Neue DSFA aus Niederlanden zu Zoom

Bereits im Mai 2021 hatte Privacy Company im Auftrag von SLM Rijk eine Datenschutz Folgenabschätzung (DSFA) zur Videokonferenz Plattform Zoom erstellt. Es wurden dabei neun hohe und drei niedrige Datenschutzrisiken für die betroffenen Personen festgestellt. Gemeinsam mit SURF, einem großen niederländischen IT Dienstleister für den öffentlichen Bereich, hat Privacy Company dann mit Zoom gearbeitet. Im Ergebnis wurden Maßnahmen zur Minimierung von Risiken verabredet und ein Zeitplan zur Umsetzung erstellt. Darüber hinaus setzte Zoom nahezu alle Maßnahmen auch in einem überarbeiteten Datenschutzvertrag, Data Processing Agreement, um. Diese neue allgemeine Vereinbarung zur Datenverarbeitung gilt für alle europäischen Kunden mit einer Enterprise- oder Education-Lizenz. Im Beitrag New DPIA for SURF and Dutch government on Zoom: all high risks solved werden alle Maßnahmen, die Zoom ergriffen hat, beschrieben. In der neuen DSFA, welche Privacy Company im Auftrag von SURF und der Regierung der Niederlande zu Zoom erstellt, konnten keine bekannten hohen Risiken für die Verarbeitung personenbezogener Daten durch Zoom bei einer Nutzung durch Unternehmenskunden und Bildungsinstitutionen festgestellt werden.  Untersucht wurde der Zugang u.a. über Browser, Browser Plugin und Apps. Es verbleiben sechs geringe Risiken, welche Institutionen durch eigene Maßnahmen – unter der Voraussetzung, dass Zoom seinen vertraglichen Verpflichtungen nachkommen und sich weiterhin mit SURF beraten wird – minimieren können. Entsprechend heißt es : „Wenn Zoom und die niederländischen Universitäten und Regierungsorganisationen alle vereinbarten und empfohlenen Maßnahmen anwenden, gibt es keine bekannten hohen Risiken für die einzelnen Nutzer der Videokonferenzdienste von Zoom.“ Das gilt auch, wenn Teilnehmer an einer Zoom Videokonferenz über eine Education-Lizenz über ein privates Zoom Konto verbunden sind. Die Datenschutz Folgenabschätzung ist in englischer Sprache verfügbar unter Zoom passt die Datenschutzbedingungen nach intensiver Rücksprache mit SURF an bzw. direkt DPIA Zoom Education and Enterprise.pdf (Stand 25.02.2022).

Es gibt bei der Auswirkung des Ergebnisses der DSFA zu Zoom jedoch einen Vorbehalt.

Es ist ungewiss, wie die nationalen Datenschutzbehörden die Übertragungsrisiken in ihrer gemeinsamen Untersuchung der Nutzung von Cloud-Diensten durch Organisationen des öffentlichen Sektors bewerten werden. Die Ergebnisse werden bis Ende 2022 erwartet. Für diese DPIA wurden die Übermittlungsrisiken rigoros bewertet, einschließlich einer separaten DTIA. Falls erforderlich, werden diese DPIA und DTIA im Jahr 2023 aktualisiert.
Sollte die EDPB das Risiko der Weiterübermittlung dennoch als hoch einstufen, selbst wenn alle Daten grundsätzlich von Zoom in europäischen Rechenzentren verarbeitet werden, könnten Organisationen in den Niederlanden keine Dienste amerikanischer Anbieter mehr in Anspruch nehmen, und die Folgen wären weitaus größer als nur die Nutzung dieser Zoom-Dienste.“

Bewertung

Auch dieses Beispiel verdeutlicht erneut, wie viel pragmatischer man in den Niederlanden an Datenschutzprobleme mit nicht-europäischen Anbietern herangeht. Man verhandelt, berät und trifft Vereinbarungen mit festen Termin und Inhalten. Zoom zeigt für seinen Teil, dass man bereit und willig ist, die Anforderungen der DS-GVO zu erfüllen. Der Anbieter einer Videokonferenz Plattform reagiert auf Kritiken und nimmt konstruktive Vorschläge an. Es wäre wünschenswert, wenn dieses auch bei anderen Anbietern in dieser Form erfolgen würde.

Was bedeutet dieses Ergebnis für Schulen? Die Aufsichtsbehörden in Deutschland haben Zoom bisher kein gutes Zeugnis ausgestellt. Ob sich daran durch die DSFA aus den Niederlanden und den neuen Datenschutzvertrag etwas ändert, bleibt abzuwarten. Diese DSFA wurde mit Blick auf Unternehmen und Bildungsinstitutionen (Universitäten und Schulen) durch geführt. Die Ergebnisse sind von daher durchaus auch auf Schulen anwendbar. Damit sie Zoom sicher nutzen können, sollten sie die unter New DPIA for SURF and Dutch government on Zoom: all high risks solved zu den sechs beschriebenen minimalen Risiken empfohlenen Maßnahmen umsetzen. D.h. Schulen, die auch aktuell noch immer auf Zoom setzen, sollten diese Maßnahmen umsetzen. Das gilt auch für die Nutzung von Zoom durch die Schulaufsicht, etwa auf Ebene der Schulämter und Bezirksregierungen.

One thought on “Neue DSFA aus Niederlanden zu Zoom

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.