Zoom Video Communications
Allgemeine Informationen zu Videokonferenzdiensten
Es gibt zahlreiche Anbieter zu Audio-, Video und Webinar-Lösungen.
Eine öffentliche Beschaffung hat grundsätzlich nach den Vorgaben der Haushaltsrechts und dem Vergaberecht zu erfolgen und beginnt in der Regel mit einer Bedarfs- und Marktanalyse.
Für einen ersten Überblick lohnt sich ein Blick ins englischsprachige Wikipedia. Jedoch sind dort nicht alle Informationen etwa zu Lizenzen und Verschlüsselung aktuell.
- Comparison of VoIP software
- Comparison of web conferencing software
- Comparison of instant messaging protocols
Hinweis: Eine ausschließlich rechtliche Betrachtung sollte nicht der alleinige Maßstab für eine Beschaffung sein. Qualität und der Innovation sowie soziale und umweltbezogene Aspekte sind in die Entscheidung miteinzubeziehen.
Ferner gibt es einen sehr lebensnahen Überblick zu Lösungen einschließlich einer Einschätzung für den Datenschutz aus schweizer Perspektive.
Welches Videokonferenzsystem im Hochschuleinsatz sich für welchen Einsatzzweck eignet, stellen gut dar:
- Stabsstelle Informationssicherheit der bayerischen staatlichen Hochschulen und Universitäten
- Datenschutzkoordinatorin der bayerischen Kunsthochschulen
Warum derzeit nur Informationen zu Zoom?
Das Informationsangebot der Stabsstelle wird nach der Anfragenhäufigkeit gestaltet.
Die Hochschulen gehen offen mit dem Einsatz von Zoom um. Zoom ist eine Ergänzung zu den bisherigen Lösungen der Hochschulen.
Aktuelles und Informationsseiten
Ende zu Ende Verschlüsselung (Englisch)
Stellungnahmen von Zoom
- Facebook SDK in der iOS-App
- Verschlüsselung im Allgemeinen (Englisch)
- Mehr Transparenz in der Datenschutzerklärung
- Einbindung chinesicher Server (Englisch)
- Drittländer in denen Zooms eigene Server stehen (Englisch)
- Release Notes zu den Anwendungen einschließlich behobener Schwachstellen (Englisch)
- Logdaten im Android Client werden erst nach Freigabe der User an Zoom übermittelt mit Version 4.6.11 (Englisch)
- Unterauftragsverarbeiter Stand Anfang Juni (Englisch)
- Kopien der datenschutzrechtlichen Festlegungen in den Verträgen mit Unterauftragsverarbeitern (Template am 24.04.2020 unter NDA vorgelegt)
- Veraltete Softwarebibliotheken (Maßnahme laufender Verbesserung)
90-Tages Plan für mehr Sicherheit
- Fortschritte im Rahmen des 90-Tages Plans für mehr Sicherheit 8. April 2020
- Fortschritte im Rahmen des 90-Tages Plans für mehr Sicherheit 15. April 2020 (Englisch)
- Fortschritte im Rahmen des 90-Tages Plans für mehr Sicherheit 22. April 2020 (Englisch)
- Fortschritte im Rahmen des 90-Tages Plans für mehr Sicherheit 29. April 2020 (Englisch)
- Fortschritte im Rahmen des 90-Tages Plans für mehr Sicherheit 06. Mai 2020
- Fortschritte im Rahmen des 90-Tages Plans für mehr Sicherheit 13. Mai 2020
- Fortschritte im Rahmen des 90-Tages Plans für mehr Sicherheit 20. Mai 2020
- Fortschritte im Rahmen des 90-Tages Plans für mehr Sicherheit 27. Mai 2020
- Fortschritte im Rahmen des 90-Tages Plans für mehr Sicherheit 03. Juni 2020
- Fortschritte im Rahmen des 90-Tages Plans für mehr Sicherheit 10. Juni 2020
- Fortschritte im Rahmen des 90-Tages Plans für mehr Sicherheit 17. Juni 2020 (Englisch)
- Fortschritte im Rahmen des 90-Tages Plans für mehr Sicherheit 24. Juni 2020 (Englisch)
- 90-Tages-Plan Ergebnis (Englisch)
Gutachten und Einschätzungen
Kurzeinschätzung zur Auftragsverarbeitung
Es können mit Zoom die erfoderlichen Anpassungen, die die Kurzeinschätzung aufzeigt, verhandelt werden. Dies ist etwa bereits durch das MSA der bayerischen Hochschulen erfolgt.
