Am 6. August 2023 veröffentlichte Stack Diary einen Artikel, in dem hervorgehoben wurde, dass Zoom in seinen Allgemeinen Geschäftsbedingungen (Terms of Service, ToS) Klauseln mit weitreichenden Auswirkungen auf die Erhebung und Nutzung persönlicher Daten enthält.
Insbesondere Teile der AGB von Zoomimplizierten, dass sie personenbezogene Daten zum Trainieren von Modellen für maschinelles Lernen und künstliche Intelligenz (KI) verwenden.
Dies verstieß nicht nur gegen mehrere Gesetze der Europäischen Union, sondern verbreitete sich auch rasch und löste einen großen öffentlichen Aufschrei aus.
Zoom reagierte mit einem Blogbeitrag und änderte seine ToS zweimal, aber wir haben noch einige Fragen.
Schauen wir uns die Kontroverse um die Nutzungsbedingungen vonZoom genauer an.
Warum waren die Nutzungsbedingungen von Zoom umstritten?
Wenn Sie ein Zoom -Konto einrichten, erklären Sie sich gemäß dem einleitenden Text in den Allgemeinen Geschäftsbedingungen mit allen Bedingungen einverstanden und sind rechtlich an diese gebunden.
In fetten Buchstaben steht dort:
"Durch die Annahme dieser Vereinbarung entsteht ein rechtsverbindlicher Vertrag zwischen Ihnen und Zoom."
Doch am 6. August enthüllte Stack Diary Teile der Geschäftsbedingungen von Zoom, die darauf hindeuten, dass sie personenbezogene Daten in einer Weise nutzen, die möglicherweise gegen Gesetze wie die Allgemeine Datenschutzverordnung (DSGVO).
Nachfolgend finden Sie einen Screenshot der Zoom ToS, wie sie am 6. August erschienen und von archive.org wiederhergestellt wurden.
Die hervorgehobenen Farben, die ich hinzugefügt habe, stehen für verschiedene rechtliche Anforderungen an die DSGVO , auf die ich im Laufe dieses Artikels Bezug nehmen werde:
- Blau: Zoom's Definition von Kundeninhaltsdaten und Service generiert Daten
- Grün: Zoom's rechtmäßige Grundlage zur Rechtfertigung der Verarbeitung von Kundeninhaltsdaten und dienstgenerierten Daten
- Gelb: ZoomZweck der Verarbeitung sowohl von Kundeninhaltsdaten als auch von durch den Dienst generierten Daten
Der gelb markierte Abschnitt in Teil 10.4 dieser Nutzungsbedingungen besagt, dass sie Informationen von Nutzern verwenden können, um ihre KI und andere maschinelle Lernmodule wie Zoom IQ zu trainieren.
Zwei Absätze weiter oben, im grünen Abschnitt von 10.2, beruft sich Zoom auf die Einwilligung als Rechtsgrundlage für die Erhebung der spezifischen Datenarten.
Es gab nur ein Problem: Zoom hat nie die rechtmäßige Zustimmung der Nutzer eingeholt, was einen direkten Verstoß gegen Artikel 4 der DSGVO darstellt.
Im nächsten Abschnitt werden wir näher darauf eingehen, inwiefern dies gegen das EU-Datenschutzrecht verstößt.
Zoom's ToS Möglicher Verstoß gegen die DSGVO
In der ursprünglichen Version der ToS von Zoomwurden zwei Arten von Daten definiert:
- Kundeninhalte (definiert in Abschnitt 10.1)
- Servicegenerierte Daten (definiert in Abschnitt 10.2)
Die genauen Definitionen finden Sie in den blau hervorgehobenen Abschnitten auf dem Screenshot, den ich oben geteilt habe.
Im Wesentlichen handelt es sich bei den Kundeninhalten jedoch um Daten von Kunden und Endnutzern, die über die Plattform Zoomgeneriert wurden und rechtlich als personenbezogene Daten gelten.
Dazu gehören Informationen wie Daten, Inhalte, Dateien, Dokumente und andere Materialien, die Nutzer bei der Nutzung der Dienste von Zoomhochladen oder bereitstellen.
