Intern
  • Außenansicht des Rechenzentrums
Rechenzentrum

Zoom Video Communications

Allgemeine Informationen zu Videokonferenzdiensten

Es gibt zahlreiche Anbieter zu Audio-, Video und Webinar-Lösungen.

Eine öffentliche Beschaffung hat grundsätzlich nach den Vorgaben der Haushaltsrechts und dem Vergaberecht zu erfolgen und beginnt in der Regel mit einer Bedarfs- und Marktanalyse.

Für einen ersten Überblick lohnt sich ein Blick ins englischsprachige Wikipedia. Jedoch sind dort nicht alle Informationen etwa zu Lizenzen und Verschlüsselung aktuell.

Hinweis: Eine ausschließlich rechtliche Betrachtung sollte nicht der alleinige Maßstab für eine Beschaffung sein. Qualität und der Innovation sowie soziale und umweltbezogene Aspekte sind in die Entscheidung miteinzubeziehen.

Ferner gibt es einen sehr lebensnahen Überblick zu Lösungen einschließlich einer Einschätzung für den Datenschutz aus schweizer Perspektive.

Welches Videokonferenzsystem im Hochschuleinsatz sich für welchen Einsatzzweck eignet, stellen gut dar:

Warum derzeit nur Informationen zu Zoom?

Das Informationsangebot der Stabsstelle wird nach der Anfragenhäufigkeit gestaltet.

Die Hochschulen gehen offen mit dem Einsatz von Zoom um. Zoom ist eine Ergänzung zu den bisherigen Lösungen der Hochschulen.

Aktuelles und Informationsseiten

Informationsfreiheitsanfragen

FAQ der HU Berlin

Hausmesse Zoomtopia 2020

Ende zu Ende Verschlüsselung (Englisch)

Stellungnahmen von Zoom

90-Tages Plan für mehr Sicherheit

Gutachten und Einschätzungen

Kurzeinschätzung zur Auftragsverarbeitung

Es können mit Zoom die erfoderlichen Anpassungen, die die Kurzeinschätzung aufzeigt, verhandelt werden. Dies ist etwa bereits durch das MSA der bayerischen Hochschulen erfolgt.

Update: Seit Augst 2020 hat Zoom zudem eine weiter für den Kunden verbesserte Auftragsverarbeitung.

Kurzanalyse zu Zoom

Die Ergebnisse der Kurzanalyse treffen im wesentlichen jedenfalls nicht mehr zu.

Auswertung der Kurzanalyse
Vorfall Bewertung Behoben seit
Mac-Lücke nicht mehr relevant 4.6.9 (19273.0402)
Mac-Kamera nicht mehr relevant 4.4.53932.0709
Exploits kein höheres Risiko als z.B. Chrome, Windows oder Adobe Nicht erforderlich
Facebook-Tracker nicht mehr relevant 4.6.9 (19213.0327)
Zoomboming Warteräume /Passwortschutz Nutzen der Option
NTLM-Lücke nicht mehr relevant 4.6.9 (19253.0401)
Verschlüsselung nicht mehr relevant 5.0.0 (23168.0427)
Veraltete Softwarebibliotheken und Sicherheitslücken nicht mehr relevant Fortlaufendes Patchmanagement
Tracking Website nicht relevant Nicht erforderlich
Anmelde-E-Mail E-Mail-Templates anpassbar Nutzen der Option
Tell a Friend SSO Nutzen der Option
Kernel-Erweiterung Mac Gut für die Robustheit der Anwendung Nicht erforderlich
Meeting-Planung nicht im Browser Unzutreffend Nicht erforderlich
Speichern der MAC-Adresse Sicherheit und Support Nicht erforderlich
Speichern der Geräte-IDs (UDID) Sicherheit und Support Nicht erforderlich

 

Die aktuelle Krisensituation hat die bayerischen Universitäten und Hochschulen vor die Herausforderung gestellt, binnen kürzester Zeit die Voraussetzungen zu schaffen, am 20. April einen möglichst reibungslosen Semesterstart zu

gewährleisten. Dies hat unter anderem eine sehr schnelle Entscheidung für eine geeignete Plattform für Seminare und andere interaktive Lehrveranstaltungen unumgänglich gemacht.

Grundlage für diese Entscheidung sind Analysen des Deutschen Forschungsnetzes und seiner europäischen Dachorganisation seit 2018 sowie die die Erkenntnisse aus dem Erfahrungsaustausch vieler europäischer Universitäten in den letzten Wochen.

