Erklärung zu den Souveränitätskontrollen des öffentlichen Sektors der Europäischen Union

Einführung

Dieses Dokument erläutert, wie Zoom öffentlichen Einrichtungen in der Europäischen Union (EU) dabei hilft, ihre strengen Anforderungen an Datenschutz und Sicherheit zu erfüllen.

Zoom unterstützt die besonderen Anforderungen von öffentlichen Einrichtungen der EU an Compliance- und Souveränitätskontrollen

Die Zoom-Plattform unterstützt die wachsende Bedeutung von Souveränitätsanforderungen in der gesamten Europäischen Union. Einrichtungen des öffentlichen Sektors in der EU benötigen sichere, konforme und zuverlässige Kommunikationssysteme, die ihnen helfen, branchenspezifische und regionale Vorschriften einzuhalten. Zoom versteht, dass öffentliche Einrichtungen Lösungen benötigen, die ihnen helfen, die zunehmenden Verpflichtungen zu verantwortungsvollem Umgang mit Daten zu erfüllen und gleichzeitig zuverlässige und leicht zu verwaltende Kommunikationssysteme bereitzustellen.

Zoom engagiert sich dafür, öffentlichen Kunden durch verschiedene Services, Lösungen und Tools zu helfen, darunter in der EU gehostete Infrastruktur, flexible hybride Bereitstellungsrahmen, vom Kunden verwaltbare Verschlüsselungsoptionen und transparente Richtlinien zur Datenverarbeitung. Durch die Nutzung dieser Angebote können IT-Teams im öffentlichen Sektor ihre Aufsicht und Kontrolle über Speicherung, Verarbeitung und Zugriff auf ihre Daten auf der Zoom-Plattform verbessern.

Informationen zu Zoom und dem Gesetz der Europäischen Union zur Datenschutz-Grundverordnung (DSGVO) finden Sie in unserem Trust Center-Dokumentation.

Ein dreischichtiges Rahmenwerk ermöglicht Organisationen die Verwaltung ihrer Daten gemäß ihren Richtlinien über Infrastruktur, Verschlüsselung und hybride Hosting-Optionen

Das dreischichtige Rahmenwerk von Zoom soll öffentlichen Einrichtungen eine verbesserte Kontrolle über ihre Daten und Kommunikation geben:

• Plattformschicht: Zoom bietet eine dedizierte EU-Infrastruktur, um seine Dienste in EU-Rechenzentren zu hosten.

• Verschlüsselungsschicht: Organisationen können ihre eigenen Verschlüsselungsschlüssel mit Customer Managed Key (CMK) oder Hold-Your-Own-Key (HYOK)-Konfigurationen verwalten.

• Inhaltschicht: Organisationen können Zoom Node installieren, um Meetings, Chats und Aufzeichnungen in ihrer eigenen IT-Umgebung zu hosten.

Das dreischichtige Rahmenwerk bietet vier wichtige Vorteile für den öffentlichen Sektor

Einrichtungen des öffentlichen Sektors, einschließlich Schulen, Krankenhäusern und Regierungsbehörden, können im Rahmen ihrer täglichen Kommunikations- und Kollaborationsabläufe regulierte Daten verarbeiten. Diese Institutionen müssen lokale und EU-weite Vorschriften einhalten, um Daten sicher, privat und nur für befugtes Personal zugänglich zu halten.

Der Ansatz von Zoom für öffentliche Einrichtungen bietet die folgenden Vorteile:

• Datenresidenz: Bestimmte Daten physisch und logisch innerhalb der EU zu belassen.

• Kryptografische Kontrolle: Der Organisation die Verwaltung des Zugriffs zu ermöglichen und eigene Verschlüsselungsschlüssel zu besitzen.

• Resilienz: Hilft sicherzustellen, dass die Kommunikation auch bei Ausfällen oder Netzwerkproblemen fortgesetzt werden kann.

• Transparenz: Einblick in Datenflüsse zu bieten. Wie und wann wird auf Daten zugegriffen: Wer hat was und warum abgerufen?

Zoom hilft öffentlichen Einrichtungen, diese Ziele mit konfigurierbarer Infrastruktur, detaillierten Richtlinien und starken Datenschutzmaßnahmen zu erreichen.

