News Datenschutz-Aufsichtsbehörde: Teams und Zoom lassen sich nicht DSGVO-konform nutzen

[simosh]

@elefant verlinkte PDF lesen.

Ansonsten Hammerthema. Finde die DSGVO Antihaltung vieler eher mittelmäßig. Ich muss mich damit auch herum schlagen, und das macht kein Spaß, aber der Sinn dahinter ist schon klar.

Jedenfalls ist das spannend, zB in meiner Branche Erwachsenenbildung. Wie ich hier so lese, haben viele Firmen oft eine freie Wahl, was sie nutzen. Dann gehts in den Meetings um Firmeninternas, Projekte usw. In unserem Bereich aber geht es um den Menschen selbst: Beratung, Gesundheit, Krankheit, ist unterschiedlich, aber zB in meiner Arbeit Tief in Psychologie und Sozialarbeit. Da hat der Kunde Anspruch und Recht auf den Schutz seiner Person und seiner Daten, es geht auch um fast nichts anderes im Austausch, als sensible Themen.
Hauptauftraggeber ist die Agentur für Arbeit. Die haben in der Krise zig Pamphlete rausgehauen, was wir dürfen sollen oder auch nicht. Also falsche App, Vertragsstrafe. Letztlich gibt's für diese Arbeit keine konforme Software, und das Telefon muss her halten. Im Klassenunterricht gleiches Problem wie Schule, also echt nicht so prall alles. Es kommt auch immer auf den Inhalt an, aber ja. Agentur nutzt intern übrigens Skype

 

[mae]

Hat jemand schon mal Nextcloud Talk probiert und kann erwas darüber sagen?

Ja, habe ich einmal verwendet. War ein bisschen umstaendlich, weil das halt nur eine angehaengte Funktion ist. Erzeugen einer URL fuer ein Meeting, das man dann weitergibt ist aehnlich umstaendlich wie bei Zoom (Jitsi Meet ist da wesentlich einfacher, da suche ich mir einfache eine URL aus). Angeblich geht's nur mit ein paar Leuten, weil alle Clients direkt miteinander reden statt ueber den Server, aber wir hatten eh nur ein paar Leute bei dem Treffen. Hat soweit, so gut funktioniert, ich habe aber dann fuer andere Sachen wieder Jitsi verwendet, wegen der geringeren Umstaende mit der URL.

 

[Duststorm]

Finde die Überschrift ja schon etwas überspitzt. Warum wird hier sofort auf MS Teams hingewiesen wenn so gut wie alle anderen auch durchfallen. Google Hangouts wird zum Beispiel auch nicht erwähnt. Und der Dienst wird bestimmt ebenso genutzt.

Seit Corona / Homeoffice nutze ich fast nur noch Teams. Erfahrungsgemäß am Ende des Tages die beste Videoqualität und fast jede Firma ist konform damit. Einige haben sich geweigert zum Beispiel Hangouts zu nutzen.

Achja und warum muss man in dem Thread auf die Freischaltung eines Moderators warten? Wenn ich mir hier so die letzten Beiträge anschaue wütet hier kein Shitstorm oder ähnliches. Rein der Interesse halber, es gibt hier zum Teil auch ganz andere Threads wo es abgeht wie im Krieg

 

[Lübke]

Wieso hat das keinerlei Konsequenzen das sie nicht DSGVO konform sind? Ist ja immerhin ein Gesetz

das problem ist, nicht die anwendungen selbst würden geahndet werden, da sie nicht explizit für den EU-markt sind, sondern deren einsatz, sprich die unternehmen, die diese datenkraken nutzen wären die geschädigten.
allerdings sehe ich das dennoch als sinnvoll an, da dann künftig mehr auf die verwendung datenschutzkonformer produkte geachtet werden würde und damit auch der markt für kleine anbieter mehr potential bietet, indem man den datenschutz nach EU-standards in seinen produkten einhält. der nächste schritt wäre dann ein label für datenschutzkonforme programme in der EU, damit die unternehmen rechtssicher ihre programme auswählen könnten. die folge wären dann sicherlich datenschutzkonforme programme auch von microsoft und co, da diese keine marktanteile einbüßen wollen.
in vielen bereichen scheiterts aber leider an alternativen. so gibt es z. b. keine alternative zu windows10 (nein, linux ist im gewerblichen einsatz keine alternative). da wird sich die EU nicht durchsetzen können, da alle auf windows angewiesen sind. und wenn das gegen die DSGVO verstößt, kann die EU nichts dagegen machen, da jeder von windows abhängig ist, wie man ja aktuell schön sieht: nach einigen jahren hat microsoft die teuerste version so abgeändert, dass sie im auslieferungszustand weiter gegen die DSGVO verstößt, potentiell erlaubt sie aber sich soweit anpassen zu lassen, dass sie die DSGVO einhalten würde. schon allein dieser umstand ist ein verstoß gegen die DSGVO, denn der auslieferungszustand müsste DSGVO-konform sein und die datenschutzkritischen einstellungen optional.

