An jeder Ecke wird gerade Zoom für Videokonferenzen empfohlen. Wer die Datenschutzerklärung gelesen und verstanden hat, wird Zoom vermutlich nicht nutzen wollen. Absolut gruselig.

zoom.us/de-de/privacy.html

@kuketzblog Hallo, danke für die spannende Diskussion!

Wir nutzen Zoom beruflich und bisher war ich zufrieden (Audio und Video bis zu 100 Konferenz-Teilnehmern ist sehr gut.)

Über die Verschlüsselung hatte ich wirklich noch nicht nachgedacht.

Allerdings werden doch alle meetings und Präsentationen mit AES-256 ende-zu-ende verschlüsselt: support.zoom.us/hc/en-us/artic.

Ich verstehe daher das Problem mit den Datenschutz-regeln nicht.
Was müsste denn anders sein?
(besser wäre AES-512, aber sonst?)

Follow

@tuffi @kuketzblog

Datenschutz != Verschlüsselung. Das Datenschutzrecht hat die Aufgabe, einen Ausgleich in strukturell vermachteten Beziehungen zwischen datenverarbeitenden Organisationen und den Betroffenen herzustellen. Es geht dabei, anders als bei Datensicherheit, primär um das Verhältnis zwischen Verarbeiterin und Betroffenen, nicht um (Vertraulichkeits-)Schutz dieses Verhältnisses vor Dritten. Verschlüsselung der Daten, in denen Kommunikationsinhalte unmittelbar codiert sind, ist nur dann hilfreich, wenn sichergestellt werden kann, das auch die Verarbeiterin (in diesem Fall Zoom) keine Entschlüsselung vornehmen kann.
Darüber hinaus, und noch fast wichtiger, sind die Daten, die bei Herstellung und Steuerung der Kommunikationsbeziehungen anfallen (sog. Metadaten und Bestandsdaten). Mit den geeigneten Identitätsankern (und davon scheint Zoom gleich eine ganze Latte zu verwenden) lassen sich damit die Strukturen sozialer Netzwerke aufdecken und es sich mit den Betroffenen auch in anderen Kontexten aufgrund ihres Kommunikationsverhaltens bei Zoom interagieren (siehe dazu den Abschnitt mögliche Verarbeitungszwecke von Drittanbietern, denen diese Daten verkauft werden). Verschlüsselung von Verkehrsdaten hat dabei genau keinerlei Auswirkungen.

@yassin @kuketzblog

Ok, das macht Sinn: Informationen über soziale Kontakte sind natürlich nicht verschlüsselt.

Allerdings muss sich zoom, sofern sie ihren Dienst in Europa anbieten, auch an die GDPR halten, also personenbezogene Informationen zweckgebunden, befristet und nur mit 'active consent' speichern.

Wenn sie sich nicht daran halten, könnten wir das Unternehmen ja recht einfach verklagen.

Zoom verspricht übrigens, Datenschutzanliegen zu berücksichtigen: feedback-form.truste.com/watch.

@tuffi @kuketzblog

Das ist grundsätzlich richtig. Allerdings hapert es schon daran, denn aus der Datenschutzerklärung von Zoom wird mE der jeweilige Verarbeitungszweck nicht hinreichend spezifiziert. Allein das ist im Grunde schon ein Verstoß gegen die GDPR.
Ein Zitat: "Wir sammeln diese Daten, um Ihnen die besten Erfahrungen mit unseren Produkten zu ermöglichen."

Das ist in etwa vergleichbar mit einem Gesetzeszweck, der erklärt, dadurch solle die allgemeine Wohlfahrt gesteigert werden. Einer verfassungsrechtlichen Kontrolle würde so etwas nicht standhalten.

Ein weiteres Problem ist, dass die Einhaltung der GDPR eigentlich nicht flächendeckend kontrolliert wird. In informellen Gesprächen mit den zuständigen Behörden ist mir da regelmäßig Resignation entgegengeschlagen, da es sowohl an Qualifikation als auch an Personalstärke fehle.

Und schließlich ist die GDPR leider auch ungeeignet, um die selbstgesteckten Ziele - Schutz der Grundrechte und -freiheiten der Betroffenen - zu erreichen. Es droht also, trotz der Einhaltung der Pflichten der GDPR, eine Verletzung dieser Positionen. Daher ist es erforderlich - und so hat es @kuketzblog in seinem Blog heute auch dankenswerter Weise zusammengefasst -, die individuellen und sozialen Auswirkungen eines IT-Systems wie Zoom unabhängig von dessen Datenschutz'rechts'konformität zu untersuchen. Und danach stellt sich leider der Eindruck ein, dass wesentliche Einkünfte des Dienstes auf der umfassenden Vermessung und Vermarktung ihrer Nutzerinnen und Nutzer beruhen. Und indem nun auch solche Personen in diesen Dienst "hineingezwungen" werden, indem er als Quasi-Standard etabliert wird, handelt es sich um einen viralen, einen Netzwerkeffekt negativer Art.

PS: In der Tat scheint Zoom die Inhaltsdaten zu verschlüsseln. Allerdings habe ich auch noch keine unabhängige technische Analyse dieser Behauptung gelesen. Dadurch, dass Zoom das System monopolistisch kontrolliert, sind wir außerdem vollständig von deren gutem Willen abhängig. Aber ohnehin kommt es den Anbietern heute kaum mehr auf Inhaltsdaten an - interessanter sind häufig Beobachtungen über die Benutzung der Infrastruktur.

@yassin @kuketzblog

Dies hatte ich vergessen:
"Verschlüsselung der Daten, in denen Kommunikationsinhalte unmittelbar codiert sind, ist nur dann hilfreich, wenn sichergestellt werden kann, das auch die Verarbeiterin (in diesem Fall Zoom) keine Entschlüsselung vornehmen kann."

Da die Kommunikation mit einem gängigen Protokoll (AES-256) ende-zu-ende verschlüsselt sind, kann zoom die Kommunikation nicht entschlüsseln. Das können nur die jeweiligen Endpunkte der Kommunikation.

@tuffi @kuketzblog

Kleiner Nachtrag: Die Selbstauskunft von Zoom ist offenbar irreführend - die Kommunikation ist gerade *nicht* E2E-verschlüsselt! Siehe dazu: theintercept.com/2020/03/31/zo

Sign in to participate in the conversation
tilde.zone

masto instance for the tildeverse