Zoom - Eine subjektive Analyse

Marcel Mehlmann (Stand: 2020-04-09)

0 Vorwort

Ich bin kein Sicherheitsforscher. Diese subjektive Analyse beruht auf der Sichtung und Bewertung verschiedener Quellen zu dieser Thematik. Trotz großer Sorgfalt kann ich nicht ausschließen, dass es dabei zu Fehlern kommt. Daher bin ich für jede Kritik und Anmerkung dankbar. Um den Lesefluss nicht zu sehr zu unterbrechen werde ich die entsprechenden Verlinkungen als Fußnoten einbinden.

1 Motivation

Durch die momentane Situation sehen sich viele Menschen gezwungen auf Onlinetools auzuweichen um effektiv mit größeren Gruppen kommunizieren zu können. Dabei wird oft aus einer Dringlichkeit heraus die offensichtliche Lösung gewählt ohne näher auf verlangsamende Faktoren wie Datenschutz, Datensicherheit oder Sicherheit im Allgemeinen einzugehen.

2 Einige Aspekte die für das Grundverständnis wichtig sind

2.1 DSGVO

Die Datenschutz-Grundverordnung (im Englischen GDPR abgekürzt) ist eine Verordnung der europäischen Union wie mit der Verarbeitung personenbezogener Daten sowohl im privaten als auch im öffentlichen Sektor umgegangen werden muss1. Ziel ist es dabei, eine einheitliche Regelung für alle Mitglieder der europäischen Union zu etablieren. Anwendung in Deutschland fand die DSGVO mit der Anpassung des Bundesdatenschuzgesetzes im Jahre 20172.

2.2 Auftragsverarbeitung

Die Auftragsverarbeitung beschreibt die Erhebung, Verarbeitung und/oder Nutzung von personenbezogenen Daten durch einen Dritten im Auftrag des eigentlich Verantwortlichen. Mögliche Beispiele für eine solche Auftragsverarbeitung sind:

Geregelt wird die Auftragsverarbeitung in §28 der DSGVO3.

Dabei muss ein Vertrag zwischen dem Verantwortlichen und Dritten abgeschlossen werden in welchem Art und Umfang der Datenverarbeitung, Dauer, Sperrung und Löschung der Daten, Kontrollrecht des Auftraggebers und einige weitere Aspekte schriftlich festgehalten werden müssen.

Wichtig ist dabei, dass bevor der Vertrag abgeschlossen werden darf, sich der Auftraggeber verpflichten muss, dass der Auftragnehmer sowohl technisch und organisatorisch in der Lage ist, die Maßnahmen zu erfüllen. Sollte dies nicht erfüllt sein, ist eine Auftragsverarbeitung nicht möglich.

2.3 DSGVO und das Ausland

Die Datenübermittlung und Verarbeitung von personenbezogenen Daten ins und im Ausland werden in der DSGVO in den Paragraphen 44 und folgende geregelt4.

Ein interessanter Aspekt vorweg. Die Anforderungen von §44ff sind auch dann gültig wenn die Daten auch aus dem Ausland abrufbar sind. Bedeutet, eine Webseite die personenbezogene Daten veröffentlicht und aus dem Ausland abgerufen werden ist von den Regelungen betroffen.

Soll eine Datenübertragung ins Ausland erfolgen ist eine sogenannte Ermächtigungsgrundlage vonnöten. Diese Ermächtigungsgrundlage ist ein zweistufiger Prozess:

  1. Die Rechtfertigung für eine Datenverarbeitung muss vorliegen.
  2. Die gesetzlichen Vorraussetzungen für eine Übermittlung ins Ausland müssen erfüllt sein.

Erst wenn beide Bedingungen erfüllt sind, ist eine Datenübertragung ins Ausland überhaupt rechtskonform.