 

[flmr]

Ich habe immer mehr das Gefühl das alle nach DSGVO-Schwachstellen suchen aber beheben will Sie eigentlich keiner.

Weil das auch nicht die Aufgabe der Aufsichtsbehoerde ist. 🤦‍♂️🤦‍♀️

 

[elefant]

Weil das auch nicht die Aufgabe der Aufsichtsbehoerde ist. 🤦‍♂️🤦‍♀️

Wenn man meinen Text komplett lesen würde dann: DOCH!
Wenn die nicht sagen, an welcher Stelle es nicht passt hat keiner die Möglichkeit es zu verbessern.

@simosh das PDF hab ich tatsächlich nicht gesehen, schaue ich mir mal an, danke!

 

[Lübke]

Achja und warum muss man in dem Thread auf die Freischaltung eines Moderators warten? Wenn ich mir hier so die letzten Beiträge anschaue wütet hier kein Shitstorm oder ähnliches. Rein der Interesse halber, es gibt hier zum Teil auch ganz andere Threads wo es abgeht wie im Krieg

dass du keinen shitstorm siehst liegt genau daran: die posts werden nicht freigeschaltet

Finde die Überschrift ja schon etwas überspitzt. Warum wird hier sofort auf MS Teams hingewiesen wenn so gut wie alle anderen auch durchfallen. Google Hangouts wird zum Beispiel auch nicht erwähnt. Und der Dienst wird bestimmt ebenso genutzt.

dass in der überschrift teams und zoom namentlich erwähnt werden (und nicht etwa die gesamte liste) liegt daran, weil das die verbreitetsten anwendungen sind.
im übrigen haben fünf anwendungen den rechtlichen ansprüchen genügt, drei teilweise und acht sind gänzlich durchgefallen. es ist zwar erschreckend, dass die hälfte aller getesteten dienste komplett durchgefallen sind, aber es sind eben trotzdem nicht so gut wie alle.

Ergänzung (6. Juli 2020)

Die Finanzanforderungen zur Aufbewahrungspflicht widersprechen übrigens dem Recht auf Vergessen solange die Aufbewahrungspflicht (meistens nur 10 Jahre) gilt. Und hier schlägt das HGB den Datenschutz. Nur als Beispiel.

auch dafür gibt es DSGVO-konforme lösungen: die daten müssen entsprechend verschlüsselt werden, dass sie unlesbar sind. nur bestimmte personen haben dann den schlüssel und die verantwortung für die daten, um bei bedarf die daten wieder lesbar machen zu können. damit sind sowohl HGB als auch DSGVO genüge getan. ich weiß, nur graue theorie und hoher aufwand für kleinunternehmen, aber so ist das vorgesehen.

ich selber ärgere mich viel mit der DSGVO rum, da sie in vielen punkten insbesondere für kleinunternehmen einen scheinbar unverhältnismäßig hohen aufwand erfordert, aber ich sehe auch den sinn der DSGVO und befürworte sie. allerdings würde ich mir die anwendung selbiger bei großkonzernen wünschen, die den datenmissbrauch vorsätzlich betreiben und kommerziell nutzen. aber genau da versagen imho die behörden leider zu oft.

