• Kontakt Info:
  • Langenstr. 66b, 18439 Stralsund
  • Mobil: +49 171 8367831
  • Telefon: +49 3831 4349530
  • info@orcas.de

Viber

Viber wurde von der japanischen Firma Rakuten entwickelt und besitzt in Bezug auf den Datenschutz die wichtigsten Funktionen: Ende-zu-Ende-Verschlüsselung, DSGVO-Konformität und ein Open-Source-Protocol. Es unterstützt jede Plattform und beinhaltet komfortable weitere Funktionen, wie Sprach- und Videounterstützung sowohl in Echtzeit als auch als aufgenommene Nachricht, das Versenden von GIFs, Stickern und YouTube-Videos direkt im Messenger. Knapp über eine Milliarde Menschen sind auf Viber angemeldet1, wobei die meisten registrierten Nutzer im asiatischen Raum leben.
1Stand: Juli 2017

Wire

Wire ist eine schweizerische App, die spezielle Funktionen für den beruflichen Bereich als Wire PRO bietet. Diese kosten im Monat 4€ pro Benutzer und schalten sogenannte Teams frei, mit denen man Mitarbeiter für bestimmte Projekte zusammenfassen kann. Weiterhin können diese Teams auch für Gäste zur Verfügung gestellt werden, in dem sie mit eingeladen werden und dann den Verlauf verfolgen können. Normale Chats und Gruppenchats, wie man sie von anderen Messengern kennt, unterstützt Wire ebenfalls. Die Variante für private Benutzung ist kostenfrei und genauso Ende-zu-Ende verschlüsselt, Open Source und DSGVO-konform wie die PRO-Variante.
1abhängig von der Variante

Jabber (XMP-Protokoll)

Im Gegensatz zu allen anderen in diesem Vergleich aufgeführten Messengern ist zu beachten, dass XMPP (Extensible Messaging and Presence Protocol) ein Protokoll zur Datenübertragung ist und Jabber den Dienst bezeichnet, der dieses Protokoll nutzt und somit den föderalen Austausch zwischen den Servern erlaubt. Die Kompatibilität auf den einzelnen Plattformen wird durch verschiedene Programme erreicht, die das Protokoll bzw. den Dienst nutzen. Durch Erweiterungen (XEP = XMPP Extension Protocols) ist das Protokoll flexibel und kann mit den Anforderungen des jeweiligen Programmes wachsen.
Auf den ersten Blick erscheint es also theoretisch unfair es mit Messenger-Diensten zu vergleichen, die alles aus einer Hand bieten. Aus Nutzersicht wird hiermit aber eine Open-Source-Lösung geboten, die unabhängig von irgendwelchen Anbietern über fast alle Plattformen sehr viele Vorteile bietet. Insbesondere hat der Nutzer eine viel größere Auswahl, welchen Client er einsetzen möchte. Einige bekannte Clients die XMPP beherrschen sind z.B. Dino, Conversations (siehe Screenshot), ChatSecure, PixArt, Gajim, Monal, Pidgin, Psi+ Yaxim oder Xabber.
Der Aufwand die Lösung einzusetzen, insbesondere für eine sichere Kommunikation zu sorgen, ist aber komplizierter und verlangt dem Nutzer etwas mehr Wissen ab, womit es wohl nicht für alle Nutzergruppen als geeignet erscheint.

1z.B. ChatSecure, Conversations

2z.B. Conversations

3z.B. Profanity

4z.B. ChatSecure

5z.B. Conversations

6z.B. Conversations, Xabber

7z.B. ChatSecure

8z.B. AstraChat, Swift, Spark

9z.B. AstraChat, Dino, Kaidan

10 z.B. AstraChat, Jitsi Desktop, Psi

Conversations Screenshot

WhatsApp

WhatsApp ist der in Europa bekannteste und am Smartphone meistgenutzte Messenger-Dienst mit 1,5 Milliarden1 registrierten Personen. Die Wahrscheinlichkeit, dass eigene Kontakte diese App installiert haben, ist sehr groß und die Kernfunktionen, die ein Messenger mitbringen sollte, orientieren sich aufgrund des Bekanntheitsgrades an WhatsApp. Nach wiederholter Kritik, die den Datenschutz der App betraf, haben die Entwickler zwar offiziell Ende-zu-Ende-Verschlüsselung eingeführt. Laut Brian Acton, den Mitgründer von WhatsApp, ist dies aber auch bald hinfällig. Nach der Übernahme von WhatsApp durch Facebook gab es eine vertragliche Abmachung, dass WhatsApp die ersten 5 Jahre in den Händen von Facebook weiterhin kein Geld abwerfen muss. Im Februar 2019 läuft diese Frist ab. Brian Acton behauptet, Facebook plane bereits die Ende-zu-Ende-Verschlüsselung aufzuweichen um gezielt Werbung im Status der Nutzer platzieren zu können.
1Stand: Juli 2018

