Zu Zeiten einer Pandemie ist es für die Wirtschaft unerlässlicher denn je, Home-Office salonfähig zu machen. Dafür bedarf es zuerst einer hinreichenden technischen Infrastruktur. Viel Vorbereitungszeit hat Covid-19 den Unternehmen dafür nicht gegeben. Neben altbekannten Diensten von Microsoft (Skype oder MS-Teams) tritt ein bis dato recht unbekannter Dienst besonders ins Rampenlicht: Zoom. Eine Webkonferenzplattform, die nach eigenen Angaben für Interna von großen Unternehmen mit hinreichenden IT-Strukturen entworfen wurde und die mittlerweile bis zu 200 Millionen Nutzer aus Bildung, Klein- und Großunternehmen oder nur rein privaten Bereichen täglich verzeichnet.[1] Logische Konsequenz daraus sind IT-Sicherheitslücken, von denen einige in letzter Zeit offenbart wurden. Es gab jüngst Berichte u.a. über „Zoombombing“[2], Übermittlung von Daten an Facebook[3] und eine unzureichende Verschlüsselung der Kommunikation[4]. Diese Fülle an Kritik ist schon deswegen bedenklich, weil deutsche staatliche Universitäten, die besonders an Recht und Gesetz gebunden sind[5], Zoom als Plattform für die elektronische Lehre im kommenden Semester verwenden wollen.
Zoombombing
„Zoombombing“ nennt man das Entern von Konferenzen. Diese sind über eine 7- bis 9-stellige Adresse anwählbar, ungeladene Gäste können also durch Ausprobieren ungezielt irgendeinem Zoom-Call beitreten. Es steht ihnen dann offen, wenn der Konferenzleiter die entsprechenden Einstellungen nicht manuell geändert hat, ihren Bildschirm mit allen anderen Teilnehmern zu teilen. Dadurch kam es in letzter Zeit zu rassistischen Attacken und Bombardierungen mit Ekel- und Pornovideos durch Internettrolle. So mussten zum Beispiel virtuelle Wahlkampfauftritte in den USA abgebrochen werden und Online-Sabbats wurden mit antisemitischen Inhalten geflutet.[6] Die damit begangenen Straftaten wie zum Beispiel Beleidigung (§ 185 StGB), Volksverhetzung (§ 130 StGB) oder Verbreitung pornographischer Schriften (§ 184 StGB) können gegen die anonym auftretenden Täter praktisch nicht geahndet werden.
Das Zoombombing wurde von Zoom in zwei Blogbeiträgen ausführlich adressiert.[7] Zoom verfügt grundsätzlich über entsprechende Einstellungen, um ungebetene Gäste zu verhindern. Der Konferenzleiter kann Passwörter und virtuelle Warteräume erstellen, Teilnehmer pausieren und aus der Sitzung entfernen oder einstellen, dass Teilnehmer ihre Bildschirme nicht teilen können. Das Problem daran ist, dass diese Einstellungen keine Standardeinstellungen sind und manuell eingerichtet werden müssen. Hier hat Zoom Änderungen angekündigt. Bei schulischen Nutzungen („K-12 program“) waren die Standardeinstellungen bereits geändert worden, mittlerweile wurde diese Änderung aber auch auf alle anderen Nutzer erweitert.[8] Auch wenn Zoombombing scharf zu verurteilen ist, so kann das nicht (mehr) Zoom vorgehalten werden. Mit den neuen Einstellungen und ausführlichen Guidelines des Anbieters sollte es nunmehr in der Verantwortung des jeweiligen Konferenzleiters liegen, böswillige Attacken zu verhindern.
Datenübermittlung an Dritte
Zoom hatte weiterhin – besonders bei iOS Geräten – personenbezogene Daten wie Zeitzone des Standorts, Telekommunikationsanbieter oder die Werbe-ID an Facebook übermittelt.[9] Mithilfe dieser Daten sollte „targeted advertisement“ gefördert werden – auch, wenn der Nutzer überhaupt kein Profil bei Facebook besaß. Grundsätzlich ist dieses Vorgehen nicht ungewöhnlich. Viele Unternehmen übermitteln personenbezogene Daten zu Werbezwecken an Dritte. Mal ganz abgesehen von Cookies gibt es eine Vielzahl von Datenübermittlungen zu einer Vielzahl von Zwecken wie Logistik, E-Commerce, Datenspeicherung und -sicherung sowie andere Optimierungen des Anbieters.[10] Wenn die Übermittlung in der Datenschutzerklärung hinreichend verständlich dargestellt wurde (Art. 7 II 1 DS-GVO) und keine unzulässige Kopplung (Art. 7 IV DS-GVO) vorliegt, dann ist die Datenübermittlung regelmäßig infolge der Einwilligung gemäß Art. 6 I lit. a) DS-GVO rechtmäßig. Bei der Datenübermittlung zu Werbezwecken wird die Datenschutzerklärung dann mangels unangemessener Benachteiligung (§ 307 I BGB) einer AGB-Kontrolle standhalten. Wenn es dabei um die wesentlichen Funktionsweisen des Dienstes handelt, können im Einzelfall auch Art. 6 lit. b) (Erfüllung eines Vertrages) oder lit. f) DS-GVO (Wahrung berechtigter Interessen) als Rechtfertigungsgrund greifen. Wenn eine solche (rechtmäßige) Datenübermittlung auch tatsächlich vorliegt, dann muss der Dienst auch hinreichende Informationen nach Art. 13 DS-GVO, besonders hinsichtlich des Zwecks der Übermittlung, bereitstellen.