Unterstützung der DSGVO-Compliance ohne kundenspezifische Entwicklung

Zoom unterstützt die DSGVO-Compliance, indem die Anforderungen in die Kernservices integriert, vertragliche Zusagen über das Data Processing Addendum gemacht und technische Schutzmaßnahmen implementiert werden. Für alle Kunden, die sich an die DSGVO anpassen möchten, hält Zoom angemessene Sicherheitsmaßnahmen vor, bietet ein Self-Service-Tool für Auskunftsersuchen betroffener Personen (DSAR) und schafft Transparenz bei Datenverarbeitungspraktiken sowie Optionen für internationale Datenübermittlungen über Mechanismen wie den EU-US Data Privacy Framework und Standardvertragsklauseln.

Für öffentliche Einrichtungen in der EU in den Bereichen Gesundheitswesen, Bildung, Verwaltung und regulierten Branchen, die einen stärker verwalteten Ansatz zur DSGVO-Compliance suchen, kann das verfügbare dreischichtige Rahmenwerk von Zoom auf Plattform-, Verschlüsselungs- und Inhaltsebene die DSGVO-konforme Betriebsweise in der gesamten Europäischen Union weiter verbessern, ohne kundenspezifischen Code oder komplizierte Entwicklung zu erfordern.

Infrastruktur

Zoom stellt die Infrastruktur und Kontrollen bereit, die öffentlichen Einrichtungen helfen, strenge EU-Anforderungen an Datenschutz, Sicherheit und Service-Resilienz zu erfüllen.

Infrastruktur mit Sitz in der EU hält bestimmte Daten innerhalb europäischer Grenzen

Für Kunden in der Europäischen Union (EU), die personenbezogene Daten — einschließlich Inhalte, Kontodaten, Diagnosedaten, Support- und eingeschränkte Website-Daten — nicht in die USA übertragen möchten, bietet Zoom eine dedizierte Infrastruktur, bekannt als Zoom EU Infrastructure. Diese Infrastruktur hostet Konten für EU-Bildungs- und Enterprise-Kunden und unterstützt derzeit eine breite Auswahl an Zoom-Produkten, darunter Meetings, Webinar, Team Chat, Zoom Phone, Zoom Contact Center und mehr.

Zoom bietet Kunden, die in der regionalen Zoom EU Infrastructure gehostet werden, die Möglichkeit, Daten innerhalb der Region zu speichern und zu verarbeiten. Zoom überträgt oder greift nicht außerhalb dieser Infrastruktur auf Daten zu, es sei denn, es besteht eine vorherige Vereinbarung mit dem Kunden oder es greifen spezifische Ausnahmen, einschließlich gesetzlich vorgeschriebener Fälle, für Trust & Safety-Zwecke sowie zur Bereitstellung von Servicebenachrichtigungen und zur Ermöglichung der Dienste. Für detailliertere Informationen siehe bitte unser Zoom EU Infrastructure Fact Sheet.

Funktionen für Identität, Zugriff und Datenschutz

Zoom enthält standardmäßige Identitäts- und Zugriffsverwaltungsfunktionen, die sich in bestehende Organisationssysteme integrieren lassen.

Standardmäßige Authentifizierung und Autorisierung

Zoom bietet typische Enterprise-Identitätsintegration über Single Sign-On (SSO) mit SAML-2.0-konformen Anbietern, SCIM-2.0-Provisioning für automatisiertes Benutzerverwaltung und rollenbasierte Zugriffskontrolle (RBAC) mit anpassbaren Rollen und Berechtigungen. Diese Funktionen integrieren sich mit kundenseitig bereitgestellten regionalen Identitätsanbietern (IdPs), die vom Kunden oder dessen gewähltem IdP-Anbieter verwaltet und gehostet werden, und verbinden sich über SAML 2.0 mit der EU-Infrastruktur von Zoom.

