Ist Zoom sicher? Verschlüsselung, Datenschutz und Sicherheit in 2026 — eine ehrliche Analyse

Dies ist ein unabhängiger Leitfaden. Nicht verbunden mit oder unterstützt von Zoom Communications, Inc.

Die IT-Abteilung hat Zoom gerade unternehmensweit freigegeben, aber eine kurze Suche liefert Schlagzeilen über Datenlecks, 'Zoombombing" und Datenschutzklagen. Was stimmt also: Ist Zoom sicher genug für vertrauliche Gespräche deines Teams, oder gehst du jedes Mal ein Risiko ein, wenn du auf 'Meeting beitreten" klickst?

Die kurze Antwort: Zoom ist im März 2026 deutlich sicherer als während des Pandemie-Chaos 2020. Das Unternehmen hat Ende-zu-Ende-Verschlüsselung eingeführt, seine Datenpraktiken grundlegend überarbeitet und Zertifizierungen erhalten, die es vor fünf Jahren noch nicht gab. Aber 'sicherer" bedeutet nicht 'unknackbar". Deine Einstellungen, deine Gewohnheiten und dein Tarif beeinflussen, wie gut deine Meetings tatsächlich geschützt sind.

Dieser Leitfaden zeigt genau, was Zoom schützt, wo Lücken bleiben und welche konkreten Schritte du unternehmen kannst. Hier sind die Fakten, auf deren Grundlage du handeln kannst.

Wie die Verschlüsselung bei Zoom tatsächlich funktioniert

Zoom verschlüsselt Meetings, aber die Art der Verschlüsselung macht einen Unterschied. Den Unterschied zu verstehen, hilft bei der Entscheidung, ob Zoom für deine spezifischen Anforderungen sicher genug ist.

Standardverschlüsselung (AES 256 Bit GCM): Jedes Zoom-Meeting verwendet seit März 2026 AES-256-Bit-Verschlüsselung im Galois/Counter-Modus. Die Daten werden zwischen deinem Gerät und den Zoom-Servern verschlüsselt. Es ist derselbe Verschlüsselungsstandard, den Banken und Behörden verwenden. Ein Angreifer, der den Datenstrom abfängt, sieht nur unlesbare Daten.

Der Haken: Zooms Server können die Daten technisch entschlüsseln, da sie die Verschlüsselungsschlüssel besitzen. Das nennt man 'Transportverschlüsselung". Für die meisten Team-Standups und Projekt-Check-ins ist dieses Schutzniveau mehr als ausreichend.

Ende-zu-Ende-Verschlüsselung (E2EE): Zoom hat optionale E2EE Ende 2020 eingeführt und seitdem erweitert. Wenn E2EE aktiviert ist, besitzen nur die Meeting-Teilnehmer die Entschlüsselungsschlüssel. Zooms Server können den Inhalt nicht lesen. Im März 2026 ist E2EE bei allen kostenpflichtigen Tarifen und beim kostenlosen Tarif für Meetings mit bis zu 200 Teilnehmenden verfügbar.

Der Kompromiss: E2EE deaktiviert Cloud-Aufnahme, Live-Transkription, Umfragen und Breakout-Räume. Du wählst maximalen Datenschutz auf Kosten des Komforts.

Zoom Phone und Zoom Mail: Zoom Phone nutzt dieselbe AES-256-Bit-GCM-Verschlüsselung. Zoom Mail (gestartet 2023) verwendet standardmäßig E2EE für Nachrichten zwischen Zoom-Mail-Nutzenden — die Schlüssel werden ausschließlich auf den Geräten gespeichert.

Beispiel: Dein Rechtsteam prüft ein Fusionsdokument in einem Zoom-Call. Mit Standardverschlüsselung ist der Anruf vor externem Abhören geschützt, aber Zoom könnte theoretisch darauf zugreifen. Mit aktivierter E2EE können nicht einmal Zoom-Mitarbeitende mithören. Für diese juristische Prüfung ist E2EE die Einschränkungen wert.

Welche Daten sammelt Zoom (und wer sieht sie)?

Verschlüsselung schützt Daten während der Übertragung. Aber was ist mit den Daten, die Zoom auf seinen Servern speichert? Hier wird das Datenschutzbild komplexer.

