Videokonferenz-App: Zoom soll heimlich Daten an Facebook übermitteln
Vor ein paar Wochen war Zoom noch weitestgehend unbekannt, aufgrund der COVID-19-Krise nun jedoch in aller Munde. Jetzt steht die Videokonferenz-App im Verdacht, Daten ohne Zustimmung seiner Nutzer an Facebook zu übermitteln – auch wenn der Nutzer kein Konto bei dem Sozialen Netzwerk besitzt. Von der EEF droht ebenso Ungemach.
Dies will das US-Magazin Motherboard bei einer Analyse der iOS-App herausgefunden haben. Diese Art der Datenübermittlung ist nicht ungewöhnlich, viele Entwickler verwenden SDKs (Software Development Kit) von Facebook, um Informationen und Daten an das Unternehmen weiterzuleiten. Normalerweise werden die Nutzer in den Datenschutzrichtlinien auf das Vorgehen aufmerksam gemacht, sodass diese über die Nutzung entscheiden können. Bei Zoom werden zwar Google Ads und Google Analytics als Drittanbieter und Werbepartner genannt, Facebook wird jedoch nicht aufgeführt.
Vielzahl von Daten werden geteilt
Das Übermitteln der Daten beginnt laut dem Bericht direkt nach dem ersten Öffnen der App, die sich sofort mit der Graph-API von Facebook verbindet. Diese Schnittstelle ist die Hauptmethode, mit der Entwickler Daten mit Facebook austauschen. Zoom soll anschließend Facebook unterrichten, dass die App geöffnet wurde sowie diverse Informationen über das verwendete Mobilgerät, darunter Modell, Zeitzone und Stadt, von der aus die Verbindung hergestellt wurde, sowie, falls vorhanden, den Telefonanbieter übermitteln. Darüber hinaus wird eine eindeutige, vom Gerät des Benutzers erstellte Anzeigenkennung, die Unternehmen verwenden können, um einen Benutzer mit Werbung anzusprechen, erfasst.
Informationen für Facebook auch ohne Konto
Laut den Richtlinien von Zoom behält sich das Unternehmen nicht nur das Recht vor, die Facebook-Profilinformationen der Benutzer zu sammeln, wenn diese ein Facebook-Konto besitzen, sondern auch von Nutzern, die in keinerlei Verbindung zu Facebook stehen, werden Daten gesammelt. Pat Walshe, ein Aktivist von Privacy Matters, der die Datenschutzrichtlinie von Zoom analysiert hat, findet die Vorwürfe in einem Twitter-Beitrag schockierend. Seinen Erkenntnissen nach gebe es in der Datenschutzrichtlinie von Zoom nichts, was auf den aufgeführten Umstand eingeht.
Die gewonnenen Informationen der Analyse wurden von Will Strafach, einem iOS-Forscher und Gründer der auf den Schutz der Privatsphäre ausgerichteten iOS-App Guardian, bestätigt. Darüber hinaus ähneln die gesendeten Daten denen, die die Aktivistengruppe der Electronic Frontier Foundation (EFF) in den Übermittlungen der App des Herstellers von Überwachungskameras Ring gefunden hat. Zoom scheint mit seinen Aktivitäten also nicht alleine zu sein.
Facebook erwartet Transparenz
Facebook teilte gegenüber Motherboard mit, dass das Unternehmen von den Entwicklern gegenüber ihren Nutzern eine hohe Transparenz erwarte. Mit der Nutzung der SDKs geht die Garantie einher, dass die Nutzer „ausreichend und deutlich auf die Sammlung, gemeinsame Nutzung und Verwendung von Kundendaten hingewiesen“ werden. Dazu gehört auch der Hinweis, dass Dritte, wie eben Facebook, Informationen von ihren sowie anderen Apps sammeln und diese Informationen verwenden können, um gezielte Werbung bereitzustellen. Zoom hat sich dagegen auf eine Anfrage seitens Motherboard bisher nicht zu den Vorwürfen geäußert.
Electronic Frontier Foundation ebenfalls mit schweren Vorwürfen
Aber nicht nur Motherboard geht mit Zoom hart ins Gericht, auch vonseiten der EFF gibt es Kritik. So besitze der Initiator eines Zoom-Anrufes weitreichende Möglichkeiten, die Aktivitäten der Teilnehmer während der gemeinsamen Bildschirmnutzung zu überwachen. Dies soll ab der Version 4.0 möglich sein. Wenn Teilnehmer eines Meetings unter anderem das Zoom-Videofenster während eines Anrufs, bei dem der Anrufer die Bildschirmfreigabe vornimmt, nicht im Fokus haben, werden diesem nach 30 Sekunden neben dem Namen jedes Teilnehmers Informationen eingeblendet, die anzeigen, dass das Zoom-Fenster nicht aktiv ist.
Komplette Überwachung
Des Weiteren erhalten Administratoren ausführliche Details darüber, wie, wann und wo Benutzer Zoom verwenden, mit detaillierten Informationen in Echtzeit über die Benutzeraktivitäten. Auch Betriebssystem, die IP-Adressen, Standortdaten sowie die Geräteinformationen jedes Teilnehmers gehören dazu. Darüber hinaus werden Gerätetyp, Angaben zu Marke und Modell, Peripheriegeräte wie Kameras oder Lautsprecher sowie deren Namen bis hin zu dem vom Benutzer konfigurierbaren Namen der AirPods mitgeteilt. Wenn ein Benutzer Anrufe über Zoom aufzeichnet, können Administratoren auf die Aufzeichnung und somit auf ein fremdes Gerät zugreifen, einschließlich Video-, Audio-, Transkript- und Chat-Dateien, sowie Zugriff auf Freigabe-, Analyse- und Cloud-Management-Berechtigungen.
Informationen auch für hiesige Unternehmen wichtig
Die gewonnenen Erkenntnisse dürften auch für deutsche beziehungsweise europäische Unternehmen von großer Wichtigkeit sein, denn es dürfte als eher unwahrscheinlich gelten, dass die Nutzung von Zoom im Unternehmensumfeld mit den aktuellen Datenschutzverordnungen in Einklang zu bringen ist.