 

[Duststorm]

@Lübke danke für die Stellungnahme
Bei MS wundert es mich halt wirklich. Der Launch von MS 10 hätte sie eigentlich eines besseren belehren sollen. Da wurde ja auch eine Welle der Empörung los getreten.
Naja, vlt. wurde Hangouts auch einfach nicht getestet da es den Datenschutz Computer wohl gesprengt hätte

 

[BeBur]

Starkes Stück damit jetzt raus zu kommen, wo wirklich jeder schon Lizenzen eingekauft hat.
Im übrigen bieten ZOOM und sicherlich auch Cisco WebEx zumindest für größere Kunden auch DSGVO-konfome Datenverarbeitungsvereinbarungen an.

 

[Ruff_Ryders88]

Und hat das Konsequenzen oder wird das einfach nur festgestellt?

 

[alkaAdeluxx]

Mir will auch echt nicht in den Kopf, warum nicht mehr auf BigBlueButton gesetzt wird. Gerade fuer Kofnerenzen / Seminare und in der Bildung

Unsere Uni nutzt das zB. Anfangs hatten wir noch performance Probleme aber mittlerweile läuft es sehr gut.

 

[BeBur]

Mir will auch echt nicht in den Kopf, warum nicht mehr auf BigBlueButton gesetzt wird. Gerade fuer Kofnerenzen / Seminare und in der Bildung

Die Anforderungsliste von größere Unternehmen, Unis und vergleichbar große Entitäten ist üblicherweise recht lang, das Thema erschöpft sich nicht darin "irgendeine Videokonferenzsoftware die gut funktioniert" einzusetzen. Integration in die eigene Infrastruktur und spezielle Anforderungen was Verwaltung oder Monitoring angeht sind da nur zwei abstrakte Beispiele.
Selber hosting kommt auch bei genug Expertise regelmäßig nicht in Frage, da ist der Aufwand einen zusätzlichen allgegenwärtigen und kritischen Service sicher zu betreiben viel zu hoch.

 

[Autokiller677]

Integration in die eigene Infrastruktur und spezielle Anforderungen was Verwaltung oder Monitoring angeht sind da nur zwei abstrakte Beispiele.

Um es mal konkreter zu machen: Integration in Outlook.
Bei MS Teams erscheinen geplante Meetings automatisch im Outlook Kalender, und auch in Outlook kann ich als Termintyp "MS Teams Meeting" wählen und so direkt eine Termineinladung an alle verschicken, und es wird automatisch ein Link für das Meeting generiert und eingefügt.

Auch Active Directoy und co. muss reibungslos laufen.

Das ist erstmal das Minimum. Da gibt's dann noch weitere Sachen, je nach Komplexität der Organisation.

Je nachdem wie viel Legacy man so hat, will man Audio auch übers normale Telefon abwickeln und so Späße.

 

[riloka]

Selber hosting kommt auch bei genug Expertise regelmäßig nicht in Frage, da ist der Aufwand einen zusätzlichen allgegenwärtigen und kritischen Service sicher zu betreiben viel zu hoch.

Es ist durchaus ein Unterschied zwischen "wollen wir nich" und "können wir nicht".
Hab ich nicht das Wissen, die Hardware und den Anspruch es selber zu machen, kann ich immer noch mir jemand suchen der mehr Ahnung hat. Vorraussetzung dafür ist: Die Software ist portabel.

Wir betreiben unsern Mailserver auch selber. Mit Dovecot und Postfix geht das.

 

[flmr]

DOCH!

NEIN!!!1111elf

Wenn die nicht sagen, an welcher Stelle es nicht passt hat keiner die Möglichkeit es zu verbessern.

1. Die "betroffenen" Unternehmen koennen selbst Gesetze lesen und verstehen. Die haben Rechtsabteilungen dass es einem graust. Sie wissen auch ganz genau was Sache ist, nur juckt es sie halt nicht.
2. Haben sie getan. So viel zu Leseverstaendnis.

Die Anforderungsliste von größere Unternehmen, Unis und vergleichbar große Entitäten ist üblicherweise recht lang, das Thema erschöpft sich nicht darin "irgendeine Videokonferenzsoftware die gut funktioniert" einzusetzen.

Richtig. Deshalb nimmt man halt "irgendeine Videokonferenzsoftware die schlecht funktioniert".
Und deren Nutzung dazu nicht gesetzeskonform ist.

