Zoom Datenschutz nach DSGVO – Auftragsverarbeitungsvertrag

31.03.2020

Vorabhinweis: Dieser Artikel beinhaltet eine Anleitung zum Abschluss einer Auftragsverarbeitungsvereinbarung mit Zoom.

Mahr EDV konnte viele Unternehmen unterstützen, auch in der Not, bestmöglich das Geschäft fortzuführen. In der Krisenzeit gelang so vielen Mahr EDV Kunden, schnelle Lösungen umzusetzen, um bspw. HomeOffice-Arbeitsplätze einzurichten oder Besprechungen statt persönlich online stattfinden zu lassen.

Natürlich kann fast jeder einfach Zoom nutzen. Aber wie sieht es mit den Risiken aus, der Haftung, dem Datenschutz…

Dabei darf der Datenschutz nicht zu kurz kommen, denn insbesondere bei Onlinemeetings werden zahlreiche vertrauliche und personenbezogene Daten übermittelt. Neben Bildern bzw. Videos der Teilnehmer und deren Stimme werden auch die Inhalte übermittelt und zwar bei den meisten Videokonferenzlösungen nicht direkt vom Sender zum Empfänger, sondern über einen Server des Konferenzanbieters. Stehen dessen Server teilweise im Ausland, so werden Daten dorthin exportiert. Zumindest ist daher der Abschluss eines Auftragsverarbeitungsvertrages notwendig.

Anleitung zum Abschluss eines AVV mit Zoom

1. Download des bereits von Zoom unterschriebenen Vertrages via https://zoom.us/gdpr
2. Vertragsprüfung durch Ihren Datenschutzbeauftragten oder fachkundige Rechtsanwälte
3. Unterzeichnung und/oder Eintragung der Vertragspartnerdaten auf den Seiten 6, 7, 16, 17, 23, 25
4. Übersendung des Vertrags an Zoom dpa@zoom.us

Prüfung der datenschutzrelevanten Einstellungen

Weiterhin sollten die Einstellungen für Zoom Meetings überprüft werden. So ermöglicht Zoom die Aufzeichnung von online Meetings – eine Funktion, deren Nutzung ohne Einverständnis der Teilnehmer nicht nur datenschutz-, sondern auf strafrechtlich relevant sein kann. Insofern empfiehlt es sich, solche Funktionen abzuschalten oder Prozesse für das Einholen des Einverständnisses aller Teilnehmer zu schaffen und solche, die regeln, wann, wo und wie lange die Aufzeichnungen gelagert werden, wer die abrufen kann usw.

Das teure Risiko, etwas einfach zu nutzen und auf Experten zu verzichten

Es wird Folgendes deutlich: 1. steckt der Teufel im Detail und 2. lohnt es sich, fachkundige Experten (Datenschutzbeauftragter, IT Systemhaus) in technische Neuerungen zu involvieren, denn nur, weil etwas „irgendwie läuft“ heißt das noch lange nicht, dass eine gute und sichere Lösung für ein Unternehmen mit Verantwortung für Kunden, Mitarbeiter und Gesellschaft gefunden wurde.

Die Behörden schlafen nicht – Bußgelder drohen auch in der Krise, denn der Staat braucht Geld

Und nicht zu vergessen ist, dass bei Verstößen gegen die DSGVO empfindliche Strafen (siehe DSGVO Rekord Bußgeld gegen Deutsche Wohnen SE, DSGVO-Verstoß: 400.000 € Bußgeld für KMU Unternehmen) drohen. Es wäre aus unserer Sicht sehr gewagt, davon auszugehen, dass die Datenschutzbehörden in der Krise schlafen; vielmehr benötigt der Staat gerade jetzt Einnahmen.

Hinweis: Mahr EDV führt keine Rechtsberatung durch; bitte kontaktieren Sie Ihren Rechtsanwalt und Datenschutzbeauftragten, bevor Sie Verträge abschließen.