.st0{fill:#FFFFFF;}

Datenschutzfolgenabschätzung: Zoom

Wichtige Datenschutz-Themen von Profis aufbereitet

Datenschutzfolgenabschätzung: Zoom

Als Ergebnis einer intensiven Zusammenarbeit mit dem niederländischen ICT-Dienstleister für Bildungs- und Forschungswesen „SURF“ hat Zoom datenschutzrechtliche Anpassungen in seinen Diensten vorgenommen und weitere Änderungen im Hinblick auf den Datenschutz angekündigt. Nachdem bereits im Mai 2021 eine erste Datenschutzfolgenabschätzung durchgeführt wurde, die negativ ausfiel, hat Zoom nach intensiver Zusammenarbeit mit SURF Anpassungen im Datenschutz vorgenommen. Im Rahmen seiner aktuellen Datenschutzfolgenabschätzung kommt SURF zu dem positiven Ergebnis, dass eine Nutzung von Zoom bedenkenlos möglich ist.


Das Wichtigste in Kürze

  • Eine von SURF durchgeführte Datenschutzfolgenabschätzung zur Software Zoom hat ergeben, dass keine hohen Datenschutzrisiken beim Einsatz der Software bestehen.
  • Anlässlich der Zusammenarbeit mit SURF hat Zoom Anpassungen im Datenschutz vorgenommen und weitere Anpassungen bis Ende 2022 angekündigt.
  • Der Softwaredienstleister hat sich dazu verpflichtet, bis Ende 2022 die Verarbeitung fast aller personenbezogenen Daten von EU-Bürgern innerhalb des Europäischen Wirtschaftsraumes zu ermöglichen.
  • Nach Durchführung einer Datentransferfolgenabschätzung (Data Transfer Impact Assessment) kommt Zoom zu dem Ergebnis, dass angemessene Datenschutzgarantien für Datenübermittlungen in die USA bestehen.

    1. Anpassungen zugunsten des Datenschutzes

    Die ersten Datenschutzrisiken, die bereits in der ersten Datenschutzfolgenabschätzung im Mai 2021 ermittelt wurden, hat Zoom recht zügig durch Änderungen in der Software, Abschlüsse von Auftragsverarbeitungsverträgen und eine Verpflichtung, künftig weitere Anpassungen vorzunehmen, beseitigt. Diesen Fortschritt bestätigt die nun veröffentlichte Datenschutzfolgenabschätzung von SURF.


    2. Neue Datenschutzfunktionen

    Im Rahmen ihrer Zusammenarbeit haben SURF und ZOOM sich auf verschiedene Maßnahmen zur Entwicklung neuer Funktionen zur Förderung des Datenschutzes geeinigt.


    3. Datenverarbeitung innerhalb der EU

    Aufgrund von Bedenken, die Zoom-Kunden aus der EU hinsichtlich der Verarbeitung ihrer personenbezogenen Daten in den USA in der Vergangenheit mehrfach geäußert haben, hat sich Zoom dazu verpflichtet, bis Ende 2022 die Verarbeitung fast aller personenbezogenen Daten von EU-Bürgern innerhalb des Europäischen Wirtschaftsraumes zu ermöglichen.

     

    4. Supportdienst innerhalb der EU und Mitarbeiterschulungen

    Darüber hinaus hat der Dienstleister angekündigt, bis Mitte 2022 einen separaten Supportdienst innerhalb der EU für EU-Nutzerkonten einzurichten. Zudem soll Unterstützung durch Supportdienste, die nicht innerhalb der EU sitzen, nur dann möglich sein, wenn Kunden dafür zuvor ihre Einwilligung erteilt haben.

    Überdies will Zoom neue Schulungen für seine Mitarbeiter durchführen, um sicherzustellen, dass EU-Kunden stets unter Berücksichtigung des Datenschutzes unterstützt werden.


