Seit der Corona-Pandemie sind Videokonferenzen für interne Abstimmungen mit den Kollegen oder sogar Kundengespräche immer mehr in Mode und ersetzen die Termine. Viele Anbieter haben sich auf diese Dienste spezialisiert und bieten umfangreiche Anwendungen für Web und Apps an. Einige dieser Anwendungen haben wir bereits in datenschutzrechtlicher Hinsicht geprüft und eine vorläufige Einschätzung an dieser Stelle abgeben.
Heute folgt die Prüfung des Dienstes „GoToMeeting“ des Herstellers LogMeIn, der seinen Hauptsitz in den USA und weitere Tochtergesellschaften in den USA sowie in UK hat. GoToMeeting ist derzeit eine der bekanntesten Webkonferenz-Anwendungen am Markt.
Allgemein
Bei „GoToMeeting“ handelt es sich um ein teils kostenpflichtiges Web- bzw. App-basiertes Videokonferenz-Tool, das Konferenzen mit einer Vielzahl an Personen sowie Webinare und weitere Funktionen wie das Teilen des Bildschirms, die Freigabe der Steuerung von Maus/Tastatur (Fernzugriff) sowie den Austausch von Daten ermöglicht. Teilnehmer können mit Bild und Ton der Konferenz beiwohnen. Die Sessions können aufgezeichnet und später abgespielt werden. Mehr zu den Funktionen finden Sie hier.
Die Daten werden in der Cloud bzw. auf Servern des Konzerns in den USA verarbeitet. Die Nutzung des Tools ist also mit einem Datentransfer in die USA verbunden.
Im Übrigen wird ein Dashboard mit weiteren Funktionen zur Administration der Sitzungen angeboten.
Datenschutzvereinbarungen
LogMeIn, Inc. stellt Kunden im europäischen Raum verschiedene Datenschutzvereinbarungen zur Verfügung. So wird richtigerweise eine Auftragsverarbeitung gem. Art 28 DSGVO angenommen, bei der der Kunde als Verantwortlicher und der Dienstleister (LogMeIn, Inc.) als Auftragsverarbeiter auftritt. Dies wird ausdrücklich so definiert und geregelt in dem DPA (Hier findet sich das Muster), das Kunden als Zusatz zu den Nutzungsbedingungen bzw. AGB über ein von DocuSign bereitgestelltes elektronisches Formular mit dem Anbieter abschließen können.
Dieses DPA enthält einen allgemeinen Teil, der auf die datenschutzrechtlichen Regelungen der Auftragsverarbeitung und die DSGVO ausdrücklich Bezug nimmt, sowie mehrere Anhänge, darunter auch die „EU-Standardvertragsklauseln“ der EU-Kommission (Anhang 3).
Im allgemeinen Teil wird unter anderem geregelt, dass die Betroffenenrechte umgesetzt bzw. in einem solchen Fall der Kunde als Verantwortlicher „umgehend benachrichtigt“ oder die betroffene Person an diesen verwiesen wird (Ziffer 3). Mitarbeiter von LogMeIn, Inc. sind über die Vertraulichkeit der personenbezogenen Daten informiert und werden schriftlich zur Geheimhaltung verpflichtet. Es werden insoweit die Vorgaben der DSGVO erfüllt (Ziffer 4).
