Stand: 8. August 2024
Zoom und die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union
Zoom hat es sich zur Aufgabe gemacht, durch reibungslose Videokommunikation Freude zu verbreiten, und wir wissen, dass dies nur mit entsprechenden Datenschutz- und Sicherheitsmaßnahmen möglich ist. Deshalb sind wir bestrebt, die Kommunikation unserer Kunden bestmöglich zu schützen, so wie es die Datenschutzbestimmungen im Europäischen Wirtschaftsraum (EWR) vorsehen, insbesondere die Datenschutzgrundverordnung (DSGVO).
Zoom befürwortet die DSGVO als Grundlage für den Datenschutz zum Wohle aller, nicht nur in Europa. Zoom unterstützt unsere Kunden durch die Umsetzung technischer und organisatorischer Maßnahmen gemäß den Bestimmungen der DSGVO. Wir bei Zoom möchten unsere Kunden in ihrer Rolle als Datenverantwortliche unterstützen.
Die folgenden Eckdaten spiegeln das Engagement von Zoom für den Datenschutz wider.
Wenn Sie mehr über den Datenschutz bei Zoom erfahren möchten, sehen Sie sich auch die Datenschutz-Folgenabschätzung (DSFA) von Zoom an, die in Zusammenarbeit mit SURF, dem führenden niederländischen Forschungs- und Bildungsverband, durchgeführt wurde. Sie finden sie in unserem Blog (und die eigene DSFA von SURF hier).
Vertragliche DSGVO-Verpflichtungen für alle Zoom-Kunden
Die DSGVO verlangt, dass Datenverantwortliche (wie Unternehmen und Entwickler, die die Dienste von Zoom nutzen) nur Datenverarbeiter (wie Zoom) einsetzen, die personenbezogene Daten im Auftrag des Datenverantwortlichen verarbeiten und angemessene Garantien für die Erfüllung der spezifischen Anforderungen der DSGVO bieten. Zoom bietet all seinen Kunden diese Garantie, indem wir den Nachtrag zur Datenverarbeitung (Data Processing Addendum, DPA) durch Zoom in die Zoom-Nutzungsbedingungen aufnehmen.
Vertragliche Verpflichtungen von Zoom in Bezug auf die DSGVO:
- Zoom ist um Transparenz bemüht und verpflichtet sich, personenbezogene Daten nur so zu verwenden, wie es in unserer Vereinbarung über die Erbringung von Dienstleistungen angegeben ist bzw. von unseren Kunden gewünscht wird.
- Zoom setzt angemessene technische und organisatorische Sicherheitsmaßnahmen zum Schutz der durch uns verarbeiteten personenbezogenen Daten ein.
- Zoom unterstützt Kunden bei der Erfüllung ihrer Verpflichtungen, wenn Anwender ihre Rechte im Zusammenhang mit den über unsere Dienste verarbeiteten personenbezogenen Daten wahrnehmen (z. B. Anträge auf Datenauskunft, -zugang, -berichtigung und -löschung).
Schutz bei internationaler Datenübermittlung
United States of America
Die DSGVO enthält konkrete Regeln für die Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR). Grundsätzlich dürfen personenbezogene Daten nur dann in Länder außerhalb des EWR übermittelt werden, wenn dort ein angemessenes Schutzniveau besteht.
Die Angemessenheit bestimmt, ob die Datenschutzmaßnahmen eines Nicht-EU-Landes als angemessen angesehen werden, um ein Schutzniveau zu gewährleisten, das dem in der EU gebotenen Schutzniveau entspricht. Ein Angemessenheitsbeschluss der Europäischen Kommission ermöglicht den freien Verkehr personenbezogener Daten aus der EU in das Drittland, ohne dass zusätzliche Garantien erforderlich sind. Seit dem 10. Juli 2023 gibt es einen neuen Angemessenheitsbeschluss der Europäischen Kommission für Teilnehmer des EU-US Data Privacy Framework (DPF). Zoom ist aktiver Teilnehmer des DPF.
