Direkt zum Artikeltext springen

Inhalt in Kürze

  • Zoom lässt sich DSGVO-konform betreiben – aber nicht mit den Werkseinstellungen. Nötig sind ein aktiver AVV, die EU-Datenregion und ein bewusster Umgang mit Aufzeichnungen und KI-Funktionen.
  • Der AVV ist Pflicht: Zoom ist Auftragsverarbeiter nach Art. 28 DSGVO. Der Vertrag steckt im Data Processing Addendum (DPA) und sollte geprüft und dokumentiert werden.
  • Datentransfer in die USA: Zoom ist unter dem EU-US Data Privacy Framework zertifiziert. Diese Rechtsgrundlage steht 2026 unter Druck – verlassen Sie sich nicht allein darauf.
  • Server in Deutschland: Mit Zoom X (Kooperation mit der Telekom) bleiben die Daten in deutschen Rechenzentren – die datensparsamste Variante für sensible Branchen.

Zoom gehört seit der Pandemie zum Standard-Werkzeug in deutschen Büros. Millionen Meetings laufen täglich darüber. Doch bei jeder Videokonferenz fließen personenbezogene Daten – Namen, Stimme, Bild, Chatverläufe, oft ganze Aufzeichnungen.

In Deutschland stand Zoom deshalb lange in der Kritik: unklare Datenflüsse, Übermittlung in die USA, mächtige Aufzeichnungs- und KI-Funktionen. Die gute Nachricht: Zoom ist DSGVO-konform nutzbar. Voraussetzung sind die richtigen Einstellungen, ein sauberer AVV und ein bewusster Umgang mit den kritischen Funktionen.

Art. 28DSGVO – AVV mit Zoom ist Pflicht
10.07.2023EU-US Data Privacy Framework in Kraft
Zoom XServer-in-Deutschland-Variante mit der Telekom

Warum steht Zoom datenschutzrechtlich in der Kritik?

Zoom ist ein US-Anbieter. Damit gelten drei Dauerthemen, die jede Aufsichtsbehörde als Erstes anspricht:

  • Datentransfer in die USA: Auch bei europäischen Kunden können Daten in US-Rechenzentren verarbeitet werden, wenn die Datenregion nicht eingeschränkt ist.
  • CLOUD Act: Als US-Unternehmen unterliegt Zoom dem CLOUD Act. US-Behörden können theoretisch Zugriff verlangen – unabhängig vom Serverstandort.
  • Mächtige Funktionen: Aufzeichnung, automatische Transkription und der KI-Assistent (Zoom AI Companion) verarbeiten Inhalte, die weit über reine Verbindungsdaten hinausgehen.

Für den Transfer in die USA nutzt Zoom das EU-US Data Privacy Framework (DPF), unter dem das Unternehmen zertifiziert ist. Seit dem Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023 ist das eine gültige Rechtsgrundlage.

Achtung – das DPF wackelt 2026:

Nach einem US-Urteil zur Unabhängigkeit der Aufsichtsbehörde FTC (Juni 2026) und einem laufenden Verfahren vor dem Europäischen Gerichtshof (C-703/25 P) halten Fachleute ein Kippen des DPF für möglich. Behandeln Sie das Framework nicht als einzige Säule Ihrer Compliance. Wer die Datenregion auf die EU stellt oder auf Zoom X setzt, ist unabhängig vom Ausgang abgesichert.

AVV mit Zoom: Was Sie beachten müssen

Tipp:

Wie sauber sind Ihre Auftragsverarbeiter insgesamt aufgestellt? Unser kostenloser AVV-Check zeigt Ihnen in wenigen Minuten, ob Ihre wichtigsten Verträge DSGVO-konform sind.

Ein Auftragsverarbeitungsvertrag (AVV) ist Pflicht, sobald Sie Zoom geschäftlich einsetzen. Zoom stellt ihn als Data Processing Addendum (DPA) bereit – es ist Bestandteil der Nutzungsbedingungen und gilt automatisch mit.