Die Universitäts- und Hochschulleitungen in Bayern sind grundsätzlich davon überzeugt, dass es in der derzeitigen Situation keine technisch belastbare Alternative zu Zoom gibt. Ob Zoom der Last ab dem 20. April Stand hält, muss sich zeigen, doch sind die Chancen größer als bei allen evaluierten Alternativen.

Wir sind uns der bezüglich Zoom publizierten Probleme in datenschutz- und sicherheitstechnischer Hinsicht wohl bewusst. Wir werden eine angemessene Risikovorsorge treffen. Nach den bisher vorliegenden Erfahrungen muss man aber auch feststellen, dass sich die Zoom-Webseite und Zoom bei kostenloser Nutzung bzw. bei Anmeldung über Facebook- oder Google-Accounts in Bezug auf Datenweitergabe ganz anders verhält als bei Nutzung der Kommunikation über die App sowie hochschulspezifisches Single-Sign-On im Rahmen eines Vertragsverhältnisses.

Neben der Standard-Lizenz ist mit Zoom einen Vertrag zur Auftragsverarbeitung abgeschlossen, der nach Einschätzung der bayerischen Stabsstelle für IT-Recht viele in den vergangenen Tagen publizierten kritischen Punkte in Bezug auf den Datenschutz beseitigt. Weitere Verbesserungen der rechtlichen Bedingungen kommen aus dem zusätzlich abgeschlossenen Master Subscription Agreement mit Zoom.

In technischer Hinsicht ist der Betrieb im Rahmen der Campus-Lizenz durch zentrale Administrationsmöglichkeiten wesentlich besser kontrollierbar als bei einzelnen Lizenzen, die unkoordiniert in den verschiedenen Einrichtungen beschafft werden. Viele der jetzt bekannt gewordenen Probleme lassen sich durch geeignete Voreinstellungen und durch eine zentral koordinierte Softwareverteilung vermeiden.

Die CIOs der bayerischen Universitäten haben gemeinsam beschlossen, Zoom zunächst für ein Jahr zu lizenzieren. In dieser Zeit soll sowohl nach technischen Alternativen als auch nach Möglichkeiten für eine gemeinsame Rahmenvereinbarung, entweder auf bayerischer Ebene oder deutschlandweit, mit dem DFN gesucht werden. Der Betrieb von Zoom wird in den kommenden Monaten sehr bewusst überwacht.

Neben Zoom stehen unter anderem mit DFNconf sowie mit weiteren lokal und extern betriebenen Lösungen weitere Web-Konferenz-Plattformen zur Verfügung, je nach Einsatzszenario.

Einen Überblick, den richten Dienst für den eigenen Bedarf zu finden, bietet die bayerische Stabsstelle Informationssicherheit an. 

Bezugswege

Zoom kann sowohl über Reseller als auch bei Zoom direkt bezogen werden.

Konditionenverträge für Hochschul- und Campuslizenzen

Über den Dachverband der nationalen Bildungs- und Forschungsnetze GÉANT konnten gute und einheitliche Konditionen bei Direktbezug für alle Mitglieder festgelegt werden.

Kostenfreie Lizenzen

Mit einem kostenfreien Account, kann ein Meeting für bis zu 100 Teilnehmer für die maximale Dauer von 40 Minuten oder zeitlich nicht begrenzt für drei Teilnehmer abgehalten werden.

Bestimmungen und Informationen des Herstellers und der Einrichtung (Beispiel Universität Würzburg)

Gemäß der Bestimmung aus dem Kooperationsvertrag mit der Universität Würzburg und § 7 Abs 10 Benutzungsordnung für Informationsverarbeitungssysteme der Universität Würzburg werden ergänzende Regelungen getroffen.

  • Das Angebot von Zoom unterliegt der MASTER SUBSCRIPTION AGREEMENT, dem Zusatz zur Auftragsverarbeitung und ergänzend der Zoom Policy.
  • Die Software und Dienste dürfen nicht zu eigenen kommerziellen Zwecken eingesetzt werden.
  • Die Aufnahmefunktion unterliegt zusätzlichen Vorgaben.
  • Beim Einsatz müssen an die Betroffenen die Informationen zu Datenschutz und Barrierefreiheit weitergeben werden.