Facebook vs. DSGVO

Große Probleme angesichts des Inkrafttretens der DSGVO dürfte derzeit immer noch Facebook haben. Während Whatsapp und Apple hinsichtlich iCloud ausdrücklich von gewerbsmäßiger Nutzung ihrer Dienste abraten, vertritt das Unternehmen weiterhin aktuell entgegen der Datenschutzkonferenz, einem Gremium bestehend aus den unabhängigen Datenschutzbehörden, die Auffassung, dass die angebotenen Dienste im Einklang mit der DSGVO ständen.

https://www.datenschutz-berlin.de/pdf/publikationen/DSK/2018/2018-DSK-Facebook_Fanpages.pdf

“We want to be clear that Facebook Pages and Page Insights remain legal “

https://www.facebook.com/business/news/updates-for-page-admins-in-the-eu-and-the-eea

Sollte man nun vor lauter Verunsicherung sämtliche Unternehmensaktivitäten beim weltweit größten “Social” Net verbannen? Eine sehr gute und auch ausführliche Zusammenfassung dazu gibt es bei heise.de:

https://www.heise.de/newsticker/meldung/Analyse-zum-EuGH-Urteil-Noch-kein-Grund-Facebook-Seiten-zu-schliessen-4069690.html

bestehende Situation

Knackpunkt in der ganzen Debatte ist die Mitverantwortung des Nutzers an der Verarbeitung personenbezogener Daten. Viele argumentieren hier, dass sie keinen Einfluss auf die Verarbeitung hätten. Einerseits lassen viele gewerbliche Nutzer die Sorge um personenbezogenen Daten Dritter weitgehend vermissen und sind sich der Folgen leichtfertigen Umganges mit Daten nicht bewusst. Es lässt sich auch wohl nicht von heute auf morgen erwarten, dass sich das ändert. Andererseits zeigt sich Facebook bisher wenig flexibel, was die Anpassung des eigenen Geschäftsmodells an europäischen Datenschutz anbelangt. Facebook trägt hier also ganz klar die Verantwortung ein Produkt anzubieten, das sich ohne Bauchschmerzen in der EU ( s. Facebook – Urteil ) einsetzen lässt. Das sollte auch für Nutzer gelten, welche mitunter nicht so viel zusätzliche Zeit aufbringen können die neuen gesetzlichen Vorgaben im Einzelnen zu verstehen.

Personenbezogene Daten sind natürlich keine Ware, die man handeln könnte, sondern ein schutzwürdiges Gut. Hier fehlt immer noch Bewusstsein, auch im Sinne von Vertrauen erweckenden Geschäftsprozessen. Könnte sich jeder bedenkenlos ohne Sorgen und ohne Angst vor den Gefahren von Wirtschaftsspionage und Überwachung überall anmelden, würde sich das mit Sicherheit auch positiv auf geschäftliche Strukturen in vielen verschiedenen Bereichen auswirken. Andererseits kalkulieren Nutzer den Verkauf ihrer persönlichen Daten mehr oder weniger mit ein. Sie sind sich jedoch oft nicht wirklich über alle Folgen bewusst.

Doch auch dem, der sich schon Gedanken gemacht hat, bleibt es in Sachen Facebook nur abzuwarten. Welche Webdienste sicher eingesetzt werden können, wird sich erst in Zukunft entscheiden.

Bildquelle: https://pixabay.com/de/facebook-meeting-social-personen-260818/

orcas auf dem 3. Tag des Mittelstandes

Der 3. Tag des Mittelstandes findet am 08.09.2018 auf dem Alten Markt in Stralsund in der Zeit von 11:00 – 17:00 Uhr statt. Eine Veranstaltung der Stralsunder Mittelstandsvereinigung e. V.. Wir zeigen dort der Öffentlichkeit unser Leistungsspektrum und beantworten Fragen zum Datenschutz, Suchmaschinenoptimierung, Social Media und allgemein zu Web-Seiten Erstellung bzw. Web-Entwicklung. Wir teilen uns den Stand mit der IT-Lagune, die Fragen zum Verein selbst, zu den BitKoeppen, zum geplanten IT-Center und allen anderen IT-Lagune Projekten beantwortet. Als Highlight zeigen wir 3D-Druck in Aktion und sinnvolle Beispiele der Anwendung. Kommt vorbei und schaut es Euch an.