Von Zoom gesammelte Daten (Stand März 2026):

• Kontodaten (Name, E-Mail, Telefonnummer, Berufsbezeichnung)
• Meeting-Metadaten (Datum, Uhrzeit, Dauer, Teilnehmerliste, IP-Adressen)
• Geräteinformationen (OS-Version, Gerätetyp, eindeutige Gerätekennungen)
• Von dir gespeicherte Inhalte (Cloud-Aufnahmen, Chatnachrichten, Whiteboards)
• Nutzungsdaten (verwendete Funktionen, Häufigkeit, Leistungskennzahlen)

Daten, die Zoom nach eigenen Angaben nicht verkauft: In der aktualisierten Datenschutzrichtlinie (überarbeitet Januar 2026) erklärt Zoom, keine personenbezogenen Daten an Dritte zu verkaufen und Audio-, Video- oder Chatinhalte aus Meetings nicht ohne Kundeneinwilligung zum Training von KI-Modellen zu verwenden.

Das Wort 'Einwilligung" ist hier entscheidend. Im August 2023 geriet Zoom in die Kritik, als ein Update der Datenschutzrichtlinie dem Unternehmen scheinbar das Recht einräumte, Kundendaten für KI-Training zu nutzen. Zoom korrigierte die Richtlinie nach dem öffentlichen Aufschrei schnell und fügte eine ausdrückliche Opt-in-Formulierung hinzu. Im März 2026 erfordern die AI-Companion-Funktionen die Genehmigung des Kontoadministrators, bevor Meeting-Daten für KI-Zusammenfassungen verarbeitet werden.

Kontrolle des Datenspeicherorts: Administratoren kostenpflichtiger Konten können wählen, in welchen Regionen die Rechenzentren ihre Daten verarbeiten. Optionen umfassen die USA, Europa, Asien-Pazifik und weitere Regionen. Kostenlose Konten werden zum nächstgelegenen Rechenzentrum geroutet.

Drittanbieter-Integrationen: Der Zoom App Marketplace umfasst Hunderte von Integrationen. Jede Drittanbieter-App hat ihre eigene Datenschutzrichtlinie. Wenn du eine Zoom-App installierst, gewährst du dem Entwickler Zugriff auf bestimmte Meeting-Daten. Prüfe diese Berechtigungen sorgfältig. Eine Planungstool-Integration könnte mehr Daten anfordern als nötig.

Zooms Sicherheitsbilanz: Vergangene Vorfälle und Korrekturen

Ob Zoom heute sicher ist, lässt sich nicht beurteilen, ohne zu verstehen, was vorher schiefgelaufen ist. Hier ist eine Zeitleiste der wichtigsten Vorfälle und wie Zoom reagiert hat.

April 2020: Zoombombing-Epidemie. Als die Pandemie Millionen über Nacht zu Zoom brachte, begannen ungebetene Gäste, Meetings mit anstößigen Inhalten zu stören. Die Ursache: Meetings hatten standardmäßig keine Passwörter oder Warteräume, und Meeting-IDs waren leicht zu erraten. Zoom reagierte, indem Passwörter und Warteräume für alle neuen Meetings standardmäßig aktiviert wurden. Das Unternehmen gab an, dass diese Änderungen den unbefugten Zugang erheblich reduzierten.

April 2020: Irreführende Verschlüsselungsangaben. Sicherheitsforscher entdeckten, dass Zoom 'Ende-zu-Ende-Verschlüsselung" bewarb, obwohl tatsächlich nur Standard-TLS-Transportverschlüsselung verwendet wurde. Die FTC untersuchte den Fall, und im November 2020 einigte sich Zoom auf ein Sicherheitsprogramm mit zweijährlichen Drittanbieterprüfungen. Die echte E2EE startete im Oktober 2020.

April 2020: Daten über China geroutet. Einige Anrufe von Nutzenden außerhalb Chinas wurden über chinesische Rechenzentren geleitet. Zoom führte dies auf einen Kapazitätsfehler während des Pandemie-Ansturms zurück und fügte schnell Routing-Kontrollen hinzu, damit Administratoren die Verarbeitungsregionen wählen können.

2020: Facebook-SDK teilte Gerätedaten. Die Zoom-iOS-App sendete Geräteanalytik an Facebook — auch für Nutzende ohne Facebook-Konto. Zoom entfernte das Facebook-SDK innerhalb weniger Tage nach dem Bericht. Der Vorfall führte zu einer Sammelklage, die im August 2021 mit 85 Millionen Dollar beigelegt wurde.

März 2023: Google-Project-Zero-Sicherheitslücke. Eine kritische Zero-Click-Sicherheitslücke (CVE-2023-28597) ermöglichte Remote-Codeausführung. Zoom veröffentlichte kurz nach der verantwortungsvollen Offenlegung einen Patch und aktualisierte betroffene Clients automatisch.