In Ziffer 5 des allgemeinen Teils wird der Einsatz von Unterauftragnehmern durch LogMeIn, Inc. geregelt. Der Anbieter hat eine Liste der von ihm eingesetzten Unterauftragnehmer in einem geschützten Bereich der Webseite, zu welchem der Kunde Zugang hat, veröffentlicht. Der Kunde kann die Liste abonnieren, wenn er per E-Mail über Änderungen informiert werden möchte. LogMeIn, Inc. lässt sich gem. Art 28 Abs. 2 S. 2 DSGVO die allgemeine Genehmigung des Kunden in die Hinzuziehung oder Änderung weiterer Auftragsverarbeiter (Unterauftragnehmer) einräumen, wird aber über die Hinzuziehung oder Änderung weiterer Auftragsverarbeiter den Verantwortlichen informieren. In diesem Zusammenhang steht dem Kunden das Recht zu, „nach Treu und Glauben auf angemessene Weise dem Einsatz eines neuer Unterauftragsverarbeiters durch umgehende, schriftliche Mitteilung an LogMeIn (E-Mail möglich) innerhalb von zehn (10) Geschäftstagen nach der Mitteilung von LogMeIn im Einklang mit dem in Abschnitt 5.2 dargelegten Mechanismus zu widersprechen“. Bei einem erfolgreichen Widerspruch wird dem Kunden eine angemessene, vergleichbare technische Lösung vorgeschlagen oder andernfalls ein Kündigungsrecht eingeräumt.
Ferner sieht LogMeIn, Inc. demnach Regelungen und Prozesse vor, um Sicherheitsvorfälle zu behandeln und „die Kunden ohne schuldhaftes Verzögern über jede Verletzung ihrer Sicherheit zu informieren, die zu versehentlicher oder vorsätzlicher Zerstörung, Verlust, Änderung, unbefugter Offenlegung von oder Zugriff auf Kundeninhalt, einschließlich aller darin enthaltenen Personenbezogene Daten, die von LogMeIn oder seinen Unterauftragsverarbeitern übermittelt, gespeichert oder in sonstiger Weise Verarbeitet werden, führt, von der LogMeIn Kenntnis erhält und die gemäß der Datenschutzgesetze und -verordnungen eine Benachrichtigung des Kunden, einer Kontrollstelle und/oder einer Betroffenen Person erforderlich macht.“ (Ziffer 7). Auf diese Weise kann der Kunde hierzulande der Meldepflicht bei einer Datenpanne im Optimalfall noch fristgerecht gem. Art. 33, 34 DSGVO binnen 72 Stunden nachkommen.
Auch wird die Rückgabe und Löschung von Kundeninhalten (in Ziffer 9) geregelt.
Im Anhang 1 wird darauf hingewiesen, dass sich der Konzern (LogMeIn, Inc.) nach dem EU-US sowie Schwiss-US Privacy Shield zertifizieren lassen hat. Siehe dazu: https://www.logmeininc.com/de/legal/privacy-shield
Der Anhang 2 beinhaltet die erforderlichen Angaben zu Gegenstand, Dauer, Art- und Zweck der Verarbeitung sowie zu der Art der personenbezogenen Daten und zu den Kategorien betroffener Personen.
Im Anhang 3 finden sich die EU Standardvertragsklauseln, wonach der Kunde zum „Datenexporteur“ und LogMeIn, Inc. sowie die jeweilige Tochtergesellschaft jeweils zum „Datenimporteur“ wird.
Technische und organisatorische Maßnahmen / IT-Sicherheit
Des Weiteren und nach den Bestimmungen der DSGVO zwingend erforderlich, hat der Auftragsverarbeiter seinerseits die getroffenen technischen und organisatorischen Maßnahmen (Art. 32 DSGVO) zu beschreiben. Dies setzt LogMeIn, Inc. mit diesem Dokument um.
Die englischsprachige Darstellung der Maßnahmen ist jedoch etwas oberflächlich und stellt relativ abstrakt die jeweiligen Umsetzungen dar, die allerdings zumeist den Standards entsprechen und keine Bedenken aufwerfen.
Aber Achtung: Einen Kern der Bewertung der IT-Sicherheit für die Nutzung des Dienstes nimmt die Frage nach der geeigneten Verschlüsselung der Kommunikationsinhalte und Meta-Daten zwischen den Endgeräten der Nutzer ein. Die Darstellung des Unternehmens legt zunächst eine sog. „Ende zu Ende“ Verschlüsselung der Verbindung zwischen den Endgeräten nach dem Stand der Technik nahe.