EU-US Privacy Shield und DSGVO – Facebook, Whatsapp, Twitter, Google

Vielen Nutzern stellt sich die Frage, welche Webdienste gerade im geschäftlichen Umfeld nach den Vorgaben der DSGVO bedenkenlos genutzt werden können. Es geisterten auch schon einige Meldungen durch die Medien, u. a. dass die Nutzung von Whatsapp für Handwerkerfotos nicht mehr möglich ist. Welche Bedeutung hat die “EU-US Privacy Shield”-Zertifizierung?

EU-US Privacy Shield

Da ein Großteil des genutzten Internets immer noch durch amerikanische Firmen bestimmt wird, spielt hier die nicht unumstrittene “EU-US Privacy Shield”-Zertifizierung eine wichtige Rolle. Nach dem Bruch des “Safe-Harbor Abkommens” (heise.de berichtete) stellt diese eine Orientierung bereit um zu entscheiden, ob Dienste von Unternehmen aus nicht EU-Ländern in Europa genutzt werden dürfen. Die Unternehmen in dieser Liste haben sich zertifizieren lassen und sich damit verpflichtet die Grundsätze des europäischen Datenschutzrechts zu befolgen. Google, Facebook, Twitter, Microsoft und auch Whatsapp finden sich in der Liste der zertifizierten Unternehmen auf https://www.privacyshield.gov/list. Apple findet sich übrigens nicht in der Liste.

AV-Vereinbarung

Spätestens seit dem Urteil in Sachen Facebook wurde klar gestellt, dass eine sogenannte “gemeinsame Verantwortung” des Nutzers zusammen mit dem Anbieter des Webdienstes in Sachen personenbezogene Daten vorliegt. Gerade vor diesem Hintergrund ist allerdings wichtig, dass bei nicht privater Nutzung, also auch z. B. im Verein, eine entsprechende AV-Vereinbarung als organisatorische Maßnahme mit dem jeweiligen Anbieter  zustande kommt.

Rechtliche Position

Wie wackelig der rechtliche Bezug auf die EU-US Privacy Shield Zertifizierung ist, zeigt sich bei Whatsapp. Whatsapp ist zertifiziert, scheidet aber für die Nutzung im nicht privaten Umfeld aus, da ohne Einwilligung des Nutzers personenbezogene Daten erfasst werden, um gewohnte Funktionen bereit zu stellen. Damit ist jedem Nutzer klar, dass gegen die Grundsätze der DSGVO verstoßen wird. So kann man sich auch nicht mehr auf die “rechtliche Krücke” der EU-US Privacy Shield Zertifizierung zurück ziehen. Whatsapp schließt übrigens in seinen AGB’s die Nutzung im nicht privaten Umfeld ohne extra Zustimmung durch Whatsapp aus.

Besonders kritisch ist bei Whatsapp die Freigabe der Kontaktliste zu betrachten. Ein Nutzer darf der Freigabe eigentlich erst zustimmen, wenn er von allen Kontakten, deren Daten nicht öffentlich zugänglich sind, eine Einwilligung hat. Die Kontaktdaten in der persönlichen Kontaktliste sind nämlich gar nicht seine eigenen Daten, sondern gehören der jeweiligen Person. Siehe dazu auch “WhatsApp: Datenschutzkonforme Nutzung möglich?“.

Etwas anders verhält es sich im Falle von Apple. Hier sind Produkte grundsätzlich etwas mehr auf Datenschutz ausgelegt. Dennoch wird z.B. die “iCloud” für Unternehmen zum Problem, s. https://www.datenschutz-guru.de/warum-apples-icloud-fur-unternehmen-derzeit-ein-problem-sein-kann/.

In der Frage der Einwilligung in die Erfassung personenbezogenener Daten laufen im Moment außerdem Verfahren gegen Google und Facebook. Hier wird wiederum deutlich, dass eine wie auch immer geartete Zertifizierung einen Anhaltspunkt, jedoch keine Garantie dafür bietet, dass ein Webdienst im geschäftlichen Umfeld genutzt werden darf oder sollte.

Europäische Rechenzentren

In Sachen Technik und IT-Sicherheit ist es zu Recht umstritten, ob personenbezogene Daten grundsätzlich im Unternehmensnetzwerk oder der Cloud besser aufgehoben sind. Da muss einfach je nach Situation entschieden und abgewogen werden.

Microsoft

Eine Sonderposition nimmt hier aktuell Microsoft ein. Die Firma betreibt für Firmen eigene Rechenzentren in Europa und möchte so ausschließen, dass Daten in die USA übertragen werden. Das führte auch schon zu rechtlichen Auseinandersetzungen zwischen Microsoft und dem FBI (Microsoft setzt sich bei Datenabfrage gegen FBI durch). Aber aufpassen, denn das bedeutet nicht, dass alle von Microsoft angebotenen Dienste als datenschutzkonform nach DSGVO zu betrachten sind. Die Speicherung von Daten in europäischen Rechenzentren zum Beispiel lässt sich Microsoft extra bezahlen.