Eingebaute Datenschutz- und Datenkontrollen

Die Plattform umfasst standardmäßige Privacy-by-Design-Funktionen, die an die DSGVO-Anforderungen angepasst sind:

• Datenminimierung durch pseudonymisierte Kennungen in Systemprotokollen

• Administrative Datenkontrollen zum Festlegen von Aufbewahrungsfristen und zur Bearbeitung von Löschanfragen

• Zugriffsprotokollierung für Sicherheitsüberwachung und Revisionspfade

• Least-Privilege- und rollenbasierter Zugriff Kontrollen für den Zugriff von Zoom auf Kundendaten und -inhalte

Organisatorisches Daten-Eigentum

Wie bei anderen Enterprise-Plattformen behalten Organisationen die Kontrolle über Benutzer- und Inhaltslebenszyklen, wobei Zoom die technische Infrastruktur bereitstellt, um interne Richtlinien und regulatorische Anforderungen wie die Einhaltung von Artikel 17 der DSGVO zu unterstützen.

Zoom Node

Für eine erhöhte Kontrolle über Ihre Daten sollten Sie Zoom Node in Betracht ziehen. Diese hybride Plattform ermöglicht es Ihnen, Zoom Workplace-Workloads, einschließlich Media-Routing, Chat-Speicherung, Aufzeichnung und Webzugriff, direkt in Ihrer eigenen Umgebung auszuführen. Zoom Node ist ideal für Kunden, die Medienlokalisierung, verbesserte Verwaltung von Inhaltsdaten oder unterbrechungsfreie Betriebsabläufe benötigen, und bietet dabei die vertraute Zoom-Erfahrung. Weitere Informationen zu Zoom Node-Konzepten finden Sie im Erklärung zu Zoom Node.

Im Kern arbeitet Zoom Node als virtuelle Maschine (VM), die das Zoom Node OSausführt. Zoom Node ermöglicht das lokale Hosten ausgewählter Zoom-Services durch modulare Servicekomponenten und umfasst:

• Zoom Node OS: Die Kernbetriebsschicht, die containerisierte Module steuert. Sie übernimmt Kommunikation, Lebenszyklus-Orchestrierung und Ressourcenverwaltung.

• Service-Module: Unabhängige Funktionalkomponenten (z. B. Meeting, Recording, Chat), die in isolierten Containern innerhalb der VM bereitgestellt werden.

Diese modulare Struktur ermöglicht Kunden, nur die Dienste auszuführen, die sie benötigen, vereinfacht die Verwaltung und optimiert die Ressourcennutzung.

Zoom Node bietet Kontrolle und Flexibilität und erhält gleichzeitig ein reibungsloses Zoom-Benutzererlebnis. Zu den Vorteilen von Zoom Node gehören:

• Modularität: Nur die Dienste bereitstellen, die Sie benötigen.

• Lokalisierung: Lokale Medienverarbeitung und Aufbewahrung für Meetings und Webinare.

• Zukunftssicherheit: Kompatibel mit zukünftigen hybriden Services (Zoom Chat, Zoom Phone).

Zoom Node unterstützt die modulare Bereitstellung von Kernservices wie Meetings, Aufzeichnungen, Chat, Browserzugriff und Raumkonnektivität

Dies sind die derzeit verfügbaren Module für Zoom Node:

• Meetings Hybrid-Modul: Führt Zoom-Meeting-Server lokal aus, um die Kontrolle über Audio-, Video- und Inhaltsströme zu behalten.

  • Web Access Gateway: Ein Web-Gateway, das Zoom-Benutzern, die über den Browser beitreten, ermöglicht, einem privaten Meeting beizutreten, das auf Meetings Hybrid gehostet wird, ohne auf die Zoom Cloud zugreifen zu müssen.

• Recording Hybrid-Modul: Speichert Meeting-Aufzeichnungen vor Ort statt in der Zoom-Cloud.

  • Content Streaming Service: Ein Video-Streaming-Broker-Service für Zoom-Meeting- und Webinar-Aufzeichnungen, die im Ruhezustand im Network File Storage des Kunden gespeichert werden. Dieser Service ermöglicht dem Meeting-Host Zugriff auf Wiedergabe, Download und Weiterverteilung der Aufzeichnung über das Zoom-Webportal, was den Workflow für Aufzeichnungen widerspiegelt, die in der Zoom-Cloud gespeichert sind.

• Team Chat Hybrid-Modul: Speichert und verwaltet interne Chat-Inhalte in Ihrer eigenen Umgebung.

• Meeting-Überlebensfähigkeit: Lokales Failover für den Fall einer Cloud-Störung.

• Hybride Raum-Interoperabilität: Verbindet standardsbasierte Raumsysteme mit Zoom-Meetings durch die Hybrid Room Interoperability-Lösung.

