Bitte beachten: Es mag sein, dass der Einsatz von Zoom datenschutzrechtlich in Ordnung ist. Das kann man aber eigentlich erst dann mit Sicherheit sagen, wenn man alle Datenflüsse kennt. Ich gebe allerdings zu bedenken: Nur weil etwas datenschutzrechtlich okay ist, ist es noch lange nicht datenschutzfreundlich. Und eines ist Zoom ganz sicher nicht: Datenschutzfreundlich. Und nun zum eigentlichen Beitrag.

Die Datenschutzerklärung von Zoom beginnt mit folgendem Versprechen:

Zoom Video Communications, Inc. und ihre Tochterunternehmen (zusammenfassend „Zoom“) verpflichten sich, Ihre Privatsphäre zu schützen und sicherzustellen, dass Sie auf unseren Websites und bei der Nutzung unserer Produkte und Dienste (zusammenfassend als „Produkte“ bezeichnet) eine positive Erfahrung erleben.

Bei Datenschutzerklärungen, die versprechen, die »Privatsphäre ihrer Nutzer zu schützen«, bin ich immer besonders skeptisch, da meine bisherige Erfahrung zeigt, dass meist genau das Gegenteil der Fall ist.

Hinweis

Update: Mittlerweile hat heise-online festgestellt: Zoom-App für iOS reicht Daten heimlich an Facebook weiter.

Update2: Da hat sich mal jemand wirklich mit der Thematik auseinandergesetzt: Unterbrochene Übertragung – Zoomen Sie auf die Datenschutzrichtlinien für Videokonferenzen.

Zu Testzwecken habe ich mir daher mal einen Zoom-Account über die Webseite registriert. Dort wird man bereits von zahlreichen Tracking-, Marketing- und Analysediensten begrüßt:

Google Tag Manager
Google Analytics
TrustArc
Google Doubleclick
Cheqzone
Zendesk
AdRoll
Pingdom
G2
TechTarget
SalesLoft
Hotjar
Demandbase
Facebook
Rubicon Project
PubMatic
Outbrain
Casalemedia
Yahoo Advertising
BidSwitch
Taboola
LinkedIn
[…]

Nach der Angabe einer E-Mail-Adresse und Einwilligung in die nebulöse Datenschutzerklärung wird der Account erstellt. Den Aktivierungslink bestätige ich und soll anschließend noch Vor- und Nachname angeben. Nachdem die Informationen eingetragen sind sende ich das Formular ab – eine Einwilligung in die Datenschutzerklärung wird nicht gesondert (bspw. über ein Häkchen) eingeholt. Die Daten gehen an Zoom, aber auch an den Drittanbieter Wootric:

GET /eligible.json?account_token=NPS-0487a3ac&email=testmail%40web.de&end_user_created_at=1585210641&end_user_last_seen=1585210598918&language%5Bcode%5D=&language%5Baudience_text%5D=&language%5Bproduct_name%5D=&sdk_version=wootric-js-sdk-1.2.0&properties%5Bpricing%5D=Grey&properties%5Bdomain%5D=&properties%5Bage%5D=0&properties%5Bbaa%5D=Red&properties%5Bpaidhostnum%5D=0&properties%5Bzoomroomsnum%5D=0&properties%5Baudio%5D=Red&properties%5Bwebinar%5D=Red&properties%5Blmcapacity%5D=Red&properties%5Bsso%5D=Red&properties%5Bmanagedomain%5D=Red&properties%5Bzoomphone%5D=Red&properties%5Bzoomrooms%5D=Red HTTP/1.1
Host: eligibility.wootric.com
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0
Accept: */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: https://zoom.us/
Origin: https://zoom.us
Connection: close

Dem geübten Leser wird auffallen, dass hier die E-Mail-Adresse testmail@web.de an Wootric übermittelt wird – also ein personenbezogenes Datum. In der Datenschutzerklärung zu Zoom finden wir allerdings keinen Hinweis zu Wootric, sondern lediglich:

Beachten Sie, dass wir gegebenenfalls Drittanbieter von Dienstleistungen und die mit uns verbundenen Unternehmen nutzen, um uns bei der Durchführung der hier besprochenen Dinge zu unterstützen, und dass diese möglicherweise Zugang zu personenbezogenen Daten haben, die mit der spezifischen Tätigkeit zusammenhängen, die sie für uns in diesem Verfahren durchführen. Wir untersagen unseren Dienstleistern den Verkauf von personenbezogenen Daten, die sie von uns oder in unserem Auftrag erhalten, und verpflichten sie, personenbezogene Daten nur zur Durchführung der von uns angeforderten Dienstleistungen zu verwenden, sofern nicht anderweitig vom Gesetz vorgeschrieben.