Allerdings haben unsere Kollegen aus dem Bereich der Informationssicherheit im Rahmen einer Überprüfung festgestellt:
„Auf der Homepage von GoToMeeting wird durch den Dienstanbieter LogMeIn formuliert: “GoToMeeting uses robust encryption mechanisms and protocols […] for data that is transmitted between the LogMeIn infrastructure and users, and data stored within the LogMeIn systems on behalf of its users for cloud recordings, transcriptions, and meeting notes.” [5] Damit ist bereits deutlich, dass die Datenübertragung nur auf dem Weg vom Endgerät in die Infrastruktur der Unternehmensmutter verschlüsselt wird, aber auf den Infrastruktursystemen weiterhin unverschlüsselt zu Verfügung steht. Auch die Telefoneinwahl, serverseitige Aufzeichnungsmöglichkeit und automatische Übersetzung indizieren diesen Schluss.
Noch deutlicher wird es im Security Whitepaper [6]: “To protect the confidentiality and integrity of VoIP connections from the endpoints to the voice servers […]” und “To protect the confidentiality and integrity of video connections from the endpoints to the video servers […]”. Die Aussage “Key establishment is accomplished by using a randomly generated 128-bit seed value selected by the GoToMeeting service that is distributed to all endpoints […]” [6] klärt, dass auch hier die Schlüsselgenerierung von Daten der Infrastruktur abhängig ist und der Anbieter jederzeit während einer Konferenz Zugriff auf Ihren Inhalt hat. Damit bietet die von GoToMeeting resp. LogMeIn betriebene Lösung zurzeit keine effektive Ende-zu-Ende-Verschlüsselung zwischen Endgeräten der Benutzer.“ (Quelle hier: Stand 27.04.2020).
Datenschutzrechtliche Bewertung:
Die datenschutzrechtlichen Vereinbarungen (DPA) zwischen LogMeIn, Inc. und seinen Kunden entsprechen weitestgehend den Anforderungen aus der DSGVO und bieten (auch) angesichts des Standorts der Server in den USA hinreichend Rechtssicherheit für die Datenverarbeitung.
Denn für die Übermittlung von personenbezogenen Daten in ein Land, welches nicht Mitglied der EU oder des EWR ist bedarf es eines „angemessenen Datenschutzniveaus“ nach den Art. 28 Abs. 6, 44 ff. DSGVO. In Bezug auf die Übermittlung in die USA ist dies durch das Privacy Shield gewährleistet, dem sich der Anbieter unterworfen hat (siehe hier).
Es bleiben bei Firmen mit Sitz in den USA, wie bei nahezu allen Anbietern derzeit, die Bedenken hinsichtlich des „US CLOUD Act“.
Die einzelnen Regelungen innerhalb der Vereinbarung (DPA) erfüllen im üblichen Umfang die Vorgaben der DSGVO und enthalten für die Kunden keine übermäßig benachteiligenden Inhalte. Die Regelung zum Einsatz von Unterauftragnehmern steht im Einklang mit Art. 28 Abs. 2 S. 2 DSGVO. Die Benachrichtigung bei der Änderung der Unteraufragnehmer ist durch den Kunden jedoch zu aktivieren und in der Folge ggfs. vom Widerspruchsrecht Gebrauch zu machen. Daraus endstünden keine finanziellen Nachteile für den Kunden. Die Frist von zehn Geschäftstagen ist als angemessen zu bewerten.
Im Hinblick auf die getroffenen technischen und organisatorischen Maßnahmen, insbesondere zur „Ende zu Ende“-Verschlüsselung ist allerdings festzustellen, dass der Dienst keine Sicherheit nach dem Stand der Technik und keine branchenübliche Verschlüsselung der Datenübertragung zwischen den Nutzern bietet. Es ist daher zu überlegen, sensible Informationen, vor allem umfassende Mitarbeiterdaten (z.B. bei Bewerbungsgespräche) oder Gesundheitsdaten (Krankmeldungen) deshalb nicht über dieses Videokonferenz-Tool zu besprechen (zu verarbeiten). Für Berufsgeheimnisträger (z.B. Rechtsanwälte oder Ärzte) ist dieser Dienst ohnehin deshalb für die Ausübung ihrer Tätigkeiten ungeeignet. Für den Kundensupport oder interne allgemeine Meetings zu weniger sensiblen Themen mit wenig personenbezogenen Daten ist das Tool unter Berücksichtigung der gewissen Risiken aber einsetzbar.
