Entspricht Zoom dem Datenschutz?
Zoom - Alles Wichtige zu Ihrer Datensicherheit
Ein Tweet und zwei Handelsblatt-Artikel haben eine Diskussion ausgelöst über einen aktuell zentralen Lebens-, Arbeits- und Wirtschaftsbaustein:
Video-Conferencing System Systeme und Ihre Sicherheit. Hier ist alles Wichtige zur Sicherheit von Zoom und warum wir trotz Medientbereichten - aktuell - Zoom nutzen und empfehln.
Q: Welche Verbindung besteht zwischen VOXR und Zoom?
Absolut keine.
Wir als VOXR sind Kunde von Zoom. Wir haben mit Zoom einen DSGVO Vertrag un nutzen es. Wir könnten auch ein anderes Tool nutzen, in Abwägung aller, gerade auch datenschutzrechtlichen Stärken und Schwächen aller Tools nutzen wir aktuell Zoom.
Zwischen dem VOXR Tool und Zoom besteht jedoch keinerlei Verbindung.
Weder technisch noch geschäftlich, noch inhaltlich.
Es sind zwei absolut getrennte Tools, die wir lediglich bei einer virtuellen Konferenz oder einem Webinar nebeneinander parallel benutzen.
Es findet keinerlei Datenübermittlung von VOXR (z.B. aus einer Interaktion) zu Zoom statt.
VOXR arbeitet seit 2016 mit Zoom, nicht weil es "optimal" wäre (ist es nicht), sondern weil es nach jetzigem Stand
a) rechtskonform ist
b) die meisten Einstellungsmöglichkeiten zum Schutz von persönlichen Daten bietet, welche wir von VOXR auch maximal ausschöpfen.
Um eine 100 %ig anonyme Kommunikation zwischen Teilnehmern und Veranstaltern auf deutschen Servern zu gewährleisten, bei der noch nicht einmal die IP-Adresse gespeichert wird, verwenden wir für sämtliche Interaktionen vom Teilnehmer zum Veranstalter das Tool VOXR, welches all diese Eigenschaften hat.
Q: Wie sind Teilnehmer in der Onlinekonferenz sichtbar?
Das hängt natürlich von den jeweiligen Einstellungen im Meeting- / Webinarraum ab.
Da uns Anonymität, Datenschutz und Persönlichkeitsrechte sehr am Herzen liegen, arbeiten wir mit zoom nur so: Teilnehmer sind absolut gar nicht sichtbar. Sie sind unsichtbar.
Wir haben all unsere VOXR-Zoom Accounts so eingestellt, dass weder wir, noch der Veranstalter, noch andere Teilnehmer die einzelnen Teilnehmer in der Konferenz sehen. Weder im Video, noch im Ton (es sei denn, Sie geben Namen, Ton und Bild selbst absichtlich frei, das bezieht sich aber nur auf die ActiveVirtual360 Pausenräume) . Noch sehen wir Email, noch sehen wir oder andere Teilnehmer Usernamen.
Sie sind gegenüber den anderen Teilnehmern während der Konferenz 100 % anonym.
Wenn Sie beim Login Ihren Klarnamen und Email-Adresse eingeben, kann VOXR (*nicht* andere Teilnehmer, nur VOXR) NACH der Konferenz sehen, dass Sie da waren, um Ihnen z.B. Informationen zu schicken, die wir Teilnehmern in der Konferenz versprochen haben.
Auch dann wissen wir aber nicht, wie lange Sie da waren und ob Sie nebenbei gesurft haben oder nicht. Wir wissen selbst dann nur, DASS Sie da waren.
Das ist wie im Tagungshotel, wenn Sie sich unter dem Klarnamen registrieren, lässt sich nachvollziehen, ob Sie da sind oder waren oder nicht. Die Namen der Teilnehmer werden aber *nicht* ungefragt an die Konferenzwand gepinnt (auch wenn viele das online inzwischen machen - wir machen das *nicht*).
Sie können aber selbst das auch verhindern, in dem Sie die Email-Adresse und den Namen "anonym" eingeben (so wie Sie beim Tagungshotel ja auch mit Decknamen einchecken könnten).
Q: Ich habe in den Medien gelesen, dass Zoom nicht "end-to-end" verschlüsselt sei?
Das stimmt: Zwar ist Kommunikation bis hin zu Zoom verschlüsselt. Auch die Kommunikation zurück zum anderen Teilnehmer ist verschlüsselt, aber es gibt einen Moment auf dem Server von Zoom, wo die Verbindung einsehbar wäre.
Dies wiederum ist leider bei sämtlicher Video-Conferening Software so*
Deshalb empfehlen wir, Gespräche (d.h. Fragen und Kommentare) über VOXR abzuwickeln, damit diese anonym sind und nicht auf amerikanischen Servern landen.
