News Datenschutz-Aufsichtsbehörde: Teams und Zoom lassen sich nicht DSGVO-konform nutzen

[KadmosIII]

Vielleicht sollte man bei Videkonferenzen das Pferd andersherum aufsatteln. Macht den Betrieb von Videokonferenzlösungen als einen Teil des Telekommunikationsgesetzes. Da gelten schärfere Regeln als beim Datenschutz. Es dürfen Unternehmen den Service nur anbieten, wenn sie das Gesetz befolgen. Damit wäre aus meiner Sicht das Thema gegessen.

Wir diskutieren dieses Thema im Unternehmen auch regelmäßig, nutzen zum Glück noch SfB on Prem, können uns zum Glück noch gegen das Management durchsetzen und sind noch nicht in die Cloud abgewandert. Am Ende ist es aber eine kaufmännische Entscheidung des Unternehmens: Risiko wird bewertet (Welche Strafe müsste ich zahlen) vs. onPrem Lösung einsetzen wo ich keinen prof. Support bekomme und ich selbst MA anstellen muss die das für mich betreiben. Bei all den Produkten die wir einsetzen müsste die IT-Abteilung dann 3 mal so groß sein. Ergo Entscheidung pro Risiko.

Entscheidend ist ja auch, für welche Prozesse ich die Produkte einsetze: Sprich welche Daten werden darüber kommuniziert. Es wird nur schwierig, wenn ich Daten kommuniziere die besonders Schützenswert sind. Und was viele vergessen die DSGVO ist in ganz vielen Punkten so schwammig formuliert, das man hier wirklich die höchstrichterliche Rechtssprechung abwarten muss.
Als Beispiel gerne Art 32 Abs. 1 DSGVO:
"Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten...."
Wer bestimmt denn bitte was ein angemessenes Schutzniveau ist? Hier ist aus Unternehmenssicht das Zauberwort Implementierungskosten! Denn es gilt auch der Grundsatz, dass die Kosten zur Umsetzung des Datenschutzes Verhältnismäßig zu sein haben. Viele Anforderungen lassen sich nicht umsetzen weil das Unternehmen sonst Pleite geht.

Ich denke die Grundlagen der DSGVO sind für uns als Menschen wichtig. Die Auslegung hierbei ist oft das Kanonen auf Spatzen Prinzip. Komischerweise sind es meist die Menschen die alles umsonst haben wollen dann auch die die am meisten die Regeln einfordern wenn es ihnen passt. Ich arbeite in der Entsorgungsbranche. Unsere IT-Kosten sind durch Umsetzung der Anforderungen erheblich gestiegen. Aber jetzt kommt das lustige: Einige der Regeln werden durch die Gesetze des Umweltschutzes, Entsorgung, Wirtschaftskreislaufsgesetz, Sonderabfalls und Aufbewahrungspflichten all dieser und einiger Finanzgesetzte ausgehebelt. Die Kosten zur Prüfung was denn höherwertiger ist und einzuhalten ist, sind nochmal dazuzurechnen. Im großen und ganzen ist die DSGVO eine wirklich gute Idee in der Auslegung aber eines der größten Probleme der heutigen Zeit mit den technischen Möglichkeiten.

 

[mike4711]

Wäre Jitsi nicht Opensource, würde kein Hahn danach krähen. Hab das jetzt bei diversen Firmen genutzt und die Qualität war eher mäßig. Es funktioniert halt. Aber mehr auch nicht. Selbst bei kleinen Gruppen. Zoom war da wirklich klar besser.

Ich würde diese Aussage gerne relativieren.
Jitsi ist die Software. Sie ist als Open-Source-Software auch keine Randerscheinung. Auch der Chaos Computer Club empfiehlt und nutzt sie - Linus Neumann betreibt sogar einen eigenen Server.
Apropos Server: Die Server, bei denen man sich anmeldet, bestimmen die Qualität - und davon gibt es hunderte. Die können mal gut bis sehr gut, aber auch mal schlecht sein - und dann meldet man sich eben bei einem anderen an. Das geht bei MS Teams nicht - wo die Quelität nach nun vielen Sitzungen auch mal schlechter sein kann, genauso wie bei Zoom.