    5. Data Subject Access Request

    Unter Data Subject Access Request (DSAR) ist der Antrag einer betroffenen Person auf Einsicht in die über sie gespeicherten Daten bei dem verantwortlichen Unternehmen zu verstehen. Zoom hat angekündigt, durch entsprechende Selbstbedienungstools für Administratoren von Unternehmens- und Bildungskonten die Möglichkeiten für die Bearbeitung solcher Anträge zu verbessern.


    6. Verbesserung der Transparenz und Dokumentation

    Zoom hat zur Förderung der Transparenz eine Dokumentation über die Verarbeitung personenbezogener Daten veröffentlicht, die regelmäßig aktualisiert werden soll. Für die personenbezogenen Daten, die in Drittländer übermittelt werden, hat Zoom eine sog. Folgenabschätzung für den Datentransfer (Data Transfer Impact Assessment) durchgeführt. Diese hat ergeben, dass angemessene Datenschutzgarantien für Datenübermittlungen, die über die Grenzen des EWR hinausgehen, bestehen.


    7. Zoom als Auftragsverarbeiter

    Im Rahmen der Zusammenarbeit mit SURF hat Zoom klargestellt, dass die Unternehmen, Organisation oder Bildungseinrichtungen grundsätzlich selbst für die Verarbeitung personenbezogener Daten im Sinne der DSGVO verantwortlich sind. Zoom handelt bei der Verarbeitung personenbezogener Daten lediglich als Auftragsverarbeiter, sofern der Dienstleister durch die Kunden nicht explizit ermächtigt wird, bestimmte personenbezogene Daten als Verantwortlicher weiterzuverarbeiten. Als Verantwortlicher im Sinne der DSGVO handelt Zoom auch dann, wenn personenbezogene Daten verarbeitet werden, die der Dienstleister über seine öffentlich zugängliche Internetseite sammelt.


    8. Aufbewahrung personenbezogener Daten

    Überdies soll das Softwareunternehmen seine Praxis zur Aufbewahrung personenbezogener Daten seiner Kunden verbessert haben. In den Datenschutzbedingungen von Zoom wurde bisher die Löschung der verarbeiteten personenbezogenen Daten nach Vertragsende in einem größeren Umfang ausgeschlossen, als dies nach der Datenschutzgrundverordnung möglich ist, sodass die Änderung dieser Praxis aus datenschutzrechtlicher Sicht begrüßenswert ist.


    9. Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

    Der Softwarehersteller hat weiterhin angekündigt, sein Produkt zukünftig unter Beachtung der Grundsätze „Privacy by Design“ und „Privacy by Default“ (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen) nach Art. 25 DSGVO weiterzuentwickeln.


    10. Zusätzliche Maßnahmen des Datenschutzes

    Trotz der vorgenommenen und angekündigten Änderungen des Datenschutzes rät der Videokonferenzdienstleister den Unternehmen und Organisationen, selbst mehrere empfohlene Maßnahmen zugunsten des Datenschutzes zu ergreifen und neue Auftragsverarbeitungsverträge mit Zoom abzuschließen. Werden die zusätzlichen empfohlenen Maßnahmen ergriffen, steht einer hochvertraulichen Kommunikation via Zoom laut SURF nichts mehr entgegen, da keine als hoch eingestuften Risiken für die Privatsphäre der Nutzer mehr bestehen.


    11. Fazit

    Im Zusammenhang mit der Nutzung der Dienste von Zoom ergeben sich zahlreiche datenschutzrechtliche Fragen. Allerdings macht die neue Datenschutzfolgenabschätzung von SURF deutlich, dass einem DSGVO-konformen Einsatz von Zoom unter zusätzlicher Beachtung bestimmter datenschutzrechtlicher Maßnahmen nichts im Wege steht.

    Datenschutzschulungen für Ihre Mitarbeiter?


    Praxisnahe Online Schulungen für Datenschutz und Cybersecurity. DSGVO konform und zertifiziert.