Hybride Konfigurationen unterstützen organisationsinterne Richtlinien in Bezug auf Datenkontrolle und Notfallwiederherstellung und erhalten dabei die Kernfunktionalität der Zoom Workplace-App. Siehe unsere spezielle Zoom Node-Übersichtsseite für die neuesten Informationen zu den verschiedenen Modulen.

Für Bereitstellungsinformationen siehe das Feldleitfaden zur Bereitstellung von Zoom Node.

Zoom Node wird über eine Cloud-Oberfläche verwaltet, die Modulaktivierung, Performance-Überwachung, Software-Updates und Protokollierung unterstützt

Administratoren können Zoom Node über eine zentralisierte Konsole verwalten. Diese Konsole ermöglicht es ihnen:

• Bestimmte Module zu aktivieren oder zu deaktivieren

• Den Servicezustand und die Netzwerkleistung zu überwachen

• Updates nach einem kontrollierten Zeitplan anzuwenden

• Sicherheitseinstellungen und Zugriffsprotokolle zu überprüfen

Verschlüsselung

Zoom unterstützt fortschrittliche Verschlüsselungswerkzeuge, einschließlich Customer Managed Key (CMK), die Organisationen eine erweiterte Kontrolle darüber geben, wie ihre Daten geschützt werden. Zoom bietet mehrere Optionen zum Schutz sensibler Kommunikation, einschließlich vollständigem Eigentum an Verschlüsselungsschlüsseln.

Customer Managed Key (CMK) ermöglicht Einrichtungen die Verwaltung und Prüfung ihrer eigenen Verschlüsselungsschlüssel mithilfe vertrauenswürdiger Services oder interner Systeme

Zoom CMK integriert sich mit beliebten Key Management Service (KMS)-Anbietern, wie z. B.:

• Amazon Web Services (AWS) KMS

• Microsoft Azure Key Vault

• Oracle OCI Vault

• Thales CipherTrust (über AWS External Key Store)

Sie können außerdem Ihr eigenes Hardware Security Module (HSM) hosten, wie z. B. Thales Luna HSM, um die Kontrolle über Verschlüsselungsschlüssel zu gewährleisten und die Abhängigkeit von externen, in den USA ansässigen Systemen zu vermeiden, wodurch eine vollständige HYOK (Hold-Your-Own-Key)-Lösung bereitgestellt wird.

CMK kann viele Arten sensibler Zoom-Inhalte verschlüsseln

CMK kann viele Arten sensibler Zoom-Inhalte verschlüsseln, einschließlich:

• Meeting- und Webinar-Aufzeichnungen (Audio, Video, Chat)

• Transkripte (ohne indizierte Suche)

• Voicemails und Anrufaufzeichnungen

• Kalender-Zugriffstoken

• Microsoft Teams-Integrationstoken

• Team Chat-Nachrichten und -Dateien

• Whiteboards

• Inhalte, die durch Funktionen des AI Companion erzeugt werden

Für Organisationen, die verlangen, dass bestimmte Daten, wie Team Chat-Nachrichten, nicht von der Zoom-Cloud entschlüsselt werden, bietet Zoom das Zoom CMK Hybrid-Modul an. Mit Zoom CMK Hybrid können Organisationen ihre eigenen Datenschlüssel für die clientseitige Verschlüsselung innerhalb ihrer Sicherheitsgrenze generieren und verwalten, unter Verwendung eines separaten, vom Kunden verwalteten Schlüssels.

Siehe dazu den Zoom-Support-Artikel Inhalte, die durch Customer Managed Key geschützt sind für die aktuelle Liste.

Ende-zu-Ende-Verschlüsselung (E2EE) ist so konzipiert, dass nur Teilnehmer während Meetings oder Anrufen auf Medien zugreifen können

Weitere Sicherheitskontrollen stehen Kunden zur Verfügung, um ihre Meetings zu sichern. Zoom bietet optionale Ende-zu-Ende-Verschlüsselung (E2EE), die in den Desktop- oder mobilen Workplace-Apps für folgende Szenarien aktiviert werden kann:

• Eins-zu-eins-Intra-Account-Zoom-Phone-Anrufe

• Zoom-Meetings mit bis zu 1.000 Teilnehmern

E2EE für Zoom Meetings verwendet dieselbe 256-Bit-AES-GCM-Verschlüsselungsmethode, die auch die Standard- und erweiterte Verschlüsselung unterstützt. Wenn aktiviert, ist Zooms System so ausgelegt, dass die kryptografischen Schlüssel nur den Geräten der Meeting-Teilnehmer bekannt sind. Dadurch haben Dritte, einschließlich Zoom, keinen Zugriff auf die privaten Schlüssel des Meetings.

