Follow

Ich brauche mal dringend Hilfe: Kennt sich jemand gut mit und und so aus?

Die Profs an der Informatik der Uni haben sich Zoom geleistet und wollen das jetzt grossflaechig einsetzen. Ich wurde ausgewaehlt das zu administrieren. :/

Unter anderem soll ich sicherstellen, dass wir das DSGVO-konform nutzen. Ich bin damit ein bisschen ueberfordert, vielleicht koennt ihr mir helfen? Meiner Meinung nach kann man das gar nicht DSGVO-konform nutzen!? :think_bread:

trackt echt eine ganze Menge. Ich kann Meeting Details bis weit in die Vergangenheit sehen (Limit ist scheinbar nur das Datum des Lizenzkaufs).
Details eines Meetings sind bspw. Topic, Host, Start/End Times, Number of Participants, ueber welches Rechnzentrum das gelaufen ist (glaub ich), ob Telefon/VoIP/Audio/Video/ScreenSharing/Recording an ist etc

(Verstehe einiges auch noch nicht... Was ist bspw CRC?)

Show thread

Fuer jedes Meeting wird gespeichert, wer daran teil nimmt, incl:
Name, ggf Telefonnummer, Betriebsystem, IP Adresse (auch die locale IP), Location, Netzwerktyp (Wifi/Kabel/others), Microphone Model, Lautsprecher Model, Kamera Model (leaked oft auch Bildschirm Model), ueber welches Rechenzentrum der Teilnehmer angebunden ist, Join Time und Leave Time (minutengenau)

Show thread

Ausserdem wird fuer Teilnehmer:innen sehr detailiert der zeitl Verlauf von den folgenden Werten protokolliert:
* Audio Receiving, Audio Sending (Bitrate, Latency, Jitter, Avg loss, Max loss)
* Video Receiving, Video Sending (Bitrate, Latency, Jitter, Avg loss, Max loss, Resolution, Frame Rate)
* Screen Sharing Receiving, Screen Sharing Sending (Bitrate, Latency, Jitter, Avg loss,Max loss, Resolution, Frame Rate)
* CPU Usage beim Client (Zoom Min Cpu, Zoom Avg Cpu, Zoom Max Cpu, System Max Cpu)

Show thread

Nun ist die Frage, ob das ueberhaupt DSGVO-konform sein kann!? :think_bread:

Ich meine, ein Webserver logt welche IP wann welche Datei runterlaedt. Im Vergleich zu den Zoom-Daten eher harmlos, wuerde ich sagen.
Wenn ich diese Webserverlogs maximal 7 Tage speichern darf und die IPs annonymisieren sollte -> wie kann Zoom dann DSGVO-konform sein?

Show thread

Ich habe hier auch keine Moeglichkeit die getrackten Informationen zu beschraenken oder Daten zu loeschen.

Show thread

Gibt es irgendwas, das ich tun kann, um eine DSGVO-konforme Zoom-Nutzung zu ermoeglichen?
Oder kann ich irgendwie sagen, dass das nicht geht?

Wie ist das eigentlich mit der ? Koennen die einfach eine Einwilligung von abfragen und dann ist die Sache gegessen? Oder ist die dann vielleicht nicht freiwillig oder so, weil die Studenten ja eigentlich gar keine Wahl haben?

Show thread

Die Kurven sind dabei auffallend verschoben: Wenn die Audio Sending Bitrate hoch ist, ist die Audio Receiving Bitrate sehr niedrig. Damit sieht es sehr danach aus, als man die Redebeitraege in einer Diskussion identifizieren kann..?

In manchen Video-Sending Kurven gibt es peaks -> wharscheinlich ist da gerade viel im Bild passiert und es muss mehr Video-Information uebertragen werden?

Show thread

@martin gff. Müssen die Studenten nicht einwilligen, kommt auf die Formulierung der Datenschutzinformation an

@martin
Also in der evangelischen Kirche gilt: in Deutschland hosten und AV Vertrag. Eine Firma gibts, die das machen.

@martin

Manche nutzen das noch nicht mal, sondern weichen auf andere proprietäre Lösungen aus wie amazon #chime. Ist mit Sicherheit genauso ein Datenfresser wie Zoom. Dabei gibt es doch eine eigens in der Uni gehostete #BigBlueButton Instanz. Kotzt mich tierisch an, dass bei einer großen Auswahl freier (beer and freedom) Programme trotzdem Geld in solche Unternehmen gesteckt wird.

@martin Meine (wahrscheinlich nicht hilfreiche) Meinung dazu:
Wenn man Geld für #Zoom in die Hand nehmen kann, dann kann man sich auch eine entsprechende DSGVO-Beratung (durch einen RA oder was weiß ich) leisten und es nicht allein auf den armen Admin abwälzen.

Ich kann nicht abschätzen, wie deine Position ist, meine Antwort wäre:
Ich kann DSGVO-Konformität nicht sicherstellen, gebt mir professionelle Unterstützung oder sucht euch einen anderen Dummen.

Sorry... 🤔

@martin Wer Dir da sicherlich weiterhelfen kann, ist das Forum von @kuketzblog

@martin moin Martin, du kannst das natürlich DSGVO Konform nutzen. Hat eure Uni einen Beauftragten für den Datenschutz?

