Über Zoom
Seiteninhalt
Videokonferenz-System
Zoom ist ein Videokonferenz-System, mit dem Nutzer*innen sich virtuell treffen können, um per Audio, Video, Chat und mit einem Whiteboard zu kommunizieren. Es gibt weitere Funktionen, um den Ablauf zu gestalten (z.B. „Handheben“), Screensharing für Vorträge und Aufzeichnungsmöglichkeiten.
In einer Zeit, in der Kommunikation zu einem Großteil nur über das Internet möglich ist, haben Videokonferenz-Systeme stark an Bedeutung gewonnen. In den Medien ist Zoom sehr präsent und wird dort kritisch diskutiert wegen Sicherheitslücken und aus Datenschutzaspekten. Zoom hat darauf reagiert und zeitweise die Ressourcen von der Entwicklungsarbeit auf die Behebung von Sicherheitslücken und die Verbesserung des Datenschutzes verlagert. Die meisten (bekannten) Sicherheitslücken wurden inzwischen geschlossen. Bezüglich Datenschutz wurde z.B. die Möglichkeit abgeschaltet, die Aufmerksamkeit der Teilnehmer*innen zu messen. Zoom arbeitet an der Integration einer Ende-zu-Ende-Verschlüsselung. In der öffentlichen Diskussion an Universitäten wird oft nicht beachtet, dass es sehr unterschiedliche Nutzungsmöglichkeiten für Zoom gibt. Viele kennen Zoom aus der „freien“ Version, bei der sie sich bei Zoom registrieren und kostenlos Videokonferenzen (mit bis zu 40 min Dauer) einrichten können.
Die Funktionen und Einstellmöglichkeiten sind dabei beschränkt. Die Verwendung der dabei produzierten (auch personenbezogenen) Daten richtet sich dabei nach den Bestimmungen, denen man bei der Einrichtung zugestimmt hat. Aus Datenschutz-Sicht ist von der Nutzung dieser freien Version dringend abzuraten!
Unternehmen, Forschungsinstitutionen und Universitäten (kurz: Institution), die ihren Mitgliedern Zoom bereitstellen, schließen dazu im Gegensatz zur freien Version einen Lizenzvertrag mit dem Zoom-Anbieter und haben damit Zugriff auf eine im Folgenden als „Business“-Version bezeichnete Zoom-Instanz. Die Zoom-Instanz einer Institution ist daran erkennbar, dass sie mit der sog. Vanity-URL beginnt (bei der HTW Berlin: htw-berlin), die dann Bestandteil der Institutions-Zoom-URL ist, unter der die Business-Version erreicht wird (HTW Berlin: htw-berlin.zoom.us).
In der Business-Version kann die Institution ihren Mitgliedern den Zugang einrichten. Da Zoom Nutzer*innen an Hand der E-Mail-Adresse identifiziert, verwendet die Institution dazu in der Regel die „Dienstadresse“ (an der HTW Berlin die spezielle E-Mail-Adresse: @zoom.htw-berlin.de). Der Login erfolgt dabei in der Regel per Single-Sign-On (kurz: SSO), d.h. beim Einloggen über die Institutions-Zoom-URL werden Nutzer*innen auf eine Einlogmaske der Institution geführt, über die sie sich mit ihren Daten der Institution authentifizieren. Passwörter gelangen dabei nie zu Zoom, es werden dabei von der Institution nur wenige personenbezogene und technisch notwendige Daten übermittelt (Details siehe unten). Durch den SSO-Mechanismus entfällt die erneute Eingabe der Login-Daten, wenn die Person innerhalb der festgelegten Zeit zuletzt über eine Anwendung der Institution per SSO eingeloggt war.
In der Business-Version haben die Administrator*innen der Institution sehr umfangreich Möglichkeiten, Zoom zu konfigurieren. Dies kann aus Datenschutz-Sicht sehr streng geschehen, wodurch naturgemäß die Funktionen für Nutzer*innen eingeschränkt werden. Manche empfinden dies als Nachteil, weil sie diese in anderen Zoom-Versionen nutzen können oder weil sie aus anderen Systemen Möglichkeiten kennen, die aus Datenschutz-Sicht unzulässig sind. Dazu gehören sehr freie Möglichkeiten zur Aufzeichnung, wie sie in beliebten Systemen der „Gamer-Szene“ bekannt sind. Der Einsatz solcher Tools wurde für den Dienstgebrauch, und damit speziell für die Lehre, nicht genehmigt, ist also verboten.
Nutzer*innen-Typen
Wichtig ist die Unterscheidung zwischen einer Person, die eine Videokonferenz in Zoom einrichtet („Host“), und den Personen, die der Videokonferenz beitreten (Teilnehmer*innen).
