Was ist für eine DSGVO-konforme Einrichtung und Nutzung von ZOOM zu beachten?

Die Forschungsstelle Recht in der Digitalen Hochschule NRW hat unter Leitung von Prof. Thomas Hoeren untersucht, ob Universitäten für den Lehr- und Arbeitsbetrieb den Videokonferenzdienst der Firma Zoom Inc. nutzen können ohne gegen die DSGVO zu verstoßen.

Das Ergebnis ist, dass Zoom unter Beachtung einiger Verhaltensweisen DSGVO-konform einzurichten und fortlaufend verwendet werden kann. Da Prof. Thomas Hoeren ein ausgewiesener Spezialist auf diesem Gebiet ist, können die Forschungsergebnisse auch für den unternehmerischen Bereich übertragen werden.

Es werden 10 Punkte als Voraussetzung für die DSGVO-konforme Einrichtung und Nutzung dargestellt:

  1. Dokumentation der Abwägungsentscheidung für die Auswahl eines Videokonferenzdienstes als Auftragsverarbeiter unter Berücksichtigung von Alternativen.
  2. Abschluss eines Auftragsverarbeitungsvertrags (AVV) mit Zoom Inc., welcher von Zoom bereitgestellt wird.
  3. Abschluss der Standard Contractual Clauses (SCC), die dem AVV beigefügt ist.
  4. Bei der Implementierung der Software müssen gewisse Funktionen, wie das Aufmerksam-keitstracking, und Programmstrukturen deaktiviert werden. Achtung, es handelt sich um mehr als hundert Optionen!
  5. Vornahme datensparsamer Voreinstellungen (defaults), wie z.B. Warteraum aktivieren, Meeting-Passwörter vergeben oder Bildschirm teilen nur nach Anfrage an den Host möglich.
  6. Erstellung einer eigenen Datenschutzerklärung.
  7. Erstellung von Anleitungen und Schulungsunterlagen für NutzerInnen zur datenschutzfreundlichen Nutzung von Zoom, etwa inkl. Sicherheitshinweise bzgl. Zoombombing. 
  8. Ergänzung des Verzeichnisses der Verarbeitungstätigkeiten gem. Art. 30 DSGVO um die Datenverarbeitungen in Zusammenhang mit Zoom.
  9. Anforderung der Verträge von Zoom mit Unterauftragsverarbeitern („Subprocessors“) und Anlage einer entsprechenden Liste. 
  10. Während des Betriebes:
    a. Monitoring der ggfs. neu hinzukommenden Unterauftragsverarbeitern und ggfs. Widerspruch   bei bekannten Mängeln des Unterauftragsverarbeiters (dann werden Alternativen, wenn nicht möglich Vertragsauflösung angeboten)
    b. Anfordern und Durchsicht der jährlichen Datensicherheits-Auditierungen bei Zoom

Wie Sie aus diesen Punkten entnehmen können, ist eine Verwendung von Zoom möglich, bedarf jedoch der konkreten Einrichtung im Einzelfall. Falls Sie Zoom einsetzen wollen, nehmen Sie deshalb vorher mit Ihrem DSB Kontakt auf.

zurück