Darüber hinaus hat Zoom post-quantum E2EE (PQ E2EE) für Zoom Workplace eingeführt, speziell für Unterstützung in Zoom Meetings, Zoom Phone und Zoom Rooms. Die Einführung dieser neuen Sicherheitsverbesserung macht Zoom zum ersten UCaaS-Anbieter, der eine post-quantum E2EE-Lösung für Videokonferenzen anbietet. Post-quantum Ende-zu-Ende-Verschlüsselung (PQ E2EE) bietet dieselbe Sicherheitseigenschaft wie Ende-zu-Ende-Verschlüsselung (E2EE): Nur die Meeting-Teilnehmer und nicht einmal die Server von Zoom haben Zugriff auf die zur Verschlüsselung des Meetings verwendeten Schlüssel. Im Unterschied zur Ende-zu-Ende-Verschlüsselung ist PQ E2EE so ausgelegt, dass es der Bedrohung durch einen Angreifer standhält, der verschlüsselten Netzwerkverkehr aufzeichnet und in Zukunft mit einem Quantencomputer zu entschlüsseln versucht.

Kunden, die an diesen zusätzlichen Verschlüsselungsfunktionen interessiert sind, können E2EE aktivieren. Es gibt jedoch Voraussetzungen und Einschränkungen zu beachten.

Client-Anforderungen: E2EE erfordert, dass alle Meeting-Teilnehmer über die Zoom Workplace-Desktop-App, die mobile App oder einen Zoom Room beitreten.

Funktionsbeschränkungen: Die Aktivierung von E2EE ist mit bestimmten Funktionen nicht kompatibel, darunter:

• Cloud-Aufzeichnung für Zoom Meetings

• Automatische Anrufaufzeichnung für Zoom Phone

• Funktionen des AI Companion

• Kontinuierlicher Meeting-Chat

• Zusätzliche Funktionen, die in unserer Support-Dokumentation aufgeführt sind

Konsultieren Sie unsere Support-Artikel für Zoom Phone als Zoom Meetings für vollständige Details zu Einschränkungen, Abhängigkeiten und Implementierung.

Clientseitige Verschlüsselungsoptionen für erhöhte Zoom Team Chat-Sicherheit

Zoom Team Chat bietet mehrere Verschlüsselungsoptionen über die Standardverschlüsselung hinaus, die jeweils für unterschiedliche Sicherheitsanforderungen und Organisationsstrukturen ausgelegt sind.

Standardmäßige Team Chat-Verschlüsselung (Standard)

Standardmäßig verschlüsselt Zoom Team Chat-Nachrichten während der Übertragung mit TLS und im Ruhezustand mit AES-256-Verschlüsselung unter Verwendung von Zoom-verwalten Schlüsseln. Dies bietet Basis-Sicherheit für die meisten organisatorischen Bedürfnisse.

Advanced Chat Encryption (ACE)

ACE verwendet gerätegenerierte und -gespeicherte Schlüssel, um Nachrichten zwischen Chat-Teilnehmern zu verschlüsseln, mit zusätzlichem TLS-Schutz während der Übertragung. Schlüssel werden auf den Geräten der Chat-Teilnehmer generiert und betrieben, was erhöhte Privatsphäre bietet, aber die Funktionalität einschränkt, wenn Teilnehmer nicht gleichzeitig online sind.

Advanced CMK Chat Encryption (ACCE)

ACCE verwendet kundenseitige Schlüssel über den CMK-Service von Zoom, aber die Schlüssel werden in der Zoom-Cloud generiert und gesichert. Diese Option bietet Kundenkontrolle über Schlüssel und gleichzeitig bessere Kontenübergreifende Kompatibilität als gerätebasierte Lösungen.

