Ich habe gehört, dass man seinen Zoom Account nach in ein DE-RZ verlegen lassen kann. Hat da jemand mal was von gehört oder Erfahrung mit?
Danke!
heute erhielt ich nachf. Nachricht von Stephan Hansen-Oest (Datenschutz-Guru GmbH), Tel.: +49 461 40 68 245 0:
- Aus dem Maschinenraum…*
Erfreulicherweise ist nun seit gestern mein Zoom-Account komplett in das Rechenzentrum nach Frankfurt a.M. umgezogen, sodass nunmehr für die Teilnahme an Webinaren und Office Hours die Datenverarbeitung allein in der Europäischen Union stattfindet. Daher ist jetzt auch keine gesonderte Einwilligung mehr für die Teilnahme an meinen Zoom-Veranstaltungen erforderlich.
Vielleicht möchtest du ihn kontaktieren?
Bei dem habe ich gesehen danke 
Zoom ist ja ein sehr komplexes Thema. Ich weiß, dass wenn man für Zoom zahlt, auswählen können soll über welche Rechenzentren die Sitzungen gehen soll. So könnte man die europäischen Rechenzentren verwenden. Ich vermute das der Datenschutz Guru das meint. Ob das dadurch komplett Datenschutz konform ist, wage ich aber vorerst weiterhin zu bezweifeln. Weiter unten habe ich noch eine Empfehlung: BLIZZ oder JITSI sind meiner Meinung nach für DSBler die besseren Empfehlungen als ZOOM.
Interessante Artikel dazu:
Die Nutzungsbedingungen:
Die globale Datenschutzbestimmungen sind als sample ausgegeben:
In dem folgenden Artikel wird ZOOM kritisiert. Zwar hat ZOOM mittlerweile Einiges behoben, aber ich denke, dass gerade DBLér sehr kritisch mit solchen Tools umgehen sollten:
Für jeden, der sich unsicher ist, empfehle ich derzeit weiterhin BLIZZ oder JITSI.
Blizz hat seinen Sitz in Deutschland, unterliegt voll und ganz der DSGVO und wenn man „Bezahl Accounts“ nutzen möchte - dann unterstützt man hiesige IT Unternehmen und kann sich in Bezug auf Datenschutz sicher sein. Blizz habe ich selbst schon gecheckt und macht einen guten Eindruck. Es wird auch von IT Unternehmen im Gesundheitswesen verwendet.
Jitsi empfehle ich allen, die vor „self-hosted“ keine Angst haben und in der Lage sind Ihre eigene IT-Infrastruktur „sicher“ zu gestalten.
Einen guten Artikel zum Vergleich gibt es hier:
https://www.e-recht24.de/artikel/datenschutz/12122-videokonferenzen-und-datenschutz-vergleichstest-zoom.html
Ich bin ein großer Freund von OpenSource, aber auch von Effizienz.
Gegen OpenSpurce sprechen in diesem Kontext für mich zwei Dinge:
- Zoom ist automatisiert in unseren Vertriebs- und Supportprozess integriert
- Ich vermute das weder Jitsi noch das andere Tool den Hintergrund virtualisieren können. Da ich viel aus dem HoMe-Office mache sehe ich es für meinen persönlichen Datenschutz und den unseres Team als wesentlicher an, dass Dritte nicht einfach so in mein Wohnzimmer schauen können, als das ggf. die Gefahr besteht, dass der NSA eine Ende-zu-Ende-Verschlüsselte Sitzung via Zoom mitschneidet (und die Daten dann vermutlich im DEV-NULL landen, da wir kein relevantes Informationsziel sind)
Ich nehme dabei in Kauf, dass ich vielleicht 2-3 % der Kontakte „verliere“ die sich standhaft weigern Zoom oder Teams zu nutzen. Allerdings muss ich sagen, dass ich dieses Problem seit März erst tatsächlich bei zwei DSBs hatten (von duzenden Calls) und das bei einem Webinar und nicht bei einem Business-Call.
Ich würde mir bei allen Diskussionen vor allem um das Thema USA / Privacy-Shield etc. mehr Ruhe und Pragmatismus wünschen. Es ist doch völlig klar, dass es für viele Unternehmen unmöglich ist ein zentrales SaaS Tool eines US-Anbieters (zB Google Suite oder Office365) aus seinen Prozessen zu verdammen, nur weil theoretisch eine Gefahr davon ausgehen könnte.
