Zooms neue EU-Speicheroptionen: Datensouveränität
Eine geringfügige Überarbeitung der Datenschutztools und -unterstützung von Zoom ermöglicht es zahlenden europäischen Kunden, „bestimmte Daten“ in der EU speichern zu lassen.
Konto- und Diagnosedaten werden jedoch weiterhin in den USA gespeichert, und selbst wenn europäische Kunden sich ausdrücklich gegen die Verarbeitung von Anrufdaten in US-Rechenzentren entschieden haben, können diese weiterhin über diese Datenzentren weitergeleitet werden, sagte Zoom.
Die europäische Datenspeicherungsoption Zoom ist jetzt für zahlende Benutzer verfügbar und gehört zu einer Reihe neuer „Datenschutzverbesserungen“ des Unternehmens – darunter ein Tool für Zugriffsanfragen betroffener Personen und die Nachverfolgung von Prüfprotokollen.
Eine Pressemitteilung dieser Woche war sorgfältig formuliert: „Bezahlte Kunden im EWR können bestimmte Daten für Meetings, Webinare und Team-Chats auswählen, die künftig im EWR gespeichert werden sollen. Diese Daten werden nur in Einzelfällen und Ausnahmefällen an US-Teams weitergegeben.“ Umstände", sagte Zoom.
Zoom teilte The Stack mit, dass der Datenspeicherort für europäische Kunden, die auf diese spezielle Schaltfläche klicken möchten, Zoom-Rechenzentren in „Frankfurt, Deutschland“ sind, in denen von AWS gehostete „Cluster“ ausgeführt werden.
(Warum Zoom sich für den Verweis auf den EWR und nicht auf die EU entschieden hat, ist unklar. Wir können bestätigen, dass die Daten nicht in Island, Liechtenstein oder Norwegen gespeichert werden.)
Zoom-Administratoren können sich dafür entscheiden, Cloud-Aufzeichnungen und Aufzeichnungstranskripte neben anderen Datensätzen an bestimmten Orten (z. B. Deutschland) speichern zu lassen und sich auch ausdrücklich gegen die Verarbeitung in anderen Rechenzentren auszusprechen.
Unabhängig von der Wahl des Speicherorts durch den Kunden umfasst dies „keine Kontodaten und Diagnosedaten, die weiterhin in den USA gespeichert werden.“
Für die „EEA“-Speicherung ausgewählte Daten „können [auch] über Netzwerkverbindungen oder Netzwerkgeräte in Opt-Out-Rechenzentren übertragen werden, während sie [zu] Opt-In-Zoom-Rechenzentren übertragen werden, die für die Verarbeitung von Echtzeit-Meetings der Teilnehmer verwendet werden Webinar-Video…“ finden Sie in der Datenschutzrichtlinie von Zoom.
Die neuen Zoom-Datenschutztools für europäische Kunden kommen Wochen, nachdem der irische Datenkommissar eine bahnbrechende Geldbuße in Höhe von 1,2 Milliarden Euro gegen Facebook-, Instagram- und WhatsApp-Besitzer Meta wegen Nichteinhaltung der DSGVO-Datenschutzanforderungen verhängt hat; Ein Fehler, den das Urteil nahelegt, könnte auch für andere SaaS-Anbieter gelten, die Daten in die USA senden.
(Das Bußgeld wurde von Daragh O Brien vom Datenberatungsunternehmen Castlebridge kurz und bündig als „die seit langem angekündigte Aussetzung von Übermittlungen in die USA im Rahmen von SCCs“ beschrieben – vorübergehende EU-US-Datenübermittlungsregeln, die das transatlantische „Privacy Shield“-Abkommen selbst ersetzt hatten vom Europäischen Gerichtshof am 16. Juli 2020 in einem Schrems-II-Urteil abgeschossen.)
Der Schritt von Zoom erfolgt auch zu einem Zeitpunkt, an dem eine Bewegung zur „Datensouveränität“ in Europa stetig an Dynamik gewinnt. Die BWI, der IT-Dienstleister der Bundeswehr, hat beispielsweise im Dezember 2022 die Beta-Version ihres Ende-zu-Ende-verschlüsselten (E2EE) BundesMessengers auf den Markt gebracht, einem sicheren dezentralen Messenger für die deutschen Bundes-, Landes- und Kommunalbehörden gehostet, wo immer ein Benutzer wählt, und das auf dem Open-Source-Matrix-Protokoll basiert.
Microsoft hat inzwischen versprochen, eine EU-„Datengrenze“ zu schaffen, die sowohl Kunden- als auch Telemetriedaten für Azure, Microsoft 365, Dynamics 365 und Power BI innerhalb Europas speichert. Julie Brill, Chief Privacy Officer von Microsoft, sagte der Agentur: „Die erste Phase werden Kundendaten sein … wir werden [dann] Protokollierungsdaten, Dienstdaten und andere Arten von Daten in die Grenzen verlagern“ (bis Ende 2023 und Ende 2023). 2024 bzw. 2024.)
Zoom sagt, dass die neuen Datenschutzfunktionen teilweise mit der niederländischen IT-Bildungsgenossenschaft SURF entwickelt wurden, mit der das Unternehmen im Jahr 2021 im Rahmen einer Datenschutz-Folgenabschätzung (DPIA) zusammenzuarbeiten begann, und zitierte SURF-CEO Jet de Ranitz als „sehr zufrieden“ damit Zoom Europäische Datenschutzänderungen.