Das Problem bei Zoom war, dass die Datenschutzerklärung kein Wort über die Weitervermittlung von Daten an Facebook oder auch sonst nur zu Werbezwecken enthielt. Und selbst wenn dem so wäre, wäre es wohl kaum zu rechtfertigen, dass Facebook auch diejenigen Daten erhält, mit denen das Unternehmen mangels registrierten Profils gar nichts anfangen kann. Als Antwort auf diese Offenbarungen gab sich Zoom-CEO Eric Yuan unterwürfig und versprach, das Nutzervertrauen wiederherzustellen.[11] Eine Datenübermittlung an Facebook soll nicht mehr stattfinden. Seitdem gab es keine Medienberichte mehr, dass ein neuerlicher Datenmissbrauch bei Zoom stattfand. Ob man der Plattform wieder sein Vertrauen schenken will, bleibt letztendlich aber dem einzelnen Nutzer bzw. der einzelnen Nutzerin überlassen.
Unzureichende Verschlüsselung
Noch vor kurzem hieß es von Seiten Zooms, dass der Dienst zur Sicherheit der Daten eine Ende-zu-Ende Verschlüsselung verwende. Diese Kommunikationsform, die auch für andere Videokonferenzen von Anbietern wie dem Messenger Wire oder Apples FaceTime verwendet wird, soll gewährleisten, dass die Kommunikationsinhalte so verschlüsselt sind, dass sie nur jeweils von Absender und Empfänger wieder entschlüsselt werden können. Allerdings wurde herausgefunden, dass Zoom tatsächlich mit einer Transport Layer Security (TLS)-basierten Verschlüsselung geschützt ist, was Zoom auch zugab.[12] Das heißt, es ist lediglich der Transportweg verschlüsselt, die Daten werden aber auf Servern von Zoom ent- und dann wieder verschlüsselt. Damit ist es Zoom möglich, herkömmliche Telefonanrufe mit einzuwählen – aber auch Mitschnitten Tür und Tor geöffnet.[13] Rechtlich gesehen wird der Verantwortliche nach Art. 32 I lit. a) Var. 2 DS-GVO zur Verschlüsselung von personenbezogenen Daten verpflichtet. Diese technische Maßnahme bezieht sich aber vornehmlich auf den Übertragungsweg und soll vornehmlich die Daten vor unbefugtem Zugriff Dritter schützen.[14] Die Verwendung von TLS steht dem nicht per se entgegen, wie andere VoIP Dienste zeigen, die auch TLS-basierte Verschlüsselungen verwenden.
Zoom hat offiziell versichert, dass die Daten, die auf Zoom-Servern durch die Transportverschlüsselung eingesehen werden können, sicher sind, nicht weitergegeben werden und auch sonst vor unbefugtem Zugriff geschützt sind. Insbesondere wurde versichert, dass in der Verschlüsselung kein Backdoor, etwa für den Strafvollzug, eingebaut wurde. Schenkt man diesen Zusicherungen Glauben, so erfüllt die Verschlüsselung durch Zoom die datenschutzrechtlichen Anforderungen von Art. 32 DS-GVO. Die Glaubwürdigkeit hinsichtlich der Datensicherheit dürfte allerdings unter der fälschlichen Behauptung, eine Ende-zu-Ende Verschlüsselung eingesetzt zu haben, deutlich gelitten haben.
Weitere Bedenken
Bis vor kurzem wurde Zoom auf Mac-Computern mithilfe der Programme, die beim Mac eigentlich für vorinstallierte Dienste gedacht war, ohne Zustimmung des Nutzers installiert. Dieser vereinfachte Installationsweg führte dann dazu, dass die Anwendung (mitsamt dessen Zugriff auf Webcam und Mikrofon) leichter gehackt und somit der gesamte Mac kompromittiert werden konnte.[15] Mittlerweile wurde bei Zoom ein Sicherheitsupdate durchgeführt, dass die aufgeworfenen Probleme nach eigenen Angaben lösen sollte. Ein weiteres Sicherheitsproblem stellte dar, dass mit Eingabe von „\\“ automatisch ein UNC-Hyperlink erstellt wurde, über den ein direkter Befehl an den PC und damit dessen Übernahme möglich war.[16] Auch diese Sicherheitslücke soll durch Updates geschlossen worden sein.