Um die unter Punkt 2 genannten rechtlichen Vorraussetzungen zu erfüllen gibt es mehrere Wege:

  1. Die EU-Kommission kann per Beschluss ein angemessenes Schutzniveau in einem Drittland feststellen. Eine Übertragung dorthin ist ohne Probleme möglich. Beispiele für datenschutzrechtlich sichere Drittstaten sind Kanada, Argentinien oder die Schweiz.
  2. Das Land in welche die Daten übertragen werden sollen garantiert Datenschutz und stellt Rechtsbehelfe zur Verfügung um die Garantieansprüche auch Durchzusetzen.
  3. Die von der Datenübertragung betroffenen Personen geben ihre Einwilligung. Diese muss für einen bestimmten Fall und informiert erfolgen. Gleichzeitig muss das Unternehmen jeder Zeit in der Lage sein, die Einwilligung nachweisen zu können.

2.4 Privacy Shield

Privacy Shield ist der Nachfolger des, im Jahre 2000 verabschiedeten, Safe Harbour Projektes der EU. Die Grundidee bei Safe Harbour war, dass eine Datenübertragung in die USA zulässig sei, wenn die beteiligten Amerikanischen Unternehmen die "Grundsätze des sicheren Hafens zum Datenschutz" des US-Handelsministeriums garantierten. Dabei konnten sich die Unternehmen selbst als Safe Harbour konform zertifizieren und wurden entsprechend auf der Webseite des US-Handelsministeriums gelistet.

Safe Harbour wurde am 06. Oktober 2015 vom Europäischen Gerichtshof für ungültig erklärt5, da es den amerikanischen Sicherheitsbehörden möglich war, trotz Safe Harbour Abkommen, Einsicht in die gespeicherten Daten zu nehmen.

Als Nachfolger wurde das so genannte Privacy Shield 2016 ins Leben gerufen. Hierbei handelt es sich ebenfalls um eine Selbstzertifizierung um den Datenschutz nach europäischen Standards zu garantieren. Siese Selbstzertifizierung muss jährlich erneurt werden. Gleichzeitig wurde versucht von den US-Sicherheitsbehörden eine Garantie der zurückhaltenden Datenverabeitung zu bekommen. Allerdings haben die US-Behörden sich weiterhin Freiheiten eingeräumt, die Daten zu zwecken der nationalen Sicherheit einzusehen, zu erheben oder zu verarbeiten. Auf Seiten der EU hat die EU-Kommission eine ständige Kontrolle über die Angemessenheit des Schutzniveaus. Sollte das Schutzniveau nicht erfüllt werden kann als Maßnahme das komplette Privacy Shield ausgesetzt werden.

2.5 Kritik am Privacy Shield

Seit der Veröffentlichung der ersten Entwürfe des Privacy Shield gab es bereits Kritik. Bemängelt wurde immer wieder die fehlenden Garantien seitens der USA was den Zugriff durch US-Behörden anbelangt. Die von den USA formulierten Garantien seien zu schwammig. Gleichzeitig hat die Vergangenheit gezeigt, dass die Umsetzung der Richtlinien durch die USA nur sehr zögerlich erfolgt. Daher wäre es im Jahre 2018 fast zu einem Widerruf des Privacy Shields durch die USA gekommen.

Leider garantiert das Privacy Shield also nicht die notwendige Sicherheit um personenbezogene Daten in die USA zu transferieren und dort zu verarbeiten. Sollte das Privacy Shild ausgesetzt werden, würden auf einen Schlag alle Transfers und Verarbeitungen von personenbezogenen Daten in den USA illegal werden, solange bis neue Garantien auf Basis von §44 DSGVO ausgehandelt werden würden.

3 Zoom

Zoom Video Communications, Inc. mit Hauptsitz in San Jose ist ein Unternehmen welches sich auf Videokommunikationslösungen spezialisiert hat. Gegründet wurde die Firma im Jahre 2011 von dem heutigen CEO Eric Yuan. Als grundlegendes Finanzierungsmodell greift Zoom auf so genanntes Risikokapital zurück.

