Zoom Datenschutz: Videokonferenzen DSGVO-konform

Zoom und Datenschutz: DSGVO-Überblick

Zoom ist eine der weltweit meistgenutzten Plattformen für Videokonferenzen und hat sich seit der Corona-Pandemie als Standard-Tool in vielen Unternehmen, Behörden und Bildungseinrichtungen etabliert. Mit über 300 Millionen täglichen Meeting-Teilnehmern verarbeitet Zoom enorme Mengen an personenbezogenen Daten. Für Unternehmen in Deutschland stellt sich daher die zentrale Frage: Lässt sich Zoom datenschutzkonform im Sinne der DSGVO einsetzen?

Die Antwort ist differenziert: Zoom kann DSGVO-konform genutzt werden, erfordert jedoch eine sorgfältige Konfiguration, vertragliche Absicherung und transparente Kommunikation gegenüber allen Beteiligten. In der Vergangenheit stand Zoom wegen zahlreicher Datenschutz-Vorfälle in der Kritik — von unzureichender Verschlüsselung über ungewollte Datenweitergabe an Facebook bis hin zum sogenannten „Zoombombing. Seitdem hat Zoom erheblich nachgebessert, doch es bleiben Bereiche, die besondere Aufmerksamkeit erfordern.

Dieser vollständige Leitfaden zeigt Ihnen alle relevanten Datenschutz-Aspekte von Zoom und gibt Ihnen eine praktische Anleitung für den DSGVO-konformen Einsatz in Ihrem Unternehmen.

Datenschutz-Risiken bei Zoom

Ende-zu-Ende-Verschlüsselung

Zoom bietet mittlerweile eine Ende-zu-Ende-Verschlüsselung (E2EE) für Meetings an, die jedoch nicht standardmäßig aktiviert ist. Bei der Standard-Verschlüsselung werden die Daten zwar zwischen den Teilnehmern und den Zoom-Servern verschlüsselt (Transport-Verschlüsselung), aber Zoom hat theoretisch Zugriff auf die unverschlüsselten Inhalte auf den eigenen Servern.

Bei aktivierter E2E-Verschlüsselung werden die Meetings so verschlüsselt, dass nur die Teilnehmer die Inhalte entschlüsseln können — nicht einmal Zoom selbst. Allerdings sind bei aktivierter E2EE einige Funktionen eingeschränkt:

• Cloud-Aufzeichnung ist nicht verfügbar
• Teilnehmer können nicht per Telefon beitreten
• Breakout-Räume funktionieren eingeschränkt
• Live-Transkription und Untertitel sind nicht verfügbar
• Teilnehmer müssen die Zoom-Desktop-App oder Mobile-App nutzen

Für besonders vertrauliche Besprechungen sollte die E2E-Verschlüsselung zwingend aktiviert werden. Für reguläre Meetings bietet die Standard-Verschlüsselung (AES 256-bit GCM) ein angemessenes Sicherheitsniveau.

Datentransfer in die USA

Zoom ist ein US-amerikanisches Unternehmen mit Hauptsitz in San Jose, Kalifornien. Obwohl Zoom europäische Rechenzentren in Frankfurt und Amsterdam betreibt und europäische Nutzer die Möglichkeit haben, die Datenverarbeitung auf EU-Rechenzentren zu beschränken, werden bestimmte Daten dennoch in die USA übermittelt.

Dies betrifft insbesondere Metadaten, Support-Zugriffe und bestimmte Backend-Dienste. Zoom ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert, was seit dem Angemessenheitsbeschluss der EU-Kommission vom Juli 2023 eine gültige Rechtsgrundlage für Datentransfers in die USA darstellt. Zusätzlich bietet Zoom Standardvertragsklauseln (SCCs) als ergänzende Schutzmaßnahme an.

Unternehmen sollten dennoch regelmäßig prüfen, ob die Rechtsgrundlage für den Datentransfer weiterhin Bestand hat, da die Rechtslage dynamisch ist und ein erneutes Urteil des EuGH den DPF-Beschluss kippen könnte.

Aufzeichnung von Meetings

Zoom ermöglicht die Aufzeichnung von Meetings sowohl lokal als auch in der Cloud. Diese Funktion birgt erhebliche datenschutzrechtliche Risiken, da Aufzeichnungen personenbezogene Daten (Bild, Stimme, Name, geteilte Inhalte) aller Teilnehmer enthalten.

