News Datenschutz-Aufsichtsbehörde: Teams und Zoom lassen sich nicht DSGVO-konform nutzen

[mae]

Jeder dieser "Shareholder" hat eine eigene IT, zumeist mit harten Restriktionen bzgl. nachträglich installierter Software. Da heißt es einen gemeinsamen Nenner finden.
Der ist selten Zoom, sichere-konferenzen.de oder wie sie alle heißen....der gemeinsame Konsenz ist zu 99% Microsoft Teams oder Skype. Vielleicht noch Google Meet, weil es auch über den Browser funktioniert.

Ich hatte noch nie mit Microsoft Teams, Skype, oder Google Meet zu tun. Stattdessen mit Zoom (braucht eigenen Client), Jitsi Meet (laeuft im Browser), NextCloud (laeuft im Browser), und GotoMeeting (laeuft in Chromium (und Chrome)). Also die nachtraeglich installierte Software sollte kein grosses Problem bei den meisten dieser Loesungen sein. Und Zoom scheint trotz eigenen Clients recht populaer zu sein, das duerfte also nicht das grosse Hindernis sein.

 

[riloka]

Ich kenne das eher so man telefoniert mit anderen Firmen oder schreibt E-Mails und nutzt innerhalb der Firma seine Lieblingskonferenzlösung.

 

[RcTomcat]

Die Liste ist ja ein super Anfang, kommt nur eben um Monate zu spät und beinhaltet keine gangbare Lösung.
Schulen und Universitäten mussten Vorlesungen und Unterricht aus der Ferne organisieren, teils lag das auf den Schultern der Lehrkräfte. Nun zu sagen dass die großen Anbieter am Markt nicht DSGVO konform sind ist einfach. Nur was wäre denn die Alternative gewesen? Keine Online Vorlesungen? Kein online Unterricht? Klingt auch nicht akzeptabel. Selbiges gilt für viele Unternehmen. Da mussten plötzlich wesentlich mehr Menschen als bisher in virtuelle Meetings. Das muss schnell gehen und intuitiv bedienbar sein. Von Datenaustausch sei da jetzt mal ganz abgesehen.

Vielleicht sollte die EU als Ganze weniger Kraft darauf verschwenden bestehende Technik auf DSGVO Konformität zu prüfen und statt dessen Schulen, Universitäten, Behörden und Firmen klare Handlungsempfehlungen präsentieren oder gar eigene Software mit entsprechendem Funktionsumfang und Augenmerk auf die DSGVO entwickeln. Diese muss dann aber eben auch ebenbürtig mit bestehenden Lösungen sein.

 

[riloka]

Man muss sie aber kritisieren dafür dass sie sich nicht dran halten. So ne öffentliche Rüge und eingeschränkte Nutzung kann durchaus dafür sorgen dass sie sich bessern.

 

[BeBur]

Richtig. Deshalb nimmt man halt "irgendeine Videokonferenzsoftware die schlecht funktioniert".
Und deren Nutzung dazu nicht gesetzeskonform ist.

Zoom funktioniert einwandfrei und wie schon geschrieben bezieht sich die DSGVO-Kritik auf die Standardfloskeln, Zoom ist da durchaus sehr entgegen kommend gewesen wie ich gehört habe und ist gerne davon abgewichen um eben DSGVO-Konform zu sein. Wie andere 'Big Player' in dem Bereich das gehandhabt haben weiß ich nicht. Aber vermutlich zumindest zum Teil ähnlich.

Jitsi und wie ich vermute Big Blue Button sind aufgrund diverser Anforderungen oft nicht geeignet, wie hier beispielhaft dargestellt oder in meinem Beitrag direkt darüber kurz angerissen.

 

[nein danke]

@BeBur: ich zitiere mal aus dem Bericht.

Mängel im Auftragsverarbeitungsvertrag. Unzulässige Einschränkungen der Löschpflicht. Unzulässige Datenexporte. Zweifel an der Zuverlässigkeit des Anbieters

Dieses Urteil steht nur bei Zoom. Das heißt mit anderen Worten, dass diese Startupklitsche nicht vertrauenswürdig ist. Zum Schluss noch eine eindeutige Warnung an Firmen, die trotzdem Zoom einsetzen wollen.

