1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Tracking: Zoom übermittelt heimlich…

Jitsi nicht DSGVO-Konform

  1. Thema

Neues Thema Ansicht wechseln


  1. Jitsi nicht DSGVO-Konform

    Autor: Hathawulf 27.03.20 - 14:48

    Mag schnell mal jemand mit mir drüber nachdenken bzw. meinem Gedanken wiedersprechen wenn ich komplett falsch liege aber:

    Jitsi ist bei mehr als 2 TeilnehmerInnen nicht verschlüsselt. Wenn ich nun also keinen eigenen Server nutze und diesen entsprechend abgesichert habe, dann verstoße ich damit ja auch gegen die DSGVO. Bzw. müsste ich vorher einen Auftragsverarbeitungs-Vertrag mit dem Betreiber des öffentlichen Jitsi-Server (wie bei Euch @Golem) abschließen.

    Wird das nicht noch vielen auf den Kopf fallen?

  2. Re: Jitsi nicht DSGVO-Konform

    Autor: WillsWissen 27.03.20 - 17:01

    Hathawulf schrieb:
    --------------------------------------------------------------------------------
    > Jitsi ist bei mehr als 2 TeilnehmerInnen nicht verschlüsselt.

    Nur der Transportweg ist verschlüsselt. Eine Ende-zu-Ende Verschlüsselung gibt es auch nicht für zwei Teilnehmer

    > also keinen eigenen Server nutze und diesen entsprechend abgesichert habe,
    > dann verstoße ich damit ja auch gegen die DSGVO. Bzw. müsste ich vorher
    > einen Auftragsverarbeitungs-Vertrag mit dem Betreiber des öffentlichen
    > Jitsi-Server (wie bei Euch @Golem) abschließen.

    Korrekt. Den Vertrag wirst du aber nicht erhalten. Jitsi bietet nicht mal *bezahlten* Support.

    > Wird das nicht noch vielen auf den Kopf fallen?

    Wo kein Kläger...
    Kommt ja auch auf die Teilnehmer an, vielleicht kann man sich das Einverständnis am Anfang der Sitzung holen, so wie Telefonhotlines das für Mitschnitte tun.

    Um sicher zu gehen kommt um einen eigenen Server nicht herum.

  3. Re: Jitsi nicht DSGVO-Konform

    Autor: yukawa 27.03.20 - 18:08

    Es gibt keinen E2EE Video-Konferenz, die vernünftig skaliert.
    Mit zwei Teilnehmern bietet sich P2P an.
    Ab zwei Teilnehmer eine MCU, die Streams abgleicht und zusammenmischt. Dafür ist aber Zugriff auf den Media-Payload notwendig.
    Wird dem Server nicht vertraut bietet sich bei WebRTC noch eine Technik namens PERC an, die den Media-Payload E2EE, aber die (RTP-)Header zur Manipulation durch den Server nur via TLS verschlüsselt. Das skaliert dann aber aus Sicht eines Clients dann im Upstream mit O(1), aber beim Downstream mit O(N), womit sich PERC auch nur für kleinere Konferenzen mit ausreichend Bandbreite anbieten.

    Auch die anderen Anbieter kochen hier nur mit Wasser.. ;)

  4. Re: Jitsi nicht DSGVO-Konform

    Autor: decaflon 27.03.20 - 18:41

    Jedoch ist Jitsi selber installieren nicht schwer, z.B. mit docker-compose:

    https://github.com/jitsi/docker-jitsi-meet

  5. Re: Jitsi nicht DSGVO-Konform

    Autor: regiedie1. 27.03.20 - 19:11

    Ich schmeiß das jetzt einfach mal hier in die Diskussion rein: https://palava.tv ist E2E-verschlüsselt und sogar Peer2Peer. Nutzt WebRTC.

  6. Re: Jitsi nicht DSGVO-Konform

    Autor: Soad1337 27.03.20 - 19:47

    regiedie1. schrieb:
    --------------------------------------------------------------------------------
    > Ich schmeiß das jetzt einfach mal hier in die Diskussion rein: palava.tv
    > ist E2E-verschlüsselt und sogar Peer2Peer. Nutzt WebRTC.

    Dazu würde ich mal sagen gleiches Problem wie bei Jitsi. Hier wird auch webrtc verwendet. E2E Encrypted wenn dann nur bei p2p. Sobalds mehr als 2 Teilnehmer sind isn Server vorhanden der alles entschlüsselt und zusammenfügt.



    1 mal bearbeitet, zuletzt am 27.03.20 19:49 durch Soad1337.