Automatisch heißt aber nicht: einfach hinnehmen. Sie sollten das DPA aktiv prüfen:

  • Ist die aktuelle Fassung des DPA hinterlegt und abrufbar?
  • Welche Subunternehmer (Subprozessoren) setzt Zoom ein – und stimmen die Regionen?
  • Sind Löschfristen und der Umgang mit Aufzeichnungen geregelt?
  • Ist die Verarbeitung im Verzeichnis von Verarbeitungstätigkeiten dokumentiert?

Welche Zoom-Funktionen sind datenschutzrelevant?

Nicht jede Funktion ist gleich kritisch. Diese Tabelle zeigt, worauf es ankommt:

FunktionDatenschutz-RisikoHandlungsbedarf
Meeting-AufzeichnungHochNur mit Einwilligung, Speicherort EU, Löschfrist
Automatische TranskriptionHochStandardmäßig deaktivieren
Zoom AI Companion (KI)HochBewusst freigeben, Zweck prüfen
Cloud-Chat & DateienMittelAufbewahrung begrenzen, EU-Region
Warteraum & Meeting-PasswortNiedrigAktivieren – schützt vor unbefugtem Zutritt
TeilnahmeberichteMittelNur für Admins, Zweckbindung beachten
Drittanbieter-Apps (Marketplace)HochEinschränken, je App eigenen AVV prüfen

Checkliste: die wichtigsten Zoom-Einstellungen

Diese Punkte stellen Sie in der Zoom-Administration ein:

  • Datenregion auf EU festlegen. Speicher- und Verarbeitungsregion für Meetings und Aufzeichnungen fest auf Europa begrenzen.
  • Aufzeichnungen steuern. Standardmäßig aus; wenn nötig, nur mit Einwilligung und mit fester Löschfrist.
  • Automatische Transkription und KI-Assistent deaktivieren und nur für klar begründete Fälle einzeln freigeben.
  • Warteraum und Meeting-Passwörter aktivieren, damit niemand unbefugt beitritt.
  • Zwei-Faktor-Authentifizierung für alle Konten verpflichtend machen.
  • Drittanbieter-Apps im Marketplace einschränken und nur geprüfte Integrationen zulassen.
  • Datenschutzerklärung ergänzen und Beschäftigte sowie externe Gäste über die Verarbeitung informieren.

Zoom X: die Server-in-Deutschland-Alternative

Wer den USA-Transfer ganz vermeiden will, findet in Zoom X – der Kooperation von Zoom und der Deutschen Telekom – eine Lösung mit Rechenzentren in Deutschland. Die Daten verlassen die EU nicht, der Betrieb läuft über die Telekom-Infrastruktur.

Für die meisten KMU reicht das gut konfigurierte Standard-Zoom mit EU-Datenregion. Für Behörden, Arztpraxen, Kanzleien und Finanzdienstleister mit besonders sensiblen Daten ist Zoom X das ruhigere Gewissen – besonders angesichts der unsicheren DPF-Lage.

Aus der Praxis

Für jeden ist Datenschutz wichtig. Und für uns ist es wichtig, eine pragmatische Lösung zu finden, wie Unternehmen ihren Datenschutz umsetzen – ohne dabei den Geschäftsbetrieb einzustellen.

Nils Oehmichen Nils OehmichenDatenschutzberater bei frag.hugo

Kein Unternehmen muss Zoom verbieten, um datenschutzkonform zu arbeiten. Es geht um die richtigen Schalter – und um die Nachweise, dass man sie gestellt hat. Dieselbe Logik gilt übrigens für Microsoft Teams: konfigurieren statt kapitulieren.