Wir weisen darauf hin, dass Art.28 Abs.1 DS-GVO vorschreibt, dass nur Auftragsverarbeiter eingeschaltet werden dürfen, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DS-GVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Bei der Prüfung von Verantwortlichen, die Zoom einsetzen, beabsichtigen wir, auf diesen Aspekt besonderes Augenmerk zu legen. Verantwortliche müssen vor einem Einsatz nachweisen können (Art.5 Abs.2 DS-GVO), dass Zoom diese Anforderungen mittlerweile erfüllt.

 

[BeBur]

@Der Ahnsinnigew
Was sind das für Zweifel? Wieso die Warnung speziell beim Einsatz von Zoom? Der Hinweis bzw. die Warnung ist komplett redundant.
Klingt mir schwer nach Meinungsmache, bzw. es ist unseriös, solche vagen Andeutungen in offizielle Berichte zu schreiben.

 

[flmr]

dass diese Startupklitsche nicht vertrauenswürdig ist

Bitte nicht den Mythos weiterverbreiten.

Die Klitsche ist bald 10 Jahre alt. Auch wenn es immer noch derselbe Softwaremuell ist wie damals ist es halt kein Startup mehr.

 

[dtee]

Was meinst Du mit Softwaremüll?

wenn ich Zoom mit GoToMeeting, WebEx und Co. vergleiche, dann läuft die Software noch mit Abstand am besten.

 

[KadmosIII]

@Der Ahnsinnigew
auch jetzt noch einmal vielen Dank.
Schön das Du Dich nur auf das DSGVO beziehst. Das ist eine schöne theoretisch heile Welt. Die existiert nur leider nicht.
Nehmen wir ein Beispiel: Wir entsorgen Akten und Daten von Behörden und Unternehmen (auch Krankenhäusern) und da muss, eine Anforderung des Datenschutzbeauftragten des Auftraggebers der sich wie Du auf das Datenschutz bezieht, ein lückenloser Nachweis vorliegen. Dieser soll auf der Rechnung nachgewiesen werden. Somit unterliegt das dadurch auch dem HGB mit 10 jähriger Aufbewahrungspflicht. Diese schlägt das Recht auf vergessen des Mitarbeiters der da vermerkt ist. Das gleiche auch beim Sonderabfall.
Wir beschäftigen für diese Themen mitlerweile eine ganze Rechtsabteilung. Wir dürfen das nur umsetzen. Stellenweise müssen wir dann Daten unkenntlich machen an anderen Stellen nicht. Da Kosten immer Ursachsgetreu zuzuordnen sind und hier nunmal die Ursache im Datenschutz liegt, ist das aus meiner Sicht nunmal durch den Datenschutz bedingt. Das steht übrigens im Absatz 3 b Artikel 17 das die Löschung von Daten nicht erfolgen muss wenn man anderen rechtlichen Verpflichtungen unterliegt. Hier könnte auch Absatz 3 e Artikel 17 zutreffen. So einfach ist es nämlich leider nicht. Oder unsere Anwälte und die der Kunden haben alle keine Ahnung.

Ich finde es schön, wie Du all die Gesetze kennst und in Einklang bringst. Ich arbeite in der IT und bin nicht so gesetzes sicher. Leider haben mir diverse Datenschutzbeauftragte (Kunden und eigener) diese begrifflichkeiten benannt und auch gesagt das Finanzdaten besonders schützenswert sind. Dem widerspreche ich nicht, da sie die Fachleute sind. Wir IT-ler dürfen das nur umsetzen und uns Lösungen dafür überlegen.

@Lübke ja gibt es, nur spielt da auch wieder der Punkt Verhältnismäßigkeit rein. Wir schauen uns das alles an und prüfen IT-Seitig die Optionen. Aber wenn ich durch diese Tools meine Prozesskosten so erhöhe das ich am Ende nicht mehr Überlebensfähig bin, dann ist das leider keine Option.