Information zur Datenverarbeitung für den Bezug und die Bereitstellung

Ich nehme zur Kenntnis, dass

  • meine Hochschul-E-Mail-Adresse, Nach- und Vorname und Mitgliedsstatus, sowie Informationen über meine Schutzmechanismen zur Accountabsicherung
  • für die Bereitstellung des Dienstes (einschließlich Support und kontinuierlichen Verbesserungen), zur Veröffentlichung im Verzeichnis sowie als Möglichkeit für Single-Sign-On als Hilfsmittel für Studium, Lehre, Forschung und Verwaltung

durch meine Einrichtung mit Unterstützung durch den WebShop der Universität Würzburg verarbeitet werden.

Grundlage der Datenverarbeitung ist Art. 6 Abs. 1 lit. e DSGVO i.V.m. Art. 4 Abs. 1 BayDSG.

Der Dienst wird von Zoom  als Lizenzgeber im Rahmen einer Auftragsverarbeitung  mit Standdardvertragsklauseln als Garantie für den internationalen Datentransfer angeboten. Für Unterauftragsverarbeiter gelten mindestens die gleichen Anforderungen, wie in der Auftragsverarbeitung mit Zoom festgelegt worden ist.

Entsprechend gilt für das Single-Sign-On, das gegebenenfalls über die Microsoft Ireland Operations Limited im Rahmen einer Auftragsverarbeitung mit Standdardvertragsklauseln als Garantie für den internationalen Datentransfer bereitgestellt  wird.

Aus Gründen, die sich aus Ihrer besonderen Situation ergeben, können Sie der Verarbeitung Sie betreffender personenbezogener Daten durch uns zudem jederzeit widersprechen (Art. 21 DSGVO). Sofern die gesetzlichen Voraussetzungen vorliegen, verarbeiten wir in der Folge Ihre personenbezogenen Daten nicht mehr und beenden die Nutzung des Dienstes für Sie.

Die ergänzende Datenschutzinformationen (Kontaktinformationen des Verantwortlichen, Betroffenenrechte, Speicherdauer und Kontaktdaten des Datenschutzbeauftragten) finden Sie im Menü unter Hilfe im Untermenü Kontakt/Support.

Webseite

Die Webseite dient Zoom auch zur Verfolgung umfangreicher Marketingaktivitäten. Das Verfahren zu den Einstellungen von Cookies wirkt nur sehr eingeschränkt.

Da dies leider auf fast alle Webseiten im Netz zutrifft sollten Sie nicht auf den Anbieter der Webseite vertrauen und eigene Schutzmaßnahmen ergreifen. Empfehlungen dazu finden Sie etwa im Privacy-Handbuch.

Desktop und Mac-Anwendung

Für diese Anwendung ist aktuell kein ungewollter oder unerwünschter Abfluss an Daten bekannt.

Nur für den Fall, dass die die Option Login mit Google oder Facebook nutzen, würde von die Anbietern Daten mit Zoom ausgetauscht.

Android-App

Die Android App setzt u.a. für Analysen auf Firebase, jedoch ist der Code nicht mehr aktiv.
Wer in der App auf die Webseite wechselt, kann ggf. Tracking der Webseite unterliegen.

iOS-App

Das Facebook-SDK ist aus der jüngsten App-Version von Zoom für iOS entfernt worden.
Wer in der App auf die Webseite wechselt, kann ggf. Tracking der Webseite unterliegen.

Weiterführende Informationen

Allgemeines

Zoom verfügt über einige Sicherheitszertifizierungen.

Nach Abschluss einer Vertraulichkeitsvereinbarung stellt Zoom den jüngsten „Service Organization Control 2“-Bericht bereit.

Melden von Sicherheitslücken

Sicherheitslücken können Zoom wie folgt gemeldet werden:

Verfügbarkeit

Statusseite für Zoom Dienste (englisch)

Ressourcen

Whitepaper zur Sicherheit (englisch)

Die Auftragsverarbeitung von Zoom ist inzwischen in die AGB intergriert.

Rechtliche Feinheiten dazu erklärt Stephan Hansen-Oest in seinem Blog.

Zur Sicherheit könnte man sich noch eine Bestätung von Zoom per E-Mail einholen.

Für bayerische Hochschulen kann ein ausgehandeltes Master-DPA von den Hochschulen gezeichnet werden.

Muster für Personen, die ein Meeting bzw. ein Webinar aufnehmen

Möchten Sie diese Veranstaltung aufzeichnen?

