Ich möchte kurz auf etwas eingehen, was glaube ich einmal erörtert werden sollte. Aktuell werden Vorlagen und Anleitungen verbreitet, wie man Zoom, Skype, MS Teams und Co. (angeblich) rechtssicher nutzen kann. Rechtssicher bedeutet in diesem Kontext salopp formuliert:
Wie kann ich Dienst XY nutzen, ohne offensichtlich gegen die DS-GVO zu verstoßen?
Es geht also nicht primär um datenschutzfreundliche Lösungen, sondern wie man vor dem Gesetzgeber eine möglichst weiße Weste behält. Dahinter verbirgt sich oftmals der Wunsch, eine Lösung einzusetzen, die eigentlich wenig bis überhaupt nicht datenschutzfreundlich ist. Oder schärfer formuliert: Einigen Verantwortlichen ist es schlichtweg egal, ob eine Lösung nicht datenschutzfreundlich ist, solange sie nicht persönlich haftbar gemacht werden können – Verantwortung übernehmen unerwünscht. Hauptsache ein Jurist gibt seinen Segen und sagt, es sei »rechtssicher« einsetzbar.
Grundsätzlich wäre ich mit dem Begriff »rechtssicher« sehr vorsichtig. Nach meiner Auffassung werden diverse Lösungen im IT-Bereich vorschnell als rechtssicher bezeichnet, obwohl bspw. die genauen Datenflüsse noch völlig unbekannt sind. Auf dieser Grundlage einen rechtssicheren Betrieb zu attestieren, halte ich für äußerst problematisch.
Rechtssicher beutet also nicht automatisch datenschutzfreundlich bzw. hat damit erstmal gar nichts zu tun. Mein Verständnis von Datenschutz bzw. datenschutzfreundlich ist wie folgt:
Respekt vor den Daten anderer zu haben. Wer Respekt vor den Daten des anderen hat, der respektiert auch die Person.
In diesem Sinne finde ich es respektlos, wenn bspw. Zoom heimlich Daten an Facebook übermittelt. Aktuell ist das behoben, ja. Dennoch: Wenn man nicht alle (weiteren) Datenflüsse der Desktop-Anwendung oder App kennt, kann man eigentlich auch nicht von »rechtssicher« sprechen. Okay, kann man schon, aber wie seriös das ist, steht noch mal auf einem anderen Blatt. Siehe dazu auch: Unterbrochene Übertragung – Zoomen Sie auf die Datenschutzrichtlinien für Videokonferenzen.
Mein Verständnis von Datenschutz ist aus den vorhandenen Lösungen möglichst die datensparsamste Variante zu wählen, die aktuell verfügbar ist. Bei Videokonferenzen bedeutet das: Diese müssen keinerlei personenbezogene Daten erheben oder dauerhaft irgendwo speichern. Siehe bspw. Jitsi Meet.
Man kann Datenschutz auch daran messen, wie ernsthaft ein Unternehmen daran interessiert ist, die Privatsphäre seiner Nutzer zu schützen. Das ist zweifellos schwer feststellbar, aber es gibt einige Indizien (Google Analytics, Tracking-Dienste innerhalb von Apps, Cloudflare etc.), woran sich das erkennen lässt. Mit diversen Tools können interessierte Nutzer bspw. selbst prüfen, wie datenschutzfreundlich Webseiten von Unternehmen, Vereinen und Co. aufgestellt sind. Wer seine Webseite mit zahlreichen Trackern bestückt, in der Datenschutzerklärung dann aber immer noch bekundet
Der Schutz Ihrer Daten / Privatsphäre ist uns sehr wichtig.
der hat nach meiner Auffassung ein ganz besonders schräges Verhältnis zum Datenschutz.
Datenschutz ist eine Gewissensausrichtung, dies wird mir gerade wieder sehr deutlich vor Augen geführt. Beim Datenschutz geht es letztendlich darum, die Privatsphäre anderer Menschen zu respektieren und weniger darum ihnen aufzuzeigen, wie man Facebook, WhatsApp, Zoom etc. »rechtssicher« nutzen kann. Denn selbst wenn man bspw. Facebook »rechtssicher« nutzen kann, ist und bleibt es ein Armutszeugnis hinsichtlich der Privatsphäre und damit des Datenschutzes.