*Apple behauptet, Facetime sei End-to-End. Behauptet hatte Zoom das allerdings bis zu einem Medienbericht auch (hat dies aber inzwischen richtig gestellt).
Q: "Sieht" oder erhält Zoom Daten von Teilnehmern?
Einer der Services von VOXR als Veranstalter ist, dafür zu sorgen, dass Zoom
a) rechtskonfrom eingesetzt wird
b) darüber hinaus so gut wie keine Daten sammeln kann (durch das Abschalten von Services, die viele Conferencing Systeme einsetzen, auch Zoom).
c) schon gar keine Fragen, Kommentare, etc. von Teilnehmern erhält. Denn anders als adnere Services nutzen wir für diese wirklich persönlichen Äußerungen nicht das Video-Tool, sondern das Interaktions-Tool VOXR mit 100%iger Anonymität
In unseren Webinaren oder Virtuellen Konferenzen werden keinerlei Teilnehmerdaten durch VOXR oder den Veranstalter an Zoom übermittelt. Das liegt daran, dass wir ein eigenes Einladungssystem für die Emailversendung haben und nur den Webinarraum und Video-Teil von Zoom nutzen.
Zoom ist eine Online-"Location" im Netz, d.h. Zoom ist genau wie ein Tagungs-Hotel.
Genau wie ein Tagungshotel erhält Zoom nur genau die Daten, die Sie als Teilnehmer selbst Zoom geben beim Eintritt in das Meeting.
Wenn Sie sich im Tagungshotel mit Realnamen anmelden, so weiß das Tagungshotel, dass Sie dort von dann bis dann zu Gast waren.
Sie können sich im Tagungshotel auch mit einem Decknamen eintragen. Und das geht bei Zoom auch: Verwenden Sie einfach statt Ihrer realen Email-Adresse und den Usernamen "anonym".
Q: Ich habe aber gehört, Zoom sammelt Daten?
Zoom und alle anderen Anbieter von Video-Conferencing-Systemen sind, wie gesagt, wie ein Tagungshotel und sammeln Daten wie ein Tagungshotel:
Je nachdem, ob Sie mit Klarnamen oder Decknamen eingecheckt haben, verbucht das Hotel auch, dass dieser (Klar- oder Deck-Name) im Zimmer xyz war.
Was Sie in dem Zimmer gemacht haben, weiß das Tagungshotel nicht - die Zoom auch nicht, da Zoom nach eigener Aussage eine Ende-zu-Ende Verschlüsselung des Videos hat.
Q: Zoom soll Facebook Daten übermittelt haben?
Es gibt aktuell mediale Vorwürfe, nach denen Zoom bei Nutzung von Apple Computern Facebook Informationen gegeben habe.
Hiezu ist wichtig: Dieser sehr unschöne Zusammenhang, wäre er richtig, ist kein Zoom-Problem, sondern ein Internet- und Facebookproblem, welches nicht singulär bei Zoom auftritt, sondern bei tausenden angesehenen Unternehmen, die eine ähnliche Vereinbarung mit Facebook haben.
Möglich ist das deshalb, weil genau diese Datensammlung Teil der Nutzungsbedingungen von Facebook ist. Facebook-Nutzer willigen also selbst und persönlich ein, dass genau das mit tausenden Unternehmen passieren DARF (!)
Die beste Lösung dagegen ist daher, keinen privaten Facebook-Account auf dem Business-Rechner zu betreiben.
Zoom hat die frühere Übertragung an Facebook eingeräumt und nach eigener Aussage eingestellt.
Q: Ich habe gehört, Zoom konnte gehackt werden?
Bis Mittwoch, den 02.04.2020 hatte Zoom eine Sicheheitslücke. Wenn Hacker auf ziemlich komplizierte Weise in ein Meeting gelangt wären, in dem Sie dann einen Link im Chat von Zoom platziert hätten, dann hätten Teilnehmer darauf klicken können und bei ungünstiger Konfiguration dann Ihr Windows-Passwort an den Hacker verraten können.
Die Lücke ist laut Zoom geschlossen. Wichtiger aber: In der Einstellung, wie VOXR Zoom verwendet gibt es gar keinen Chat, also auch dieses Risiko. Input von Teilnehmern läuft bei ActiveVirtual360 Veranstaltungen über VOXR, wo ein solcher Hack aus mehreren Gründen nicht funktionieren kann.
Q: Kann ich anonym teilnehmen?
Durch die speziellen Einstellungen des VOXR Zoom-Accounts sind Sie automatisch anonym gegenüber anderen Teilnehmern.
Auch was Sie im Webinar machen, und ob Sie zuschauen oder gerade woanders surfen ist durch die VOXR Einstellungen automatisch anonym.