Ergänzung (5. Juli 2020)

Und jetzt? Welche Wahl hat man jetzt groß? Jitsi gibt's noch, aber das taugt nur, wenn man sein Mikrofon selbst nochmal durch einen Filter schleift:
https://wiki.archlinux.org/index.php/PulseAudio/Troubleshooting#Enable_Echo/Noise-Cancellation

Aber wer kann/macht das schon? Also wird's am Ende doch was Kommerzielles und nicht-DSGVO-konformes, worauf man sich einigen kann und womit alle Nutzer arbeiten können. Gerade jetzt will sich niemand noch mit dem Thema groß rumschlagen.

Das kann ich absolut nicht nachvollziehen. Ich nutze Jitsi jetzt schon seit 5 Monaten unter Arch Linux, gepaart mit einer Logitech C920. Die Qualität ist super und es hat sich noch keins meiner Gegenüber über irgendwelche Audioprobleme beklagt. Auch andere Webcams funktionieren ohne Audio- / Video-Störungen.

 

[new Account()]

Für Schulen muss das als ein SaaS Angebot kommen, wie es eben Teams oder Zoom machen.

So etwas wie das hier?
https://cyber4edu.org/c4e/wiki/unsere_angebote

 

[mike4711]

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hatte in ihrer Funktion als Datenschutz-Aufsichtsbehörde insgesamt 17 Videokonferenz-Dienste im Test, doch Microsoft Teams und Zoom fielen neben vielen weiteren Programmen nicht zuletzt in Sachen Datenschutz durch und lassen sich nicht DSGVO-konform nutzen.

Zur News: Datenschutz-Aufsichtsbehörde: Teams und Zoom lassen sich nicht DSGVO-konform nutzen

Von "Test" kann man hier doch gar nicht reden. Es handelt sich um eine "Kurzprüfung". Laut FAZ gab es dort auch "keine umfassende technische Prüfung und in der Regel auch keine Prüfung der Datenschutzerklärung" (vgl. S. 1, letzter Abschnitt). Im Dokument der Datenschützer heißt es hierzu "kursorische Untersuchung einiger technischer Aspekte der Dienste", wobei keine nähere Erläuterung der "technischen Aspekte" erfolgt.
Es ging den Datenschützern um die "Rechtskonformität der ... Auftragsverarbeitungsverträge".

Ergänzung (5. Juli 2020)

Was ist jetzt genau nicht konform?

Die Prüfung konzentrierte sich auf die Auftragsverarbeitungsverträge. Diese regeln, "wie der Dienstanbieter die Verarbeitung von personenbezogenen Daten umsetzt". Erst wenn diese ohne Beanstandung erfolgte, gab es eine "kursorische" technische Prüfung.

Ergänzung (5. Juli 2020)

Wie oberflächlich m. E. "geprüft" wurde, kann man auch daran erkennen, dass

• Von der Jitsi-App aus dem PlayStore abgeraten wird (Google Analytics Tracker) und die F-Droid-Variante empfohlen wird. Dass die Hopp-Foundation gerade für dieses PlayStore Manko in Kooperation mit "Schulen der Metropolregion Rhein-Neckar" und dem "Landesbeauftragte[n] für den Datenschutz und die Informationsfreiheit Baden-Württemberg" die App "Digitales Klassenzimmer" im PlayStore veröffentlicht hat, wird nicht erwähnt. (vgl.: https://www.hopp-foundation.de/Dokumente/Bewerbungsunterlagen_Schulen/Antrag_Server_Jitsi.pdf)
• Zudem funktioniert der zentrale Link, der darlegt, wie / was geprüft wurde, im herausgegebenen PDF NICHT: https://www.datenschutz-berlin.de/f...liche_zu_Anbietern_Videokonferenz-Dienste.pdf

 

[Autokiller677]

So etwas wie das hier?
https://cyber4edu.org/c4e/wiki/unsere_angebote

Jop. Und wenn die Website irgendwann mal professionell aussieht und nicht wie von Fünftklässlern wirds vielleicht auch was.
Paar Screenshots, bessere Beschreibung der Funktionen und vielleicht sogar ein Demo-Account wären da mal was.