Zoom nutzt also X-Dienstleister (insgesamt 15), mit denen dann vermutlich X-Verträge zur Auftragsverarbeitung abgeschlossen wurden, in denen die Unternehmen verpflichtet werden, die Daten ausschließlich zur Durchführung der »angeforderten Dienstleistung« zu verwenden. Sofern so umgesetzt, wäre das zumindest rechtlich in Ordnung. Nur hat das nichts mit dem Versprechen aus der Datenschutzerklärung zu tun:

Ihre Privatsphäre zu schützen und sicherzustellen

Wem die Privatsphäre seiner Nutzer am Herzen liegt, der verzichtet auf Tracking und Co. Unternehmen wie Zoom liegen lediglich die Interessen ihrer Stakeholder am Herzen. Zusammengefasst: Man muss also darauf vertrauen, dass X-Dienstleister die übermittelten personenbezogenen Daten nicht für eigene Zwecke verwenden bzw. hoffentlich nicht von einem Datenleak betroffen sind.

Update

Update 27.03.2020: Zoom hat eine Liste mit Auftragsverarbeitern. Dort wird auch Wootric genannt. Rein rechtlich gesehen ist Wootric bei einem bestehenden Vertrag zur Auftragsdatenverarbeitung damit kein Drittanbieter wie von mir in der Überschrift bezeichnet – damit könnte die Überschrift als »Clickbait« wahrgenommen werden, was so allerdings nicht beabsichtigt ist. Dennoch: Die Daten (E-Mail-Adresse) gehen an Wootric und man muss darauf vertrauen, dass der Dienstleister damit entsprechend sensibel umgeht. Und dies gilt ebenfalls für alle weiteren Dienstleister, die Zoom beauftragt.

Weiter habe ich Zoom bisher nicht überprüft, da man anschließend den Zoom-Client auf dem Rechner installieren soll. Ich gehe davon aus, dass dort anschließend noch weitere personenbezogene Daten an Drittanbieter übermittelt werden. Laut Zoom können dies sein:

Informationen, die häufig für Ihre Identifizierung verwendet werden, wie z. B. Ihr Name, Benutzername, Wohnadresse, E-Mail-Adresse, Telefonnummern und andere ähnliche Identifikatoren
Informationen über Ihre Arbeitsanstellung wie z. B. Ihre Berufsbezeichnung und Ihren Arbeitgeber
Informationen zu Ihrer Kredit-/Debit-Karte oder andere Zahlungsmethoden
Informationen zu Ihrem Facebook Profil (falls Sie zur Anmeldung bei unseren Produkten oder zur Erstellung eines Kontos für unsere Produkte Facebook verwenden)
Allgemeine Informationen über Ihre Produkt- und Dienstleistungspräferenzen
Informationen über Ihr Gerät, Ihr Netzwerk und Ihre Internetverbindung, wie z. B. Ihre IP-Adresse(n), MAC-Adresse, andere Geräte-ID (UDID), Gerätetyp, Art und Version des Betriebssystems und die Client-Version
Informationen über Ihre Nutzung oder sonstige Interaktion mit unseren Produkten („Nutzungsinformationen“)
Andere Informationen, die Sie während der Nutzung des Service („Kundeninhalte“) hochladen, bereitstellen oder erstellen, wie im Abschnitt „Kundeninhalte“ ausführlicher beschrieben

Vor diesem Hintergrund ist von der Nutzung von Zoom nur dringend abzuraten. Jeder, der die Datenschutzerklärung gelesen und verstanden hat, muss wissen: Hier werden offenbar einige Daten erhoben, gesammelt und an Dienstleister (Drittanbieter) übermittelt – datenschutzfreundlich ist das nicht.

Für reine Datenschutzrechtler, die den Datenschutz von Zoom allein auf Basis der Datenschutzerklärung bewerten, dürfte allerdings vermutlich weiterhin gelten: Alles »okay« bzw. im rechtlichen Rahmen. Das reicht allerdings im Jahr 2020 nicht mehr aus, wie diverse technische Analysen der Datenflüsse zeigen, die ich in der Vergangenheit durchgeführt habe. Das Datenschutzversprechen von Zoom hat jedenfalls ungefähr so viel Bestand wie eine Tüte Gummibärchen im Kindergarten – nämlich keinen.

Fazit: Wenn ein Jurist sagt, dass Zoom datenschutzkonform betreibbar ist, bedeutet das nicht, dass es einfach so datenschutzkonform ist. Es bedeutet nur: Mit (unter Umständen sehr viel) manueller Nachbesserung an den Einstellungen (bspw. vom Zoom-Client) und Abschluss eines Auftragsverarbeitungsvertrags (u.U. nach Verhandlungen und Abänderung des standardmäßig angebotenen Vertrages) kann es möglich sein, dass man es rechtskonform betreiben kann.

Unterstütze den Blog mit einem Dauerauftrag! Mitmachen ➡