Das Data Privacy Framework (DPF) entstand als Antwort auf die zunehmenden Bedenken hinsichtlich des Datenschutzes und der Privatsphäre im digitalen Zeitalter. Es soll die Standards für den Datenschutz, insbesondere in Bezug auf die grenzüberschreitende Übermittlung personenbezogener Daten, vereinheitlichen und verbessern. Die Bedeutung des DPF liegt in der Erleichterung internationalen Handels und internationaler Kommunikation bei gleichzeitiger Wahrung individueller Persönlichkeitsrechte. Seine Relevanz erstreckt sich auf verschiedene Interessengruppen, darunter Unternehmen, Aufsichtsbehörden und Einzelpersonen, indem klare Richtlinien und Verpflichtungen für den Umgang mit Daten festgelegt werden. Die Anwendbarkeit des DPF ist für eine sichere Datenübermittlung von entscheidender Bedeutung, da es einen Rechtsrahmen bietet, der die Einhaltung der Datenschutzgesetze gewährleistet und so das Vertrauen und die Rechenschaftspflicht beim grenzüberschreitenden Datenaustausch fördert.
Sonstige Drittländer
Personenbezogene Daten können aus dem EWR in Drittländer außerhalb des EWR unter Verwendung der von der Europäischen Kommission verabschiedeten Standardvertragsklauseln (Standard Contractual Clauses, SCC) übermittelt werden. Die SCC gewährleisten vertraglich ein hohes Schutzniveau. Zoom hat die neuen SCC 2021 in den Standard-DPA von Zoom aufgenommen. Ebenso hat Zoom die neuen SCC nach den von der Europäischen Kommission festgelegten Übergangsfristen in geltende Vereinbarungen aufgenommen. Weitere Informationen finden Sie in unseren Kunden-FAQ zu den neuen SCC.
Datenübermittlungs-Folgenabschätzung
Um den Kunden von Zoom bei Verwendung der SCC die Erfüllung zusätzlicher Anforderungen zu erleichtern, bietet Zoom die folgenden Datenübermittlungs-Folgenabschätzungen für verschiedene Produkte an. Im Einklang mit gängigen Best Practices wird vom Datenexporteur und -importeur eine Prüfung erwartet, ob die Gesetze und Praktiken in dem Land, in das Daten übermittelt werden, das ansonsten bestehende Schutzniveau gefährden könnten.
Datenübermittlungs-Folgenabschätzung für Zoom Meetings/Webinars/Team Chat
Datenübermittlungs-Folgenabschätzung für Zoom Phone
Datenübermittlungs-Folgenabschätzung für Zoom Contact Center
Datenübermittlungs-Folgenabschätzung für Zoom Virtueller Assistent
Auskunftsantrag (DSAR)
Ein Antrag auf Auskunft über personenbezogene Daten (Data Subject Access Request, DSAR) ist ein im Rahmen der Datenschutz-Grundverordnung (DSGVO) eingerichtetes Verfahren, über das betroffene Personen Zugriff auf ihre von Organisationen gespeicherten personenbezogenen Daten erhalten können. Außerdem können betroffene Personen die Berichtigung unrichtiger oder unvollständiger personenbezogener Daten verlangen. So wird eine zeitnahe Korrektur fehlerhafter Daten sichergestellt. Unter bestimmten Umständen haben Einzelpersonen das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen (umgangssprachlich als Recht auf Vergessenwerden bezeichnet). Dies ist ein Grundrecht im Rahmen der DSGVO, das Einzelpersonen Transparenz und Kontrolle bezüglich ihrer personenbezogenen Daten bietet. Zoom hat für seine Kunden ein Selbstbedienungstool eingerichtet, mit dem sie diese Rechte einfach und unkompliziert ausüben können. Weitere Informationen zu diesem Tool finden Sie auf unserer Support-Website.
Datenspeicherung
Zoom bietet europäischen Kunden mit qualifizierten kostenpflichtigen Konten die Möglichkeit, Rechenzentren in der Europäischen Union (EU) zu nutzen. Kunden können Rechenzentrumsregionen sowie die automatisch ermittelte Heimatregion für das Hosting ihres Echtzeit-Datenverkehrs in Meetings und Webinaren auswählen. Kunden können auch wählen, ob sie Aufzeichnungen lokal auf ihren eigenen Geräten oder in ihrem lokalen Rechenzentrum speichern möchten. Weitere Informationen finden Sie auf unserer Support-Seite. Diesen Kunden bietet Zoom zudem die Möglichkeit, all ihre Support-Daten ausschließlich in der EU verarbeiten zu lassen. Wenn sie außerhalb der regulären Geschäftszeiten in der EU Support erhalten möchten, können sie im Einzelfall eine spezifische Einwilligung in die Übermittlung personenbezogener Daten an einen Helpdesk außerhalb der EU erteilen.
