ZOOM-Videokonferenz

Wir nutzen den US-amerikanischen Anbieter ZOOM zur Durchführung von Videokonferenzen. Nach sorgfältiger Prüfung der Technik und der Unterlagen halten wir dies für datenschutzrechtlich vertretbar. Lesen Sie hier die Hintergründe.

Die Historie

In früheren Zeiten hatten wir GotoMeeting und Cisco-Webex-Meeting verwendet. Letztere waren leider auch nach Monaten nicht in der Lage den Vertrag zur Auftragsverarbeitung (in Form eines EU-Standardvertrags) gemäß Artikel 28 zurückzusenden; auch andere technische Belange gefielen nicht. Ein Test mit unserem "lokal" installierten NextCloud-Talk verlief alles andere als befriedigend. BLIZZ funktionierte recht gut, konnte aber nicht überzeugen (u.a. wegen einem proprietären Videoformat beim Recording). Andere Programme hatten enorme Einschränkungen.

Und da ist noch ZOOM... Anfang 2020 war der Dienst in starke Kritik geraten, weil es wohl viele Sicherheits- und Datenschutzprobleme gab. Das hat sich zwischenzeitlich geändert und sogar der Bundesdatenschutzbeauftragte Prof. Ulrich Kelber hat sich wohl positiv geäußert. Entscheidend für uns war die Tatsache, dass seit Kurzem eine echte Ende-zu-Ende-Verschlüsselung möglich ist.

Positive Aspekte an ZOOM

Unser Test Anfang Dezember hat gezeigt:

• Es gibt einen EU-Standardvertrag (hier), der automatisch mit der Bestellung als unterzeichnet gilt. Vertragspartner ist "Zoom Video Communications, Inc." in den USA.
• Als Kunde kann man einstellen, in welchen Rechenzentren der fließende Verkehr gespeichert werden darf. Hier kann man sich auf Deutschland festlegen (und muss aber das Häkchen bei USA belassen). Immerhin kann man z.B. chinesiche Server ausschließen.
• Eine Ende-Zu-Ende-Verschlüsselung kann sehr einfach eingerichtet werden (hier). Man erkennt sie überall an dem grünen Schild mit dem Schloßsymbol (statt des Häkchens). Zunächst muss im Admin-Bereich unter den Kontoeinstellungen die Option "Durchgehend (E2E) verschlüsselte Meetings" aktivieren. Dann kann noch bestimmt werden, welches der Standardwert für die Verschlüsselung ist und ob die User dies ändern dürfen. Erst dann können die Nutzer die Verschlüsselung in ihren Meetings entsprechend auswählen. Nachteil: Telefonische Teilnehmer hören die Nachricht "Diese Sitzung erlaubt keine Telefonwahl" und werden nicht zugelassen. Das ist einerseits bedauerlich, andererseits konsequent. In der Einstellung "Erweiterte Verschlüsselung" können sich die Teilnehmer auch per Telefon einwählen (z.B. über 030 / 567 958 00). Im Vergleich zu anderen Anbietern wird dieser Sachverhalt glasklar kommuniziert.
  Erwähnenswert ist auch, dass der individuelle Verschlüsselungs-Schlüssel zwischen den Teilnehmern sehr einfach verifiziert werden kann. Dies hatte zuletzt die Datenschutzkonferenz so gefordert, und ZOOM ist der einzige uns heute bekannte Dienst, der dies auch leistet.
• Für den Fall, dass nur zwei Teilnehmer kommunizieren, so wird wohl automatisch auf eine Peer-To-Peer-Verbindung umgeschaltet. Dann fließen die Daten also gar nicht mehr über die Zoom-Server. Dementsprechend sind sie auch nicht belauschbar.
• Im Wartebereich kann man eine individuelle Nachricht hinterlassen, die der Besucher lesen kann! Das ist ein absolutes Alleinstellungsmerkmal. Hier kann man im Sinne des Artikel 13 vorab über die Datenverarbeitung informieren bzw. sich eine Einwilligung in die US-Datenübermittlung einholen. Super Sache!
• Bei Aufzeichnungen ("Recording") kann man die lokale Aufzeichnung vorgeben (bei aktivierter Ende-zu-Ende-Verschlüsselung ist die Cloud-Aufzeichnung sowieso nicht möglich). Der Start der Aufzeichnung wird durch eine Textnachricht bei allen Teilnehmern angezeigt (Telefonteilnehmer erhalten einen gesprochenen Hinweis "Dieses Meeting wird aufgezeichnet"). Außerdem erscheint ständig eine kleine rote Aufzeichnungslampe. Außerdem kann sogar eine echte Einwilligungslösung implementiert werden; jeder Teilnehmer kann dann "Fortfahren" oder "Meeting verlassen". Das ist wirklich transparent. Das lokale Video wird im MP4-Format gespeichert und ist somit später für jederman leicht verfügbar (anders als bei BLIZZ im Dezember 2020). Im Recording-Ordner werden auch die reinen Audio-Dateien im M4A-Format angeboten (und zwar auch für jeden einzelnen Sprecher).
• Überhaupt gibt es unglaublich viele Einstellungsmöglichkeiten hinsichtlich der Features der Software (Ton, Video, Uploads etc.) und der Sicherheitsoptionen (Passwortqualität, 2-Faktor-Authentifizierung, ...).
• Die Freigabe von Applikationsfenstern funktioniert sehr gut. Auch wenn andere Fenster kurz mal etwas verdecken, so wird der Inhalt doch immer sehr ansprechend präsentiert.
• Eine Fernsteuerung von Maus & Tastatur ist möglich... sehr wichtig bei technischem Support.
• Wichtig für's Homeoffice: Die Optionen des virtuellen Hintergunds sind der Hammer! Die Qualität ist sehr gut. Hier kann man ein Häkchen setzen, wenn man einen Greenscreen nutzt (für noch bessere Resultate). Und man kann auch eigene Bilder und sogar Videos als Hintergrund nutzen. Wirklich überzeugend! (P.S. Optional kann eine behutsame Retusche-Funktion genutzt werden, sodass z.B. Hautunreinheiten und Bartschatten weichgezeichnet werden.)
• Wie auch schon bei Cisco-Webex-Meeting, so gibt es hier einen dauerhaften persönlichen Raum... nur mit dem Unterschied, dass man sich dessen ID selbst aussuchen kann.
• Eine Einwahl per Webbrowser (also ohne installierte App) lässt sich konfigurieren ("Von Ihrem Browser teilnehmen"). Recht unscheinbar erscheint der Hyperlink dazu unten rechts. Die Funktionalität ist eingeschränkt, aber für die Teilnahme an einer einfachen Videokonferenz sollte es immer reichen (https://zoom.us/wc/join/21669652333). Möglicherweise empfiehlt sich hier dann der Webbrowser Google-Chrome, weil er oftmals am besten funktioniert. Übrigens kann man auch der Moderator ein Meeting mittels Webbrowser starten.
• Die Smartphone-App ist sehr beliebt (mehr als 500 Mio. Downloads im Google-Playstore) und bei vielen potentiellen Meeting-Partnern somit bereits vorhanden. Der Bedienkomfort ist hoch. Nach der Installation der App muss man sich nirgendwo registrieren, sondern kann sofort an einem Meeting teilnehmen. Das ist komfortabel und datensparsam. [Wenn man das mit MS-Teams vergleicht, wo die Erst-Teilnahme eher einem "Spießrutenlauf" entsprach, der nur mit sehr viel Geduld und Toleranz möglich war...]

Hinzu kommt:

• Die Zoom-App ist schon bei vielen Menschen installiert. Insofern ist die Akzeptanz hoch und die technischen Hürden gering. Das ist natürlich im engeren Sinne kein Datenschutz-Argument, aber in der Praxis spielt es eine große Rolle (z.B. dann, wenn die Konzernmutter in den USA oder in Korea sitzt, denn dort will man eventuell keine kleine, unbekannte deutsche App installieren).
• Die Software erscheint in den Basisfunktionen ausgereift und gleichermaßen innovativ. Man kann davon ausgehen, dass auch in Zukunft noch interessante Features entwickelt werden.
• Als einziger uns bekannter Anbieter geht Zoom auf die DSK-Checkliste ein.
• Der Preis von 14 € mit monatlicher Kündigungsfrist ist sehr attraktiv.