 

[DerDoJo]

Ich hatte noch nie mit Microsoft Teams, Skype, oder Google Meet zu tun. Stattdessen mit Zoom (braucht eigenen Client), Jitsi Meet (laeuft im Browser), NextCloud (laeuft im Browser), und GotoMeeting (laeuft in Chromium (und Chrome)). Also die nachtraeglich installierte Software sollte kein grosses Problem bei den meisten dieser Loesungen sein. Und Zoom scheint trotz eigenen Clients recht populaer zu sein, das duerfte also nicht das grosse Hindernis sein.

Und ich hatte noch nie etwas mit den andere Programmen zu tun. Vielleicht mag es auch ein Branchen Thema sein.
Ich arbeite in der chemisch-pharmazeutischen Industrie. Bayer, Basf, Lanxess, Evonik, Boehringer Ingelheim, Teva, Siemens usw. arbeiten alle mit Teams oder Skype.

 

[Autokiller677]

@mae @DerDoJo

Same here. Maschinenbau (Lasermaschinen). TeamViewer ist auch noch recht verbreitet, wird aber mittlerweile häufig von Teams abgelöst. Früher war noch GoTo Meeting beliebt, ist mittlerweile aber auch weg.

Gerade im Rahmen von Corona hat gefühlt zumindest die Hälfte der Unternehmen, mit denen wir zu tun haben (darunter auch viele Autohersteller und Zulieferer) auf Teams umgestellt. Wir selbst auch. Vorher hatten wir Mattermost als Chattool, hat mehr schlecht als recht funktioniert, und TeamViewer für Konferenzen. Problem bei TV: die Anzahl der parallelen Konferenzen ist begrenzt (bzw. man braucht dann mehr Lizenzen), und als es ins Home-Office ging waren einfach dauerhaft alles Slots dicht. Da Office 365 eh kommen soll, wurde der Teams Rollout vorgezogen.

 

[riloka]

Und woran hapert es bei Mattermost ?

 

[Autokiller677]

@riloka:

Der Electron-Client wollte auf einigen PCs häufig nicht starten und musste regelmäßig neu installiert werden.
Client auf dem Handy konnte maximal 5 Bilder in eine Nachricht packen.
Benachrichtigungen sowohl am PC als auch auf dem Handy kamen nicht zuverlässig an.

Das größte Problem war aber einfach: Clients sowohl am PC als auch Handy haben sich regelmäßig ausgeloggt (Session Timeout, ok, könnte man auch auf ewig stellen, IT Entscheidung), aber vor allem dazu keine Benachrichtigung angezeigt. So kam es häufig vor, dass man nicht mitbekommen hat, wenn man Nachrichten bekommen hat, obwohl Mattermost per Autostart immer lief. Daher haben die meisten dann doch wieder E-Mails geschickt, um sicher zu gehen, dass man es auch sieht.

Bei Teams kommt immer eine Meldung wenn man rausfliegt und kann sich direkt wieder einloggen.

Davon ab bietet Teams halt einfach viel mehr, aber das ist wohl auch nicht das Ziel von Mattermost.

 

[nein danke]

@Der Ahnsinnigew
Was sind das für Zweifel? Wieso die Warnung speziell beim Einsatz von Zoom? Der Hinweis bzw. die Warnung ist komplett redundant.
Klingt mir schwer nach Meinungsmache, bzw. es ist unseriös, solche vagen Andeutungen in offizielle Berichte zu schreiben.

@BeBur
Nicht ganz ernst von mir gemeint, aber du hast gerade die zwei ersten Stufen der Trauer durchlaufen, Leugnen und Zorn. Was deine Fragen angeht, in dem Bericht steht auf den letzten 2 Seiten mehr dazu. Die Beurteilung wird wohl mit dem Schweregrad und der Anzahl der Verstöße zusammenhängen.