@martin ob #zoom u andere USDienste DSGVO konform nutzbar sind, kann aktuell nur ein EU-Gericht entscheiden. Kein Datenschutzbeauftragter u kein DS-Anwalt, selbst wenn man mit dem USAnbieter einen AV-Vertrag eingeht u der Anbieter im #privacyshield ist, steht der #patriotact u #cloudact über diesen Vereinbarung. Also hebelt der #cloudact alle DatenschutzVorgaben aus
Ich kann nur #bigbluebutton an Uni empfehlen, dazu kann man das URZ der #tuchemnitz bestimmt anschreiben.

@martin Datenschutzbeauftragten und Datenschutzanwälte geben ihre Einschätzung zu einer gewissen Situation / Dienst / Sachverhalt etc, selbst die Bußgelder der Aufsichtsbehörde muss der Prüfung durch Gerichte standhalten. Aktuell gibt es kaum Gerichtsurteil zur DSGVO, damit haben wir kaum Klarheit zur Anwendung. Ich würde auf diese unklare Situation auf Grund #DSGVO und us #cloudact Hinweise und die Unvereinbarkeit beider.

@martin Ich denke mal die Frage nach der DSGVO-konformen Nutzung wurde schon ausreichend beantwortet, daher hier nur noch ein Gegenvorschlag: Du könntest vorschlagen, eine entsprechende Open-Source Software zum selbst hosten zu verwenden, zB bigbluebutton. Diese ließe sich dann schon deutlich sicherer betreiben.

@martin
Das sehe ich genauso. Da Zoom eine amerikanische Firma ist und amerikanischem (Un🤫)-Recht unterliegt, kann eine DSGVO nicht gelten. Selbst wenn Zoom sagt, bzw. sagen würde, dass auf deutschem Boden deutsches, europäisches Recht gilt, bleibt zumindest ein großes Fragezeichen und ein unklarer Raum.
Vielleicht können sich andere Nutzer besser, genauer, informierter äußern.

@martin Eigentlich steht die Antwort im ersten Post schon.

Du sollst sicherstellen, dass es DSGVO-konform ist. Deine Aufgabe ist jetzt zu kommunizieren: Zoom kann nicht DSGVO-konform eingesetzt werden, es tut mir Leid.

Dazu kannst du kurz anmerken, dass es DSGVO-konforme Lösungen gibt und du sie installieren könntest und fragen ob ihr ein weiteres Meeting ansetzen dafür sollt.

Wenn du jetzt behauptest es DSGVO-konform aufzusetzen könnte sogar die Haftung für den Verstoß an dir hängen bleiben.

@martin
Ansonsten weiß ich von Unis, wo die Studenten selber massiv dagegen protestieren und sich möglicherweise durchsetzen werden.

Du könntest ja ggf. ein paar Studenten mal stecken, dass Proteste sich lohnen könnten, wenn sie keine völlig unsichere Software mit fragwürdigem Datenschutz nutzen wollen.
Asta und Fachschaften sind oft ganz gut darin solche unipolitischen Dinge anzugehen.

@martin
Falls du die Seite nicht schon kennst: datenschutz-generator.de/dsgvo
Vorsicht lang :-) und viel Interessantes auch weiter unten, z. B. ist vielleicht für dich der Link auf diese Seite von einem Zoom-Verfechter nützlich, falls eine Alternative nicht zur Debatte steht:
datenschutz-guru.de/zoom-ist-k

Hallo @martin
die Uni Rostock hat, das ist gesetzliche Vorgabe, eine/n Datenschutzbeauftragte:n. Hat diese Person den Einsatz von Zoom abgesegnet? Das kann ich mir beim besten Willen nicht vorstellen, und bei einer fehlenden Zustimmung brauchst Du erst gar nicht aktiv zu werden.

@martin
Meiner Meinung nach geht das nicht. Es dürfen nur solche Daten gesammelt werden, die für die Funktion nötig sind. Die Daten dürfen nur solange gespoeichert werdedn, wieves für die Funktion nötig ist und müssen dann gelöscht werden.

Zoom sammelt die Daten nicht nur für die Funktion sondern um diese zu verkaufen. So steht das in deren Datenschutzerklärung. Die Uni Rostok bewegt sich mit Zoom auf dünnem Eis. Microsoft sammelt auch Daten, aber die verkaufen diese zumindest nicht.

@martin Wenn die Profs darauf bestehen Zoom zu nutzen, würde ich auf jeden Fall vorschlagen, dass sich die Studenten keinen Account einrichten müssen, sondern jedes mal mit einem neuen Einladungslink beitreten.

@martin
Schritte auf dem Weg können sein:
- Zoom sitzt in den USA. Kann man pb Daten dahin schicken? --> Ja, da zertifiziert nach PrivacyShield: privacyshield.gov/participant?
- Zoom verarbeitet pb Daten in eurem Auftrag --> Ihr braucht einen Vertrag zur Auftragsverarbeitung. Bekommt ihr bei Zoom. Fragt dort an.
- Ergänzt euer Verfahrensverzeichnis um den Prozess
- Klärt eure Kunden über die Datenverarbeitung auf (analog zu Datenschutzhinweisen auf Websieten)

Sign in to participate in the conversation
Binfalsetodon.

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!