Für die Aufzeichnung gelten folgende datenschutzrechtliche Anforderungen:

• Rechtsgrundlage: Eine Einwilligung aller Teilnehmer oder ein berechtigtes Interesse ist erforderlich
• Transparenz: Alle Teilnehmer müssen vor Beginn der Aufzeichnung informiert werden (Zoom zeigt standardmäßig eine Benachrichtigung an)
• Widerspruchsrecht: Teilnehmer müssen die Möglichkeit haben, das Meeting zu verlassen, wenn sie nicht aufgezeichnet werden möchten
• Speicherdauer: Aufzeichnungen müssen nach dem definierten Zweck gelöscht werden
• Zugriffskontrolle: Der Zugriff auf Aufzeichnungen muss auf berechtigte Personen beschränkt sein

Aufmerksamkeits-Tracking (Attention Tracking)

Zoom hatte in der Vergangenheit eine umstrittene Funktion namens Attention Tracking, die dem Meeting-Host anzeigte, ob Teilnehmer das Zoom-Fenster länger als 30 Sekunden nicht im Vordergrund hatten. Diese Funktion wurde im April 2020 nach massiver Kritik entfernt. Es gibt jedoch weiterhin Funktionen, die Informationen über das Teilnehmerverhalten liefern, wie die Teilnehmerstatistiken in Zoom Webinaren, Reaktionen und Handzeichen-Protokolle sowie Chat-Protokolle mit Zeitstempeln. Unternehmen sollten diese Funktionen bewusst und transparent einsetzen und nicht zur verdeckten Leistungsüberwachung missbrauchen.

Zoom AI Companion und Datenschutz

Zoom hat mit dem AI Companion (ehemals Zoom IQ) eine KI-gestützte Funktion eingeführt, die Meeting-Zusammenfassungen erstellt, Chats zusammenfasst und Smart-Recording-Highlights generiert. Diese KI-Funktionen verarbeiten die Meeting-Inhalte und stellen eine zusätzliche Datenverarbeitung dar, die datenschutzrechtlich bewertet werden muss.

Zoom gibt an, dass Kundendaten nicht zum Training der KI-Modelle verwendet werden. Dennoch sollten Unternehmen die KI-Funktionen nur nach sorgfältiger Prüfung aktivieren und die Mitarbeiter transparent über deren Einsatz informieren. Für Unternehmen mit hohen Datenschutzanforderungen empfiehlt es sich, den AI Companion zu deaktivieren.

AV-Vertrag mit Zoom

Für den Einsatz von Zoom benötigen Unternehmen einen Auftragsverarbeitungsvertrag (AV-Vertrag) gemäß Art. 28 DSGVO. Zoom stellt ein Data Processing Addendum (DPA) bereit, das als Teil der Nutzungsbedingungen automatisch gilt. Dieses DPA regelt die wesentlichen Aspekte der Auftragsverarbeitung, darunter den Gegenstand und die Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen sowie die Pflichten und Rechte des Verantwortlichen.

Das Zoom DPA enthält auch Standardvertragsklauseln (SCCs) für Datentransfers in Drittländer sowie technische und organisatorische Maßnahmen (TOMs). Unternehmen sollten das DPA sorgfältig prüfen und dokumentieren, dass es den Anforderungen des Art. 28 DSGVO genügt.

Die Anforderungen des Art. 32 DSGVO verpflichten Unternehmen, beim Einsatz von Zoom geeignete Sicherheitsmaßnahmen zu treffen und deren Wirksamkeit regelmäßig zu überprüfen.

Zoom DSGVO-konform konfigurieren

Mit den richtigen Einstellungen können Sie den Datenschutz bei Zoom erheblich verbessern. Folgen Sie dieser Anleitung für eine datenschutzkonforme Konfiguration:

Grundeinstellungen im Zoom Admin-Portal

• Rechenzentrum-Routing: Unter Konto-Management → Kontoeinstellungen → Allgemein können Sie festlegen, dass Meetings ausschließlich über europäische Rechenzentren geroutet werden. Deaktivieren Sie US-Rechenzentren, sofern keine Teilnehmer aus den USA erwartet werden.
• Verschlüsselung: Aktivieren Sie unter Einstellungen → Sicherheit die Ende-zu-Ende-Verschlüsselung als Standard für besonders vertrauliche Meetings.
• Warteraum: Aktivieren Sie den Warteraum, damit der Host kontrollieren kann, wer dem Meeting beitritt.
• Passwortschutz: Erzwingen Sie Passwörter für alle Meetings.