Zusammenfassung: Zoom DSGVO-konform einsetzen

Das Wichtigste auf einen Blick:

  • Zoom ist DSGVO-konform nutzbar – aber nicht mit den Standardeinstellungen.
  • Der AVV (DPA) ist Teil der Nutzungsbedingungen. Prüfen und dokumentieren Sie ihn.
  • Stellen Sie die Datenregion auf die EU und steuern Sie Aufzeichnungen, Transkription und KI bewusst.
  • Das EU-US Data Privacy Framework steht 2026 unter Druck – EU-Region oder Zoom X machen Sie unabhängig davon.
  • Dokumentieren Sie alle Maßnahmen im Verarbeitungsverzeichnis und in Ihren TOM.

Zoom, Teams & Co. wirklich sauber aufgesetzt?

Wir prüfen Ihre Videokonferenz- und Kollaborationstools und stellen sicher, dass alles DSGVO-konform läuft.

Kostenloses Erstgespräch buchen →

Häufige Fragen (FAQ)

Ist Zoom DSGVO-konform einsetzbar?

Ja, aber nicht mit den Standardeinstellungen. Sie brauchen einen gültigen Auftragsverarbeitungsvertrag (AVV), müssen die Datenregion auf die EU stellen, Aufzeichnungen und KI-Funktionen bewusst steuern und die Verarbeitung dokumentieren.

Brauche ich einen AVV mit Zoom?

Ja. Zoom ist Auftragsverarbeiter nach Art. 28 DSGVO. Der AVV steckt im Data Processing Addendum (DPA), das Teil der Zoom-Nutzungsbedingungen ist. Prüfen und dokumentieren Sie es, statt es nur stillschweigend zu akzeptieren.

Wo speichert Zoom die Daten von EU-Kunden?

Zoom bietet in den Admin-Einstellungen eine Datenregion-Auswahl. Stellen Sie die Speicher- und Verarbeitungsregion für Meeting-Daten und Aufzeichnungen fest auf die EU. Der Standard umfasst sonst auch US-Rechenzentren.

Darf ich ein Zoom-Meeting ohne Einwilligung aufzeichnen?

Nein. Alle Teilnehmenden müssen vor Beginn der Aufzeichnung informiert werden und zustimmen. Zoom blendet einen Hinweis ein, doch Sie sollten zusätzlich mündlich auf Zweck und Speicherdauer hinweisen.

Was ist Zoom X und wann lohnt es sich?

Zoom X ist eine Variante von Zoom und der Deutschen Telekom mit Rechenzentren in Deutschland. Sie lohnt sich für Behörden sowie Unternehmen im Gesundheits-, Finanz- oder Rechtsbereich, die einen Datentransfer in die USA vermeiden wollen.

Zoom ist nur ein Baustein Ihrer Tool-Compliance.

Mit Hugo DSB managen Sie AVV, technische und organisatorische Maßnahmen (TOMs) und Mitarbeiterschulungen für Ihren gesamten Software-Stack — DSGVO-konform und nachweisbar.

Hugo DSB ab 79 €/Monat ansehen →

Artikel teilen

Weiterlesen

Ähnliche Artikel

Nils Oehmichen

Nils Oehmichen

Datenschutzberater & Geschäftsführer

Nils ist TÜV-zertifizierter Datenschutzbeauftragter. Seit über 13 Jahren betreut er Mittelständler bei DSGVO, NIS2 und dem EU AI Act. Geschäftsführer der frag.hugo Informationssicherheit GmbH und der datuno GmbH, leitet außerdem die BVMID-Geschäftsstelle Hamburg Süd/Ost.

TÜV-zertifiziert BVMID Hamburg 13+ Jahre DSB 200+ Mandate
Nächster Schritt

Haben Sie Fragen?

Vier Klicks zum schriftlichen Festpreis-Angebot — oder direkt anrufen. Wir hören zu, sortieren Ihr Thema und sagen Ihnen ehrlich, ob wir helfen können.

Lieber erstmal schreiben? Kontaktformular