hdrpl

Anfrage „Ungenehmigte Aufzeichnung von Zoom-Sitzungen auf Mac OS an Hochschulen“

Wir sind durch einen Twitterthread auf das Datenschutzproblem an der Technischen Universität Berlin (TU) aufmerksam geworden.

Nach Recherche wurde schnell klar, dass das Problem alle Nutzer*innen von zoom auf MacOS betrifft: Die Version 5.4.4 des MacOS zoom Clients hat lokal Audiomitschnitte von Meetings gespeichert. Das passierte selbst dann, wenn die „aufnehmen“ Funktion nicht aktiviert war und auch, wenn man lediglich Zuhörer*in, nicht Host war.

Die betroffene Client Version hat dabei für jedes besuchte Meeting eine gesammelte Audiospur als Logdatei lokal auf dem Computer der Nutzer*in gespeichert.

Die deswegen von mir gestellte Anfrage „Ungenehmigte Aufzeichnung von Zoom-Sitzungen auf Mac OS an Hochschulen“ an den Senat wurde nun durch diesen bzw. die Hochschulen beantwortet (Volltext siehe angehängtes PDF).

Tragweite des aufgetretenen Datenschutzproblems

Die betroffene Version des Clients wurde am 23. November 2020 veröffentlicht, am 6. Dezember 2020 laut Antwort des zoom Supports an die TU (am 8. Dezember laut release note auf der zoom Website und auch laut Antwort der TU auf Tobias Anfrage) wurde ein Update herausgegeben, dass das Problem behoben hat und die vorhandenen Audiodateien gelöscht hat, zumindest sofern dieses Update von den User*innen durchgeführt wurde.

Selbst wenn man von dem sehr unwahrscheinlichen Fall ausgehen würde, dass alle MacOS Nutzer*innen die automatischen Updates für den zoom Client aktiviert hatten, waren also zwei vollständige Wochen betroffen (plus 2 Tage, je nach dem, welches Datum für den release korrekt ist).

Die Verwendung von zoom ist, bedingt durch die Notwendigkeit während der Pandemie physische Kontakte einzuschränken, sehr weit verbreitet. Die Spanne der Meetings reicht dabei von Yogagruppen, Spieleabenden, geschäftlichen Verhandlungen, Austausch von Politiker*innen, Podiumsdiskussionen bis hin zu Vorlesungen und Seminaren an Hochschulen.

Es ist nicht relevant, ob alle Nutzer*innen selbst den betroffenen Client installiert hatten, es reichte, wenn lediglich eine Person im Meeting die Version installiert hatte und diese dann eine Audiodatei des Meetings anlegte.

Innerhalb mindestens dieser zwei Wochen kann also theoretisch jedes von mindestens einem per betroffenem zoom Client besuchte oder gehostete Meeting als Audioaufzeichnung vorhanden sein.

Es ist nicht nachvollziehbar, ob die lokal gespeicherten Dateien tatsächlich durch das Update (oder manuell) gelöscht wurden oder ob Kopien der Audiodatein anderweitig gesichert und damit aufgehoben wurden.

Berliner Hochschulen

Wenn man bedenkt, dass Lehrveranstaltungen während der Pandemie zum größten Teil digital stattfinden und an einigen Universitäten hauptsächlich über zoom, wird auch die Tragweite für die Berliner Hochschulen klar.

Betroffene an Berliner HS

Auf die Frage von mir, wie viele User*innen und wie viele Aufzeichnungen das Problem genau betreffen gibt die TU an, dass mindestens 500 Nutzer*innen den betreffenden Client installiert hatten. Konkrete Fälle sind der TU lediglich drei bekannt, wobei nur bei einem genauere Untersuchungen der Audiodateien durchgeführt wurden.

Auf Grund dessen, dass die Dateien lediglich lokal gespeichert wurden, kann die TU keine Angaben darüber machen, welchen Umfang die Aufzeichnungen hatten oder haben und auch nicht, wie viele Personen betroffen sind.