Clientseitige CMK-Hybrid-Chat-Verschlüsselung (CSE)

CSE verwendet kundenseitig verwaltete Schlüssel, die vor Ort über die CMK Hybrid-Infrastruktur generiert und gespeichert werden. Dies bietet das höchste Maß an Kundenkontrolle über Verschlüsselungsschlüssel, da diese niemals in der Zoom-Cloud-Umgebung liegen.

Wesentliche Unterschiede

• ACE: Gerätegenerierte Schlüssel, nur intra-Account-Nachrichten

• ACCE: Kundenschlüssel in der Zoom-Cloud, funktioniert kontenübergreifend

• CSE: Kundenschlüssel vor Ort, intra-Account-Nachrichten mit ACCE-Fallback für externe Kommunikation

Anforderungen

• ACE: Kostenpflichtige Konten, Aktivierung durch Admin

• ACCE: Zoom Enterprise Plus (oder höher) oder CMK-Add-on-Lizenz

• CSE: Zoom Enterprise Plus- oder CMK Hybrid-Lizenzen (mit mindestens zwei CMK Hybrid-Lizenzen und zwei Servern für Fehlertoleranz)

Wichtige Einschränkungen

Alle erweiterten Verschlüsselungsoptionen schränken die Team Chat-Funktionalität ein, einschließlich:

• Funktionen des AI Companion

• Nachrichtenbearbeitung und -übersetzung

• Animierte GIFs und Linkvorschauen

• Nachrichtenarchivierung mit Drittanbietern

• Integration des kontinuierlichen Meeting-Chats

Verfügbarkeits-Hinweise

• CSE ist nur für CMK Hybrid-Kunden mit einer lokalen Schlüsselverwaltungsinfrastruktur verfügbar

• ACCE dient als Fallback-Protokoll für CSE-aktivierte Konten bei der Kommunikation mit externen Kontakten

• Organisationen sollten bewerten, ob die erhöhte Sicherheit die Funktionsbeschränkungen rechtfertigt, da die Standardverschlüsselung möglicherweise ausreichend ist, um regulatorische Compliance-Rahmen zu unterstützen

Ein sicherer Verbindungsprozess unterstützt regionale Serverzuweisung und Daten-Compliance

Egal, ob Sie die Zoom Workplace-App verwenden, Meetings beitreten oder über Ihren Browser auf das Zoom-Webportal zugreifen: Zoom Meetings sind so konzipiert, dass Kundendaten während der Übertragung mithilfe vertrauenswürdiger Methoden verschlüsselt werden, wenn sie mit dem Zoom-Webportal oder Diensten der Zoom Cloud Platform kommunizieren. Dies gilt für den Verbindungsprozess und für Echtzeitmedien während der Übertragung (Video, Audio und im Meeting geteilte Inhalte).

Wenn ein Benutzer ein Zoom Meeting oder einen Zoom Phone-Anruf startet:

1. Kontaktiert die Zoom Workplace-App zunächst den globalen Lookup Service von Zoom unter Verwendung von TLS-1.2- oder TLS-1.3-Verschlüsselung.

2. Lookup-Metadaten, einschließlich IP-Geolokation und Geräteinformationen, werden über HTTPS (Port 443) mit TLS 1.2- oder höherer Verschlüsselung gesendet.

3. Basierend auf Standort und Verfügbarkeit wird die App an den optimalen Zoom Zone Controller und den regionalen Medienknoten weitergeleitet.

4. Die Zoom Workplace-App testet die Konnektivität zu jedem Knoten und stellt verschlüsselte Mediensitzungen (Video, Audio, Inhalt) über folgende Protokolle her:

   1. UDP (bevorzugt, Port 8801) mit AES-256-GCM-Verschlüsselung

   2. TCP (Fallback, Port 8801) mit AES-256-GCM-Verschlüsselung

   3. TCP (sekundärer Fallback, Port 443) mit TLS 1.2- oder TLS 1.3-Verschlüsselung

Weitere Details zum Verschlüsselungsdesign von Zoom unter Verwendung industrieweiter Standards für die Datenübertragung und -speicherung finden Sie in unserem Zoom Encryption Whitepaper. Zur Validierung der Sicherheitspraktiken von Zoom siehe bitte unsere Zusicherungen und Zertifizierungen, die Sie im Zoom Trust Center.