👍

 

[Saint81]

Naja... also in den seltensten Fällen stellt sich ein Unternehmen hin und sagt "wir nutzen nur DIESES tool" sondern schaut was denn die Geschäftspartner/Firmen mit denen man zusammen arbeiten muss benutzen und setzen es ebenfalls ein. Niemand hat Bock weniger Aufträge zu bekommen, weil der Kunde nicht effektiv mit einem Kommunizieren kann.

Ich zähle mal auf die Aufsichtsbehörde, das sie nicht nur Untersuchen sondern auch gleich mit Deadline eine Aufforderung zur Nachbesserung raus schicken. Das erspart den kleinen Unternehmen den IT-Aufwand und stellt genauso sicher das alles in die richtige Richtung läuft.

 

[Lübke]

Ich zähle mal auf die Aufsichtsbehörde, das sie nicht nur Untersuchen sondern auch gleich mit Deadline eine Aufforderung zur Nachbesserung raus schicken. Das erspart den kleinen Unternehmen den IT-Aufwand und stellt genauso sicher das alles in die richtige Richtung läuft.

das wäre zwar wünschenswert und eigentlich sollte das so sein, aber bislang war das bei derart finanzstarken unternehmen eher die ausnahme als die regel. ggf. wird dann ein bußgeld erhoben, dass die unternehmen aus der portokasse begleichen und das ungleich geringer ist als der gewinn aus der datenverwertung. dann können die behörden sagen "wir haben was unternommen" und die betreffenden unternehmen verdienen ordentlich weiter an den erbeuteten daten. ich bin da skeptisch, dass wirklich mal durchgegriffen und diese praxis unterbunden wird. dazu ist viel zu viel geld im spiel.

 

[DerDoJo]

Richtig. Deshalb nimmt man halt "irgendeine Videokonferenzsoftware die schlecht funktioniert".
Und deren Nutzung dazu nicht gesetzeskonform ist.

Allem Voran nimmt man eine Software, die jeder hat! Die wenigsten Firmen leben in ihrem eigenen Kosmos, sondern sind eng verstrickt mit Subunternehmern, Lieferanten, Kunden usw.
Jeder dieser "Shareholder" hat eine eigene IT, zumeist mit harten Restriktionen bzgl. nachträglich installierter Software. Da heißt es einen gemeinsamen Nenner finden.
Der ist selten Zoom, sichere-konferenzen.de oder wie sie alle heißen....der gemeinsame Konsenz ist zu 99% Microsoft Teams oder Skype. Vielleicht noch Google Meet, weil es auch über den Browser funktioniert.

Jedes andere Programm - besonders jene ohne Webversion bzw. nur als Programm-Version - haben es da schwer, weil sie einfach nicht auf den Rechnern der anderen Personen zu starten sind.

 

[nein danke]

@KadmosIII
Hier liegen weiterhin einige Missverständnisse vor, die ich auch bereits angesprochen habe. Was du erzählst, auch im letzten Post, kann aus offensichtlichen Gründen nicht zutreffen. Deswegen nun noch ein Versuch.

Auch wie halten Finanzdaten unserer Kunden und Geschäftspartner vor. Alleine eine Einzugsermächtigung mit den Kontodaten ist schon besonders schützenswert und schon muss man andere Anforderungen erfüllen.

Dein Beispiel mit Kundenlisten: Nehmen wir mal an da steht der Name, Vorname und Anschrift drin. Was ja eine normale Kundenliste wäre. Das wäre dann ein niedriges Schutzniveau. Pakt man mal die Kontonummer mit an den Datensatz und schwubs habe ich ein hohes Schutzniveau.

Du redest davon, dass "Kontodaten besonders schützenswert" sind. Dann redest du von niedrigem, hohen und höhstem Schutzniveau. Es ist nicht klar, woher du diese Begriffe und diese Ansicht hast. Aber auf jeden Fall nicht aus der DSGVO. Vermutlich verwechselst du verschiedene Sachverhalte. Die DSGVO kennt neben personenbezogenen Daten (Art. 4) nur noch besondere Kategorien pbD (Art. 9) wie Gesundheitsdaten oder sexuelle Orientierung. Kannst selbst nachlesen und erkennen, dass solche Daten nicht auf dein Entsorgungsunternehmen zutriffen. Ergo bleiben bei euch nur die Kontaktdaten von Ansprechpersonen des Kunden und Mitarbeiterdaten. Standardfall.