Aufzeichnungseinstellungen

• Deaktivieren Sie die automatische Cloud-Aufzeichnung, sofern nicht zwingend erforderlich
• Beschränken Sie die Aufzeichnungsberechtigung auf den Host
• Aktivieren Sie die Aufzeichnungsbenachrichtigung für alle Teilnehmer
• Definieren Sie eine automatische Löschfrist für Cloud-Aufzeichnungen

Chat- und Dateifreigabe

• Beschränken Sie die Dateifreigabe auf zugelassene Dateitypen
• Definieren Sie Aufbewahrungsrichtlinien für Chat-Nachrichten
• Deaktivieren Sie den Chat mit externen Nutzern, wenn nicht benötigt

KI-Funktionen

• Prüfen Sie, ob der AI Companion für Ihr Unternehmen sinnvoll und datenschutzkonform einsetzbar ist
• Deaktivieren Sie die Meeting-Zusammenfassung, wenn die datenschutzrechtliche Bewertung negativ ausfällt
• Informieren Sie alle Teilnehmer, wenn KI-Funktionen aktiviert sind

Datenschutzerklärung für Zoom

Die Nutzung von Zoom muss in Ihrer Datenschutzerklärung gemäß Art. 13 und 14 DSGVO transparent dargestellt werden. Folgende Informationen sollten enthalten sein:

• Name des Anbieters: Zoom Video Communications, Inc., San Jose, CA, USA
• Zweck der Verarbeitung: Durchführung von Online-Meetings und Videokonferenzen
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
• Verarbeitete Daten: Benutzerinformationen (Name, E-Mail), Meeting-Metadaten (Dauer, Teilnehmer), Kommunikationsinhalte (Audio, Video, Chat), technische Daten (IP-Adresse, Geräteinformationen)
• Empfänger: Zoom Video Communications als Auftragsverarbeiter
• Drittlandtransfer: USA, Rechtsgrundlage: EU-US Data Privacy Framework und Standardvertragsklauseln
• Speicherdauer: Meeting-Daten werden nach Sitzungsende gelöscht; Aufzeichnungen gemäß definierter Aufbewahrungsfrist
• Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit

Zoom vs. datenschutzfreundliche Alternativen

Wenn Ihr Unternehmen besonders hohe Datenschutzanforderungen hat, sollten Sie Alternativen zu Zoom in Betracht ziehen:

Microsoft Teams

Teams bietet ähnliche Funktionen wie Zoom und ist für Unternehmen, die bereits Microsoft 365 nutzen, eine naheliegende Option. Die Datenschutz-Herausforderungen sind vergleichbar, da auch Microsoft ein US-Unternehmen ist. Detaillierte Informationen finden Sie in unserem Artikel zu Microsoft Teams Datenschutz.

Jitsi Meet

Jitsi Meet ist eine Open-Source-Lösung, die auf eigenen Servern betrieben werden kann. Alle Daten bleiben unter Ihrer Kontrolle, es gibt keinen Datentransfer an Dritte. Jitsi unterstützt E2E-Verschlüsselung und erfordert keine Registrierung. Für Unternehmen mit eigenem IT-Betrieb bietet Jitsi die höchste Datenschutzkonformität.

BigBlueButton

BigBlueButton ist eine Open-Source-Webkonferenzlösung, die besonders im Bildungsbereich verbreitet ist. Sie kann auf eigenen Servern in Deutschland betrieben werden und bietet Funktionen wie Bildschirmfreigabe, Whiteboard und Breakout-Räume. BigBlueButton ist vollständig DSGVO-konform betreibbar.

Nextcloud Talk

Nextcloud Talk ist Teil der europäischen Nextcloud-Plattform und bietet Video- und Audiokonferenzen als Self-Hosted-Lösung. Alle Daten verbleiben auf Ihren eigenen Servern. Nextcloud hat seinen Sitz in Deutschland und ist eine hervorragende Option für datenschutzbewusste Unternehmen.