Letzte Jahre. Zooms Seite für Sicherheitshinweise zeigt kontinuierliches Patchen von Schwachstellen — Standardpraxis für große Softwareplattformen. Seit den Vorfällen von 2020 wurden keine größeren Datenschutzverletzungen oder Datenlecks öffentlich bekannt.

Das Muster ist klar: 2020 war chaotisch für Zoom, angetrieben durch explosives Wachstum, das die Sicherheitsinfrastruktur überholte. Seitdem hat das Unternehmen nach eigenen Angaben massiv in Sicherheit investiert und das CISO-Team erweitert. Die Frage ist nicht, ob Zoom Probleme hatte — sondern ob sie behoben wurden. Die Belege deuten darauf hin: ja, zumindest bei den bekannten Problemen.

Ist Zoom sicher für Unternehmen, Gesundheitswesen und Therapie?

Verschiedene Branchen brauchen unterschiedliche Sicherheitsniveaus. Hier der Überblick über Zooms Zertifizierungen.

SOC 2 Type II: Zoom verfügt über einen aktuellen SOC-2-Type-II-Bericht. Das bedeutet, dass ein unabhängiger Prüfer die Sicherheitskontrollen über einen längeren Zeitraum verifiziert hat. Es ist die Basiszertifizierung, die die meisten Unternehmen von SaaS-Anbietern verlangen.

ISO 27001: Zooms Informationssicherheits-Managementsystem ist im März 2026 nach ISO 27001 zertifiziert — dem internationalen Standard für den Umgang mit sensiblen Daten.

HIPAA-Konformität: Zoom bietet eine HIPAA-konforme Konfiguration für Gesundheitsdienstleister in kostenpflichtigen Tarifen (Business und höher). Dazu gehören ein unterzeichnetes BAA (Business Associate Agreement), standardmäßig deaktivierte Cloud-Aufnahme und E2EE-Verfügbarkeit. Zoom gibt an, dass Tausende von Gesundheitsdienstleistern die Plattform für Telemedizin nutzen (siehe Zoom-Gesundheitsseite).

Ist Zoom sicher für Therapie? Ja, bei korrekter Konfiguration. Therapeuten sollten einen kostenpflichtigen Tarif mit BAA nutzen, den Warteraum aktivieren, den Dateitransfer deaktivieren und idealerweise E2EE einschalten. Einen detaillierten Leitfaden findest du in unserem Zoom-HIPAA-Konformitätsleitfaden.

DSGVO: Zoom stellt Auftragsverarbeitungsverträge (AVV) für EU-Kunden bereit und unterstützt Datenresidenz in europäischen Rechenzentren. Standardvertragsklauseln (SCCs) regeln internationale Datentransfers.

FedRAMP: Zoom for Government ist FedRAMP-Moderate-autorisiert und erfüllt damit US-bundesstaatliche Sicherheitsstandards. Diese Version läuft auf einer separaten Infrastruktur.

Bildung (FERPA/COPPA): Zoom for Education ist FERPA-konform konzipiert und verwendet keine Schülerdaten für Werbung. Schulen sollten Zoom-for-Education-Konten verwenden (keine persönlichen Konten).

Gesundheitsorganisationen sollten vor der Nutzung einer Videoplattform für geschützte Gesundheitsinformationen einen qualifizierten HIPAA-Konformitätsexperten konsultieren. Der kostenlose Tarif qualifiziert sich nicht für ein BAA, und die Standardeinstellungen allein erfüllen die HIPAA-Anforderungen nicht.

8 Zoom-Sicherheitseinstellungen, die du heute ändern solltest

Zooms Standardeinstellungen sind angemessen sicher, aber 'angemessen" reicht für sensible Meetings nicht aus. Diese acht Änderungen dauern etwa fünf Minuten und schließen die häufigsten Lücken.

1. Meeting-Passcodes vorschreiben. Gehe im Zoom-Webportal zu Einstellungen > Sicherheit. Aktiviere 'Passcode beim Planen neuer Meetings erforderlich". In den meisten Konten ist dies 2026 standardmäßig aktiviert — überprüfe aber, ob es nicht deaktiviert wurde.

2. Warteraum aktivieren. Unter Einstellungen > Sicherheit aktivierst du 'Warteraum". Jeder Teilnehmende muss auf die Genehmigung des Hosts warten. Es ist die wirksamste Verteidigung gegen ungebetene Gäste.

