5674593

„Zoom“ und die Corona-Krise: Bild an, Datenschutz aus

In der Pandemie sind Video-Konferenzen in Mode. Der führende Anbieter dieser Software kommt aus den USA – und bringt gleich einen Haufen Probleme mit

Kamerasymbol weiß auf blau auf einem angeschnittenen Smartphone vor dem Schriftzug "Zoom"

Einfache Zeichen, einfache Handhabung: Einer der Tricks von Zoom ist, dass es jedeR nutzen kann Foto: dpa

BERLIN taz | Es gehört zu den Gewinnern der Corona-Krise: das Unternehmen hinter der Video-Software Zoom. Zahlreiche Firmen haben in den vergangenen Wochen auf Homeoffice umgestellt und wollen nun ihre Konferenzen per Videoschalte organisieren. Fitnessstudios bieten Kurse via Videostreaming an und Lehrer:innen setzen auf Unterricht im virtuellen Klassenzimmer.

Eines der dabei am häufigsten genutzten Tools: Zoom. Bereits Anfang März meldete das US-Unternehmen bei der Vorlage seiner Quartalszahlen einen „Aufwärtstrend“, wie Finanzchefin Kelly Stecklberg formulierte. Und was Europa und die USA angeht, stand zu diesem Zeitpunkt die größte Welle der Verlegung ins Homeoffice noch bevor.

Der Erfolg von Zoom hat mehrere Gründe: Zunächst ist da das bei Software beliebte „Freemium“-Modell. Eine kostenlose Basisversion macht Nutzer:innen mit dem Produkt vertraut, so dass der Schritt hin zu einer kostenpflichtigen Premiumversion, die für viele Anwendungen notwendig ist, nicht schwer fällt.

Ein weiterer Faktor: die Bedienung so einfach wie möglich gestalten, aber lustige Extras einbauen. Das haben Dienste wie Whatsapp oder Instagram vorgemacht. Auch eine Art abgeschwächter Netzwerkeffekt düfte zum Erfolg beitragen, also das Prinzip Wo alle hingehen, gehen alle hin: Wer Zoom schon kennt, weil beispielsweise das Fitnesstudio oder die Schule der Kinder das Tool nutzt, wird weniger Berühungsängste damit haben – und hat die Software sowieso schon installiert.

Zoom-Bombing erst nach Protesten erschwert

Doch bei aller Nutzerfreundlichkeit ist eines weniger im Sinne der Anwender:innen: der Umgang mit persönlichen Daten. So machte Zoom in den vergangenen Tagen unter anderem damit Schlagzeilen, dass die US-Staatsanwaltschaft Ermittlungen aufgenommen hat. Die Behörde forderte laut Berichten der New York Times bei dem Unternehmen Auskunft zu Maßnahmen für den Schutz von Nutzer-Daten und Privatsphäre ein. Zuvor war bekannt geworden, dass Zoom Nutzungsdaten an Facebook übermittelte. Das Unternehmen schaltete die Weitergabe schließlich ab.

Es häuften sich zudem Fälle von „Zoom-Bombing“, bei dem Dritte eine Videokonferenz kapern können – auch das hat das Unternehmen nach massiver Kritik erschwert. Bereits im vergangenen Jahr sah sich Apple genötigt, mit einem Update des Betriebssystems seine Nutzer:innen vor Zoom zu schützen. Denn die hartnäckige App war auch nach dem Löschen durch die Nutzer:innen weiter aktiv.
Was sind schon Regeln?

