Zoom ist böse und MS Teams gut?

Dass zoom ungeschlagen in Punkt 1 und 2 ist, ist unbestritten. Zusätzlich halten wir zoom mittlerweile auch für eine der sichersten LiveSeminar-Tools. Dies liegt zum einen daran, dass seit ca. Februar 2020 die gesamte Manpower von Zoom am Thema Sicherheit arbeitet und daher mehrmals pro Woche neue Security Features hinzukommen. Zum anderen kann jeder Host seinen Account zusätzlich sichern. 

Was tut zoom für die Daten-Sicherheit?

• Zoom erfüllt die Anforderungen der DSGVO (hier kann über die Datenschutz-Richtlinien bei Zoom nachgelesen und mit den DSGVO-Anforderungen abgeglichen werden - die Infos sind in dem Brief an die Kunden kompakt zusammengefasst).
  https://zoom.us/docs/en-us/privacy-and-security.html 
• AVVs (Arbeits-Verarbeitungs-Verträge werden seit 08.04.2020 standardmäßig beim kostenpflichtigen Account im SCC erstellt). Standard Contractual Clauses (SCC) sind Standardschutzklauseln, die den Vertragspartner zur Einhaltung des Europäischen Datenschutzniveaus verpflichten. https://zoom.us/gdpr
• Zoom ist in San José im PrivacyShild gelistet, das die Einhaltung der Datenschutzrichtlinien (z.B. der DSGVO) überprüft, z.B. dass keine Metadaten abgegriffen werden. Hier kann selbst nachgeschaut werden: https://www.privacyshield.gov/ 
• Video, Audio, Chat etc. sind verschlüsselt. Wie bei fast allen Plattform-Anbietern ist es zwar keine End-to-End-Verschlüsselung wie man sie von z.B. bestimmten Messangern (iMessage oder Signal kennt) und der Schlüssel wird auch im eigenen Zentrum erzeugt (wie bei fast allen Plattform-Anbietern außer Webex von Cisco). Jedoch wird gewährleistet, dass kein Mitarbeiter und kein Externer Daten vom TN während oder nach der LiveConference abgreifen kann.

Was tun wir für die Sicherheit unserer Teilnehmenden?

• Wir empfehlen unseren TN, immer die neueste Version von zoom, mind. 5.04 (Stand 28.05.20) zu verwenden. 
• Wir empfehlen unseren TN, sich direkt bei zoom zu registrieren und keine Fremdzugänge wie „facebook-Konto“ oder „google-Konto“ zu nutzen.
• Wir haben als Server-Nutzung Europa als bevorzugt ausgewählt (andere Länder, wie z.B. China werden ausgeschlossen). In jedem Meeting kann oben links mit Klick auf das kleine Security iCon noch einmal nachgeschaut werden, welches Rechenzentrum in dem aktuellen Meeting genutzt wird.
• Wir speichern die Aufzeichnung ausschließlich auf unseren Rechnern und nicht in einer Cloud von zoom. Die Aufzeichnung kann nur durch den Moderator erfolgen und auch nur durch das aktive Einverständnis der TN (Klick auf das Einverständnis).
• Wir haben immer einen Warteraum vorgeschaltet, so dass keine unbekannten Nutzer dabei sein können („Bombing“ ausgeschlossen). 
• Bildschirmfreigabe kann durch den Moderator erlaubt und verboten werden (meist Selbstschutz für die TN, damit nicht unüberlegt sensible Daten freigegeben werden). Bei der Bildschirmteilung können nur einzelne Anwendungen freigegeben werden, der gesamte Desktop ist nicht notwendig.
• Wir erlauben die webbasierte Nutzung von zoom, damit kein Programm auf dem Rechner installiert werden muss - auch wenn es die Funktionalität in kleinen Teilen wohl einschränkt.
• Für die Meetings werden Kennwörter vergeben, die seit zoom5.0 nicht mehr in dem Meeting-Link sichtbar sein müssen.  
• Wir nutzen kein Aufmerksamkeits-Tracking, was ohnehin nicht mehr möglich ist und von uns auch nie eingesetzt wurde.
• Wir erlauben die Aktivierung eines virtuellen Hintergrundes für die TN, damit sie selbst bestimmen können, was die anderen TN vom (privaten) Umfeld sehen können.
• Wir verpflichten die TN dafür zu sorgen, dass sie so am zoom-Meeting teilnehmen können, dass keine Unbefugten Blick auf den Bildschirm haben oder mithören können (ggfls. Headset aufsetzen).

Wenn zoom also gar nicht böse ist, ist dann MS Teams vielleicht gar nicht gut?

Diese Begrifflichkeiten "gut" und "böse" sind natürlich idiotisch, spiegeln aber die immer und immer wieder auftauchende Diskussionen gut wieder. Wir sind keine MS Teams Profis, haben in den letzten Wochen folgendes festgestellt (wenn hier nicht korrektes formuliert ist, bitte ich um Nachricht - die hier aufgeführten Punkte entsprechender nur der eigenen Erfahrung): 

• um an einem Meeting teilnehmen zu können, müssen Name und E-Mail Adresse der TN vom Veranstalter abgefragt werden. Sie werden für die Einrichtung und Zuschaltung benötigt. Die Anmeldung erfolgt also nicht durch den TN.
• die Aufzeichnung kann ohne Wissen der TN gemacht werden (es braucht kein aktives Einverständnis)
• die Aufzeichnung wird automatisch in der Cloud eines MS Teams Rechenzentrum abgespeichert, sie kann nicht auf dem Rechner der Hosts hinterlegt werden
• die Art der Verschlüsselung ist undurchsichtig, es gibt keine eindeutige Aussage dazu
• Warteraum und virtuelle Hintergründe gibt es bei MS Teams auch
• In Punkto Stabilität und Funktionalität hinkt MS Teams hinter zoom weit her (keine eigenen Schreibwerkzeuge, keine klassischen Gruppenräume ...)
• In Punkto asynchrone Ergänzung zum LiveSeminar ist MS Teams zoom weit voraus: hier kann gechattet, gemeinsam an Dokumenten gearbeitet und Material übersichtlich abgelegt werden (dies alles fällt bei zoom komplett weg)

Wir stellen fest: es lohnt sich für die Unternehmen zoom (und auch MS Teams) hinsichtlich Datenschutz noch einmal kritisch zu analysieren. Denn in den letzten Wochen hat zoom extrem aufgeholt und lässt viele andere Anbieter jetzt in Sachen Datenschutz hinter sich.

Uns ist bewusst, dass kein digitales System 100%ig vor illegalem Datenklau oder Hacker-Angriff geschützt werden kann. Wichtig ist, dass seitens des Anbieters Maßnahmen ergriffen werden, um dies bestmöglich zu verhindern. Zoom hat alle notwendigen Vorkehrungen getroffen und erhöht den Sicherheits-Standard mit jedem Update.

Wir halten - wie viele Datenschützer und IT’ler in Unternehmen - zoom für sicher. Dennoch bleiben wir wachsam und verfolgen aktuelle Entwicklungen genau.

Weitere Infos:

https://datenschutz-generator.de/dsgvo-video-konferenzen-online-meeting/

https://www.datenschutz-notizen.de/ende-zu-ende-verschluesselung-von-videokonferenzen-1825597/