Stattdessen ist leider die Beschreibungen, wieso Zoom und Teams schlecht sind, jeweils deutlich länger als die Beschreibung der eigenen Funktionen.

Das ist jetzt natürlich kein No-Go, aber auch nicht hilfreich beim Kunden sammeln.
Wenn ich irgendwas beschaffen will, haben die Anbieter, zu deren Produkten ich online alle relevanten Infos finde (bis hin zum Preis) auch die größte Chance. Wenn Infos hinter Logins versteckt werden oder nur auf Anfrage verfügbar sind, stehen die Chancen direkt schlechter.

 

[jonderson]

Wenn nicht gerade total sensible Sachen besprochen werden, [...]

Und genau da endet die Geschichte schon.

Gerade wenn man überlegt, wie weit verbreitet WhatsApp ist, dann sollte einem bewusst sein, dass es grob fahrlässig ist solch eine Entscheidung den Mitarbeitern zu überlassen...
Das Bewusstsein für so etwas ist doch längst verloren gegangen bzw. wird absichtlich aus bequemlichkeit unterdrückt.

Wir haben bei uns verschiedene Messenger in den verschiedene Vertraulichkeitsstufen besprochen werden dürfen.
Was macht man also wenn die Vertraulichkeitsstufe eigentlich nicht dort besprochen werden darf wo man gerade ist? Man vermutet einfach, dass sie eigentlich niedriger ist...

DsGvo geht mir richtig hart auf den Sack. Auch im Verein muss man für jeden Scheiß jetzt eine Unterschrift haben und läuft ständig Gefahr irgendwo gegen die DSGVO zu verstoßen.

Zum Glück, wie gerne würde ich die Hundeschulen in meinem Umkreis gerne mal Anzeigen weil sie WhatsApp als Kommunikationsmittel nutzen...

 

[phil.]

Noch einmal für alle zum Mitschreiben und Merken.
Beiträge, die auch nur ansatzweise Stammtischniveau haben, mit Fäkalsprache gespickt sind, werden direkt und versenkt.
Spart auch also das Tippen, wenn ihr nicht sachliche Beiträge verfassen könnte / möchtet.

 

[riloka]

Gerade wenn man überlegt, wie weit verbreitet WhatsApp ist, dann sollte einem bewusst sein, dass es grob fahrlässig ist solch eine Entscheidung den Mitarbeitern zu überlassen...
Das Bewusstsein für so etwas ist doch längst verloren gegangen bzw. wird absichtlich aus bequemlichkeit unterdrückt.

Wobei es vorbildlich einfach ist wie ganz nebenbei die Verschlüsselung eingeführt und genutzt wird ohne dass es den Leuten schwer gemacht wird zu kommunizieren. Das find ich vorbildlich.
Sobald auch Firefox Inseartable Streams kann, siehe https://jitsi.org/blog/e2ee/, dann denke ich dass auch VideokonferenzSoftware sich nicht mehr davor drücken ordentlich zu verschlüsseln so dass nur die Teilnehmer den Inhalt sehen können.

Damit wären wir dann auf WA Level, schön einfach und nur Metadaten sichtbar.

 

[karamba]

Leider ist das Ganze vollkommen an der Realität vorbei. Das ist auch der Grund, warum Europäische und Deutsche Angebote so selten sind. Wir stehen uns mit so viel Bürokratie und so vielen Regelungen im Weg. Die Unternehmen setzen zB Teams und Slack ein, weil es gute Software ist die gute Funktionalität bietet.