Die Firma setze sich „über sämtliche Regeln der Datensicherheit und des Datenschutzes hinweg“, kritisiert Thilo Weichert, ehemaliger Datenschutzbeauftragter von Schleswig-Holstein und Gründer des Netzwerks Datenschutzexpertise. „Aus meiner Sicht darf niemand andere dazu veranlassen, Zoom zu nutzen.“ Das gelte insbesondere für Behörden, Schulen, Arbeitgeber, politische Parteien, Veranstalter und Gesundheitsdienstleister. Privat, also etwa innerhalb der Familie, darf zwar jede:r Zoom nutzen wie er:sie möchte. Doch auch für Privatanwender:innen gilt: Die eigenen Daten landen in den USA. Und von Ende zu Ende verschlüsselt sind die Videoanrufe auch nicht, wie das Unternehmen vor wenigen Tagen einräumte – genau das hatte es eigentlich versprochen.

Florian Deusch, Fachanwalt für IT-Recht, hat Zweifel, dass die Software in deutschen Unternehmen legal, sprich im Einklang mit der Datenschutz-Grundverordnung, eingesetzt werden kann. Ein Beispiel von mehreren: Zoom schließt aus, dass es Vor-Ort-Kontrollen gibt, um die Einhaltung der Datenschutzvorschriften zu überprüfen. Das geht aus den Vertragsbedingungen des öffentlich einsehbaren Auftragsverarbeitungsvertrags hervor, den Zoom mit Unternehmen schließt, die die Software nutzen. Solche Kontrollen müssen aber laut der EU-Datenschutzgrundverordnung möglich sein, wenn ein Unternehmen im Auftrag eines anderen persönliche Daten verarbeitet. Und das ist hier der Fall. „Wenn Zoom Vor-Ort-Kontrollen ausschließt, ist das datenschutzrechtlich schon ein dicker Hund“, sagt Deusch.

Experte Tobias Eggendorfer

„Das Unternehmen muss IT-Sicherheit erst noch lernen“

Auch Zooms Umgang mit Sicherheitslücken ist für Tobias Eggendorfer, Professor für IT-Sicherheit an der Hochschule Weingarten, ein Warnsignal: Auf den Hinweis auf Sicherheitslücken habe es nicht reagiert. „Das zeigt, dass das Unternehmen IT-Sicherheit erst noch kennenlernen muss.“ Eggendorfer vermutet, dass es sich nicht um einzelne Nachlässigkeiten handelt, sondern um ein grundsätzliches Problem in der Unternehmenskultur. Mängel im Datenschutz und bei der IT-Sicherheit können nicht nur dann zum Problem werden, wenn es um persönliche Daten geht. Sondern beispielsweise auch bei Betriebsgeheimnissen, die per Videokonferenz besprochen werden.

Druck wirkt

Zoom selbst ließ eine Anfrage der taz unbeantwortet. Doch dass derartige Probleme schlecht fürs Geschäft sein können, scheint das Unternehmen in den vergangenen Tagen gemerkt zu haben. Es beseitigte mehrere Sicherheitslücken und eine besonders umstrittene Funktion: Dass nämlich der:die Einladende einer Videokonferenz überprüfen kann, ob die Teilnehmenden das Fenster auf ihrem Gerät auch im Vordergrund haben – oder parallel an etwas anderem arbeiten.

Daternschützer:innen raten dennoch zu Alternativen. Am einfachsten dürfte das für Unternehmen sein, die eine eigene IT-Abteilung haben. Sie können Tools nutzen, bei denen ein eigener Server aufgesetzt werden muss, etwa die Open-Source-Software Jitsi. Für den Bildungsbereich sammelt Eggendorfer gerade erste Erfahrungen mit BigBlueButton – und äußert sich positiv. Ohne dass ein eigener Server aufgesetzt werden muss und von der Bedienung recht ähnlich wie Zoom funktioniert Blizz. Dahinter steckt ein Unternehmen aus Deutschland, datenschutzmäßig ist es schon damit etwas besser als Zoom – wenn auch nicht in allen Punkten perfekt.