Die anderen Hochschulen (Charité, FU, HU, UdK, Ernst Busch, Hanns Eisler, ASH, HTW, HWR und Kunsthochschule Weissensee) geben in ihren Antworten an, dass ihnen keine entsprechenden Fälle an der jeweiligen Hochschule bekannt sind.

Zumindest die Beuth-Hochschule antwortet, dass „das technische Problem bekannt [war] und […] durch ein Zwangs-Update der Version 5.4.6. behoben“ wurde. Der Beuth-Hochschule sind keine betroffenen Nutzer*innen bekannt.

Die TU und die Beuth haben als Reaktion auf die Datenschutzprobleme die Konfiguration ihrer Instanz dahingehend geändert, dass Nutzer*innen nicht mehr mit der betroffenen Version des MacOS Clients an Meetings teilnehmen können (für die TU unter „Gegenmaßnahmen“ hier zu finden).

Die Hochschule für Wirtschaft und Recht hat außerdem mitgeteilt, dass sie keine Zoom-Lizenzen zur Verfügung stellt und zoom allenfalls auf eigene Initiative von Lehrenden genutzt wird.

In der Antwort auf die Anfrage fällt auf, dass auch die Hochschulen, die eine zoom Businessinstanz betreiben (außer TU und Beuth), keine Angabe darüber gemacht haben, ob aktuell noch User*innen die entsprechende Version nutzen oder ob sie Anstrengungen dahingehend unternommen haben, dass die problematische Version des Clients nicht mehr auf ihren Instanzen genutzt werden kann. Zumindest in der Dokumentation dieser Hochschulen ist kein prominenter Hinweis auf das beschriebene Datenschutzproblem zu finden.

Allgemeine Probleme mit zoom bei Lehrveranstaltungen

Grundsätzlich ist die Teilnahme an den Lehrveranstaltungen über zoom zwar auch möglich ohne sich den Client zu installieren, praktisch schränkt das die aktive Teilnahme aber deutlich ein.

Einige Funktionen von zoom, die in Vorlesungen häufig genutzt werden (u.a. Umfragen, Rückmeldungen durch Emojis, manuelles betreten von Breakoutsessions [häufig für Kleingruppenarbeit genutzt]) oder die die Teilnahme erleichtern (u.a. Warteraum aus dem der automatische Beitritt in die Session möglich ist, Galerieansicht) sind in der reinen Browserversion nicht nutzbar, wie unter anderem das Datenschutzteam der TU darstellt. Das erschwert es, sich gegen die Installation des Clients zu entscheiden.

Datenschutz bei Verwendung von zoom

Zoom wurde bereits am 3. Juli 2020 von der Berliner Datenschutzbeauftragten als problematisch eingstuft. Es ist leider nicht ersichtlich, ob die Datenschutzbeauftragte sich hierbei lediglich auf freie Lizenzen beruft oder auch die weitreichenden Konfigurationen, die die TU im Rahmen Buisnesslizenz [S.5f] durchgeführt hat in die Bewertung eingeflossen sind. In der Bewertung der verschiedenen Videokonferenztools durch die Datenschutzbeauftragte ist Zoom in der „roten“ Kategorie [S.5], was die schlechteste Kategorie ist. In den weiteren Ausführungen zu Zoom schreibt die Datenschutzbeauftragte als Zusammenfassung: „Mängel im Auftragsverarbeitungsvertrag. Unzulässige Einschränkungen der Löschpflicht. Unzulässige Datenexporte. Zweifel an der Zuverlässigkeit des Anbieters.“ [S. 14, ebenda].

Auch die Technische Universität selbst schreibt auf dem Blog des Datenschutzteams über Zoom, dass „auf Windows 10 und MacOS […] die Desktop-App aus technischer Sicht die gesamten Zugriffsrechte des angemeldeten Benutzers“ hat. Diese Einschätzung bezieht sich explizit auch auf die Nutzung des Clients, wenn Konferenzen über die TU Buisnesslizenz laufen. Das Datenschutzteam der TU weist ausserdem mehrfach auf ihrem Blog darauf hin, dass die Nutzung zumindest von freien Zoom Lizenzen absolut abzulehnen ist.

 

S18-26085PDF-Datei (228,11 KB)