Zoom für Arztpraxen und Beratung

Besondere Anforderungen gelten für den Einsatz von Zoom in Arztpraxen, Kanzleien und Beratungsunternehmen. Hier werden regelmäßig besondere Kategorien personenbezogener Daten (Gesundheitsdaten gemäß Art. 9 DSGVO) oder vertrauliche Informationen verarbeitet.

Für Arztpraxen, die Zoom für Videosprechstunden nutzen möchten, gelten folgende zusätzliche Anforderungen:

• Zertifizierung: Zoom bietet eine spezielle Healthcare-Version an, die HIPAA-konform ist. Für den deutschen Markt ist zusätzlich die Konformität mit der KBV-Richtlinie zu prüfen.
• Ende-zu-Ende-Verschlüsselung: Für Videosprechstunden sollte E2E-Verschlüsselung zwingend aktiviert werden.
• Einwilligung: Patienten müssen in die Nutzung von Zoom für Videosprechstunden ausdrücklich einwilligen.
• Dokumentation: Die Nutzung muss im Verzeichnis der Verarbeitungstätigkeiten dokumentiert werden.
• Alternative: Prüfen Sie zertifizierte Videosprechstunden-Anbieter wie Doctolib oder Teleclinic, die speziell für den medizinischen Bereich entwickelt wurden.

Für Rechtsanwälte und Berater gelten vergleichbare Anforderungen hinsichtlich der Vertraulichkeit. Die berufsrechtliche Schweigepflicht erfordert besondere technische und organisatorische Maßnahmen.

Datenschutz-Folgenabschätzung für Zoom

Angesichts der umfangreichen Datenverarbeitung und des Datentransfers in die USA empfehlen Aufsichtsbehörden die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO für den Einsatz von Zoom. Die DSFA sollte die Verarbeitungsvorgänge systematisch beschreiben, die Notwendigkeit und Verhältnismäßigkeit bewerten, die Risiken für betroffene Personen analysieren und die geplanten Schutzmaßnahmen dokumentieren.

Verzeichnis der Verarbeitungstätigkeiten für Zoom

Die Nutzung von Zoom muss im Verzeichnis der Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DSGVO dokumentiert werden. Der Eintrag sollte folgende Angaben umfassen:

• Bezeichnung: Durchführung von Videokonferenzen und Online-Meetings mit Zoom
• Verantwortlicher: Ihr Unternehmen mit vollständigen Kontaktdaten
• Zweck: Interne und externe Kommunikation, Kundenmeetings, Webinare, Schulungen
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
• Betroffene Personen: Beschäftigte, Kunden, Geschäftspartner, Webinar-Teilnehmer
• Datenkategorien: Stammdaten (Name, E-Mail), Meeting-Inhalte (Audio, Video, Chat, geteilte Bildschirme), Metadaten (Zeitstempel, Dauer, Teilnehmerlisten), technische Daten (IP-Adresse, Gerätetyp, Betriebssystem, Browserversion)
• Empfänger: Zoom Video Communications, Inc. als Auftragsverarbeiter
• Drittlandtransfer: USA — Rechtsgrundlage: EU-US Data Privacy Framework, ergänzend Standardvertragsklauseln
• Löschfristen: Meeting-Daten nach Sitzungsende, Cloud-Aufzeichnungen nach definierter Frist (empfohlen: 30-90 Tage), Account-Daten bei Vertragsende
• TOMs: Verweis auf Zoom DPA, eigene Konfigurationsmaßnahmen und Schulungskonzept

Zoom-Sicherheitsvorfälle und Lehren daraus

In der Vergangenheit gab es mehrere bedeutsame Sicherheitsvorfälle bei Zoom, aus denen sich wichtige Lehren für Unternehmen ableiten lassen:

Zoombombing (2020): Unbefugte Personen drangen in ungeschützte Meetings ein und störten diese mit unangemessenen Inhalten. Zoom reagierte mit der standardmäßigen Aktivierung von Warteräumen und Passwortschutz. Lehre: Aktivieren Sie immer Warteraum und Passwort für Meetings.

Datenweitergabe an Facebook (2020): Die Zoom iOS-App sendete Analysedaten an Facebook, auch wenn der Nutzer kein Facebook-Konto hatte. Nach Bekanntwerden entfernte Zoom das Facebook SDK. Lehre: Prüfen Sie regelmäßig, welche Drittanbieter-SDKs in genutzten Apps eingebettet sind.