Bildquellen:
Stop: Vectors Market from www.flaticon.com is licensed by CC 3.0 BY
Über den Autor | Kuketz
In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.
Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.
Unterstützen
Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
Zoom: Analyse des Datensendeverhaltens der Android-App
Zoom übermittelt personenbezogene Daten an Drittanbieter
Klimaschutz mit Datenschutz? Der große Elektroauto-Ladeapp-Test
Facebooks Daten-Blowouts: Eine Verständnisbrücke Teil1
Datenschutz: Ausübung des Beschwerderechts gem. Art. 77 DSGVO am Beispiel ZEIT ONLINE
14 Ergänzungen zu “Kommentar: Rechtssicherer Betrieb und der Datenschutz”
Wenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-ForumAbschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.
Ich stimme Dir zu, Mike.
Und außerdem bin ich der Meinung, dass der Verkauf von Daten und Anderes gegen Artikel 1 des Grundgesetzes verstößt. Warum? Der Mensch ist ein Subjekt und kein Produkt.
Ich finde es auch immer wieder bedrückend den Satz
zu lesen und festzustellen, dass facebook like buttons, google fonts (warum muss alles von 3. quellen eingebunden werden?) auf diesen Seiten vorhanden ist. Bei Schulen oder kleinen Vereinen steht dazu noch nicht einmal etwas in den Datenschutzbestimmungen.
Aber hauptsache ein „fänzi“ ;-) WordPress/Joomla/etc. Theme ist im Einsatz.
Wie du schon schreibst: I don’t care about Datenschutz bzw. Ich habe keinen Respekt vor den Daten anderer scheint eine gängige Einstellung zu sein. Datensch… Igitt, unnützes Zeug. Darüber „Respekt vor den Daten anderer zu haben. Wer Respekt vor den Daten des anderen hat, der respektiert auch die Person.“ sollten sich die „Ich habe nichts zu verbergen du Aluhut-träger ich installiere mir jede APP“ Whatsapp nutzer mal merken. Respekt haben die alle nicht. Ich erhalte bisher zu 90% Kopschütteln das ich kein Wahtsapp oder Fatzebook nutze. Das Datenschutz Menschen und nicht Daten schützt wissen die Wenigsten.
So, genug aufgeregt vor dem Wochenende. Es ist schwer bei all dieser Ignoranz nicht zu kapitulieren. Leider muss sehr viel Lebenszeit verwendet von Neulingen verwendet werden, die gerne selber hosten wollen.
Das ist eine dir vollkommen kostenfrei und unverbindlich zur Verfügung gestellte Instanz, die der gute Herr Kuketz hier auf eigene Kosten und Mühen betreibt – neben der allgemein wertvollen Aufklärungsarbeit.
Wenn du schon kein bescheidenes Danke entbehren kannst, dann bitte zeige wenigstens soviel Solidarität und gehe einfach kommentarlos deiner Wege. Solche Bemerkungen verursachen bei allen Lesern lediglich eine unnötige Dauermigräne.
Danke für den Kommentar, die Instanz und Deine Arbeit!
Als Anregung und mögliche Argumentationshilfe ein paar naive Fragen meinerseits:
Lässt sich ungefähr abschätzen, wie viel Geld Zoom und Co. angesichts der sprunghaft gestiegenen Nachfrage mit der ‚Gratis-Dienstleistung‘ Videokonferenz verdienen? Kann man davon ausgehen, dass neben den Metadaten auch Inhalte abgegriffen und ausgewertet werden? Mir fehlt zugegeben die Phantasie, dass man ’nur‘ mit Metadaten von Zoom Geld verdienen kann.
Gilt übrigens auch für Windows 10… auch wenn es (angeblich) in der aktuellen Enterprise (und Education?) Version in Ordnung sein soll. Das sind nach meinem Kenntnisstand aber nur Analysen und keine Versprechen seitens MS.
IMHO ein Skandal, dass man im öffentlichen Bereich nicht schon vor Jahren eine Roadmap ausgelegt hat, mit dem Ziel in x-Jahren (nahezu) komplett auf OpenSource zu setzen.
Telemetrie ist nicht per se schlecht und kann wirklich helfen Produkte zu verbessern. Nur wenn es gegen den Willen geht und es überhand nimmt…
Hilfreich wäre es wenn wir es schaffen Vorlagen und Best-Practices für die korrekte Kritisierung und ggf. Verbesserung schlechter Entscheidungen zu finden.
