Videokonferenzen: Wieso, weshalb, waZoom?

Datenrecht
Verfasst von Paulina Mehner

Die Bedeutung von Videokonferenzen wächst in gleichem Maße, wie sich das Arbeiten in klassischen Bürojobs, in Schule und Hochschullehre etc. in das Home-Office verlagert. An die Stelle von Meetings, in denen man sich in Person und doch relativ „anonym“ gegenübersaß, ist in Zeiten der Krise die Videokonferenz getreten. Dabei holt man sich über die Kamera und das Mikrofon des eigenen Endgerätes die anderen TeilnehmerInnen in Ton und Bild zu sich ins Haus – und nicht nur die anderen KonferenzteilnehmerInnen, sondern auch deren Arbeits-, Wohnzimmer und Küchen nebst Wanddekorationen und im Hintergrund vorbeilaufender Katzen u. Ä.

Es gibt eine Vielzahl von Anbietern von Videokonferenz-Software – um nur einige zu nennen: Microsoft Teams, Cisco WebEx, Jitsi-Meet, NextCloud Talk. In der Realität nutzen weite Teile der in- und ausländischen Bevölkerung aber nicht diese, sondern den US-amerikanischen Dienst Zoom: Einfache Handhabung, störungsfreie Verbindung auch mit mehreren hundert TeilnehmerInnen, diverse Funktionen, kostenlose und Premium-Version – diese Eigenschaften finden sich derzeit kumuliert nur bei Zoom. Trotz oder wegen der enormen Nutzerzahlen seit Beginn der weltweiten Corona-Krise hat Zoom in der jüngsten Vergangenheit eine ganze Reihe negativer Schlagzeilen produziert: heimliche Datenübermittlung an Facebook, falsche Behauptungen über Ende-zu-Ende-Verschlüsselung und eine ganze Reihe praktisch relevanter Sicherheitslücken (z. B. wurde ein „Zoom-war-dialer“ entwickelt, d. h. ein Crawler, der durch automatisierte Abfragen ungeschützter Zoom-Konferenzen in einer Stunde ca. 100 Konferenzen entdeckt, an denen dann unbefugter Weise unbemerkt teilgenommen werden kann).

Wem nun die ruckelfreie Verbindung und das intuitive Handling wichtiger sind als diese Sicherheitsmängel, der kann die Software, so die vertretbare Meinung einiger JuristInnen, dennoch rechtmäßig nutzen. Geht es in dem Meeting nicht um besonders sensible Daten wie Gesundheitsdaten, Daten zur politischen Meinung oder zur sexuellen Orientierung, der kann vertretbarer Weise behaupten, dass das Schutzniveau auch beim Einsatz von Zoom nach wie vor angemessen ist. Denn Zoom hat zwischenzeitlich nachgebessert und bis jetzt (!) sind keine weiteren Sicherheitslücken bekannt geworden. Für einen rechtmäßigen Einsatz zu beachten sind nur die altbekannten Formalia:

  • Abschluss eines Auftragsverarbeitungsvertrages (nur in der Bezahl-Variante bietet Zoom einen solchen an),

  • Information der MeetingteilnehmerInnen über die Datenverarbeitung (z. B. per Link auf ein entsprechendes Dokument in der Einladungs-Mail,

  • ggf. Einholung von Einwilligungen in die Datenverarbeitung bei Aufzeichnungen von Meetings etc.

Außerdem kann man bei den Einstellungen noch einiges richtig bzw. falsch machen:

  • Die pseudonyme Teilnahme kann ermöglicht werden, indem die TeilnehmerInnen per Einladungslink teilnehmen und darauf hingewiesen werden, nicht gleichzeitig in ihrem ggf. bestehenden Zoom-Account eingeloggt zu sein – insbesondere nicht über Single-Sign-On,

  • Passwortschutz für das Meeting einrichten,

  • TeilnehmerInnen werden – wenn möglich – stumm und ohne Video geführt,

  • Aufzeichnungen werden nur lokal gespeichert, nicht in der Zoom-Cloud.

Wem die Sicherheit seiner Daten dagegen wichtig ist oder wer in seinen Meetings Informationen mit einem besonderen Schutzniveau prozessiert, der sollte besser auf Zoom verzichten. Denn obwohl im Moment seit einigen Tagen Ruhe ist, kann man fast sicher sein, dass in den kommenden Wochen und Monaten weitere Schwachstellen gefunden werden. Datenschutzfreundliche Alternativen sind alle lokal gehosteten Services wie Jitsi-Meet, NextCloud Talk etc.

Paulina Mehner
Zurück

Informationssicherheit und die „drei Seiten“ einer Organisation