Nur mal so. Datenschutz und gute Software ist kein Gegensatz. Teams würde auch datenschutzkonform gehen. Was du da bringst, ist also absolut kein Argument. Unternehmen setzen Teams vor allem ein, weil es der Weg des geringsten Widerstandes ist und das offensichtlich einen höheren Stellenwert hat, als Datenschutz.

 

[Marflowah]

Hat jemand schon mal Nextcloud Talk probiert und kann erwas darüber sagen? Das ist hier nicht auf der Liste, aber ich könnte mir vorstellen, dass es ganz gut abschneiden könnte.

 

[Fucc]

Wenn ich das richtig sehe, ist Teams von Microsoft wegen den Datenschutzbestimmungen von Office 365 durchgefallen. Heisst- die Businessvariante ist datenschutzkonform? Wird nicht explizit drauf eingegangen.

 

[butchooka]

Bigbluebutton hat bei uns das Rennen gemacht, als kostengünstige Ergänzung zum vorhandenen goto, einzig die aktuell reine ubuntu16.04 Unterstützung verhindert den Sprung zum alleinigen System dieser Art.
Bisher noch nicht den Aufwand für ad Anbindung und vollständige Personalisierung und sip gemacht Aber das sollte kein Hexenwerk mehr sein.
Null Probleme und durchweg super Qualität was man von den anderen nicht behaupten kann.
Jitsi wegen mieser Qualität im selbst gehosteten und grottigen Security defaults durchgefallen, der Rest kostet halt gleich ne Stange Geld.

 

[nein danke]

@KadmosIII
Hallo, das klingt ja alles interessant. Aber könnte es sein, dass du das Thema Schutz personenbezogener Daten) (= Datenschutzgemäß DSGVO) mit anderen Daten-Themenfeldern verwechselst? Das passiert nämlich vielen.

Ich frage deshalb, weil mehrere deiner Punkte einfach nicht zutreffen. Beispiele gefällig:
Du sagst, ihr wärt ein Entsorgungsunternehmen. Dann redest du von Risiken, Implementierungskosten, gestiegenen IT-Kosten, schwammig formuliertem angemessenen Schutzniveau, besonders schützenswerten Daten. Das kann doch gar nicht zutreffen. Mehr als den einfachsten Standardfall für pbD , nämlich Kundenlsiten und Mitarbeiterdaten, sollte ein Entsorgungsunternehmen gar nicht haben. Außer ein paar einfache Standards einzuführen, dürfte euch bzw. dich die DSGVO überhaupt nicht tangieren.

Und selbst wenn deine Erzählung doch zutreffen sollte. Was ein angemessenes Schutzzniveau ist, hängt von den verarbeiteten dbD ab. Steht doch alles in dem von dir zitierten Absatz drin. Wer Daten verarbeitet, mus sich halt risikobewusst entsprechend Gedanken machen und sich kümmern. Wenns sein muss Stand der Technik, Good Data Practice, Risikobeurteilung etc. Und wenn einem Unternehmen das nicht einfällt, dann kann es jederzeit nachfragen. Wenn das einem Unternehmen zu schwer sein sollte, dann kann es ja einfach aufhören, mit personenbezogenen Daten Geld machen zu wollen. Fertig. Und für die Unternehmen, die sich einfach blöd stellen, für die gibts Bußgelder. Und nein, hahaha, mit Risikobewertung ist nicht das eigene wirtschaftliche Risiko gemeint, sondern das Risiko für andere Personen beziehungsweise die personenbezogenen Daten.

Im großen und ganzen ist die DSGVO eine wirklich gute Idee in der Auslegung aber eines der größten Probleme der heutigen Zeit mit den technischen Möglichkeiten.

Das stimmt einfach nicht. Es ist nämlich einfacher und klarer als du denkst.

