Informationen zu Datenschutz und Sicherheit

CAU hat Vertrag zur Auftragsverarbeitung abgeschlossen

Im Rahmen des Vertragsabschlusses mit Zoom wurde eine gesonderte Vereinbarung zur Auftragsverarbeitung gemäß EU-DSGVO mit dem Anbieter abgeschlossen,  der die sog. EU-Standardvertragsklauseln enthält und zusammen mit der Privacy Shield Zertifizierung von Zoom das erforderliche Datenschutzniveau sicherstellt. Diese Vereinbarung wurde im Rahmen der Beschaffung von der Datenschutzbeauftragten geprüft.

Welche Daten werden beim Login in Zoom übertragen?

Beim Login über den Identitätsprovider in Zoom werden übertragen: eine dienstspezifische persistente persönliche ID, Name, Vorname, Anzeigename, zum Account gehörende dienstliche E-Mail-Adresse, sowie ein Attribut PersonEntitlement zur Spezifikation der innerhalb von Zoom zu gewährenden Rechte.

Die übertragenen persönlichen Daten können im Rahmen des Login-Vorgangs angezeigt werden, so dass erst durch eine Zustimmung zur Übertragung die Daten übertragen werden:   

Anzeige übertragener Daten bei Login über IDP

Zoom speichert bei direkt beim Anbieter angelegten Accounts zusätzlich das Passwort als salted Hash.

Die bei Zoom zum Account gespeicherten Daten können nach dem Login auf der persönlichen Profil-Seite eingesehen werden.

Welche Kategorien von Daten werden von Zoom insgesamt bearbeitet?

Eine ausführliche Aufstellung der Kategorien von Zoom erfassten und verarbeiteten Daten sowie der jeweilige Zweck der Verarbeitung findet sich auf 
https://zoom.us/privacy

Weitere Datenschutz- und Sicherheitsaspekte im Umfeld des Produktes

Es gab und gibt durchaus seriöse und fachlich fundierte Warnungen vor der Nutzung des Dienstes Zoom aufgrund von Sicherheitslücken, zu offener Standardeinstellungen oder rechtlich fragwürdiger Datenschutzhandhabung. Hinzu kommt das Grundproblem, dass es sich um einen US-Amerikanischen Anbieter handelt, für den die Bestimmungen der EU-DSGVO zunächst einmal nicht bindend sind. Diese Hinweise und Aspekte wurden auch im Rahmen der Beschaffung diskutiert.

Der Anbieter selbst hat auf die vorgebrachten Vorwürfe mehrfach reagiert, hat seine Privacy-Policy unter

   https://zoom.us/privacy

überarbeitet und Anfang April 2020 in einer offiziellen Reaktion im Zoom Blog  (https://blog.zoom.us) unter

   https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/

erklärt, Sicherheitslücken (z.B. UNC-Link-Problem im Chat) geschlossen zu haben, kritische Features (z.B. das Aufmerksamkeitstracking) komplett entfernt zu haben sowie Standard­einstellungen verschärft zu haben. Hinzu kommen Ratschläge, wie Einstellungen zu setzen sind und Meetings einzurichten sind, um Störungen zu vermeiden und keine Datenschutzverstöße zu begehen.  

Vorgenommenen Einstellungen in der Instanz der CAU


Im Gegensatz zur Nutzung eines Einzelaccounts hat ein Unternehmenskunde wie die CAU die Möglichkeit, viele Konfigurations­einstellungen für alle zur eigenen Organisation gehörenden Nutzerinnen und Nutzer zentral vornehmen zu können und dadurch das System Datenschutz-freundlicher und in den Voreinstellungen sicherer aufsetzen zu können.  

Die vorliegenden vielfältigen Hinweise wurden bei der Konfiguration des Systems berücksichtigt. Hinzu kamen Unterlagen und Dokumentationen anderer Universitäten, die auch mit Zoom arbeiten. Es wurde versucht, das System so vorzukonfigurieren, dass kritische Einstellungen, vor denen in den diversen Empfehlungen gewarnt wird, deaktiviert sind.

  • Aufzeichnungen in der Cloud von Veranstaltungen sind deaktiviert. Diese Einstellung ist gesperrt.
  • Lokale Aufzeichnungen sind standardmäßig deaktiviert, aber diese Einstellung ist ist nicht gesperrt.

    Bitte beachten Sie unsere Hinweise zu Aufzeichnungen mit Zoom
     

  • Im Konfigurationsbereich zur Integration wurden die Integrations-Apps zum Google-Kalender, Google-Drive, Dropbox, Box und MS Onedrive deaktiviert.

  • Zugriff auf Unternehmenskontakte wurde bei den Chat-Einstellungen deaktiviert.

  • Teilnehmer und Moderatoren starten in einem Meeting ohne Video, außerdem sind Teilnehmer bei Beitritt stumm geschaltet.

  • Bei neuen Meetings wird immer zusätzlich zur Meeting-ID ein Kennwort erzeugt. Das gilt auch für Sofort-Meetings. Die Einbettung des Kennwortes in den Meeting-Link bleibt aktiviert.

  • Telefonteilnehmer müssen auch ein Kennwort eingeben.

  • Direkter Feedback an die Firma Zoom ist deaktiviert.

  • Fernsteuerungsfunktion ist deaktiviert.

  • Kamerafernsteuerung ist deaktiviert.

  • Die Desktopfreigabe für Benutzer ist standardmäßig deaktiviert, nur auswählte Anwendungen können freigegeben werden.

  • Virtueller Hintergrund ist erlaubt für die Möglichkeit, Hintergründe in einer privaten Home-Office Umgebung auszublenden für den Schutz der Privatsphäre.

  • Bei nur zwei Teilnehmern wird eine Peer-to-Peer-Verbindung versucht.

  • Nutzung von Zoom nur im Browser ist gestattet, so dass das Folgen eines Meetings grundsätzlich auch ohne den Zwang zur Installation eines Clients möglich ist.

  • Durchgehende Chat-Verschlüsselung ist aktiviert.

  • Weichzeichnung von Schnappschüssen in der IOS-Aufgabenumschaltfunktion ist aktiviert

  • Nutzung von Content-Delivery-Netzwerken ist deaktiviert

  • Zugriff auf Unternehmensdaten durch Benutzer von Office365 ist deaktiviert

 

An einigen Stellen ist es dem/der Veranstalter*in eines Meetings weiterhin möglich, für den eigenen Bereich Einstellungen wieder anders zu setzen, um eine bessere Interaktion mit dem Zuhörerkreis zu ermöglichen. An anderen Stellen sind die Einstellungen absichtlich blockiert worden.

Sollten Sie hier Nachfragen haben, bitten wir Sie um eine Nachricht an videoconf@rz.uni-kiel.de, damit wir über Ihren Wunsch diskutieren können.

Datenschutzaspekte bei Aufzeichnungen

Bitte beachten Sie dazu die Hinweise auf der Seite über Aufzeichnungen in Zoom.