Update: Seit Augst 2020 hat Zoom zudem eine weiter für den Kunden verbesserte Auftragsverarbeitung.
Kurzanalyse zu Zoom
Die Ergebnisse der Kurzanalyse treffen im wesentlichen jedenfalls nicht mehr zu.
Vorfall | Bewertung | Behoben seit |
---|---|---|
Mac-Lücke | nicht mehr relevant | 4.6.9 (19273.0402) |
Mac-Kamera | nicht mehr relevant | 4.4.53932.0709 |
Exploits | kein höheres Risiko als z.B. Chrome, Windows oder Adobe | Nicht erforderlich |
Facebook-Tracker | nicht mehr relevant | 4.6.9 (19213.0327) |
Zoomboming | Warteräume /Passwortschutz | Nutzen der Option |
NTLM-Lücke | nicht mehr relevant | 4.6.9 (19253.0401) |
Verschlüsselung | nicht mehr relevant | 5.0.0 (23168.0427) |
Veraltete Softwarebibliotheken und Sicherheitslücken | nicht mehr relevant | Fortlaufendes Patchmanagement |
Tracking Website | nicht relevant | Nicht erforderlich |
Anmelde-E-Mail | E-Mail-Templates anpassbar | Nutzen der Option |
Tell a Friend | SSO | Nutzen der Option |
Kernel-Erweiterung Mac | Gut für die Robustheit der Anwendung | Nicht erforderlich |
Meeting-Planung nicht im Browser | Unzutreffend | Nicht erforderlich |
Speichern der MAC-Adresse | Sicherheit und Support | Nicht erforderlich |
Speichern der Geräte-IDs (UDID) | Sicherheit und Support | Nicht erforderlich |
Die aktuelle Krisensituation hat die bayerischen Universitäten und Hochschulen vor die Herausforderung gestellt, binnen kürzester Zeit die Voraussetzungen zu schaffen, am 20. April einen möglichst reibungslosen Semesterstart zu
gewährleisten. Dies hat unter anderem eine sehr schnelle Entscheidung für eine geeignete Plattform für Seminare und andere interaktive Lehrveranstaltungen unumgänglich gemacht.
Grundlage für diese Entscheidung sind Analysen des Deutschen Forschungsnetzes und seiner europäischen Dachorganisation seit 2018 sowie die die Erkenntnisse aus dem Erfahrungsaustausch vieler europäischer Universitäten in den letzten Wochen.
Die Universitäts- und Hochschulleitungen in Bayern sind grundsätzlich davon überzeugt, dass es in der derzeitigen Situation keine technisch belastbare Alternative zu Zoom gibt. Ob Zoom der Last ab dem 20. April Stand hält, muss sich zeigen, doch sind die Chancen größer als bei allen evaluierten Alternativen.
Wir sind uns der bezüglich Zoom publizierten Probleme in datenschutz- und sicherheitstechnischer Hinsicht wohl bewusst. Wir werden eine angemessene Risikovorsorge treffen. Nach den bisher vorliegenden Erfahrungen muss man aber auch feststellen, dass sich die Zoom-Webseite und Zoom bei kostenloser Nutzung bzw. bei Anmeldung über Facebook- oder Google-Accounts in Bezug auf Datenweitergabe ganz anders verhält als bei Nutzung der Kommunikation über die App sowie hochschulspezifisches Single-Sign-On im Rahmen eines Vertragsverhältnisses.
Neben der Standard-Lizenz ist mit Zoom einen Vertrag zur Auftragsverarbeitung abgeschlossen, der nach Einschätzung der bayerischen Stabsstelle für IT-Recht viele in den vergangenen Tagen publizierten kritischen Punkte in Bezug auf den Datenschutz beseitigt. Weitere Verbesserungen der rechtlichen Bedingungen kommen aus dem zusätzlich abgeschlossenen Master Subscription Agreement mit Zoom.