Starke spezifische Maßnahmen, die europäischen Datenschutz gewährleisten
Zoom legt großen Wert auf die Gewährleistung eines hohen Sicherheitsniveaus:
- Zoom nutzt eine Reihe von Verschlüsselungstechnologien, um Kundendaten während der Übertragung und gespeicherte Daten zu schützen.
- Zoom setzt Sicherheitsmaßnahmen zur Gewährleistung der kontinuierlichen Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit unserer Verarbeitungssysteme und Dienstleistungen ein.
- Zoom ergreift Maßnahmen, um die unverzügliche Wiederherstellung der Verfügbarkeit und des Zugangs zu unseren Verarbeitungssystemen und Dienstleistungen im Falle eines physischen oder technischen Vorfalls zu ermöglichen.
- Zoom nutzt ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen, die wir zur Gewährleistung der Sicherheit der von uns verarbeiteten Daten ergreifen.
Insbesondere ergreift Zoom verschiedene Sicherheitsmaßnahmen zum Schutz der Kundenkommunikation, die über die Zoom-Plattform übermittelt und dort gespeichert wird. Dazu gehören folgende Maßnahmen:
- Optionale Ende-zu-Ende-Verschlüsselung für Meetings: Benutzer haben die Möglichkeit, die Ende-zu-Ende-Verschlüsselung für Zoom Meetings zu aktivieren. Die Ende-zu-Ende-Verschlüsselung wurde entwickelt, um Daten zwischen allen Meeting-Teilnehmern zu verschlüsseln, sodass die Kommunikation für zwischengeschaltete Anbieter oder Systeme nicht zugänglich ist, nicht einmal für Zoom.
- Standardmäßige Verschlüsselung: Die Verbindung zwischen einem bestimmten Gerät und Zoom wird standardmäßig mit einer Mischung aus TLS 1.2+ (Transport Layer Security/Transportschichtsicherheit), 256-Bit-AES-GCM-Verschlüsselung nach Advanced Encryption Standard und SRTP (Secure Real-time Transport Protocol/Sicheres Echtzeit-Transportprotokoll) verschlüsselt. Die genaue Methode hängt davon ab, ob Benutzer die Zoom Anwendung, einen Webbrowser, ein Gerät oder Dienst eines Drittanbieters oder Zoom Phone verwenden. Weitere Informationen finden Sie in unserem Verschlüsselungs-Whitepaper.
- Schutz vor nicht autorisierten Meetingteilnehmern: Zoom setzt zahlreiche Sicherungsmaßnahmen und Kontrollelemente ein, um die Teilnahme Unbefugter an Meetings zu verhindern:
-
- Einmalige 11-stellige Meeting-IDs
- Komplexe Kennwörter
- Warteräume mit der Möglichkeit, Teilnehmer aus Ihrer und anderen ausgewählten Domänen automatisch zuzulassen
- Eine Sperrfunktion für Meetings, durch die beliebige Personen an der Teilnahme am Meeting gehindert werden können
- Möglichkeit, Teilnehmer zu entfernen
- Authentifizierungsprofile, die den Zutritt lediglich für registrierte Benutzer erlauben oder auf bestimmte E-Mail-Domänen einschränken
- Das Melde-Tool für gefährdete Meetings, das öffentliche Beiträge auf Social-Media-Seiten und andere öffentliche Internetquellen nach Links zu Zoom-Meetings durchsucht
- Ausgewählte Einladung zum Meeting: Der Host kann ausgewählte Teilnehmer per E-Mail, Direktnachricht oder SMS einladen. Dadurch erhält der Host mehr Kontrolle über die Verbreitung der Zugriffsdaten zum Meeting. Zusätzlich kann der Host das Meeting auch so gestalten, dass nur Mitglieder gewisser E-Mail-Domains teilnehmen können.
- Sicherheit in Meetings: Während des Meetings stellt Zoom allen Teilnehmern des Zoom-Meetings Rich Media-Inhalte in Echtzeit bereit. Alle Inhalte, die in einem Meeting für die Teilnehmer freigegeben werden, sind nur eine Abbildung der Originaldaten. Diese Inhalte sind mittels einer sicheren Implementierung für die Freigabe kodiert und optimiert.