Im Gegensatz dazu definiert die ToS Service Generated Data als:
' ... alle Telemetriedaten, Produktnutzungsdaten, Diagnosedaten und ähnliche Inhalte oder Daten, die Zoom in Verbindung mit Ihrer Nutzung oder der Nutzung der Dienste oder der Software durch Ihre Endnutzer sammelt oder erzeugt' .
Diese Art von Informationen, die auch als Metadaten bezeichnet werden, können personenbezogene Daten im Sinne von Artikel 4 der Richtlinie DSGVO enthalten, wie dies in jüngsten Gerichtsverfahren, z. B. in der Rechtssache Digital Rights Ireland, bestätigt wurde.
Im Anschluss an diese Definitionen gab es eine Liste von Zwecken, für die Zoom diese Daten verwenden darf, darunter "Produkt- und Dienstleistungsentwicklung", "Marketing" und insbesondere "maschinelles Lernen und künstliche Intelligenz".
Gemäß Artikel 4 der Website DSGVO bedeutet "rechtmäßige Zustimmung":
jede Willensbekundung der betroffenen Person, dieohne Zwang, für den konkreten Fall, in Kenntnis der Sach lageund unmissverständlich erfolgt und mit der siedurch eine Erklärung oder eineeindeutige bestätigende Handlung ihr Einverständnis mit der Verarbeitung sie betreffender personenbezogener Daten zum Ausdruck bringt".
ZoomDie ToS vom 6. August entsprach in keiner Weise dieser rechtlichen Definition, und zwar aus folgenden Gründen
- Abschnitt 10.2 der AGB enthielt eine Liste von Zwecken, denen der Nutzer angeblich zugestimmt hatte, wobei die Zustimmung nicht als "spezifisch" angesehen werden konnte.
- Zoom den Nutzer nie aufgefordert hat, seine Zustimmung durch eine Handlungzu erteilen (in der Welt des Datenschutzes wird dies als Opt-in-Zustimmung bezeichnet).
- Schließlich kann man argumentieren, dass die Zustimmung in diesem Szenario nicht "frei gegeben" werden konnte, da jeder Nutzer, der sich weigerte, nur eine Alternative hatte - die Dienste von Zoomnicht zu nutzen(TechCrunch).
ZoomDie nicht notwendige Erfüllung eines Vertrags
Technisch gesehen ist die Erfüllung eines Vertrags eine spezifische Rechtsgrundlage für die Verarbeitung von Daten, wie sie in der DSGVO definiert ist.
Die Website DSGVO ermöglicht es einem für die Verarbeitung Verantwortlichen, personenbezogene Daten zu verarbeiten, wenn dies "für die Erfüllung eines Vertrags erforderlich ist".
Könnte dies auf Zoom zutreffen?
Um einen zweiten im Artikel von Stack Diary hervorgehobenen Punkt zu verwenden: Zoomsichert in Abschnitt 10.4 eine "unbefristete, weltweite, nicht-exklusive, gebührenfreie, unterlizenzierbare und übertragbare Lizenz ..." für jegliche Nutzung von Kundeninhaltsdaten.
Zoom begründete dies als "notwendig für die Erbringung der Dienstleistungen", einschließlich der Unterstützung und Verbesserung ihrer Dienstleistungen, Marketing, Analytik, Qualitätssicherung, maschinelles Lernen und künstliche Intelligenz.
Mit anderen Worten: Sie verarbeiten Kundeninhalte, um einen Vertrag zu erfüllen.
In diesem Fall würden die von Zoom aufgeführten Zwecke jedoch höchstwahrscheinlich nicht als notwendig gelten - Marketing, Analytik, maschinelles Lernen und künstliche Intelligenz sind für die Kommunikationsdienste von Zoomnicht wesentlich.
Zoom's ToS Möglicher Verstoß gegen die ePrivacy-Richtlinie
Durch den Verstoß gegen die Definition der Einwilligung in Artikel 4 von DSGVOwürde Zoom auch gegen ein anderes EU-Gesetz, die Datenschutzrichtlinie für elektronische Kommunikation, verstoßen.