Entsorge ich bei Ihm Medikamente und pake es an den Datensatz mit ran, wird daraus mit das höchste Schutzniveau.

Deine Firma entsorgt ganz sicher keine Medikamente bei natürlichen Personen. Kann es sein, dass du Unternehmen mit natürlichen Personen verwechselst? Das würde nämlich viele der Missverständnisse erklären. DSGVO gilt nur für pbD von natürlichen Personen. Unternehmen sind sogenannte juristische Personen, DSGVO gilt nicht.

Die Finanzanforderungen zur Aufbewahrungspflicht widersprechen übrigens dem Recht auf Vergessen solange die Aufbewahrungspflicht (meistens nur 10 Jahre) gilt. Und hier schlägt das HGB den Datenschutz. Nur als Beispiel.

Du schreibst sinngemäß, auch im letzten Post, dass irgendwelche Budnesgesetze der DSGVO in Sachen Löschftristen widersprechen würden und somit schlagen würden. Das hast du dir ausgedacht und es ist grundsätzlich falsch. Erstens die DSGVO definiert keine Löschfristen sondern verweist wiederrum auf nationale Gesetze (Art 17 3 b). Den Widerspruch, den du behauptest, gibt es nicht. Zweitens, wie bereits erklärt, ist eine EU-Verordnung höherrangiger als ein Bungesgesetz. Bei Widersprüchen gilt das höherrangigere Gesetz. DSGVO vs. BDSG: Das BDSG regelt ergänzend zur DSGVO und wurde 2018 extra dafür novelliert, damit es keine Widersprüche gibt. Im TKG gab es Widersrrüche zur DSGVO, weswegen 2018 das TKG in Teilen ungültig wurde beziehungsweise durch die DSGVO verdrängt wurde.

Sonderabfall muss auch nachgewiesen. Hier übrigens in der Form von: Wer hat den Sondermüll erzeugt, wer hat ihn transportiert, wer hat ihn zwischengelagert über Verarbeitung und entgültige Entsorgung. Jeweils Namensscharf. Das stellenweise weit über 10 Jahre, kommt auf den Sonderabfall an.
[...]
Und bei all diesen Verbindungen und der Menge der Kunden und Daten ist schon ein erheblicher Mehraufwand entstanden.

Das hat nichts mit der DSGVO zu tun. Vermutlich sind das Anforderungen aus dem Abfallgesetz oder ähnlichem. Das Beispiel betrifft eure Geschäftprozesse. Dass bei Geschäftsprozessen beispielsweise auch der Name des Lastwagenfahrers auf dem Lieferschein dokumentiert wird, ist ein ganz normaler Vorgang und war vor der DSGVO nicht anders. Es ist einfach unfair, jeden Aufwand, der einem einfallen mag, auf den Datenschutz (pbD) und die DSGVO zu schieben, wie du das im letzten Post unterstellt hat.

Nichts mit einfachen Kundenlisten... Übrigens ist die Entsorgung von Datenschutzrelevanten Dokumenten (Datenschutztonne) auch nachweispflichtig. Weil sonst könntest Du als Verursacher auf Nachfrage Deines Kunden nicht nachweisen wie und durch wen Du die Dokumente entsorgt hast.

Sorry, es bleibt unklar, welche Datenschutzrelevanten Dokumente bei euch nachweispflichtig entsorgt werden müssen, geschweige denn, woher du so eine Nachweispflich entnimmst. Bitte Quelle nennen. So einen Sachverhalt ist bei Krankenhäusern vorstellbar, damit Patientenakten nicht einfach draussen in der Mülltonne landen. Aber nicht bei einem Entsorgungsunternehmen, dessen Zweck darin besteht, Abfall von anderen Firmen oder von Privatpersonen einzusammeln, zu transportieren und zu entsorgen.

Quellen:
https://dsgvo-gesetz.de/art-4-dsgvo/
https://dsgvo-gesetz.de/art-9-dsgvo/
https://dsgvo-gesetz.de/art-17-dsgvo/

 

[JLynx77]

Vielleicht liegt ja der Fehler auch an der DSGVO ?

Wie kannst du es wagen?!!! Die EU irrt nie! 😉