PS:

Aber jetzt kommt das lustige: Einige der Regeln werden durch die Gesetze des Umweltschutzes, Entsorgung, Wirtschaftskreislaufsgesetz, Sonderabfalls und Aufbewahrungspflichten all dieser und einiger Finanzgesetzte ausgehebelt. Die Kosten zur Prüfung was denn höherwertiger ist und einzuhalten ist, sind nochmal dazuzurechnen.

Ich kann dir das kostenlos sagen. :-) EU Verordnung > Bundesgesetz. Da kann nichts ausgehebelt werden. Und sowieso sind das komplett andere Themen.

 

[MadCat[me]]

Das ist einfach falsch.
Die DSGVO/GPDR ist eine EU-Verordnung die so wie sie ist unmittelbar rechtlich wirksam für die Mitgliedsstaaten ist. Die DSGVO ist einfach nur die deutsche ÜBersetzung von ihr. Das einzige was mich an der DSGVO stört ist die teilweise etwas schwierige Übersetzung, deswegen arbeite ich gern mit der englischen Fassung.

Es war unglücklich formuliert, aber nicht grundsätzlich falsch, siehe: https://de.wikipedia.org/wiki/Datenschutz-Grundverordnung#Öffnungsklauseln

Das BDSG geht deutlich über das Hinaus, was die EU in der Verordnung fordert und genau darum geht es doch hier im Endeffekt.

 

[Bigeagle]

Also ich würde ja sagen: alles wie immer
Die gleiche Leier bei Chats, Voicechat und nun auch bei Videokonferenzen. Warum sollte es sich auch ändern, wenn die Gründe für die Probleme nicht weniger, sondern mehr werden? Daten lassen sich verkaufen oder selbst zur Gewinnsteigerung nutzen und es gibt entweder (vermeintlich) keine rechtlichen Einschränkungen, oder keine wirksamen Kontrollen, oder keine wesentlichen Strafen.

Schließlich sind Daten aus Sicht der deutschen Regierung 'das Öl des 21. Jhd', also warum nicht schnell fördern und ggf. den einen oder anderen Krieg dafür vom Zaun brechen wenn es sich rechnet?

Wer hier glaubt dass z.b. gegen Microsoft Teams irgendwelche Konstruierten Vorwürfe im Raum stehen der sollte sich mal die Anmerkungen im Bericht dazu angucken. Die haben vielleicht nicht die üblichen "Wir teilen sämtliche Daten mit allem und jedem der mit uns geschäftlich in Verbindung steht"-Klausel, aber dafür andere unfeinen Dinge.
Datenschutzbestimmungen still und heimlich ersetzen und dann noch in der für Nichtjuristen praktischen Zusammenfassung 'keine Änderungen' hinschreiben klingt erstmal nicht richtig. Wie wahrscheinlich ist es dass man sich die Mühe macht über das ganze Dokument verstreut Formulierungen zu ändern ohne irgendetwas an der Bedeutung zu ändern? Soweit ich weiß ist das recht unüblich bei rechtlichen Dokumenten. Da ist ein Misstrauen doch nachvollziehbar, oder? Zumal es laut dem bericht tatsächlich auch Änderungen gab.

Auf der positiven Seite scheint es zumindest so als würde sich keiner der Anbieter das Recht einräumen wollen sämtlichen Datenverkehr zu speichern und in sein Eigentum zu überführen. Ich erinnere mich noch gut an die Sache bei ICQ und möglicherweise auch MSN wo man laut Nutzungsvertrag sämtliche Rechte an allem was man über den Messenger verschickt hat an den Betreiber abgetreten hat. Gemäß dem Vertrag hätten die einen abmahnen könenn wenn man öffentlich eigene Unterhaltungen darüber zitiert hätte
Nachdem ich das herausgefunden hatte (wer liest sich denn schon diese teils mehr als 10 A4 Seiten langen Texte durch?) hatte ich ein überaus starkes Bedürfnis sämtliche Kommunikation über solche Anbieter zu verschlüsseln und bis heute wenig gesehen was das gedämpft hätte.

Also im Grunde alles wie immer, oder?