Konkret verbietet Artikel 5 der Datenschutzrichtlinie für elektronische Kommunikation:
"dasAbhören, Anzapfen, Speichern oder andere Arten des Abfangens oder Überwachens von Kommunikation und der damit verbundenen Verkehrsdaten durch andere Personen als die Nutzer, ohne die Zustimmung der betroffenen Nutzer..."
Die Datenschutzrichtlinie für elektronische Kommunikation verwendet dieselbe rechtliche Definition der Einwilligung wie die DSGVO, und wie ich bereits erklärt habe, hat Zoom die Leitlinien für die Einwilligung nicht ausreichend erfüllt.
Wie hat Zoom reagiert?
Nach dem Schneeballeffekt der schlechten Presse aktualisierte Zoom innerhalb von 24 Stunden seine Nutzungsbedingungen und veröffentlichte einen Blogbeitrag, in dem auf die Kontroverse reagiert wurde.
Die Änderungen waren jedoch immer noch unzureichend, was zu einer dritten Aktualisierung führte, die bei uns einige Fragen und Bedenken aufwarf.
Im nächsten Abschnitt gehe ich auf beide Versionen ihrer ToS ein und erkläre, warum sie immer noch beunruhigend sind.
Ein erfolgloser erster Versuch zur Einhaltung der Vorschriften
Nach den negativen Reaktionen der Verbraucher und der Presse hat Zoom seine Nutzungsbedingungen am 7. August 2023 aktualisiert.
Am Ende von Abschnitt 10.4 fügten sie eine kurze Erklärung hinzu, in der Folgendes festgelegt wurde:
"Ungeachtet der obigen Ausführungen wird Zoom keine Audio-, Video- oder Chat-Kundeninhalte verwenden, um unsere Modelle der künstlichen Intelligenz ohne Ihre Zustimmung zu trainieren."
Der Nachwelt zuliebe sehen Sie unten einen Screenshot dieser kurzlebigen Version der Zoom ToC, die wiederum von archive.org wiederhergestellt wurde.
Dies sollte die Situation klären, warf aber neue Fragen auf.
Erstens: Diese Erklärung gilt nur für Kundeninhalte.
Infolgedessen würde die Erhebung von dienstgenerierten Daten auf der Grundlage der rechtswidrigen Definition von Einwilligung ( Zoom) weiterhin nicht mit den EU-Datenschutzvorschriften übereinstimmen.
Zweitens impliziert diese Erklärung, dass die Verarbeitung von Kundeninhalten durch Zoomnicht auf der rechtmäßigen DSGVO Grundlage der "Vertragserfüllung" beruhen würde (was von vornherein unmöglich war).
Stattdessen berufen sie sich ausdrücklich auf die Zustimmung, die, wie wir bereits festgestellt haben, ungültig ist.
ZoomDie aktuellen Nutzungsbedingungen und das Problem der Metadaten
Aller guten Dinge sind drei, oder? Nun, vielleicht nicht so sehr im Fall der Zoom ToS.
Am 11. August 2023, Zoom seine Bedingungen erneut aktualisiert und sich endgültig von der Künstlichen Intelligenz verabschiedet.
Unten sehen Sie einen Screenshot der aktuellen Version von Abschnitt 10.
Gehen wir kurz darauf ein, was sich geändert hat.
Zunächst werden Sie feststellen, dass der Abschnitt insgesamt viel kürzer ist. Die Verwendung Ihrer Daten zur Unterstützung des maschinellen Lernens und der künstlichen Intelligenz wird nur noch in dem fettgedruckten Text in Abschnitt 10.2 erwähnt, der lautet:
Zoom verwendet keine Ihrer Audio-, Video-, Chat-, Bildschirmfreigabe-, Anhänge oder anderen kommunikationsähnliche Kundeninhalte (wie Umfrageergebnisse, Whiteboard und Reaktionen) um Modelle der künstlichen Intelligenz von Zoom oder Dritten zu trainieren.
Gewöhnen Sie sich an diesen Satz, denn er taucht gleich zweimal in den Datenschutzrichtlinien auf, in denen auch geregelt wird, wie sie auf die persönlichen Daten ihrer Nutzer zugreifen, sie verarbeiten und nutzen.