Verschlüsselungs-Kontroverse (2020): Zoom bewarb seine Verschlüsselung als „Ende-zu-Ende“, obwohl es sich tatsächlich um Transport-Verschlüsselung handelte. Erst später wurde echte E2E-Verschlüsselung implementiert. Lehre: Überprüfen Sie Herstellerangaben zur Verschlüsselung kritisch und aktivieren Sie E2EE für sensible Meetings.

Diese Vorfälle zeigen, dass auch etablierte Anbieter Datenschutz-Schwachstellen haben können. Eine regelmäßige Überprüfung der Konfiguration und der Herstellerangaben ist daher nötig. Abonnieren Sie die Sicherheitshinweise von Zoom und aktualisieren Sie Ihre Datenschutz-Folgenabschätzung bei wesentlichen Änderungen.

Häufige Fragen zum Zoom Datenschutz (FAQ)

Ist Zoom DSGVO-konform?

Zoom kann bei richtiger Konfiguration DSGVO-konform eingesetzt werden. Voraussetzungen sind der AV-Vertrag (DPA), die Konfiguration der Datenschutzeinstellungen, die Information der Teilnehmer und die Dokumentation in der Datenschutzerklärung. Ohne entsprechende Maßnahmen ist der Einsatz datenschutzrechtlich problematisch.

Wo speichert Zoom meine Daten?

Zoom betreibt Rechenzentren in der EU (Frankfurt, Amsterdam) und ermöglicht europäischen Nutzern, das Routing auf EU-Rechenzentren zu beschränken. Bestimmte Metadaten und Support-Funktionen können dennoch über US-Server laufen. Cloud-Aufzeichnungen werden standardmäßig in den USA gespeichert, können aber auf EU-Rechenzentren umgestellt werden.

Ist Zoom verschlüsselt?

Zoom bietet standardmäßig AES 256-bit GCM Verschlüsselung für den Transport. Ende-zu-Ende-Verschlüsselung (E2EE) ist optional verfügbar, muss aber vom Administrator aktiviert und vom Host für jedes Meeting ausgewählt werden. Bei E2EE sind bestimmte Funktionen eingeschränkt.

Darf ich Zoom-Meetings aufzeichnen?

Die Aufzeichnung ist nur mit gültiger Rechtsgrundlage zulässig. Alle Teilnehmer müssen vorab informiert werden und die Möglichkeit haben, das Meeting zu verlassen. Zoom zeigt eine Aufzeichnungsbenachrichtigung an, die nicht deaktiviert werden sollte. Definieren Sie klare Löschfristen für Aufzeichnungen.

Welche Zoom-Einstellungen sind für den Datenschutz wichtig?

Die wichtigsten Einstellungen sind: EU-Rechenzentrum-Routing aktivieren, Ende-zu-Ende-Verschlüsselung für vertrauliche Meetings, Warteraum und Passwortschutz, Cloud-Aufzeichnung deaktivieren oder einschränken, AI Companion bewerten und ggf. deaktivieren sowie Chat-Aufbewahrungsrichtlinien definieren.

Fazit: Zoom Datenschutz richtig umsetzen

Zoom kann bei sorgfältiger Konfiguration und Beachtung der DSGVO-Anforderungen rechtskonform eingesetzt werden. Die Kombination aus technischen Maßnahmen (Verschlüsselung, EU-Routing, restriktive Einstellungen), vertraglichen Regelungen (AV-Vertrag, DPA) und organisatorischen Maßnahmen (Schulung, Datenschutzerklärung, DSFA) schafft die Grundlage für einen datenschutzkonformen Einsatz. Für besonders sensible Bereiche wie Arztpraxen oder Rechtsberatung sollten Self-Hosted-Alternativen wie Jitsi oder BigBlueButton in Betracht gezogen werden.

externer Datenschutzbeauftragter GmbH: Datenschutzberatung für Videokonferenzen

Als externer Datenschutzbeauftragter in Dresden berät die DATUREX GmbH Unternehmen bei der datenschutzkonformen Einführung von Zoom und anderen Videokonferenz-Tools. Wir unterstützen Sie bei der Konfiguration, prüfen den AV-Vertrag, führen Datenschutz-Folgenabschätzungen durch und schulen Ihre Mitarbeiter im sicheren Umgang mit Videokonferenzen.

Erfahren Sie mehr über Datenschutz im Unternehmen oder kontaktieren Sie uns direkt für eine unverbindliche Beratung.