In technischer Hinsicht ist der Betrieb im Rahmen der Campus-Lizenz durch zentrale Administrationsmöglichkeiten wesentlich besser kontrollierbar als bei einzelnen Lizenzen, die unkoordiniert in den verschiedenen Einrichtungen beschafft werden. Viele der jetzt bekannt gewordenen Probleme lassen sich durch geeignete Voreinstellungen und durch eine zentral koordinierte Softwareverteilung vermeiden.
Die CIOs der bayerischen Universitäten haben gemeinsam beschlossen, Zoom zunächst für ein Jahr zu lizenzieren. In dieser Zeit soll sowohl nach technischen Alternativen als auch nach Möglichkeiten für eine gemeinsame Rahmenvereinbarung, entweder auf bayerischer Ebene oder deutschlandweit, mit dem DFN gesucht werden. Der Betrieb von Zoom wird in den kommenden Monaten sehr bewusst überwacht.
Neben Zoom stehen unter anderem mit DFNconf sowie mit weiteren lokal und extern betriebenen Lösungen weitere Web-Konferenz-Plattformen zur Verfügung, je nach Einsatzszenario.
Einen Überblick, den richten Dienst für den eigenen Bedarf zu finden, bietet die bayerische Stabsstelle Informationssicherheit an.
Bezugswege
Zoom kann sowohl über Reseller als auch bei Zoom direkt bezogen werden.
Konditionenverträge für Hochschul- und Campuslizenzen
Über den Dachverband der nationalen Bildungs- und Forschungsnetze GÉANT konnten gute und einheitliche Konditionen bei Direktbezug für alle Mitglieder festgelegt werden.
Kostenfreie Lizenzen
Mit einem kostenfreien Account, kann ein Meeting für bis zu 100 Teilnehmer für die maximale Dauer von 40 Minuten oder zeitlich nicht begrenzt für drei Teilnehmer abgehalten werden.
Bestimmungen und Informationen des Herstellers und der Einrichtung (Beispiel Universität Würzburg)
Gemäß der Bestimmung aus dem Kooperationsvertrag mit der Universität Würzburg und § 7 Abs 10 Benutzungsordnung für Informationsverarbeitungssysteme der Universität Würzburg werden ergänzende Regelungen getroffen.
- Das Angebot von Zoom unterliegt der MASTER SUBSCRIPTION AGREEMENT, dem Zusatz zur Auftragsverarbeitung und ergänzend der Zoom Policy.
- Die Software und Dienste dürfen nicht zu eigenen kommerziellen Zwecken eingesetzt werden.
- Die Aufnahmefunktion unterliegt zusätzlichen Vorgaben.
- Beim Einsatz müssen an die Betroffenen die Informationen zu Datenschutz und Barrierefreiheit weitergeben werden.
Information zur Datenverarbeitung für den Bezug und die Bereitstellung
Ich nehme zur Kenntnis, dass
- meine Hochschul-E-Mail-Adresse, Nach- und Vorname und Mitgliedsstatus, sowie Informationen über meine Schutzmechanismen zur Accountabsicherung
- für die Bereitstellung des Dienstes (einschließlich Support und kontinuierlichen Verbesserungen), zur Veröffentlichung im Verzeichnis sowie als Möglichkeit für Single-Sign-On als Hilfsmittel für Studium, Lehre, Forschung und Verwaltung
durch meine Einrichtung mit Unterstützung durch den WebShop der Universität Würzburg verarbeitet werden.
Grundlage der Datenverarbeitung ist Art. 6 Abs. 1 lit. e DSGVO i.V.m. Art. 4 Abs. 1 BayDSG.
Der Dienst wird von Zoom als Lizenzgeber im Rahmen einer Auftragsverarbeitung mit Standdardvertragsklauseln als Garantie für den internationalen Datentransfer angeboten. Für Unterauftragsverarbeiter gelten mindestens die gleichen Anforderungen, wie in der Auftragsverarbeitung mit Zoom festgelegt worden ist.