Wenn Sie zusätzlich auch anonymisieren wollen, dass Sie überhaupt da waren, machen Sie es, als wenn Sie sich in einem Tagungshotel mit einem Decknamen eintragen: Verwenden Sie einfach statt Ihrer realen Email-Adresse und den Usernamen "anonym".
Ihre Fragen, die Sie während der Konferenz stellen, sind ebenso automatisch anonym, denn diese laufen nicht über Zoom, sondern über VOXR, einem Service, der auf Ihrem Handy läuft, daher vollständig von Zoom getrennt ist und noch nicht einmal die IP-Adressen speichert (und auf deutschen Servern betrieben wird)
Q: Ich habe in den Medien gehört...
Es gab Anfang April einen typischen (sozial-) medialen Verlauf von Meldungen, dass Zoom schlechten Datenschutz habe. Für die dahinterstehenden Sachverhalte klicken Sie auf die Balken.
Zoom hat zunächst auf die einzelnen Vorwürfe jeweils umgehend reagiert, sie zunächst eingeräumt und dann per Updates ausgeräumt.
Zusätzlich hat Zoom nun angekündigt, vor dem Hintergrund des schnellen Wachstums durch Corona eine 3-Monatige Entwicklungspause einzulegen, und die Programmierressourcen nur für Datenschutz-Tests und Entwicklungen zu nutzen.
- zunächst soll Zoom soll Facebook Daten übermittelt haben
Zoom hat dies umgehend eingeräumt und dann nach eigener Ausssage abgestellt.
Zur ganzen Geschichte gehört allerdings, dass dies zwar ein unschönes Verhalten ist, aber kein Zoom-Problem, sondern ein von Facebook initiiertes Internet-Problem ist, bei dem tausende angesehene Unternehmen, die eine entsprechende Vereinbarung mit Facebook haben, an Facebook melden, wenn ein Facebook-User sie besucht hat.
Möglich ist das deshalb, weil genau diese Datensammlung Teil der Nutzungsbedingungen von Facebook ist. Facebook-Nutzer willigen also selbst und persönlich ein, dass genau das mit tausenden Unternehmen passieren DARF (!)
Völlig unabhängig von Zoom ist daher eine gute Lösung, keinen privaten Facebook-Account auf dem Business-Rechner zu betreiben.
- dann wurde "entdeckt", dass Zoom keine sogenannte "end-to-end" habe
Kein einziges Business-Video-System hat eine End-To-End Verschlüsselung.
Das Problem war dass, Zoom behauptete sie hätten es, bis man dann einräumte, dass dies "missverständlich ausgedrückt" sei, eine end-to-end Verschlüsselung, bei dem man auch bei Zoom nichts lesen könnte habe Zoom (wie alle anderen Business-Systeme) tatsächlich nicht.
Nur Apple Facetime behauptet end-to-end verschlüsselt zu sein, aber behauptet hatte Zoom das zunächst ja auch.
Wichtig ist hier auch der Kontext: Wenn Sie ein Event mit mehr als 20 Teilnehmern haben, dann ist der Faktor das Zoom (oder ein anderes Videso-System) sich von den Millionen Calls am Tag genau Ihren aussuchen würde, um dort "mitzuhören" (obwohl man dort sicher anders zu tun hat) vermutlich das kleinere Problem. Das größere ist, dass die 20 Teilnehmer Screenshots machen können, den Partner nebenan haben, etc . pp. Wer sensible Themen bespricht, sollte die Informationssicherheit vor allem durch Auswahl, Kommunikation und Geheimverpflichtung der Teilnehmer sichern.
- schließlich wurde das sogenannte "Conference-Bombing" adressiert
Mit der zunehmenden Bedeutung von Videosystemen nahm auch die zahl derer zu, die sich daran versuchten, mit den Systemen / Ihren Usern Schindluder zu treiben.
Dabei erraten User die Nummer eines Webmeetings. Wenn Hosts dieses Meetingnicht abgeschlossen hatten, so konnte man beitreten, wenn man die Nummer in der Internetadresse wusste - oder: erriet. Und genau letzteres machten die "Bomber".
In einem Sonderfall war ein solcher "Bomber" nicht nur in das Meeting gelangt, sondern hatte in den Chat einen Link gepostet, hinter dem ein Passwort-Späher lag.
Da bei ActiveVirtual360 Zoom Webinar eingesetzt wird und nicht Meeting. Und da bei ActiveVirtual360 der Chat ausdrücklich abgeschaltet ist. gab und gibt es dieses Problem bei ActiveVirtual360 nicht.
Die strikte Trennung von Video und Teilnehmer-Input, die wir bei VOXR empfehlen und bei ActiveVirtual360 umsetzten, hätte den Hackerangriff wirksam verhindert.