Host
Host bestimmt den Zutritt (Bekanntgabe der Zugangsdaten), kann ihn regulieren (Zutritt über einen „Warteraum“), kann die Videokonferenz steuern (z.B. Stummschalten von Teilnehmer*innen) und kann auch die nutzbaren Funktionen regulieren (z.B. Freigabe von Aufzeichnungen). Dafür muss Host einen Zoom-Account der Institution haben (andernfalls wäre die Nutzung innerhalb des Lizenzvertrages nicht regulierbar). Host ist dabei verantwortlich für die Videokonferenz und wird daher auch mit seinem Namen angezeigt, damit Teilnehmer*innen bei Beschwerden auch wissen, auf wen sie sich als verantwortliche Person beziehen können. Als personenbezogene Daten werden daher an Zoom übertragen:
- User-ID, mit der die HTW Berlin Personen identifiziert
- Mail-Aresse, mit der Zoom Personen identifiziert
- Vorname(n) und Nachname, wodurch Host für Teilnehmer*innen klar erkennbar ist
Alle Mitglieder der HTW Berlin können Zoom als Host nutzen. Lehrende können so ihre Lehrveranstaltungen halten, Studierende können so Treffen in Arbeitsgruppen organisieren, ohne Instrumente zu nutzen, von denen das Team Datenschutz der HTW Berlin dringend abrät, weil sie aus Datenschutz-Sicht schwere Mängel gegenüber der HTW-Zoom-Version aufweisen.
Teilnehmer*innen
Teilnehmer*innen können anonym an Videokonferenzen teilnehmen. Host kann zwar einstellen, dass sich Teilnehmer*innen „registrieren“ müssen, allerdings können sie dabei Fantasie-Namen und Fantasie-Mailadresse eingeben. Zur Kommunikation kann es vorteilhaft sein, wenn Nutzer*innen während einer Videokonferenz gut unterscheidbar sind, um etwa leicht einzuordnen, wer sich gemeldet hat, wer eine Frage im Chat geschrieben hat oder wer etwas sagt. Damit können Beiträge besser eingeordnet werden, wie es auch in Präsenzveranstaltungen geschieht, wobei in der Regel nicht die Person mit Namen identifiziert werden muss. Vielmehr ist das Wiedererkennen wichtig, damit man auch auf den bisherigen Verlauf der Lehrveranstaltung oder zurückliegende Veranstaltungen Bezug nehmen kann. Dies wird durch prägnante Wahl eines Fantasienamens erleichtert. Die Beibehaltung dieses Namens bei den wiederkehrenden Videokonferenzen einer Lehrveranstaltung erleichtert die Zuordnung.
Gründe für die Nutzung von Zoom
Mit dem Umstieg auf die digitale Lehre sind besonders massive Herausforderungen an den Dienst DFNconf entstanden, über den die HTW Berlin wie die anderen deutschen Hochschulen bislang die Konferenzdienste Adobe Connect und Pexip angeboten hat. Die Plattform, die gegenwärtig weiter ausgebaut wird, ist auf ein organisches Wachstum ausgelegt gewesen und war dem sprunghaften Anstieg nicht gewachsen. Eine Alternative, um die Kommunikation aufrecht zu erhalten, ist also zwingend notwendig.
Die Nutzung von DFNConf stellt keine nutzbare Alternative dar. Aus der Information des DFN e.V. war klar, dass dessen Infrastruktur im Bereich Videokonferenz-System der Situation in Deutschland nicht gewachsen wäre.
Das Hochschulrechenzentrum (HRZ) hat sehr schnell reagiert und kurzfristig die Open-Source Videokonferenzlösung BigBlueButton auf eigenen Servern installiert und hochschulweit bereitgestellt. Allein dadurch konnte die synchrone Kommunikation aufrecht erhalten werden. Eigene Lösungen, die den Anforderungen durch e-Learning Konzepte in diesem Umfang gerecht werden, stellen hohe Anforderungen an die IT-Systeme der HTW. Stetig wachsender Bedarf an Videokonferenzen erforderte fortlaufendes nachgesteuern und eine sukzessive Skalierung Anwendung.
Eine extern gehostete Lösung wie Zoom für Videokonferenzen ist daher notwendig, um die HTW internen IT-Systeme zu entlasten und die einwandfreie Kommunikation weiterhin sicherzustellen. Dabei wurden Abwägungen wie Funktionalität, Stabilität und Datenschutz berücksichtigt. In Tests hat sich Zoom als eine sehr verlässliche Lösung mit hoher Konferenzqualität herausgestellt. Die auf eigenen Servern gehostete Lösung BigBlueButton soll weiterhin vor allem in Bereichen kritischer und besonders schützenswerter Kommunikation eingesetzt werden
Nutzungs-Arten
Zoom kann man auf zwei Arten nutzen, mit Hilfe eines Webbrowsers und mit Hilfe einer von Zoom angebotenen Software, die man auf seinem Gerät installieren muss.