Beispiel: Eine Schule hat sich für MS-Teams entschieden. Jetzt suche ich konkrete Handlungen die ich anstoßen kann, damit diese Entscheidung sich nochmal zu einer Datenschutz freundlicheren Lösung ändern könnte. Sowas wie:
– Mitstreiter finden?
– Wen interessiert es überhaupt (Landdesdatenschutzbeauftragte, Eltern)?
– Was ist überhaupt das Problem?
– Welche Alternativen kann man zu dieser nicht mal funktional tollen Software vorschlagen?
Alles Punkte die wir in unserem jeweiligen Umfeld bisher alleine Lösen. Hätten wir eine Art „Best Practice“, dann könnte man öfter Erfolg haben und die Kritik bewirkt vielleicht noch eine Verbesserung. Es gibt sie ja, die freieren und häufig datenschutzfreundlicheren Lösungen.
Ich habe bei der Schule meiner Kinder den DS-Beauftragten der Schule darauf hingewiesen, dass (in dem Fall) MS-Teams so ziemlich das letzte ist, was ich bei meinen Kindern auf dem Rechner installieren würde. Dazu habe ich die Erkentnisse des holländischen DSB verlinkt, der W10 verrissen hat. Dann habe ich auch noch auf den bayerischen LandesDSB verwiesen (der leider ziemlich zahm ist). Den Schulleiter habe ich auf CC: gesetzt, und das Thema Teams ist durch.
Leider: Jitsi mit iOS ist ein PITA. Wegen iOS, nicht wegen Jitsi. Zum Testen von Jitsi Meet mit iOS fehlen mir leider die Apple Fan–äh User. Eine coole Lösung gibt es bei klassenzimmer.limtec.de, basiert wohl auf Jitsi, mit Tafel und allem. Mit macOS soll es funktionieren, iOS geht nicht, FF skaliert nicht. Grmpf.
Damit ist es relativ schwer, wirklich gute Lösungen anzupreisen. Die 5€/Monat für einen vServer bei 1&1/Strato der so der Schule für 6 Monate zu spenden hätte ich ganz bestimmt über. Aber es muss für alle Schüler funktionieren.
Gibt es da was?
klassenzimmer.limtec.de scheint inzwischen auch unter iOS zu funktionieren.
Eine datenschutzkonforme Zusammenarbeit mit US-amerikanischen Firmen ist schlichtweg unmöglich, da es in den USA keinen Datenschutz (der Regierung gegenüber) gibt.
Ganz herzlichen Dank für den Blog und insbesondere für die Hinweise zu Jitsi! (Habe ich gefunden, als ich versucht habe herauszubekommen, warum bei manchen Teilnehmern Firefox funktioniert und bei den meisten nicht…) Auf die Anregungen hin habe ich bei meinen Websites endlich das Access Log abgeschaltet, das ich eh nie lesen will – und wenn ich keines habe, kann mich auch keiner zwingen, es ggf. weiterzugeben. Error Log läuft mal noch, das habe ich schon öfter gebraucht…
Datenschutz ist tot. Punkt.
Unsere Gesellschaft hat sich gemeinschaftlich für die Verwendung von Smartphones und Co. entschieden und es wird dahingehend keinen Weg zurück geben. Ob diese Entscheidung wissentlich oder unwissentlich getroffen wurde spielt dabei keine Rolle. Wir wollen den respektlosen Umgang miteinander. Zumindest der allergrößte Teil der Menschheit.
Datenschutz ist im Grunde nur rückwärtsgerichtetes Denken an die Zeit, in der es Datenschutz noch gab. Der Wunsch nach Datenschutz ist nur Ausdruck der eigenen Angst gegenüber des Paradigmenwechsels, der uns in den nächsten Jahrzehnten der Digitalisierung noch bevorsteht.
Mit Themen wie KI und Ressourcenknappheit in der Zukunft wird der Datenschutz außerdem eines unserer kleinsten Probleme sein. Wir stehen an der Schwelle einer neuen industriellen und gesellschaftlichen Revolution und wie schon bei der ersten gibt es wieder die, die in alte Zeiten zurück wollen. Völlig verständlich aber ebenso nutzlos. Wer sich nicht anpasst wird untergehen. Die Geschichte wiederholt sich.