Entsprechend gilt für das Single-Sign-On, das gegebenenfalls über die Microsoft Ireland Operations Limited im Rahmen einer Auftragsverarbeitung mit Standdardvertragsklauseln als Garantie für den internationalen Datentransfer bereitgestellt wird.
Aus Gründen, die sich aus Ihrer besonderen Situation ergeben, können Sie der Verarbeitung Sie betreffender personenbezogener Daten durch uns zudem jederzeit widersprechen (Art. 21 DSGVO). Sofern die gesetzlichen Voraussetzungen vorliegen, verarbeiten wir in der Folge Ihre personenbezogenen Daten nicht mehr und beenden die Nutzung des Dienstes für Sie.
Die ergänzende Datenschutzinformationen (Kontaktinformationen des Verantwortlichen, Betroffenenrechte, Speicherdauer und Kontaktdaten des Datenschutzbeauftragten) finden Sie im Menü unter Hilfe im Untermenü Kontakt/Support.
Webseite
Die Webseite dient Zoom auch zur Verfolgung umfangreicher Marketingaktivitäten. Das Verfahren zu den Einstellungen von Cookies wirkt nur sehr eingeschränkt.
Da dies leider auf fast alle Webseiten im Netz zutrifft sollten Sie nicht auf den Anbieter der Webseite vertrauen und eigene Schutzmaßnahmen ergreifen. Empfehlungen dazu finden Sie etwa im Privacy-Handbuch.
Desktop und Mac-Anwendung
Für diese Anwendung ist aktuell kein ungewollter oder unerwünschter Abfluss an Daten bekannt.
Nur für den Fall, dass die die Option Login mit Google oder Facebook nutzen, würde von die Anbietern Daten mit Zoom ausgetauscht.
Android-App
Die Android App setzt u.a. für Analysen auf Firebase, jedoch ist der Code nicht mehr aktiv.
Wer in der App auf die Webseite wechselt, kann ggf. Tracking der Webseite unterliegen.
iOS-App
Das Facebook-SDK ist aus der jüngsten App-Version von Zoom für iOS entfernt worden.
Wer in der App auf die Webseite wechselt, kann ggf. Tracking der Webseite unterliegen.
Weiterführende Informationen
Allgemeines
Zoom verfügt über einige Sicherheitszertifizierungen.
Nach Abschluss einer Vertraulichkeitsvereinbarung stellt Zoom den jüngsten „Service Organization Control 2“-Bericht bereit.
Melden von Sicherheitslücken
Sicherheitslücken können Zoom wie folgt gemeldet werden:
Verfügbarkeit
Statusseite für Zoom Dienste (englisch)
Ressourcen
Die Auftragsverarbeitung von Zoom ist inzwischen in die AGB intergriert.
Rechtliche Feinheiten dazu erklärt Stephan Hansen-Oest in seinem Blog.
Zur Sicherheit könnte man sich noch eine Bestätung von Zoom per E-Mail einholen.
Für bayerische Hochschulen kann ein ausgehandeltes Master-DPA von den Hochschulen gezeichnet werden.
Muster für Personen, die ein Meeting bzw. ein Webinar aufnehmen
Möchten Sie diese Veranstaltung aufzeichnen?
Eine Aufzeichnung sollte grundsätzlich nur bei virtuellen Vorlesungen und Veranstaltungen erfolgen, nicht aber bei internen Besprechungen oder Gremiensitzungen. Ferner räumen Sie Ihrer Dienststelle die Möglichkeit der Veröffentlichung dieser Aufzeichnung ein, einschließlich eines Bearbeitungsrechtes zwecks digitaler Barrierefreiheit.
Regelungen zur Aufzeichnung (Link zur Ihren eigenen Hinweisen)
Muster für die Personen, die am Meeting bzw. Webinar teilnehmen
Diese Veranstaltung wird in Bild und Ton aufgezeichnet und veranstaltungsbezogen veröffentlicht.
Ihre Einwilligung können Sie jederzeit widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Sie können die Aufzeichnung Ihres Bildes und Tones zudem jederzeit unterbrechen, indem Sie Ihre Kamera bzw. Ihr Mikrofon deaktivieren oder das virtuelle Treffen verlassen.