Aus Datenschutz-Aspekten gibt es keine eindeutige Empfehlung, mit welcher Variante Zoom (als Host und als Teilnehmer*in) genutzt wird. Bei jeder Installation von Software (bereits die des Betriebssystems!) muss man letztlich darauf vertrauen, dass sie keine Sicherheitslücken enthält und nur die beschriebenen Zugriffe erfolgen. Bei der Benutzung eines Webbrowsers muss man darauf vertrauen, dass dieser keine Sicherheitslücken enthält. Und man muss darauf vertrauen, dass über eine Webseite nicht unerwünscht Daten übermittelt werden.
In jedem Fall sind die Nutzer*innen dafür verantwortlich, regelmäßig die entsprechenden (Sicherheits-)Updates ihrer Software zu installieren sowie ihr Betriebssystem und ihre Software wunschgemäß zu konfigurieren.
Nutzung mit Webbrowser
Grundsätzlich hängt die Nutzbarkeit von Zoom vom verwendeten Browser (und dem Betriebssystem ab). Weitgehend einwandfrei funktioniert Zoom nur mit einem aktuellen Google Chrome Browser. Tests zeigen, dass sich Zoom auch mit der Open-Source-Software Chromium als Alternative nicht problemlos nutzen lässt. Chromium wird auf der Zoom-Webseite mit den unterstützten Webbrowsern auch nicht aufgeführt. Jedoch kann es auch bei Verwendung von Firefox Probleme geben, obwohl er auf der Zoom-Webseite aufgeführt wird. Manche Funktionalitäten stehen im Webbrowser nicht zur Verfügung (z.B. Umfragefunktion).
Aus Datenschutz-Sicht muss persönlich abgewogen werden, ob etwa die Privatsphäre besser geschützt werden kann durch Einblenden eines Hintergrundbildes. Dieses Einblenden ist im Webbrowser nicht möglich.
Nutzung mit Zoom-Software
Statt mit Hilfe eines Webbrowsers kann man Zoom auch mit Hilfe einer Software nutzen, die von Zoom zum kostenlosen Download angeboten wird. Die zu verwendende Software hängt von Hardware und Betriebssystem ab. Nur mit einer solchen installierten Software kann man alle Funktionen von Zoom nutzen.
Tablets/Smartphones
Für Tablets und Smartphones gibt es in den üblichen Appstores für Android und für iOS Apps zum Download. Wie bei jeder App muss man dabei Zugriff auf das Gerät zulassen, um das Mikrofon und die Kamera zu nutzen (Hinweis: Unter Android lohnt sich ein Blick in die sog. Manifest-Datei einer App. Dort befinden sich genaue Angaben zu den benötigten Rechten einer App.). Wie bei allen Apps muss man dabei dem Anbieter vertrauen, dass die Zugriffsrechte nur wie gewünscht genutzt werden.
Desktop/Laptop
Um auf einem Desktop/Laptop ohne Webbrowser Zoom nutzen zu können, muss ein sog. Zoom Client installiert werden. Dieser steht auf der Zoom-Seite für die gängigen Betriebssysteme Linux, macOS und Windows zur Verfügung. Auch hier muss man den Zugriff auf das Gerät zulassen, um Mikrofon und Kamera zu nutzen. Und auch hier muss man dem Anbieter vertrauen, dass die Zugriffsrechte nur wie gewünscht genutzt werden.
Wer kann HTW-Zoom nutzen?
Zoom wurde als Campuslizenz angeschafft und steht allen Mitarbeitenden und Studierenden zur Verfügung, die eigene Räume mit bis zu 300 Teilnehmenden eröffnen können.
Wie sicher ist die Nutzung von HTW-Zoom?
Wir haben uns bei der Entscheidung für Zoom eng mit dem dem behördlichen Datenschutzbeauftragten der HTW abgestimmt. Einige der datenschutzrechtlichen Bedenken betreffen die kostenlose Version von Zoom. Die HTW hat eine Campuslizenz für die kommerzielle Variante abgeschlossen, in der mehr Konfigurationsmöglichkeiten für einen sicheren Betrieb zur Verfügung stehen. Die Plattform wird von der HTW mit den höchsten Sicherheitseinstellungen konfiguriert und die Nutzung wird kritisch begleitet.
Zoom bietet eine TLS-basierte Transportverschlüsselung (sofern Sie nicht mit normalem Telefon teilnehmen), jedoch keine Ende-zu-Ende-Verschlüsselung (E2EE) für Video-Gruppenkonferenzen. Vertragliche Regelungen verbieten selbstverständlich den Missbrauch jeglicher Daten durch Zoom.
Bitte beachten Sie in diesem Zusammenhang auch unbedingt die Informationen zu Sicherheits- und datenschutzrechtlichen Aspekten von Zoom an der HTW.
Beachten Sie bitte auch
- die Empfehlungen von Zoom zu Datenschutzeinstellungen
- die Privacy Policy und Erläuterungen dazu (29.3.2020)
- die Erklärung von Zoom zur Behebungen von Problemen in Apps für iOS und iPadOS (27.3.2020)
- den Zoom Security Guide
Unter Verwendung von Originaltexten mit freundlicher Genehmigung der TU Berlin und HU Berlin.