Risikokapital bedeutet an der Stelle, dass anstelle von Banken private Investoren oder Investment-Firmen das grundlegende Kapital für die Unternehmung liefern. Grund dafür ist oft die fehlende Kreditsicherheit des Gründungsunternehmens wodurch normale Banken oftmals eine Finanzierung ablehnen. Bei durch Risikokapital gegründeten Firmen zielen alle Beteiligten in der Regel darauf ab, innerhalb kürzester Zeit den Wert der Firma um jeden Preis zu vervielfachen um dann durch den Verkauf der eigenen Beteiligung einen Gewinn zu erwirtschaften. Diese hohen Renditen stehen aber gleichzeitig einem hohen Verlustrisiko gegenüber.

Einer der großen Nachteile bei Firmen die durch Risikokapital geführt werden ist, dass es nicht zwangsläufig im Interesse der Firma liegt, nachhaltig oder selbsterhaltend zu agieren, da im Interesse der Kapitalgeber der Wert der Firma das ausschlaggebende Element ist. Sollte in diesem Prozess die Firma mehr Geld benötigen wird dieses Notfalls durch eine neue Kapitalrunde eingeworben. Zoom hat heutzutage 17 Investoren6 mit mehr als 136 Millionen Dollar eingeworbenem Kapital7.

Der Trend Firmen durch Risikokapital zu gründen, ohne eine vernünftige Wirtschaftliche Grundlage den Wert der Firma zu inflationieren und diese dann, für alle Beteiligten, möglichst gewinnbringend zu verkaufen ist im Silicon Valley ein alltägliches Bild.

Ich hatte ursprünglich überlegt auf die ganzen verschiedenen Berichte zu den Sicherheitslücken und Datenschutzverletzungen (trotz der Mitgliedschaft im Privacy Shield8) von Zoom einzugehen, habe mich aber auf Grund der Menge dagegen entschieden.

Hier sollte jeder fündig werden, der in den entsprechenden Suchmaschinen Begriffe wie: Zoom, Privacy, Security oder ähnliches eingibt.

Ich möchte von den, meiner Meinung nach, recht eindeutigen technischen Aspekten weggehen und einen moralischen Aspekt betrachten.

Alle technischen Mängel sind nach Bekanntwerden von Zoom behoben worden. Ich finde dabei interessant, dass Zoom dabei immer wieder erwischt wurde, wie sie entweder gelogen haben, erst nach Druck der Öffentlichkeit reagiert haben und an vielen Stellen eine entwicklungstechnische Leichtsinnig präsentiert haben. Und an dieser Stelle kommt zu der technischen Bewertung noch eine moralische dazu. Kann und will ich einer Firma vertrauen welche in der Vergangenheit ein oben genanntes Verhalten an den Tag gelegt hat? Ich möchte an der Stelle einen krassen Vergleich hinzuziehen: Zoom ist wie der Freund, welcher sich einen Fehltritt nach dem anderen erlaubt, aber jedes Mal zurück kommt um einem davon zu erzählen wie sehr er sich doch verändert hat. Nur um dann wieder das gleiche Verhalten an den Tag zu legen. An dieser Stelle würde jeder sagen, dass man diesen Freund schnellstmöglich hinter sich lassen sollte und doch wird dieses Verhalten bei Zoom weiterhin toleriert.

Für mich ist die Frage nach Zoom schon lange beantwortet. Meiner Meinung nach hat Zoom jegliches Vertrauen verspielt und sollte bei jeder Gelegenheit gemieden werden.


  1. Link zur Verordnung (EUR-Lex)↩︎

  2. Informationen über den Vorgang (Dokumentations- und Informationssystem des deutschen Bundestags)↩︎

  3. Link zum Gesetzestext §28 (Dejure)↩︎

  4. Link zum Gesetzestext §44 (Dejure)↩︎

  5. Link zum Urteil (InfoCuria)↩︎

  6. Link zu einer unvollständigen Liste (crunchbase)↩︎

  7. Link zu einer Übersicht der Runden B, C und D (vcnewsdaily)↩︎

  8. Link zum Eintrag (privacyshield.gov)↩︎