Rechtliches, Widerruf und Datenschutzerklärung (Link)
Rechtlicher Hintergrund
Strafrecht
Für ein Meeting wird anzunehmen sein, dass das dort gesprochene Wort nicht öffentlich gesprochen wird. Daher ist ein unbefugte Aufnahme sowie das gebrauchen der hergestellten Aufnahme oder ihr zugänglich machen strafbar gemäß § 201 Abs. 1 StGB. Bei Webinaren oder öffentlichen Meetings (etwa Vorlesungen) wird jedoch nicht immer eine gleiche Vertraulichkeit anzunehmen sein.
Urheberrecht
Sofern eine Aufnahme erfolgt, sollten etwa Folien selbst nur eigene selbstgeschaffene Inhalte, Zitate oder Werke unter freien Lizenzen darstellen. Soweit der Teilnehmerkreis begrenzt ist, können auch Werke im von § 60a UrhG erlaubten Umfang genutzt werden. Jedenfalls die Rede der vortragenden Personen wird, in vielen Fällen urheberrechtlich geschützt sein. Mit der Aufnahme entsteht zudem auch ein geschütztes Laufbild. Die Hochschule benötigt daher für die Nutzungsrechte von der vortragenden Person sowie der Personen, die die Laufbilder erstellt haben. Im Hinblick auf die Pflichten Barrirefreiheit, sollte die Hochschule sich auch Rechte für gegebenenfalls erforderliche Bearbeitungen einräumen lassen.
Recht am eigenen Bild und Wort
Neben den Urheberrecht tritt auch noch das Recht am eigenen Bild und am eigenen Wort. Daher ist eine zivilrechtliche Zustimmung an der Aufnahme und ihrer Veröffentlichung erforderlich. Für die Bilder wird wohl die Ausnahme des § 23 Abs. 1 KunstUrhG werden wohl nicht anwendbar sein, da
Datenschutzrecht
Zur Vermeidung von Rechtsunsicherheiten, sollte für die Aufzeichnung der Vorlesung eine datenschutzrechtliche Einwilligung als Grundlage für Aufzeichnungen gewählt werden.
Lehrfreiheit
Auch in den Fällen einer Pandemie wird es die Entscheidung der Personen, die lehren, sein, ob die Veranstaltung aufgezeichnet wird.
Schutzmaßnahmen
Bei einer Aufnahme sollte im Regelfall nur die Präsentation und ggf. die wichtigen Personen aufnehmen werden.
Zoom ermöglicht es, dass Bild und Ton einem Wasserzeichen versehen werden. Durch diese Maßnahme kann die Verbreitung von Inhalten des Meetings oder des Webinars etwas besser kontrolliert werden.
Link zu den Einstellungen
- Aufnahmelayout (Englisch)
- Anpassung des Aufnahmehinweises (Englisch)
- Optionen zum Aufnahmehinweis (Englisch)
- Wasserzeichen (Englisch)
- Setzen Sie eine Virtuellen Hintergrund!
So wird Ihre Einrichtung (Möbel in Ihrem Wohnzimmer) oder Personen hinter ihnen nicht den am Meeting Teilnehmenden übertragen werden - Schalten Sie das Mikrofon ab, wenn Sie nicht sprechen.
- Nutzen Sie den Chat nicht zum Austausch von nicht öffentlichen Dateien.
- Verteilen Sie den Client selbst, so dass die Nutzer diesen nicht bei Zoom herunterladen müssen.
Die Anwendung und die Apps wurden im vierten Quartal 2019 auf Ihre Barrierefreiheit getestet und sind grundsätzlich barrierefrei.
Zoom bietet umfassende Möglichkeiten das Coporate Design in die Lösung zu intergieren, dargestellt in einer englischsprachige Dokumentation.
Skripte
Trainings
- Themenbezogene Webinare (englisch)
- Live-Webinare und Videos als Hilfe und Einstieg (großenteils englisch)
- Zoom Video Tutorials (englisch)
Hilfe und Dokumentation
- Häufig gestellte Fragen (englisch)
- Häufig gestellte Fragen (deutsch)
- Hilfe Center von Zoom (teilweise englisch)
Neuheiten
- Zoom Blog in Englisch