- Host-Bedienelemente: Mit diesen Meeting-Bedienelementen kann der Host folgende Funktionen für die Teilnehmer aktivieren oder deaktivieren: Bildschirmfreigabe, Chat oder Sich umbenennen.
- Melden: Sie können Teilnehmer wegen unangemessenen Verhaltens während Meetings melden. Sie wählen dazu den betreffenden Teilnehmer aus und fügen der Meldung genauere schriftliche Angaben sowie relevante Anlagen hinzu. Dieser Bericht wird automatisch an das Trust & Safety-Team von Zoom gesendet, das beurteilt, ob ein Missbrauch der Plattform vorliegt, und den Benutzer, wenn nötig, sperrt.
- Im Produkt integrierte Sicherheitsbedienelemente: Sicherheitsbedienelemente mit einem dedizierten Sicherheitssymbol auf der Hauptbenutzeroberfläche.
- Rollenbasierte Benutzersicherheit: Die folgenden Sicherheitsfunktionen für Meetings stehen dem Host vor dem Meeting zur Verfügung:
-
- Sichere Anmeldung mit Standard-Benutzername und Kennwort oder einmaliges Anmelden mit SAML
- Start eines gesicherten Meetings mit Kenncode
- Planung eines gesicherten Meetings mit Kenncode
- Verhinderung von Roboteranrufen: Es wurde eine Anruf-Screening-Funktion eingeführt, um die Zahl unerwünschter Roboteranrufe zu reduzieren. Kontoinhaber und Administratoren können die Anruf-Screening-Funktion für Konten, Standorte, Gruppen, Benutzer, gemeinsame Bereiche, die automatische Rufannahme, Warteschleifen und Gruppen mit gemeinsamer Leitung aktivieren. Die Funktion ist standardmäßig für das gesamte Konto aktiviert und freigeschaltet.
Optionen bezüglich der Verarbeitung und Speicherung von Daten
Zoom versteht, dass unsere Kunden sich Optionen bezüglich der Rechenzentren wünschen, die bestimmte Daten verarbeiten und speichern.
Daten, die übertragen und verarbeitet werden: Zoom überträgt Meeting-Kundendaten über ein globales Netzwerk an zusammenhängenden Rechenzentren und öffentlichen Cloud-Rechenzentren (einschließlich Rechenzentren von Amazon Web Services („AWS“)). Die Funktionsweise der Dienste von Zoom Meetings sieht vor, dass neue Daten in der Netzwerkumgebung von Zoom an das Rechenzentrum geleitet werden, das dem Benutzer, der die Daten versendet bzw. empfängt, am nächsten liegt.
Inhaber und Administratoren kostenpflichtiger Konten können auf Konto-, Gruppen- oder Benutzerebene bestimmte Zoom-Rechenzentren wählen oder abwählen, in denen die Echtzeitdaten zu Video, Audio und freigegebenen Inhalten von Teilnehmern in Meetings und Webinaren verwaltet werden. Die Rechenzentren in dem Land, das für die Region zuständig ist, in der ein Konto bereitgestellt wurde, werden automatisch für die Datenverarbeitung ausgewählt und können nicht abgewählt werden. Die Wahl der Zoom-Rechenzentren gilt nur, wenn unter einem Konto ein Meeting oder Webinar gehostet wird. Wurden unter einem Konto bestimmte oder alle Rechenzentren abgewählt, werden alle Echtzeitdaten zu Video, Audio und freigegebenen Inhalten von Teilnehmern in Meetings und Webinaren nur von einem ausgewählten Zoom-Rechenzentrum verarbeitet. Es ist Zoom dennoch erlaubt, Daten über branchenübliche Protokolle für das Netzwerk-Routing zwischen Rechenzentren zu übertragen. Dabei werden private Netzwerke umgangen (Edge-Routing). Weitere Informationen finden Sie in diesem Hilfeartikel.
Datenspeicherung: Kunden können den Speicherort für bestimmte Kundeninhalte selbst wählen. Kundeninhalte sind Daten, die Kunden bei der Nutzung der Zoom Services bereitstellen. Hierzu gehören alle Daten, die Kunden bei einem Meeting oder Webinar aufzeichnen oder freigeben, unter anderem Cloud-Aufzeichnungen, Transkripte von Meetings, Chat-Transkripte (während des Meetings und/oder dauerhaft verfügbar) und Dateien, die während eines Meetings oder im durchgängigen Chatkanal ausgetauscht werden.