Kürzlich entfernte Zoom auch das Feature „attention tracking“ mit dem es dem Konferenzleiter möglich gewesen ist, zu sehen, ob die anderen Teilnehmer Zoom auch im Vordergrund geöffnet hatten.[17]
Fazit
Die Sicherheits- und Datenschutzbedenken, die in letzter Zeit um Zoom laut geworden sind, hat der Dienst mittlerweile weitestgehend behoben – so zumindest die eigenen Angaben. Ob diesen Glauben zu schenken ist, wird die Zukunft und das Nutzervertrauen zeigen. Jedoch ist Zoom zugute zu halten, dass es – genau wie alle anderen auch – durch die Coronavirus-Pandemie überrumpelt worden ist. Zoom wurde 2011 gegründet und wurde seitdem von vielen Unternehmen in der internen Kommunikation benutzt. Viele der oben besprochenen Probleme konnten dabei noch gar nicht auftauchen, weil die Unternehmen über eigene hinreichende IT-Infrastrukturen verfügten und die Kommunikation keine Ausmaße wie die jetzigen angenommen hat. Heute aber will jeder mit jedem über Zoom kommunizieren. Dass der Dienst bei diesem plötzlichen Systemwechsel hinterherhinkt, ist nicht überraschend. Immerhin hat sich Zoom in letzter Zeit sehr um das Nutzervertrauen und die Bekämpfung von Sicherheitslücken bemüht. Dies kann zwar auch von dem Besuch der New Yorker Generalstaatsanwältin herrühren, dennoch sollte man Zoom (mit angemessener Vorsicht) einen gewissen Vertrauensvorschub gewähren. Dass deutsche Universitäten jetzt Zoom schrittweise in ihre Infrastrukturen einbinden wollen, ohne dabei die datenschutzrechtlichen Bedenken außer Acht zu lassen, deckt sich mit dieser Maßgabe.
[1] Yuan, A Message to Our Users (zuletzt abgerufen am 9.4.2020).
[2] Tremmel, Zoombombing: Trolle übernehmen Zoom-Konferenzen, Golem.de, 31.03.2020 (zuletzt abgerufen am 9.4.2020).
[3] Schäfer, Zoom: Videokonferenzdienst schickt heimlich Daten an Facebook, 30.03.2020 (zuletzt abgerufen am 9.4.2020).
[4] Ries, Videokonferenz-Software: Ist Zoom ein Sicherheitsalptraum?, 02.04.2020 (zuletzt abgerufen am 9.4.2020).
[5] Gurlit, Grundrechtsbindung von Unternehmen, NZG 2012, 249, 252.
[6] Stunson, Zoom hackers use porn and racist messages to cut in on video conference calls, 31.03.2020 (zuletzt abgerufen am 9.4.2020).
[7] Yuan (Fn. 1); Zoom, How to Keep Uninvited Guests Out of Your Zoom Event, 20.03.2020 (zuletzt abgerufen am 9.4.2020).
[8] Constine, Zoom will enable waiting rooms by default to stop Zoombombing, 03.04.2020 (zuletzt abgerufen am 9.4.2020).
[9] Cox, Zoom iOS App Sends Data to Facebook Even if You Don’t Have a Facebook Account, 26.03.2020 (zuletzt abgerufen am 9.4.2020).
[10] Exemplarische Aufzählung anhand des Beispiels von Snapchat.
[11] Yuan (Fn. 1).
[12] Gal, The Facts Around Zoom and Encryption for Meetings/Webinars, 01.04.2020 (zuletzt abgerufen am 9.4.2020).
[13] RND, Wie der beliebte Video-Dienst Zoom am Datenschutz scheiterte, 07.04.2020 (zuletzt abgerufen am 9.4.2020); Ries (Fn. 5).
[14] Martini, in: Paal/Pauly (Hrsg.), DS-GVO BDSG, 2. Auflage 2018, DS-GVO, Art. 32 Rn. 34.
[15] Donath, Alternative gesucht: Zoom für Videokonferenzen gefährden Sicherheit am Mac, 01.04.2020 (zuletzt abgerufen am 9.4.2020).
[16] Ries (Fn. 5).
[17] Bode, Working From Home? Zoom Tells Your Boss If You’re Not Paying Attention, 16.03.2020 (zuletzt abgerufen am 9.4.2020).