Darüber hinaus hat Zoom die meisten Formulierungen über die Zustimmung gestrichen und Ihnen die Verantwortung auferlegt, Ihre "Endnutzer" über alle geltenden Gesetze zu informieren, die eine Zustimmung zur Nutzung durch Dritte erfordern.
Obwohl dies als zufriedenstellende Lösung für die Nutzer von Zoom angesehen werden könnte, die nicht wünschen, dass ihre Daten für die KI-Modellierung verwendet werden, bleibt das Problem der dienstgenerierten Daten bzw. der Metadaten bestehen.
Metadaten können in dem Maße personenbezogene Daten sein, in dem sie auf eine Person zurückgeführt werden können, und die derzeitigen Bedingungen geben Zoom die vollständige Kontrolle darüber.
Da es sich bei Metadaten um personenbezogene Daten handeln kann, stehen diese Begriffe nicht im Einklang mit den EU-Datenschutzgesetzen wie DSGVO und der Datenschutzrichtlinie für elektronische Kommunikation.
Wie bereits erwähnt, sollten Einrichtungen unter DSGVO diese Metadaten nur nach Einholung einer aktiven Zustimmung verarbeiten, nicht nach der stillschweigenden Zustimmung, die Zoom in seiner aktualisierten Richtlinie beschreibt.
Im nächsten Abschnitt gibt meine Kollegin und Datenschutzexpertin von fellow , Masha Komnenic, einen Einblick in die aktuelle Version der Nutzungsbedingungen von Zoom.
Die Untersuchung der Datennutzung für IQ-Funktionen von Zoomwirft Fragen zum Datenschutz auf
In Abschnitt 10.1 der Allgemeinen Geschäftsbedingungen von Zoomwird der Begriff "Kundeninhalte" so definiert, dass er verschiedene Formen von Daten und Materialien umfasst, die von Nutzern in Verbindung mit ihren Diensten erzeugt oder bereitgestellt werden.
Eine genauere Analyse ihrer Datennutzungspraktiken für die Bereitstellung der Zoom IQ-Funktionen wirft jedoch einige datenschutzrechtliche Bedenken auf, die Beachtung verdienen.
Lassen Sie uns diese Fragen weiter erörtern.
Mögliche Verletzung der Privatsphäre durch Metadaten und personenbezogene Daten
Während Zoom angibt, dass es keine tatsächlichen Audio-, Video-, Chat- oder anderen Kommunikationsinhalte für das Training seiner KI-Modelle verwendet, schafft die Betonung des Unternehmens auf "Kundeninhalte" eine Lücke, die zu Datenschutzproblemen führen könnte.
Zoom behauptet, dass ihre Daten nicht unter die personenbezogenen Daten fallen, was möglicherweise nicht zutrifft.
Selbst Metadaten, die mit Kundeninhalten verknüpft sind, können sensible und persönliche Informationen enthalten, und es ist besorgniserregend, dass Zoom nicht ausdrücklich auf dieses Potenzial für Datenschutzverletzungen eingeht.
Darüber hinaus wirft die Notwendigkeit, solche Daten für das Training von KI-Modellen zu erheben, insbesondere wenn öffentlich verfügbare Daten für diesen Zweck verwendet werden können, berechtigte Fragen zu ihren Datenerhebungspraktiken auf.
KI-Modelle von Drittanbietern und Datenspeicherung
Die Funktionen von Zoom IQ nutzen auch KI-Modelle von Drittanbietern, was die Komplexität der Plattform erhöht.
Gemäß den Bestimmungen dürfen Dritte Kundendaten aus Gründen des Vertrauens und der Sicherheit" oder der Einhaltung von Rechtsvorschriften" vorübergehend aufbewahren.
Dies könnte jedoch zu Problemen bei der Überwachung führen, insbesondere beim Sammeln von Gesprächsinformationen.
Die derzeitige Klausel legt nahe, dass Dritte bei Bedarf Daten an die US-Regierung weitergeben können, wodurch ein möglicher Weg für Eingriffe in die Privatsphäre geschaffen wird, ohne dass es klare Beschränkungen oder Abhilfemaßnahmen gibt.
