Bedenken gegen die Nutzung von Zoom im Bildungsbereich

Zoom ist die in unserer Einschätzung derzeit meistgenutzte Videokonferenzplattform in Schweizer Schulen. In den letzten Tagen sind aber einige Warnungen vor Zoom in Bezug auf IT-Sicherheit, Missbrauch und fehlendem Datenschutz aufgetaucht. Weil in diesen Diskussionen öfters die Open-Source Plattform Jitsi als sivhere Alternative präsentiert wird, nehmen wir sie in die Tabelle mit auf (für Zoom-Alternativen siehe: Videoplattformen-Übersicht)

Kategorie Zoom Jitsi Einschätzung / BemerkungenSorted ascending
Serverstandort USA Dort wo die Jitsi-Instanz betrieben wird  
End-Zu-End-Verschlüsselung Zoom hatte früher behauptet, der Dienst sei End-Zu-End-verschlüsselt, musste dann allerdings zugeben, dass dies nicht der Fall ist. Alle Videodaten sind von Zoom einsehbar. Auch Jitsi ist derzeit nicht End-zu-Ende-verschlüsselt, sobald mehr als zwei Teilnehmende an einer Konferenz teilnehmen. (https://jitsi.org/blog/security/). Der Betreiber der entsprechenden Jitsi-Instanz kann somit die Videodaten einsehen.  
Unhöfliche Geschäftspraktiken und technische Vorgehensweisen:
  • Unter MacOs hat die Software sich in der Vergangenheit installiert, sobald das Installationsprogramm gestartet worden war, aber noch bevor der User auf "Installieren" geklickt hat.
  • Unter MacOs hat die Software Teile installiert, die auch nach einer Installation auf dem Rechner verblieben sind und Missbrauchspotenzial hatten.
   
User-Tracking durch Dritte
(Datenschutz)
Die Firma Zoom hat in der Vergangenheit unter iOS Nutzungsdaten an Facebook weitergegeben (siehe heise.de) . Ende März hat Zoom mitgeteilt, dass dies nun nicht mehr geschehe. Jitsi sendet in den Apps für iOS und Android ebenfalls Tracking-Daten an Dritte und will dies anscheinend nicht abstellen. Im Detail ist die Lage kompliziert. Aber es ist mindestens nicht so, dass Zoom als böser Dienst Daten an Dritte weitergibt, während dies Jitsi nicht tut.
Zugangsdaten zum Dienst im Netz verfügbar In letzter Zeit haben verschiedene Medien darüber berichtet, dass im Darknet hunderttausende Zoom-Accounts aufgetaucht seien. Es ist jedoch unklar, ob das mit einer Nachlässigkeit der Firma Zoom oder mit der Nachlässigkeit der Zoom-User zu tun hat, für verschiedene Dienste das gleiche Passwort zu verwenden (was Credential-Stufing ermöglicht).   Im Netz kursierende Zugangsdaten müssen nicht zwingend auf Nachlässigkeit des Dienstbetreibers zurückzuführen sein: Wenn Leute ihre BMW-Schlüssel rumliegen lassen kann die Firma BMW auch wenig dafür.
Sicherheitslücken der Software
(IT-Sicherheit)
Es wurde bekannt, dass die Software in der Vergangenheit einige Sicherheitsprobleme hatte und die Firma sich teilweise lange Zeit liess, um die Probleme zu beheben.   Viele Programme weisen Sicherheitslücken auf. Wird eine Software stärker genutzt, so kann dies dazu führen, dass die Software besser untersucht wird und mehr Sicherheitslücken entdeckt werden. Problematisch sind somit nicht die Berichte, dass Sicherheitslücken entdeckt worden sind (das passiert überall laufend), sondern dass gewisse Lücken längere Zeit nicht beschlossen worden sind.
Missbrauchspotenzial durch unsachgemässe Nutzung: Wenn die Sitzungsnummer einer öffentlichen Zoomkonferenz bekannt ist, können sich Unbekannte einklinken, die Videokonferenz anschauen, aufnehmen und bei entsprechenden Einstellungen die Videokonferenz aktiv stören (u.a. mit unerwünschten Inhalten). Zoom hat die Standardeinstellungen der Software geändert, so dass die Gefahr durch unsachgemässe Nutzung geringer wird.   Vor Usern, die unsorgfältig mit ihren Zugangsdaten umgehen, ist praktisch kein Dienst gefeit. Es lassen sich aber gewisse Standardeinstellungen entsprechend vorsichtig setzen (was Zoom unterdessen getan hat).
Warnungen oder Verbote von Zoom:

Eine wichtige Person oder eine Organisation warnt vor Zoom.

  • So hat z.B. Google die Nutzung von Zoom verboten. Im Falle von Google lässt sich das aber auch dadurch erklären, dass Google eigene Videokonferenzlösungen anbietet und damit auch Konkurrent von Zoom ist. Dass man im eigenen Unternehmen die Nutzung von Konkurrenzprodukten unterbinden will, ist nachvollziehbar (wenn auch nicht in jedem Fall sinnvoll).
  Warnungen vor der Nutzung einer Software sind ein Indix, aber kein Beweis für ein Problem der Software. Während in Deutschland verschiedene Datenschützverantwortliche die Nutzung von Zoom verbieten oder mindestens davor warnen, hat der datenschutzverantwortliche des Kantons Zürich Zoom während der Pandemie-Situation erlaubt. In der Folge nutzt z.B. die Universität Zürich die Software (ausser im medizinischen Kontext).
User-Überwachung durch Konferenzleitung
(Datenschutz)
Der Veranstalter (host) einer Videokonferenz konnte bis 2. April 2020 eine Aufmerksamkeitsüberwachung der Teilnehmenden aktivieren. Dabei wurde kontrolliert, ob die TN die Videokonferenz wirklich beachten (bzw. im Vordergrund hatten) oder nur auf dem Computer laufen liessen. Per 2. April wurde dieses Feature aus Zoom entfernt. Sitzungsleiter können die automatisch erfassten Sprechzeiten aller Sitzungsteilnehmer abrufen. Während Zoom nach öffentlicher Kritik gewisse Überwachungsfunktionen entfernt hat, ist es in Jitsi weiterhin möglich, die automatisch erfassten Sprechzeiten der Sitzungsteilnehmer abzurufen.

Stellungsnahme von Zoom

Zoom hat am 23.4.2020 einen Brief PDF-Dokumentmit einer Erklärung zum Datenschutz publiziert.

Einschätzungen

Der Zürcher Datenschützer schreibt Ende März 2020 zu Zoom:

Zoom kann nur während der Corona-Krise eingesetzt werden. Voraussetzung ist, dass das Global Data Processing Addendum unterzeichnet und an Zoom retourniert wird.

Zu den bestehenden Problemen und gemachten Vorwürfen kann u.a. folgendes gesagt werden:
  • Viele Programme weisen Sicherheitslücken auf. Wird eine Software stärker genutzt, so kann dies dazu führen, dass die Software besser untersucht wird und mehr Sicherheitslücken entdeckt werden. Problematisch sind somit nicht die Berichte, dass Sicherheitslücken entdeckt worden sind (das passiert überall laufend), sondern dass gewisse Lücken längere Zeit nicht beschlossen worden sind.
  • Während Zoom nach öffentlicher Kritik gewisse Überwachungsfunktionen entfernt hat, ist es in der aktuell oft gelobten Opensource-Software Jitsi weiterhin möglich, die automatisch erfassten Sprechzeiten der Sitzungsteilnehmer abzurufen.
  • Einige der berichteten Missbrauchsmöglichkeiten sind darauf zurückzuführen, dass die Nutzenden gewisse Sicherheitsregeln nicht beachtet haben (z.B. die Sitzungsnummer einer öffentlichen Videokonferenz weltweit publiziert haben).
  • Aktuell werden Einzelfälle medial stark verbreitet.