Zuletzt sei darauf hinzuweisen, dass der Kunde jeweils die exakten Einstellungsmöglichkeiten des Dienstes stets zu prüfen und nach dem Grundsatz der Datensparsamkeit sowie unter Berücksichtigung der Integrität und Vertraulichkeit zu konfigurieren hat. Dies betrifft insbesondere die Realisierung eines angemessenen Zugangsschutzes zu den Webkonferenzen, die Deaktivierung von der Aufzeichnungsfunktion, datenschutzfreundliche Grundeinstellungen zur Übertragung von Bild- und Ton und etwaiger weiterer Hintergrunddaten und gilt umso mehr nach Updates der Anwendung. Hervorzuheben ist die Möglichkeit, die Session-Links nur den eingeladenen Teilnehmern persönlich zuzusenden und mit einem Passwort zu schützen, um Unbeteiligten den Zugang zu erschweren.
Die übrigen Funktionen, wie das Teilen des Bildschirms oder die Freigabe von Steuerungsmöglichkeiten mittels Fernzugriff durch Teilnehmer, sollten standardmäßig deaktiviert sein.
Empfehlenswert ist die Benennung eines internen Administrators, der sich mit den Funktionen und Einstellungsmöglichkeiten vertraut macht, diese kontrolliert und Mitarbeiter für den sicheren Einsatz des Dienstes schult.
Durch zusätzliche, vom Kunden zu treffende Handlungsanweisungen, könnte im Übrigen geregelt werden, dass Mitarbeiter oder Kunden die Übertragung des Videobildes per se deaktivieren müssen und keine sensiblen Informationen und allgemein keine personenbezogenen Daten Unbeteiligter besprechen/vorzeigen dürfen.
Abschließend seien noch die notwendigen Datenschutzhinweise zur Datenverarbeitung im Rahmen des Dienstes auf Grundlage der Informationspflichten (Art. 13 DSGVO) zu erwähnen, die den Teilnehmern vor Beginn der Webkonferenz, beispielsweise in der Einladungsmail zugehen sollten. Es muss in jedem Fall über die Datenverarbeitung aufgeklärt werden.
Fazit
Insgesamt lässt sich GoToMeeting in den meisten Fällen der internen und externen Unternehmenskommunikation datenschutzkonform einsetzen. Es bleiben minimale Restzweifel, die aber auch bei nahezu allen anderen Anbietern bestehen.
5. Mai 2022 @ 14:46
Persönlich vermisse ich als Teilnehmer die Funktion einen anderen für mich selbst stumm schalten zu können, wenn ich diesen z.B. aus irgendeinen Grund nicht ab kann. Auch der Admin oder Moderator, sollte die Möglichkeitkeit haben, sämtliche Chat Aktivitäten vorübergehend, wären seiner Abwehsenheit z.B. zu deaktivieren, auch die privaten Kanäle. Leider sind gibt es immer wieder Teilnehmer die untereinander anecken und bestimmte Situationen aufbauchen, besonders Frauen. Und am ende steht eine sexuelle Belästigung im Raum, die so gar nicht haltbar ist, aber erstmal Stress verursacht. Also bitte hier nachbessern.
15. September 2021 @ 8:23
Bei GoTo ist seit Wochen das Impressum nicht erreichbar. Die hatten scheints ein Webrelaunch und es wurde geschlampt. Ich buche grundsätzlich keinen Dienst, bei dem ich keine ladungsfähige Adresse erkennen kann. Ich rief Goto dazu an, die muttersprachlich deutsch sprechende Person gab sich sehr erstaunt und meinte „Wir sind ein seriöses Unternehmen“ (-: und dass sie es weitergeben werde und man sich bei mir melden würde, sobald das Impressum wieder ginge. Ich habe dann noch zwei Emails geschickt. Nichts ist passiert, ich kann heute noch kein Impressum sehen. Schade!