@flmr
Nichts für ungut, aber dass es Zoom schon 10 Jahre gibt, ist eher ein Beleg dafür, dass es eine Startupklitsche ist.

Warum? Wenn ich an die Nachrichten von den letzten Monaten zu Zoom + Sicherhaitslücken oder Zoom + Datenschutzverstöße zurückdenke oder mehr dazu google, dann komme ich unweigerlich zu diesem Schluss. Nach 4 Jahren DSGVO hat das Unternehmen immer noch gravierende Datenschutzrechtsverstöße - auf dem Papier(!), wo es noch am einfachsten ist, wenigstens auf den ersten Blick compliant auszusehen - in Realität wird es wahrscheinlich viel schlimmer sein. Genauso beim Thema Sicherheit, siehe Heise-Link. Ende-zu-Ende-Verschlüsselung behauptet, Ende-zu-Ende-Verschlüsselung real nicht vorhanden. Heißt in meiner Sprache, dass sie die Lügen, was das Zeug hält, um die nächste Finanzierungsrunde zu überstehen. Hauptsache Wachstum um jeden Preis. Alles andere wie Sicherheit und Datenschutz kommt hinten dran, wenn überhaupt. Typisch Startupklitsche.

https://www.handelsblatt.com/techni...ker-warnen-vor-videodienst-zoom/25722542.html
https://www.heise.de/security/meldu...Ist-Zoom-ein-Sicherheitsalptraum-4695000.html

 

[BeBur]

Was deine Fragen angeht, in dem Bericht steht auf den letzten 2 Seiten mehr dazu. Die Beurteilung wird wohl mit dem Schweregrad und der Anzahl der Verstöße zusammenhängen.

Ja, 'wird wohl', es bleibt völlig unklar, worauf sich die vagen Behauptungen beziehen sollen. Es ist weit seriöser sich auf Fakten zu beschränken.

Nicht ganz ernst von mir gemeint, aber du hast gerade die zwei ersten Stufen der Trauer durchlaufen, Leugnen und Zorn.

Ich stelle hier vielmehr fest, dass man mal wieder vornehmlich emotional assoziiert und nur bedingt sachlich argumentiert. Zoom ist keineswegs 'toll', mir graust es wenn ich daran denke, was für Sicherheitslücken die in der Vergangenheit hatten (webserver beim client installiert...) oder was für Grausamkeiten ein Reverse Engineering offenbart hat.

Aber sie haben eben auch eine Usability, die man einer 08/15 Person zumuten kann, Integration, speziell Single-SignOn ging kurzfristig und lief gut soweit ich aus der IT gehört habe, die Datenschutz Menschen meinten sie seien bei der DPA sehr entgegenkommend gewesen um DSGVO konform zu sein und generell hat Zoom dafür gesorgt, dass Nutzer im vierstelligen Bereich gleichzeitig problemlos an dutzenden Meetings partizipieren konnten und man so recht spontan (innerhalb von 4 Wochen) erfolgreich den gesamten Betrieb auf virtuell umstellen konnte. Von daher ist meine Einstellung da etwas differenzierter. Im übrigen hat Zoom auch sehr schnell die ein oder andere Funktion (Aufmerksamkeitstracking) ersatzlos aus ihrem Client entfernt. Die scheinen zumindest sehr anpassungsfähig zu sein.

Ende-zu-Ende-Verschlüsselung behauptet, Ende-zu-Ende-Verschlüsselung real nicht vorhanden. Heißt in meiner Sprache, dass sie die Lügen, was das Zeug hält, um die nächste Finanzierungsrunde zu überstehen.

Korrekt, das ist gebogen und gelogen und unseriös. Die sind da in guter Gesellschaft, Jitsi hat auch eine lange Tradition von Täuschung diesbezüglich, siehe hier: https://jitsi.org/e2ee-in-jitsi/

Does Jitsi support end-to-end encryption?

The short answer is: Yes, we do!

Die korrekte Antwort: Nur für 1-on1 Meetings. Und auch dieses Feature ist ziemlich neu und auch Jitsi Meet hat immer schon behauptet, E2EE zu sein. Diese Verarschung beschränkt sich also nicht auf Kapitalisten-Software.