Eine persönliche, nicht rechtsverbindliche Empfehlung von Beat Döbeli Honegger:

Lehrpersonen sind derzeit mehrfach herausgefordert, ihre Schülerinnen und Schüler bestmöglich zu unterstützen und zu begleiten. Da ist aus meiner Sicht der Datenschutz eine, aber nicht die ausschliessliche Richtschnur. Wenn Zoom gut funktioniert und Lehrpersonen hilft, ohne grosse Probleme den Kontakt zu Ihren Schülerinnen und Schülern aufrecht zu erhalten und damit einen wichtigen Beitrag zum Wohlergehen ihrer Schülerinnen und Schüler zu leisten, dann würde ich in der aktuellen Situation über mögliche Datenschutzprobleme hinwegsehen. Nach der Corona-Krise stellt sich die Situation wieder anders dar und muss neu beurteilt werden.

Wir werden die Situation weiter beobachten und diese Hinweise und Empfehlungen weiter beobachten.

Weitere Einschätzung:

Der deutsche Rechtsanwalt & Fachanwalt für IT-Recht Stephan Hansen-Oest zur Frage Hilfe…ist „Zoom“ etwa eine Datenschleuder?.

Zoom-Barometer: Kann „Zoom“ aktuell datenschutzrechtlich zulässig eingesetzt werden?
Ja, meiner Meinung nach kann „Zoom“ aktuell noch in datenschutzrechtlich zulässiger Weise eingesetzt werden (Stand: 16.04.2020 – 12:08 Uhr).

Hochschulen, die derzeit Zoom verwenden

Neben den Medienberichten von Unternehmen, welche die Nutzung von Zoom verbieten (z.B. Tesla, Google) gibt es auch Hochschulen, die Zoom während der Corona-Krise einsetzen und empfehlen:

Hinweise von SWTICH

Privacy@Zoom PDF-Dokument (2 Seiten, 13.05.2020)

Datenschutzhinweise zu anderen Videokonferenztools

Selbstverständlich sind Argumentationen der Art "Ich nicht, du auch" problematisch. Da aber medial derzeit vor allem auf Probleme bei Zoom hingewiesen wird, führen wir hier Hinweise auf sicherheitstechnisch und datenschutzmässig diskutable Punkte anderer, meist als gute Alternativen zu Zoom genannter Videokonferenzsysteme auf. Nicht um Probleme bei Zoom zu rechtfertigen, aber um zu zeigen, dass die Situation nicht so schwarz/weiss ist, wie sie manchmal dargestellt wird.

  • Wenn der Betreiber einen BigBlueButton-Server so eingestellt hat, dass Aufnahmen von Sessions prinzipiell möglich sind, dann nimmt der Server jede (!) Sitzung auf. Diese Aufnahmen werden nur gelöscht, wenn ein entsprechendes Löschskript aktiviert ist. Dies widerspricht der Datensparsamkeit und Privacy by design. (Quelle: https://github.com/bigbluebutton/bigbluebutton/issues/9202)
PHSZ Logo

Dies ist ein im März 2020 von der Pädagogischen Hochschule Schwyz initiiertes Wiki und vereint Inhalte verschiedener Pädagogischer Hochschulen.

Seit Juni 2020 wird das Wiki vorerst nicht mehr aktualisiert, da in der Schweiz die Schulen weitgehend wieder in Präsenz unterrichten.

Hinweis: Bitte fangen Sie nicht selbst auch noch eine Linksammlung oder ein Forum zum Thema an, es gibt bereits (zu) viele. Das macht es für Ratsuchende nur noch schwieriger, weil dann eine Linksammlung auf die andere verweist. Es ist auch eine Ressourcenverschwendung, wenn alle anfangen, eigene Listen und Foren mit Inhalten zu füllen. Versuchen Sie stattdessen, bei einer bestehenden Sammlung mitzuarbeiten.

This page was cached on 28 Sep 2020 - 20:02.