3. Meeting nach dem Beitritt aller sperren. Wenn alle da sind, klicke in der Meeting-Symbolleiste auf Sicherheit und wähle 'Meeting sperren". Niemand kann mehr beitreten — auch nicht mit korrektem Link und Passcode.

4. Dateitransfer im Chat deaktivieren. Unter Einstellungen > Im Meeting (Basis) deaktivierst du 'Dateitransfer". Das verhindert, dass Teilnehmende potenziell schädliche Dateien über den Zoom-Chat versenden.

5. Bildschirmfreigabe kontrollieren. Unter Einstellungen > Im Meeting (Basis) setzt du 'Wer kann freigeben?" bei sensiblen Meetings auf 'Nur Host". Du kannst einzelnen Teilnehmenden während des Anrufs jederzeit die Freigabe erlauben.

6. E2EE für vertrauliche Meetings aktivieren. Unter Einstellungen > Sicherheit aktivierst du 'Verwendung der Ende-zu-Ende-Verschlüsselung zulassen". Beim Einrichten eines Meetings wählst du dann im Sicherheitsbereich 'Ende-zu-Ende-Verschlüsselung". Beachte: Cloud-Aufnahme und einige Kollaborationsfunktionen werden deaktiviert.

7. Beitritt vor dem Host deaktivieren. Unter Einstellungen > Im Meeting (Erweitert) deaktivierst du 'Teilnehmenden erlauben, vor dem Host beizutreten". Das verhindert, dass Teilnehmende ohne Host im Meetingraum sind.

8. Authentifizierte Profile vorschreiben. Unter Einstellungen > Sicherheit aktivierst du 'Nur authentifizierte Benutzer können Meetings beitreten". Teilnehmende müssen bei einem Zoom-Konto angemeldet sein — anonymer Zugang wird verhindert.

Diese Einstellungen decken 90 % der Sicherheitsszenarien ab, denen die meisten Teams begegnen. Für die verbleibenden 10 % ist der größte Risikofaktor nicht Zooms Technologie, sondern menschliches Verhalten: Meeting-Links öffentlich teilen, immer dieselbe Meeting-ID verwenden oder verdächtige Links im Zoom-Chat anklicken.

Ist Zoom sicher vor Hackern?

Keine Software ist vollständig vor Hackern geschützt — wer etwas anderes behauptet, will dir etwas verkaufen. Die bessere Frage lautet: Wie gut schützt sich Zoom gegen gängige Angriffsvektoren?

Credential Stuffing: Hacker verwenden Passwörter aus Datenlecks anderer Dienste, um sich bei Zoom-Konten einzuloggen. Im April 2020 berichteten Sicherheitsforscher, dass große Mengen an Zoom-Zugangsdaten in Dark-Web-Foren auftauchten. Es handelte sich nicht um ein Zoom-Leck — die Daten stammten von Nutzenden, die Passwörter mehrfach verwendet hatten. Zooms Schutzmaßnahme: Zwei-Faktor-Authentifizierung (2FA), verfügbar auf allen Konten seit September 2020. Falls du 2FA auf deinem Zoom-Konto noch nicht aktiviert hast, tue es heute.

Zoombombing: Durch Standard-Passcodes, Warteräume und die Möglichkeit, Meetings zu sperren, adressiert (siehe Einstellungs-Abschnitt oben).

Zero-Day-Exploits: Zoom betreibt ein Bug-Bounty-Programm über HackerOne und belohnt Forschende, die Schwachstellen melden. Zusätzlich arbeitet das Unternehmen mit Sicherheitsfirmen an regelmäßigen Penetrationstests.

Man-in-the-Middle-Angriffe: Die AES-256-Bit-GCM-Verschlüsselung schützt vor Abhören. E2EE eliminiert selbst das theoretische Risiko eines Zoom-seitigen Abfangens.

Social Engineering: Das schwächste Glied jeder Sicherheitskette. Phishing-E-Mails, die Zoom-Meeting-Einladungen imitieren, sind nach wie vor verbreitet. Zoom kann nicht verhindern, dass Nutzende auf einen gefälschten 'Meeting beitreten"-Link klicken, der zu einer Phishing-Seite führt. Schule dein Team, Meeting-Links zu überprüfen und Kalender-Integrationen statt Links aus unbekannten E-Mails zu nutzen.

Ist Zoom sicher vor Hackern? Bei Nutzung von 2FA, einzigartigen Passwörtern und den oben beschriebenen Sicherheitseinstellungen ist es genauso sicher wie jede große Cloud-Plattform. Das größte Risiko ist nicht Zooms Code — es ist deine Passworthygiene.