 

[eastcoast_pete]

Was mich auch Mal interessieren würde: Welche Lösung oder Lösungen benützt denn die Berliner Verwaltung ? Richten die sich wenigstens nach den Vorgaben ihrer eigenen Datenschutz Aufsichtsbehörde?

 

[eastcoast_pete]

Wenn ich online Schulungen mache, löse ich derartige Probleme in etwas autoritärer Weise, in dem ich zunächst alle Teilnehmer darum bitte, sich stumm zu schalten bis sie dann etwas sagen oder Fragen wollen, und wenn es dann ein paar nicht tun, schalte ich Leute auch Mal stumm wenn es laut wird und stört. Ansonsten benutze ich selber ein USB Headset mit noise cancelling Mikrofon, gibt's schon gute für 25 Euro. All dies geht nicht immer, aber oft.

 

[eastcoast_pete]

--- Komplettzitat entfernt---
Bitte Zitierregeln beachten.

Im Rüstungsbereich könnte ich mir gut vorstellen, daß die beteiligten Firmen es sogar ausdrücklich wollen, daß genau protokolliert wird, wer da wann mit wem über was konferiert hat. Wäre interessant, ob die betroffenen Firmen diese Daten dann auch regelmäßig von WebEx bekommen.

 

[KadmosIII]

@Der Ahnsinnigew
Danke zunächst für Deine Ausführungen. Du irrst Dich hierbei ein wenig. Auch wie halten Finanzdaten unserer Kunden und Geschäftspartner vor. Alleine eine Einzugsermächtigung mit den Kontodaten ist schon besonders schützenswert und schon muss man andere Anforderungen erfüllen.

Die Finanzanforderungen zur Aufbewahrungspflicht widersprechen übrigens dem Recht auf Vergessen solange die Aufbewahrungspflicht (meistens nur 10 Jahre) gilt. Und hier schlägt das HGB den Datenschutz. Nur als Beispiel.

Sonderabfall muss auch nachgewiesen. Hier übrigens in der Form von: Wer hat den Sondermüll erzeugt, wer hat ihn transportiert, wer hat ihn zwischengelagert über Verarbeitung und entgültige Entsorgung. Jeweils Namensscharf. Das stellenweise weit über 10 Jahre, kommt auf den Sonderabfall an.

Nichts mit einfachen Kundenlisten... Übrigens ist die Entsorgung von Datenschutzrelevanten Dokumenten (Datenschutztonne) auch nachweispflichtig. Weil sonst könntest Du als Verursacher auf Nachfrage Deines Kunden nicht nachweisen wie und durch wen Du die Dokumente entsorgt hast.

Und bei all diesen Verbindungen und der Menge der Kunden und Daten ist schon ein erheblicher Mehraufwand entstanden.

Dein Beispiel mit Kundenlisten: Nehmen wir mal an da steht der Name, Vorname und Anschrift drin. Was ja eine normale Kundenliste wäre. Das wäre dann ein niedriges Schutzniveau. Pakt man mal die Kontonummer mit an den Datensatz und schwubs habe ich ein hohes Schutzniveau. Entsorge ich bei Ihm Medikamente und pake es an den Datensatz mit ran, wird daraus mit das höchste Schutzniveau.

So einfach wie Du es da leider darstellst ist es nämlich im wirklichen Leben leider doch nicht. Weswegen ich dabei bleibe. Solange das nicht eindeutig geregelt ist und schwammig bleibt, ist es ein gutgemeinter Versuch, aber an der Realität vorbei.

 

[elefant]

Habe die News gelesen aber vermissen nun was genau nicht DSGVO-konform ist ?! So eine Behauptung ist ja immer schnell in den Raum geworfen. Wenn wir dann schon dabei sind, wie wäre es dann auch direkt mit einer möglichen Lösung? Ich habe immer mehr das Gefühl das alle nach DSGVO-Schwachstellen suchen aber beheben will Sie eigentlich keiner.