Eine Aufzeichnung sollte grundsätzlich nur bei virtuellen Vorlesungen und Veranstaltungen erfolgen, nicht aber bei internen Besprechungen oder Gremiensitzungen. Ferner räumen Sie Ihrer Dienststelle die Möglichkeit der Veröffentlichung dieser Aufzeichnung ein, einschließlich eines Bearbeitungsrechtes zwecks digitaler Barrierefreiheit.

Regelungen zur Aufzeichnung (Link zur Ihren eigenen Hinweisen)

Muster für die Personen, die am Meeting bzw. Webinar teilnehmen

Diese Veranstaltung wird in Bild und Ton aufgezeichnet und veranstaltungsbezogen veröffentlicht.

Ihre Einwilligung können Sie jederzeit widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Sie können die Aufzeichnung Ihres Bildes und Tones zudem jederzeit unterbrechen, indem Sie Ihre Kamera bzw. Ihr Mikrofon deaktivieren oder das virtuelle Treffen verlassen.

Rechtliches, Widerruf und Datenschutzerklärung (Link)

Rechtlicher Hintergrund

Strafrecht

Für ein Meeting wird anzunehmen sein, dass das dort gesprochene Wort nicht öffentlich gesprochen wird. Daher ist ein unbefugte Aufnahme sowie das gebrauchen der hergestellten Aufnahme oder ihr zugänglich machen strafbar gemäß § 201 Abs. 1 StGB. Bei Webinaren oder öffentlichen Meetings (etwa Vorlesungen) wird jedoch nicht immer eine gleiche Vertraulichkeit anzunehmen sein. 

Urheberrecht

Sofern eine Aufnahme erfolgt, sollten etwa Folien selbst nur eigene selbstgeschaffene Inhalte, Zitate oder Werke unter freien Lizenzen darstellen. Soweit der Teilnehmerkreis begrenzt ist, können auch Werke im von § 60a UrhG erlaubten Umfang genutzt werden. Jedenfalls die Rede der vortragenden Personen wird, in vielen Fällen urheberrechtlich geschützt sein. Mit der Aufnahme entsteht zudem  auch ein geschütztes Laufbild. Die Hochschule benötigt daher für die Nutzungsrechte von der vortragenden Person sowie der Personen, die die Laufbilder erstellt haben. Im Hinblick auf die Pflichten Barrirefreiheit, sollte die Hochschule sich auch Rechte für gegebenenfalls erforderliche Bearbeitungen einräumen lassen.

Recht am eigenen Bild und Wort

Neben den Urheberrecht tritt auch noch das Recht am eigenen Bild und am eigenen Wort. Daher ist eine zivilrechtliche Zustimmung an der Aufnahme und ihrer Veröffentlichung erforderlich. Für die Bilder wird wohl die Ausnahme des § 23 Abs. 1 KunstUrhG werden wohl nicht anwendbar sein, da 

Datenschutzrecht

Zur Vermeidung von Rechtsunsicherheiten, sollte für die Aufzeichnung der Vorlesung eine datenschutzrechtliche Einwilligung als Grundlage für Aufzeichnungen gewählt werden.

Lehrfreiheit

Auch in den Fällen einer Pandemie wird es die Entscheidung der Personen, die lehren, sein, ob die Veranstaltung aufgezeichnet wird. 

Schutzmaßnahmen

Bei einer Aufnahme sollte im Regelfall nur die Präsentation und ggf. die wichtigen Personen aufnehmen werden.

Zoom ermöglicht es, dass Bild und Ton einem Wasserzeichen versehen werden. Durch diese Maßnahme kann die Verbreitung von Inhalten des Meetings oder des Webinars etwas besser kontrolliert werden.

Link zu den Einstellungen

  • Setzen Sie eine Virtuellen Hintergrund!
    So wird Ihre Einrichtung (Möbel in Ihrem Wohnzimmer) oder Personen hinter ihnen nicht den am Meeting Teilnehmenden übertragen werden
  • Schalten Sie das Mikrofon ab, wenn Sie nicht sprechen.
  • Nutzen Sie den Chat nicht zum Austausch von nicht öffentlichen Dateien.
  • Verteilen Sie den Client selbst, so dass die Nutzer diesen nicht bei Zoom herunterladen müssen.

Zoom bietet umfassende Möglichkeiten das Coporate Design in die Lösung zu intergieren, dargestellt in einer englischsprachige Dokumentation.