Für kleine Firmen oder Gruppen empfiehlt Eggendorfer die Open-Source-Software Wire. Die Whatsapp-Alternative bietet in der kostenpflichtigen Version auch Video-Telefonate mit mehreren Teilnehmenden und Ende-zu-Ende-Verschlüsselung. Und wer einfach nur privat ein Video-Telefonat mit der Fernbeziehung organisieren will, kann das beispielsweise mit der Messaging-App Signal tun. Die hatte auch Edward Snowden schon empfohlen.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Corona in Grafiken

Die Coronapandemie geht um die Welt. Welche Regionen sind besonders betroffen? Wie ist die Lage in den Kliniken? Den Überblick mit Zahlen und Grafiken finden Sie hier.

▶ Alle Grafiken

Coronavirus

Alle Artikel zum Thema

Die Kommentarfunktion unter diesem Artikel ist geschlossen.

So können Sie kommentieren:

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.

Leser*innenkommentare

  • caos

    Danke für den Artikel.

    Wir werden wohl nun auch von unserem (öffentlichen) Arbeitgeber "gezwungen", dieses Programm zu nutzen und unsere Daten diesem Unternehmen und seinen zahlreichen Geschäftspartnern zur Verfügung zu stellen. Ich empfehle allen, die dieses Programm nutzen, einen Blick in deren Datenschutzrichtlinien. Schon wenn diese eingehalten würden, wäre es schlimm genug.

    Noch eine paar Anmerkung zu den erwähnten Alternativen: BigBlueBotton funktioniert nach unseren Tests auch mit relativ großen Gruppen (bspw. Seminaren). Für sehr große Gruppen (bspw. Vorlesungen) braucht man i.d.R. keine Konferenz, sondern eher ein Streamingtool. Jitsi lässt sich auch ohne eigenen Server per Browser oder App und auch privat nutzen. Eine Anleitung dazu gibt es hier: www.kuketz-blog.de...-browser-oder-app/ . Von Wire gibt es neben der Pro.Version für Firmen eine kostenlose Basisversion für private Zwecke. Damit sind ebenfalls Videokonferenzen möglich, aber auf 4 Teilnehmer*innen begrenzt.

  • Bolzkopf

    Ich kann nur alle Ners und Geeks auffordern eigene Server zu installieren und bereitzustellen. Das geht uf dem "kleinen Server im Keller" genauso wie auf' dem Webserver bei irgendeinem Hoster.

    Und dort dürfen dann Freunde und Bekannte selber die Konferenzen starten.

  • Sven Günther

    Verstehe die Aufregung nicht, die EU scheißt doch absichtlich auf den Datenschutz für ihre Bürger.

    2000 hat man das Safe-Harbor-Abkommen mit den USA geschlossen, umpersonenbezogene Daten in die USA übermitteln zu dürfen und so zu tun, als würden die europäische Datenschutzbestimmungen einhalten.

    Spätestens seit Snowden haben wir schwarz auf weiß, das tun sie nicht.

    Der EuGH hat 2015 Safe-Harbour für ungültig erklärt.

    Dann hat die EU 2016 einen neuen Deal mit den USA gemacht, genannt EU-US Privacy Shield.

    Bei dem praktisch genauso weitergemacht werden kann wie vorher, nur die USA haben uns zugesichert, sich artiger zu benehmen.

    Spätestens seit Trump 2017 per Resolution klargestellt hat, das Europäer keinen Schutz aus dem privacy act ziehen können, wissen wir, das auch das EU-US Privacy Shield eine Mogelpackung ist.

  • Franz H

    Das Problem ist, dass Zoom momentan die einzige Software ist, die mit sehr vielen Teilnehmern gleichzeitig funktioniert. Was sollen Universitäten denn machen, wenn sie nun schnell auf Online-Lehre umsteigen wollen und keine eigene Infrastruktur haben?

    • Elli Pirelli

      @Franz H Gleiches gilt für die Schulen. Wir haben keine Kamera installiert am PC und verwenden für die Schulmeetings unserer Kinder keine Klarnamen. Das ist für die Lehrer anstrengend, aber eine andere Lösung haben wir nicht.