und Schüler*innen unter Kontrolle von Landeseinrichtungen und werden nicht an Drittunternehmen oder Dienstleister außerhalb des Geltungsbereichs europäischen Datenschutzrechts übermittelt“, so Stefan Brink. Aus Sicht des LfDI ist es daher positiv zu bewerten, dass das Kultusministerium die Nutzungs- und Fortbildungsmöglichkeiten von BigBlueButton für Schulen in Baden-Württemberg ausbaut.

Entscheidend bleibt das Verantwortungsbewusstsein der Nutzer*innen: Wir müssen auch künftig genau hinsehen, welche Daten durch die Nutzung von Videokonferenzsystemen freigegeben werden. Das gilt besonders für Schulen, die eine hohe Verantwortung für die Auswahl und die Datenverarbeitungen der eingesetzten Systemanbieter tragen. Sie müssen insbesondere mit dem von ihnen gewählten Dienstleistern eine Auftragsverarbeitungsvereinbarung schließen, welche die betroffenen Schülerinnen und Schüler effektiv schützt. Schulen sollten insbesondere genau prüfen, ob eine Verarbeitung der Daten für eigene Zwecke des Dienstleisters vorgesehen ist oder wie bspw. mit der Datenlöschung umgegangen wird. Für die Übertragung des Videobilds und des -tons der Schülerinnen und Schüler aus dem häuslichen Umfeld ist sowohl eine Einwilligung des Schülers / der Schülerin als auch der Eltern erforderlich.

Bei Rückfragen erreichen Sie uns unter der Telefonnummer 0711/615 541-23.

Weitere Hinweise können Sie unseren Empfehlungen zu datenschutzfreundlichen Möglichkeiten der Kommunikation entnehmen, abrufbar unter https://www.baden-wuerttemberg.datenschutz.de/datenschutzfreundliche-technische-moeglichkeiten-der-kommunikation/

Weitere Informationen zum Datenschutz finden Sie im Internet unter www.baden-wuerttemberg.datenschutz.de oder unter www.datenschutz.de.

Diese Pressemitteilung als PDF-Dokument aufrufen.