Mein Lieblingsbeispiel ist immer folgendes: die Landes-DSB (vor allem Hessen) verbieten Schulen / Lehrern, Office365 für die Kommunikation zu nutzen, da es ja von einem bösen US-Konzern kommt. In der Realität ist es dann aber so, dass die Lehrer noch nichtmal eine eigene Schul-Postfach haben geschweige denn die Möglichkeit besteht, Daten (Zeugnisse, Gutachten etc) mit Kollegen sicher auszutauschen.
Konsequenz: statt Teams nutzt man WhatsApp, statt Outlook nutzt man AOL oder GMX. Ist das Besser (ebenso auch aus Sicht der IT-Sicherheit)?
Ich sehe hier eine Doppelmoral in der Diskussion und vor allem der Sichtweise der Behörden…
1 „Gefällt mir“
Danke für Deine sehr offene Nachricht. Wie oben schon erwähnt habe ich ja eine Funktion von ZOOM (Einstellmöglichkeit des Rechenzentrums) dargestellt, die die Situation verbessert. Aus IT-Sicht geht es um Kontrolle und die hat man nicht, wenn man seine Datenströme oder die des Anbieters nicht kennt.
Wir nutzen nur self hosted Lösungen im eigenen Rechenzentrum: Mattermost für Kurznachrichten (ohne pbD), owncloud für Support Tool Synchronisation (ohne pbD) und Jitsi ist in der Testphase für webinare… Fernwartungen können über PCVisit Private Server realisiert werden. Datenströme und der Umgang mit den lokalen Daten, können so besser kontrolliert werden, ABER selbst bei den Maßnahmen wäre ich vorsichtig zu sagen, dass das perfekt Datenschutz konform ist, denn den Code haben wir dafür nicht geschrieben und wer weiß schon zu 100% wo ein Datenstrom hingeht?
Diese Diskussion könnte man unendlich fort setzen.
Ich befinde mich seit über 6 Monaten im HomeOffice und bin bisher ganz ohne ZOOM, BLIZZ und JITSI ausgekommen. Mir geht es auch nicht darum, was wir hier nutzen, da wir eine kleine Gemeinschaft sind, sondern was ich Kunden empfehle. Und da steht Zoom nicht auf der Liste, weil es für mich rechtlich zu unsicher ist, eine Empfehlung auszusprechen, die von der Berliner Datenschutzbeauftragten heftigst kritisiert wird.
Ich nutze ZOOM ja auch mit euch und habe für mich entschieden, dass ich die Kamerafunktion eben nicht nutzen möchte. Mein Vertrauen in Zoom reicht dafür nicht - und außerdem möchte ich nicht im Morgenmantel gesehen werden (das ist der Nachteil am HomeOffice - wenn man sofort nach dem Aufstehen anfängt - findet man oft kein Ende 
)
Ich liebe euer kleines gadget, welches man vor die Laptop Kamera kleben kann.
Dazu habe ich mal ein neues Thema aufgemacht und würde mich freuen, wenn Du mit einsteigst.
Zoom hat ja mittlerweile nochmal nachgelegt und Ende-zu-Ende Verschlüsselung (optional - muss eingestellt werden, genau wie der Datenstandort Europa) umgesetzt.
Ich sehe das so, dass dieser Anbieter damit die wichtigsten Bausteine für einen problemlosen Einsatz an Bord hat. Was jetzt noch fehlt, ist eine Zusage, dass in den USA (oder woanders ohne Angemessenheitsbeschluss) keine Verarbeitung pbz Daten aus Europa stattfindet, d.h. die Daten bleiben hier. Dann wäre man schon ziemlich weit (klar können US-Behörden auch hier zugreifen über zoom, aber für dieses Restproblem könnte man ja vielleicht auf eine organisatorische Lösung in den SCC o.ä. warten).
Ob man solchen Anbietern grundsätzlich vertraut, ist eine ganz andere Frage, die aber mit unserer Beratungsfunktion als Datenschützer nur am Rande etwas zu tun hat. Ich bin da „vorsichtig aber pragmatisch“; wenn es eine gute datensparsame Lösung gibt, nehme ich die gerne, bei den Videokonferenzen habe ich bisher nichts gefunden, was auf dem Level von Zoom et al spielt. Und ja, ich hatte schon einen eigenen Jitsi Server im Einsatz.
Soweit ich weiß werden Session Daten in die USA übermittelt.
Wo stellt man E2E ein?
Zum Thema Anbieter ist vielleicht mein Post von gestern interessant: Datenübermittlung in ein Drittland 🧐