Ich weiß auch nicht was die alle geritten hat scheint irgendwie Standard in der Branche zu sein die Abwesenheit von E2EE zu leugnen, Jitsi hat ja sogar ein eigenes Wording eingefügt um drum herum zu reden "Peer 2 Peer / P2P" Modus.

 

[new Account()]

Korrekt, das ist gebogen und gelogen und unseriös. Die sind da in guter Gesellschaft, Jitsi hat auch eine lange Tradition von Täuschung diesbezüglich, siehe hier: https://jitsi.org/e2ee-in-jitsi/

Ähm, nur weil E2E noch in Beta ist und manuell aktiviert werden muss, ist es nicht falsch.

Ergänzung (7. Juli 2020)

Die korrekte Antwort: Nur für 1-on1 Meetings. Und auch dieses Feature ist ziemlich neu und auch Jitsi Meet hat immer schon behauptet, E2EE zu sein. Diese Verarschung beschränkt sich also nicht auf Kapitalisten-Software.

Ich weiß auch nicht was die alle geritten hat scheint irgendwie Standard in der Branche zu sein die Abwesenheit von E2EE zu leugnen, Jitsi hat ja sogar ein eigenes Wording eingefügt um drum herum zu reden "Peer 2 Peer / P2P" Modus.

Das war früher der Fall.
P2P heißt, dass dem Server gar keine Daten geschickt werden. Es ist also (sofern überhaupt eine Verschlüsselung genutzt wird) automatisch Ende-Zu-Ende-verschlüsselt.
P2P heißt, dass die Daten direkt von einem Gerät (erstes Ende) zum anderen Gerät (zweites Ende) geschickt werden. Werden die Daten verschlüsselt, ist es automatisch E2E.

 

[BeBur]

Ähm, nur weil E2E noch in Beta ist und manuell aktiviert werden muss, ist es nicht falsch.

Jitsi baut auf WebRTC auf und diese implementiert prinzipiell E2EE nur für 1on1 Meetings. Selbiges gilt daher für Jitsi. Eventuell hast du recht, dass sie mit P2P tatsächlich P2P meinen . Nichtsdestotrotz:

In the case of multiparty meetings all audio and video traffic is still encrypted on the network (again, using DTLS-SRTP). This outer layer of DTLS-SRTP encryption is removed while packets are traversing Jitsi Videobridge; however they are never stored to any persistent storage and only live in memory while being routed to other participants in the meeting.

Also übersetzt wird der Stream auf dem Server entschlüsselt und neu verschlüsselt. Also nicht E2EE, sondern normale Transportweg-Verschlüsselung. Ich weiß nicht, wieso sie etwas anderes behaupten. "Wird entschlüsselt, aber wir speichern doch gar nichts!" macht es nicht zu E2EE, sondern ist 1:1 der selbe Bullshit, den z.b. auch Zoom behauptet hat - früher. Nicht mehr: Link, sie gehen jetzt real E2EE, jedenfalls soweit ich das dem verlinkten und dem Schneier Security Artikel korrekt entnommen habe.

 

[new Account()]

Also übersetzt wird der Stream auf dem Server entschlüsselt und neu verschlüsselt. Also nicht E2EE, sondern normale Transportweg-Verschlüsselung. Ich weiß nicht, wieso sie etwas anderes behaupten. "Wird entschlüsselt, aber wir speichern doch gar nichts!"

Wie oben geschrieben E2E im Konferenzmodus ist optional und Beta. Da ist doch extra ein Bild dazu dabei.
Und unten steht auch bezüglich E2EE extra:

It is very important to note that when packets are also end-to-end encrypted, this second layer of encryption is never removed (nor can it be)

 

[BeBur]

Damit könntest du recht haben. Ich bin aber vorerst misstrauisch und werde etwas recherchieren und ggf. dankbar über darüber hinaus gehende sachdienliche Hinweise.