Fazit

Insgesamt zeigt sich inzwischen deutlich, dass die mittlerweile gewohnte Nutzung einiger Webdienste Probleme im Kontext des europäischen Rechtsraumes mit sich bringt. Rechtskonform in Bezug auf die Nutzung amerikanischer Dienste verhält man sich scheinbar nur durch völligen Verzicht.

Ob der Druck durch die EU Kommission und dem europäischen Markt groß genug wird, dass gerade häufig in Anspruch genommene amerikanische Firmen in Sachen Datenschutz nachbessern, bleibt abzuwarten.

Warum sollten alle Dateisysteme verschlüsselt sein?

In einem Unternehmen sollten alle Dateisysteme, nicht nur die von mobilen Geräten wie Laptops, USB-Sticks und Smartphones, verschlüsselt sein, weil das Vorbeugen gegen Missbrauch unter die vorgeschriebene Sorgfaltspflicht fällt. Kommt es zu einem, nach DSGVO, meldepflichtigen Vorfall oder zu einer Kontrolle durch die Aufsichtsbehörden, können Ihnen unverschlüsselte Dateisysteme als grob fahrlässig ausgelegt werden und zu Strafen führen.

Davon bleibt unbeschadet, dass es Ihnen mit Sicherheit auch lieber ist, dass Diebe mit Ihren Daten nichts anfangen und so auch keine Folgeschäden verursachen können.

Wer benötigt einen Datenschutzbeauftragten?

Die DSGVO und das BDSG schreiben für alle Firmen, Unternehmen, Vereine, Organisationen usw. einen Mindeststandard für den Datenschutz vor. Einige müssen sogar einen Datenschutzbeauftragten benennen, der dann dem Landesdatenschutzbeauftragten gemeldet werden muss. Aber wer genau benötigt so einen Datenschutzbeauftragten?

Allgemein bekannt scheint die im §38 Art. 1 BDSG (neu) genannte Regelung zu sein, nach der ein Unternehmen, in dem mindestens 10 Personen (Angestellte oder auch freie Mitarbeiter) ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind, einen Datenschutzbeauftragten benötigen. Es gibt aber eine Vielzahl weiterer Regelungen und damit verbundener Auslegungen. Unter folgenden Bedingungen ist beispielsweise auch ein Datenschutzbeauftragter erforderlich:

  • bei Unternehmen mit mehr als 250 Mitarbeitern,
  • in ärztlichen Gemeinschaftspraxen in denen mehr als ein Arzt auf die selben Patientendaten zugreifen kann,
  • in einer Arztpraxis, in der die Anzahl der Betroffenen erheblich über dem Betroffenenkreis eines durchschnittlichen, durch ErwGr. 91 Satz 4 privilegierten Einzelarztes, liegt,
  • in Behörden oder öffentlichen Stellen (mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln),
  • bei Verarbeitung besonderer Arten von personenbezogenen Daten nach Art. 9 DSGVO
  • bei Notwendigkeit einer Datenschutzfolgeabschätzung (DSFA)
  • wenn der überwiegende Geschäftszweck die Verarbeitung von personenbezogenen Daten ist
    • dazu werden die meisten IT-Unternehmen gezählt, da durch Zugriff auf unternehmensfremde Systeme i. d. R. ein Zugriff auf personenbezogene Daten gegeben ist, auch wenn diese praktisch nicht verarbeitet werden. Ausnahmen stellen hier lediglich Designer dar, welche keinen umfassenden Zugriff auf Systeme ihrer Kunden erhalten.
  • wenn die „Kerntätigkeit“ eine „umfangreiche regelmäßige und systematische Überwachung von Personen“ beinhaltet,
  • wenn eine geschäftsmäßige Verarbeitung personenbezogener Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung vorliegt.
Sind Sie es leid, immer wieder dieselbe Auswahl zu treffen?
Wichtiger Hinweis

Ich willige ein, dass durch das Laden von folgenden Diensten meine personenbezogenen Daten gemäß Datenschutzerklärung an dritte Anbieter übertragen werden. Mir ist bekannt, dass ich meine Einwilligung jederzeit durch Löschen der Cookies im Browser widerrufen kann.

According to GDPR, we are obliged to obtain your permission for the use of external services. The following external services are used on our pages:

DSGVO Nachricht
  • Beschreibung
    Weitere Informationen sind nicht bekannt.
  • Beschreibung
    Weitere Informationen sind nicht bekannt.
  • Beschreibung
    Weitere Informationen sind nicht bekannt.
  • Beschreibung
    Weitere Informationen sind nicht bekannt.
x