„Zoom“ und die Corona-Krise: Bild an, Datenschutz aus

Berlin taz | Es gehört zu den Gewinnern der Corona-Krise: das Unternehmen hinter der Video-Software Zoom. Zahlreiche Firmen haben in den vergangenen Wochen auf Homeoffice umgestellt und wollen nun ihre Konferenzen per Videoschalte organisieren. Fitnessstudios bieten Kurse via Videostreaming an und Lehrer:innen setzen auf Unterricht im virtuellen Klassenzimmer.

Eines der dabei am häufigsten genutzten Tools: Zoom. Bereits Anfang März meldete das US-Unternehmen bei der Vorlage seiner Quartalszahlen einen „Aufwärtstrend“, wie Finanzchefin Kelly Stecklberg formulierte. Und was Europa und die USA angeht, stand zu diesem Zeitpunkt die größte Welle der Verlegung ins Homeoffice noch bevor.

Der Erfolg von Zoom hat mehrere Gründe: Zunächst ist da das bei Software beliebte „Freemium“-Modell. Eine kostenlose Basisversion macht Nutzer:innen mit dem Produkt vertraut, so dass der Schritt hin zu einer kostenpflichtigen Premiumversion, die für viele Anwendungen notwendig ist, nicht schwer fällt.

Ein weiterer Faktor: die Bedienung so einfach wie möglich gestalten, aber lustige Extras einbauen. Das haben Dienste wie Whatsapp oder Instagram vorgemacht. Auch eine Art abgeschwächter Netzwerkeffekt düfte zum Erfolg beitragen, also das Prinzip Wo alle hingehen, gehen alle hin: Wer Zoom schon kennt, weil beispielsweise das Fitnesstudio oder die Schule der Kinder das Tool nutzt, wird weniger Berühungsängste damit haben – und hat die Software sowieso schon installiert.

Zoom-Bombing erst nach Protesten erschwert

Doch bei aller Nutzerfreundlichkeit ist eines weniger im Sinne der Anwender:innen: der Umgang mit persönlichen Daten. So machte Zoom in den vergangenen Tagen unter anderem damit Schlagzeilen, dass die US-Staatsanwaltschaft Ermittlungen aufgenommen hat. Die Behörde forderte laut Berichten der New York Times bei dem Unternehmen Auskunft zu Maßnahmen für den Schutz von Nutzer-Daten und Privatsphäre ein. Zuvor war bekannt geworden, dass Zoom Nutzungsdaten an Facebook übermittelte. Das Unternehmen schaltete die Weitergabe schließlich ab.

Es häuften sich zudem Fälle von „Zoom-Bombing“, bei dem Dritte eine Videokonferenz kapern können – auch das hat das Unternehmen nach massiver Kritik erschwert. Bereits im vergangenen Jahr sah sich Apple genötigt, mit einem Update des Betriebssystems seine Nutzer:innen vor Zoom zu schützen. Denn die hartnäckige App war auch nach dem Löschen durch die Nutzer:innen weiter aktiv.

Was sind schon Regeln?

Die Firma setze sich „über sämtliche Regeln der Datensicherheit und des Datenschutzes hinweg“, kritisiert Thilo Weichert, ehemaliger Datenschutzbeauftragter von Schleswig-Holstein und Gründer des Netzwerks Datenschutzexpertise. „Aus meiner Sicht darf niemand andere dazu veranlassen, Zoom zu nutzen.“ Das gelte insbesondere für Behörden, Schulen, Arbeitgeber, politische Parteien, Veranstalter und Gesundheitsdienstleister. Privat, also etwa innerhalb der Familie, darf zwar jede:r Zoom nutzen wie er:sie möchte. Doch auch für Privatanwender:innen gilt: Die eigenen Daten landen in den USA. Und von Ende zu Ende verschlüsselt sind die Videoanrufe auch nicht, wie das Unternehmen vor wenigen Tagen einräumte – genau das hatte es eigentlich versprochen.

Florian Deusch, Fachanwalt für IT-Recht, hat Zweifel, dass die Software in deutschen Unternehmen legal, sprich im Einklang mit der Datenschutz-Grundverordnung, eingesetzt werden kann. Ein Beispiel von mehreren: Zoom schließt aus, dass es Vor-Ort-Kontrollen gibt, um die Einhaltung der Datenschutzvorschriften zu überprüfen. Das geht aus den Vertragsbedingungen des öffentlich einsehbaren Auftragsverarbeitungsvertrags hervor, den Zoom mit Unternehmen schließt, die die Software nutzen. Solche Kontrollen müssen aber laut der EU-Datenschutzgrundverordnung möglich sein, wenn ein Unternehmen im Auftrag eines anderen persönliche Daten verarbeitet. Und das ist hier der Fall. „Wenn Zoom Vor-Ort-Kontrollen ausschließt, ist das datenschutzrechtlich schon ein dicker Hund“, sagt Deusch.

Auch Zooms Umgang mit Sicherheitslücken ist für Tobias Eggendorfer, Professor für IT-Sicherheit an der Hochschule Weingarten, ein Warnsignal: Auf den Hinweis auf Sicherheitslücken habe es nicht reagiert. „Das zeigt, dass das Unternehmen IT-Sicherheit erst noch kennenlernen muss.“ Eggendorfer vermutet, dass es sich nicht um einzelne Nachlässigkeiten handelt, sondern um ein grundsätzliches Problem in der Unternehmenskultur. Mängel im Datenschutz und bei der IT-Sicherheit können nicht nur dann zum Problem werden, wenn es um persönliche Daten geht. Sondern beispielsweise auch bei Betriebsgeheimnissen, die per Videokonferenz besprochen werden.

Druck wirkt

Zoom selbst ließ eine Anfrage der taz unbeantwortet. Doch dass derartige Probleme schlecht fürs Geschäft sein können, scheint das Unternehmen in den vergangenen Tagen gemerkt zu haben. Es beseitigte mehrere Sicherheitslücken und eine besonders umstrittene Funktion: Dass nämlich der:die Einladende einer Videokonferenz überprüfen kann, ob die Teilnehmenden das Fenster auf ihrem Gerät auch im Vordergrund haben – oder parallel an etwas anderem arbeiten.

Daternschützer:innen raten dennoch zu Alternativen. Am einfachsten dürfte das für Unternehmen sein, die eine eigene IT-Abteilung haben. Sie können Tools nutzen, bei denen ein eigener Server aufgesetzt werden muss, etwa die Open-Source-Software Jitsi. Für den Bildungsbereich sammelt Eggendorfer gerade erste Erfahrungen mit BigBlueButton – und äußert sich positiv. Ohne dass ein eigener Server aufgesetzt werden muss und von der Bedienung recht ähnlich wie Zoom funktioniert Blizz. Dahinter steckt ein Unternehmen aus Deutschland, datenschutzmäßig ist es schon damit etwas besser als Zoom – wenn auch nicht in allen Punkten perfekt.

Für kleine Firmen oder Gruppen empfiehlt Eggendorfer die Open-Source-Software Wire. Die Whatsapp-Alternative bietet in der kostenpflichtigen Version auch Video-Telefonate mit mehreren Teilnehmenden und Ende-zu-Ende-Verschlüsselung. Und wer einfach nur privat ein Video-Telefonat mit der Fernbeziehung organisieren will, kann das beispielsweise mit der Messaging-App Signal tun. Die hatte auch Edward Snowden schon empfohlen.