Wie sich Zooms Sicherheit im Vergleich zu anderen Plattformen schlägt

Zoom ist nicht die einzige Videokonferenz-Option. So schneidet die Sicherheit im Vergleich zu den wichtigsten Alternativen im März 2026 ab.

Microsoft Teams: Nutzt ebenfalls AES-256-Bit-Verschlüsselung und bietet E2EE für Einzelanrufe (Ende 2025 auf Gruppenanrufe erweitert). Teams profitiert vom breiteren Sicherheitsökosystem von Microsoft, einschließlich Azure Active Directory und Microsoft Defender. Die Compliance-Zertifizierungen sind mit Zoom vergleichbar. Für Organisationen, die bereits Microsoft 365 nutzen, ist die Sicherheit von Teams eng mit dem bestehenden Identitätsmanagement verknüpft. Siehe unseren Microsoft Teams Alternativen Leitfaden.

Google Meet: Nutzt AES-256-Bit-Verschlüsselung für alle Anrufe. Google bietet keine vom Benutzer wählbare E2EE für Standard-Meet-Anrufe (clientseitige Verschlüsselung nur bei Workspace Enterprise Plus). Googles Datenpraktiken werden durch seine umfassendere Datenschutzrichtlinie geregelt, die Datennutzung zur Serviceverbesserung einschließt.

WebRTC-basierte Plattformen (einschließlich Flat.social): Auf WebRTC aufgebaute Plattformen verwenden standardmäßig SRTP (Secure Real-time Transport Protocol) mit DTLS-Schlüsselaustausch. Audio und Video werden nach Möglichkeit Peer-to-Peer übertragen — die Daten berühren nie einen zentralen Server. Es gibt keine Cloud-Aufnahme, weil serverseitig nichts gespeichert wird. Für Teams, die Datenschutz durch Architektur statt durch Richtlinien bevorzugen, sind WebRTC-Plattformen eine Überlegung wert.

Keine einzelne Plattform ist 'die sicherste". Sicherheit hängt vom Bedrohungsmodell ab. Zoom ist eine solide Wahl für Organisationen, die Compliance-Zertifizierungen, Admin-Kontrollen und Enterprise-Funktionen benötigen. Für Teams, die minimale Datenerhebung und Peer-to-Peer-Architektur priorisieren, bieten räumliche Meetingplattformen einen grundlegend anderen Ansatz.

Zoom ist eine Marke von Zoom Communications, Inc. Dieser Artikel ist eine unabhängige Veröffentlichung und steht in keiner Verbindung zu Zoom Communications, Inc., wird von diesem Unternehmen weder unterstützt noch gesponsert.

Fazit: Ist Zoom sicher genug für dein Team?

Zoom in 2026 ist ein grundlegend anderes Produkt als jenes, das 2020 Sicherheitsschlagzeilen machte. AES-256-Bit-Verschlüsselung schützt jeden Anruf. Optionale E2EE ist auf allen Tarifen verfügbar. SOC 2, ISO 27001, HIPAA und FedRAMP-Zertifizierungen decken die Compliance-Anforderungen der meisten Organisationen ab.

Aber Sicherheit betrifft nicht nur die Plattform — es geht auch darum, wie du sie nutzt. Hier ist deine Checkliste:

1. Aktiviere die Zwei-Faktor-Authentifizierung auf jedem Zoom-Konto in deiner Organisation.
2. Aktiviere Warteräume und Passcodes für alle geplanten Meetings.
3. Nutze E2EE für alle Meetings mit vertraulichen Informationen (Recht, Finanzen, Gesundheit, HR).
4. Überprüfe Drittanbieter-App-Berechtigungen in deinen Zoom-Marketplace-Integrationen vierteljährlich.
5. Halte Zoom aktuell auf allen Geräten.

Diese fünf Schritte bringen dich bei der Sicherheit vor 95 % der Zoom-Nutzenden. Wenn dein Bedrohungsmodell mehr erfordert (du verarbeitest Verschlusssachen, unterliegst strengen Datensouveränitätsgesetzen oder bevorzugst einfach eine Plattform, die von Grund auf weniger Daten erhebt), erwäge eine WebRTC-basierte Alternative, bei der Audio Peer-to-Peer übertragen wird und auf einem zentralen Server nichts gespeichert wird.

Deine Meetings enthalten die Ideen, Strategien und ehrlichen Gespräche deines Teams. Sie verdienen Schutz.