15. Mai 2020 @ 7:48
Guten Morgen,
Sie schreiben u.a. dass die Nutzung für Berufsgeheimnisträger ungeeignet sei. Ich möchte Sie und auch Ihr Team von der Informationssicherheit jedoch gern darauf hinweisen, dass jede telefonische Kommunikation per VoIP erfolgt und diese ebenfalls nicht verschlüsselt sind. Demnach ist jeder Telefonanruf mit einem Telefon unverschlüsselt und für Berufsgeheimnisträger ungeeignet. Wenn LogMeIn als Auftragsverarbeiter vertraglich eine vollständige E2E Verschlüsselung garantiert und dies nicht umsetzt, so liegt es am Verantwortlichen dies zu prüfen. Ich kann es langsam nicht mehr ertragen, dass jeder Videodienst auseinander genommen wird unter dem Deckmantel der datenschutzrechtlichen / informationssicherheitstechnischen Unzulänglichkeit.
Vielleicht stellt Ihre Informationssicherheit auch Alternativen vor, die eindeutig und nachweisbar dem Stand der Technik entsprechen.
Vielen Dank
14. Mai 2020 @ 13:24
Ein großes Dankeschön für diesen Artikel von einem aufmerksamen Leser Ihres Blogs. Hilft mir sehr!
14. Mai 2020 @ 14:58
Lieber aufmerksamer Leser,
das freut uns sehr!
Viele Grüße
Ihre Blogredaktion
13. Mai 2020 @ 16:50
Gibt es derzeit überhaupt einen Anbieter der stabile Ende-zu-Ende verschlüsselte Videostreams für Gruppen anbietet? Das scheint technisch schwierig, da hier in der Regel sog Selective Forwarding Units zum Einsatz kommen, um eine stabiles Streaming zu gewährleisten.
13. Mai 2020 @ 16:17
Ich kann die Kritik der TOM nicht nachvollziehen.
Es wird im Kern bemängelt, dass auf den Servern des Anbieters die Daten teilweise unverschlüsselt verarbeitet werden und deshalb keine Ende-zu-Ende-Verschlüsselung vorliegt. Eine vollständige Ende-zu-Ende-Verschlüsselung ist jedoch nach meine Kenntnisstand bei Kommunikationsvorgängen mit mehr als zwei Teilnehmern logisch und technisch ausgeschlossen.
Ich wäre um eine Rückmeldung Ihrer Kollegen aus der Informationssicherheit danbar.
14. Mai 2020 @ 7:54
Sehr geehrter Rückfragender,
eine vollständige Ende-zu-Ende Verschlüsselung (auch bzgl. aller Endgeräte) ist theoretisch möglich, ist allerdings technisch mit sehr viel Aufwand und Performance verbunden. Nach meinem Verständnis wäre das wohl bei 10 Teilnehmern mit normaler Technik kaum zu realisieren. Insofern ist Ihre Nachfrage durchaus berechtigt. Viele Experten sehen daher auch die derzeit angewandte Technik als ausreichend und „Stand der Technik“ (auch im Sinne des BSI) an.
Aber wir Datenschützer stellen ja oftmals auf „Zielvorgaben“ und juristische „Wunschvorstellungen“ ab, die in der Realität naturgemäß nicht immer praktikabel sind.
17. August 2022 @ 13:11
„Eine vollständige Ende-zu-Ende-Verschlüsselung ist jedoch nach meine Kenntnisstand bei Kommunikationsvorgängen mit mehr als zwei Teilnehmern logisch und technisch ausgeschlossen.“
Tipp:
– Jitsi Meet (MegOlm-E2EE-Verschlüsselung via insertable streams)
– Das neue Element Call Beta 2 (Von den Machern von Matrix, Element und MegOlm. Full Mesh E2EE mit 7 Teilnehmern möglich. Dezentrales SFU-to-SFU via Pion wird das hochskalieren)