Kundeninhalte werden standardmäßig in den USA gespeichert. Kunden mit kostenpflichtigen Konten können den Speicherort für einige der Kundeninhalte in ihrem Konto selbst auswählen. Nur Kontoinhaber, Kontoadministratoren und Personen mit der Berechtigung für das Kontoprofil des Kunden können diese Einstellung ändern. Weitere Informationen finden Sie in diesem Hilfeartikel. Bitte beachten Sie, dass Kundeninhalte, Kontodaten und Diagnosedaten weiterhin in den USA gespeichert werden.
Strenge Protokolle für die Beantwortung behördlicher Informationsanfragen
Zoom verpflichtet sich zum Schutz der Privatsphäre unserer Kunden und Benutzer und gibt nur Benutzerdaten an Behörden weiter, die in Übereinstimmung mit unserem Leitfaden für Behördenanfragen und den entsprechenden rechtlichen Richtlinien gültig und rechtmäßig angefordert werden.
Für alle geografischen Bereiche gilt:
- Behördliche Anfragen müssen gemäß den geltenden Gesetzen und Vorschriften und auf offiziellem Wege erfolgen, d. h. es muss ein unterschriebenes offizielles Dokument oder eine E-Mail-Anfrage von der offiziellen E-Mail-Adresse einer staatlichen Stelle gesendet werden.
- Jede Anfrage muss eindeutig und nicht zu weit gefasst sein und erfordert eine gültige Rechtsgrundlage. Anfragen, die diese Anforderungen nicht erfüllen, werden von uns abgelehnt oder angefochten.
- Vor dem Hintergrund unserer Prinzipien und unseres Interesses an der Förderung einer erfolgreichen internationalen Zusammenarbeit gehen wir bei Behördenanfragen zu Benutzerinformationen besonders gewissenhaft vor.
Wenn eine Anfrage zu ungenau ist, stellt Zoom ihre Gültigkeit in Frage, um das Maß an übermittelten Informationen zu minimieren.
Zoom benachrichtigt Benutzer in der Regel über behördliche Anfragen nach Informationen und leitet die erhaltene Anfrage zur Kenntnisnahme an sie weiter, es sei denn, es ist uns gesetzlich untersagt, den Benutzer zu benachrichtigen. Anträge auf Ausnahmen von der Benutzerbenachrichtigung müssen eine Beschreibung der dringenden Umstände oder der potenziell nachteiligen Folgen enthalten.
Erhöhte Transparenz
- Transparenzberichte: Zoom veröffentlichte im Dezember 2020 seinen ersten Bericht über die Anzahl der von US- und internationalen Behörden erhaltenen Anfragen (Government Request Transparency Report). Wir haben das Ziel, dass jeder Transparenzbericht den vorherigen übertrifft. Unseren aktuellen Transparenzbericht finden Sie hier. Weitere Transparenzberichte werden im Zoom Trust-Center bereitgestellt.
- Produktinterne Benachrichtigungen: Zoom führt kontinuierlich Updates durch, um funktionsspezifische Datenschutzbenachrichtigungen in Zoom zu integrieren, damit Benutzer im konkreten Zusammenhang verstehen, wer die Inhalte und Informationen, die sie auf Zoom freigeben, sehen und weitergeben kann. Wenn ein Benutzer beispielsweise wissen möchte, wer die Nachrichten sehen kann, die er im Zoom-Chat versendet, kann er unter „Wer kann Ihre Nachrichten sehen?“ erfahren, wer auf die Nachrichten zugreifen kann, die er an alle bzw. privat versendet.
Bei der Entwicklung von Zoom-Angeboten stehen DSGVO-Anforderungen im Vordergrund
Zoom verpflichtet sich, alle erforderlichen Maßnahmen zu ergreifen, um Produktfunktionen zu entwickeln, die den DSGVO-Anforderungen entsprechen und den Schutz der über unsere Dienste verarbeiteten personenbezogenen Daten erhöhen. Weitere Informationen zu unserem Umgang mit Daten finden Sie in unserer Datenschutzerklärung. Wenn Sie Fragen zur DSGVO haben, können Sie auch eine E-Mail an privacy@zoom.us senden.