Zoom hat diese Probleme inzwischen auch beseitigt durch einen Passwortschutz, bzw. lange, encrypted Meeting-Links, sowie eine Linkprüfung im Chat.
Q: Welche Alternativen zu Zoom gibt es?
Das ist das zentrale Problem: Es gibt keine technisch sinnvollen Alternativen zu den Big Playern in den USA und diese haben alle vergleichbare Problem.
Der deutsche Anbieter Edudip hat gerade aufgrund von Kapazitätsproblemen sogar seine Free-Accounts geschlossen, sodass viele hier keine ausreichende Service-Sicherheit mehr empfinden. Außerdem kann in edudip der Chat nicht komplett abgestellt werden, so dass Teilnehmer fleißig etwas in den Chat tippen, dies auch auf die Server von Edudip gelangt, die Teilnehmer aber keine Antwort erhalten (jedenfalls von uns nicht, da wir Chat als einen Killer für strukturierte Konferenzen betrachten und stattdessen SMART Questions empfehlen.
Open Source Anbieter wiederum müssen auf eigenen Servern gehostet werden und sind - wegen der fehlenden weltweiten Infrastruktur - zwar für kleine 1:1 Meetings geeignet, aber nicht für Konferenzen von 30, 80 oder 1000 Teilnehmern. Dafür ist weltweite Infrastruktur nötig, wie Sie die großen Anbieter liefern.
WICHTIG: Die Tatsache, dass es keine Alternativen gibt, ist KEIN Grund, gegen Gesetze zu verstoßen - und das machen wir auch nicht.
Zoom ist Stand jetzt - datenschutzkonform. Darüber hinaus ist es über Jahre hinweg extrem stabil. Und:
Bei Zoom lassen sich Teilnehmerdaten (bis auf die IP-Adresse) vollständig anonymisieren, d.h. keine einzige Email-Adresse muss jemals Zoom erreichen.
Dies ist möglich, weil alle Interaktion mit Teilnehmern über das in Deutschland gehostete VOXR läuft, das nicht einmal die IP-Adresse speichert und Datenschutzführer im Markt ist.
Die Kombination aus der hohen Konfigurierbarkeit von Zoom (auf nahezu NUll Teilnehmerdaten) und VOXR führt für nicht nur zu der besten Usability im Event, sondern auch - in der Gesamtschau - bei allen Vor- und Nachteilen von Zoom uns in der Gesamtschau sogar zur besten Datenschutzlösung (weil die wenigst-möglichen Daten zum Video-Anbieter gelangen, im Vergleich zu anderen).
VOXR beobachtet den Markt sehr genau und wird bei Änderungen der Lage reagieren.
All dies gilt NUR für unser Angebot ActiveVirtual360.
FAZIT:
- VOXR allein ist ohnehin seit Jahren Datenschutz-führend bei Interaktionstools und kann 100 % unabhängig mit jedem Videosystem genutzt werden.
- Die Kombination aus
- den richtigen, über Jahre entwickelten Einstellungen für Zoom (oder einen anderen Anbieter)
- die konsequente Trennung von Video-Aussendung und Teilnehmer-Input auf zwei Systemen
- dem branchenweit führenden Datenschutz von VOXR für Teilnehmer-Input
macht auch ActiveVirtual360 aus unserer Sicht in der Gesamtschau zu einem maximal Daten- und Informationssicherheits-geschützen System im jetzigen Kontext von Corona.
Q: Muss ich als VOXR Kunde Zoom nutzen?
NEIN.
Sie haben einen Vertrag mit uns. Und Sie schließen automatisch auch einen DSGVO-Vertrag (AVV) in dem auch drinsteht, welche Drittanbieter wir einsetzen (z.B. Zoom) und dass wir das rechtskonform tun. Wir sind dazu gegenüber Ihnen als Kunde vertraglich und zu dem zivilrechtlich im Rahmen der DSGVO verpflichtet.
VOXR läuft dabei mit absolut jeder Video Conferencing oder Meeting-Software.
Wir nutzen Zoom NUR dann, wenn Sie zu uns ins Webinar kommen, oder wenn Sie ActiveVirtual360 buchen, weil bei ActiveVirtual360 unsere Zoom Account (nicht Ihrer, unser ZOom Account) Teils des Paketes ist.
Dabei stellen wir Zoom so ein, dass wir Rechtssicherheit herzustellen, Sie brauchen sich um nichts zu kümmern, weil - wenn wir dort einen Fehler machen würden - zunächst einmal WIR das Probleme hätten, nicht Sie. (Wir haben aber auch kein Interesse an Problemen und außerdem einen Ruf zu verlieren, denn VOXR ist für seinen sauberen Datenschutz sei Jahren bekannt).