Der Mensch ist grundsätzlich ein vorwärts-gerichtetes Wesen. Alles ist auf Wachstum und Fortschritt eingestellt. Das hat die Natur so angelegt. Und auch Errungenschaften der Technik wurden nie wieder rückgängig gemacht oder in irgendeiner Form signifikant eingeschränkt. Es wurde in der Menschheitsgeschichte immer nur weiterentwickelt. Niemals zurückentwickelt.
Datenschutz war einmal. Deshalb werden in Behörden und Schulen rund um den Globus Produkte von Microsoft eingesetzt und es wird in der Zivilgesellschaft freiwillig auf Smartphones von Google und Apple gesetzt. Trotz besseren Wissens. Weil wir digitalem Datenschutz keinen Wert beimessen. Es wird sich nichts ändern, weil das schlicht nicht in der Natur des Menschen liegt. Die Bequemlichkeit, die diese Technologien dem eigenen Leben bringen werden als deutlich wertvoller, weil unmittelbar, wahrgenommen als die nicht greifbaren Gefahren, die angeblich durch Datensammelei entstehen.
Datenschutz ist ein Konstrukt der Vergangenheit und wird mit der digitalen Entwicklung der nächsten Jahrzehnte aussterben. Leider.
„Deshalb werden in Behörden und Schulen rund um den Globus Produkte von Microsoft eingesetzt und es wird in der Zivilgesellschaft freiwillig auf Smartphones von Google und Apple gesetzt. Trotz besseren Wissens.“
Google und Apple über einen Kamm zu scheren halte ich für fraglich, auch wenn man bei Apple selbstverständlich genau hinschauen muss.
Hast du denn ernsthaft etwas anderes erwartet?
Wirtschaftlich zu handeln bedeutet den (datenschutz-)rechtlichen, gesetzlichen Rahmen zu kennen, innerhalb dessen zu agieren und darin die am wenigsten aufwändige Lösung zu nutzen. Alles darüber hinaus lässt sich entweder als PR rechtfertigen oder ist reine Verschwendung.
Bei IT Themen trifft das besonders zu, da das Delta zwischen Verständnis und Soll-doch-nur-funktionieren beim Durchschnittsnutzer besonders groß ist. Allein z.B. der Hinweis das Jitsi nicht mit Firefox funktioniert dürfte für einen Großteil der Nutzer ein absolutes Ausschlusskriterium sein.
1. Der Durchschnittsnutzer nutzt schon lange kein Firefox mehr, sondern Chrome.
2. Firefox funktioniert durchaus mit Jitsi Meet – aber aktuell leider nicht so wie man sich das wünscht.
3. Wer auf Chrome bzw. Google gerne verzichtet, der kann auch einen Ungoogled Chromium nehmen.
Das gravierende Problem bei solchen Verstößen ist, dass auf jeder Webseite die Information zur Beschwerdestelle bei der zuständigen Datenschutzbehörde steht, dessen Vorgaben offenbar berücksichtigt wurden.
Diese Behörden schaffen es aber seit Jahren(!) nicht, wenige _einfache_ Regeln für Webseitenbetreiber aufzustellen, sondern schwurbeln in umfangreichen PDF-Dokumenten was von Einzelfallprüfung. Überlastung der Behörden ist offenbar gewünscht.
Diese PDF-Dokumente (z.B. bei Videoüberwachung, https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_201903_video_devices_en_0.pdf) kann man den Verantwortlichen also nicht zusenden, da diese die gefühlt 100 Seiten mit Abwägungsdingen nicht anschauen werden. Die brauchen _einfache_ Regeln. Diese Regeln befolgen oder die drohende Klage eindeutig verlieren, muss die Aussage sein.
Schreibt man diesen zuständigen Behörden, bekommt aber entweder keine Antwort, einen Trost wegen aktuell vieler Anfragen, oder/und muss 10 Mal nachhaken, bis dann Monate später dem Betreiber doch ein berechtigtes betrieblichs Interesse attestiert wird – Formulierung weitgehend vom Betreiber-Anwalt übernommen.
Als Lapalie unterstützt werden die Verstöße gegen die DSGVO dadurch, dass auch Datenschutzbehörden offenbar ohne Bedenken auf Sites wie http://www.behoerden-spiegel.de verlinken, die nicht nur externe Schriften von offensichtlichen Datenhändlern einbinden.