Die Bedeutung der Wachsamkeit der Internetnutzer
Zusammenfassend lässt sich sagen, dass Zoom zwar behauptet, die Inhalte der Nutzerkommunikation nicht direkt für das Training seiner KI-Modelle zu verwenden, die Unklarheiten in den Bedingungen jedoch erhebliche Datenschutzbedenken aufwerfen.
Die breite Kategorisierung von "Kundeninhalten" und die Möglichkeit, dass Metadaten personenbezogene Daten enthalten können, unterstreichen die Notwendigkeit strengerer Datenschutzmaßnahmen und einer möglichen Neudefinition des Umfangs von Kundeninhalten.
Darüber hinaus wirft die Einbeziehung von KI-Modellen von Drittanbietern und die vorübergehende Speicherung von Daten durch diese Unternehmen für verschiedene Zwecke berechtigte Fragen zur Sicherheit und zum Datenschutz der Nutzerinteraktionen auf der Plattform auf.
Als Nutzer müssen wir wachsam sein, wie unsere persönlichen Daten verarbeitet werden, und auf mehr Klarheit und Verantwortlichkeit bei der Datenverarbeitung drängen.
Was wir von der Zoom ToS-Kontroverse lernen können
Zoom hat den Geschäftsinhabern etwas Grundlegendes beigebracht, und es ist ein Lied, das wir hier bei Termly schon seit Jahren singen: Die Verbraucher interessieren sich dafür, was Sie mit ihren persönlichen Daten machen .
Sie können Ihre Nutzer nicht täuschen oder heimliche Paragraphen in Ihre Rechtsgrundsätze einfügen, in der Hoffnung, dass Sie damit personenbezogene Daten auf eine Weise sammeln und verarbeiten können, die die Datenschutzgesetze umgeht.
Ihre Kunden sind sehr aufmerksam; wenn Sie ihnen in die Quere kommen wie Zoom, hat das schlimme Folgen.
Wie können Sie beweisen, dass Sie ein datenschutzbewusstes und respektvolles Unternehmen sind? Hier sind einige Tipps:
- Stellen Sie eine Datenschutzrichtlinie auf, die korrekt und leicht verständlich ist und den geltenden Datenschutzgesetzen entspricht.
- Vergewissern Sie sich, dass die Angaben in Ihren Nutzungsbedingungen auch den geltenden Gesetzen entsprechen.
- Seien Sie ehrlich darüber, welche Internet-Cookies Sie verwenden und was sie tun, und geben Sie Ihren Nutzern die Möglichkeit, diese zu wählen.
- Machen Sie es Ihren Verbrauchern leicht, Anträge auf Wahrnehmung ihrer Datenschutzrechte zu stellen. Eine Möglichkeit dazu ist das DSAR-Formular.
- Holen Sie eine ordnungsgemäße Zustimmung der Nutzer ein (und fügen Sie keine stillschweigende Zustimmung ein).
- Ermöglichen Sie es Ihren Nutzern, ihre Meinung zu ändern und ihre Einwilligung jederzeit zu widerrufen (oder wieder einzuholen).
- Sie müssen über Sicherheitssysteme verfügen, um die Integrität und Vertraulichkeit der von Ihnen erhobenen, verarbeiteten und verwendeten personenbezogenen Daten zu schützen.
Zusammenfassung
Wir leben in einer Zeit, in der ein Skandal um die Nutzungsbedingungen den Ruf einer riesigen Videokonferenzplattform wie Zoom über Nacht zum Einsturz bringen kann - ein Dienst, der einst von praktisch allen Online-Nutzern privat und beruflich genutzt wurde.
Eines ist sicher: Die Menschen lesen Ihre Rechtspolitik.
Es kommt darauf an, wie Sie diese Informationen präsentieren und personenbezogene Daten erheben, verarbeiten und nutzen.
Wir alle nutzen dasselbe Internet, warum also nicht auf die richtige Art und Weise? Wie immer ist Termly hier, um zu helfen.