  7. Re: Jitsi nicht DSGVO-Konform

    Autor: 486dx4-160 27.03.20 - 20:54

    Hathawulf schrieb:
    --------------------------------------------------------------------------------
    > Mag schnell mal jemand mit mir drüber nachdenken bzw. meinem Gedanken
    > wiedersprechen wenn ich komplett falsch liege aber:
    >
    > Jitsi ist bei mehr als 2 TeilnehmerInnen nicht verschlüsselt. Wenn ich nun
    > also keinen eigenen Server nutze und diesen entsprechend abgesichert habe,
    > dann verstoße ich damit ja auch gegen die DSGVO. Bzw. müsste ich vorher
    > einen Auftragsverarbeitungs-Vertrag mit dem Betreiber des öffentlichen
    > Jitsi-Server (wie bei Euch @Golem) abschließen.
    >
    > Wird das nicht noch vielen auf den Kopf fallen?

    Einen Auftragsverarbeitungs-Vertrag musst du IMMER abschließen, wenn du Kundendaten aus der Hand gibst. Wenn du den Aufwand scheust musst du eben selbst einen Jitsi-Meet-Server aufsetzen.

    apt-get install nginx-full python3-certbot-nginx
    /usr/bin/certbot --non-interactive --agree-tos --email foo@bar.de --nginx -d deine-domain
    wget -qO - https://download.jitsi.org/jitsi-key.gpg.key | sudo apt-key add -
    sudo sh -c "echo 'deb https://download.jitsi.org stable/' > /etc/apt/sources.list.d/jitsi-stable.list"
    apt-get install jitsi-meet
    -> da dann deinen domainnamen und den pfad zu letsencrypt-key und -Zertifikat angeben
    rm /etc/nginx/sites-enabled/default
    systemctl restart nginx



    1 mal bearbeitet, zuletzt am 27.03.20 20:54 durch 486dx4-160.

  8. Re: Jitsi nicht DSGVO-Konform

    Autor: 486dx4-160 27.03.20 - 22:24

    WillsWissen schrieb:
    --------------------------------------------------------------------------------

    > > Wird das nicht noch vielen auf den Kopf fallen?
    >
    > Wo kein Kläger...

    Das ist eine wirklich beschissene Einstellung.

  9. Re: Jitsi nicht DSGVO-Konform

    Autor: Tommy-L 28.03.20 - 03:56

    WhatsApp ist es auch nicht... Oder gibt es da was neues.

  10. Re: Jitsi nicht DSGVO-Konform

    Autor: LoopBack 28.03.20 - 13:19

    WillsWissen schrieb:
    --------------------------------------------------------------------------------
    > Nur der Transportweg ist verschlüsselt. Eine Ende-zu-Ende Verschlüsselung
    > gibt es auch nicht für zwei Teilnehmer

    Da Jitsi Meet bei zwei Teilnehmern P2P benutzt (auch wenn dazu eventuell TURN genutzt wird, was technisch gesehen nicht P2P ist aber in diesem Kontext gleichwertig) ist Transport-Verschlüsselung und Ende-zu-Ende-Verschlüsselung das gleiche.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. GKV-Spitzenverband, Berlin
  2. Schaeffler Automotive Aftermarket GmbH & Co. KG, Langen
  3. IPB Internet Provider in Berlin GmbH, Berlin
  4. Statistisches Landesamt Rheinland-Pfalz, Bad Ems

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 7,99€
  2. (-74%) 12,99€
  3. ab 1€
  4. 19€


Haben wir etwas übersehen?

E-Mail an news@golem.de


DSGVO: Nicht weniger als Staatsversagen
DSGVO
Nicht weniger als Staatsversagen

Unterfinanziert und wirkungslos - so zeigen sich die europäischen Datenschutzbehörden nach zwei Jahren DSGVO gegenüber Konzernen wie Google und Facebook.
Eine Analyse von Christiane Schulzki-Haddouti

  1. Datenschutzverstöße EuGH soll über Verbandsklagerecht entscheiden
  2. DSGVO Proton vergisst Git-Zugang auf Datenschutzwebseite
  3. DSGVO Iren sollen Facebook an EU-Datenschützer abgeben

Big Blue Button: Wie CCC-Urgesteine gegen Teams und Zoom kämpfen
Big Blue Button
Wie CCC-Urgesteine gegen Teams und Zoom kämpfen

Ein Verein aus dem Umfeld des CCC zeigt in Berlin, wie sich Schulen mit Open Source digitalisieren lassen. Schüler, Eltern und Lehrer sind begeistert.
Ein Bericht von Friedhelm Greis

  1. Mint-Allianz Wir bleiben schlau! Wir bleiben unwissend!
  2. Programmieren lernen Informatik-Apps für Kinder sind oft zu komplex

Energieversorgung: Wasserstoff-Fabrik auf hoher See
Energieversorgung
Wasserstoff-Fabrik auf hoher See

Um überschüssigen Strom sinnvoll zu nutzen, sollen in der Nähe von Offshore-Windparks sogenannte Elektrolyseure installiert werden. Der dort produzierte Wasserstoff wird in bestehende Erdgaspipelines eingespeist.
Ein Bericht von Wolfgang Kempkens

  1. Industriestrategie EU plant Allianz für sauberen Wasserstoff
  2. Energie Dieses Blatt soll es wenden
  3. Energiewende Grüner Wasserstoff aus der Zinnschmelze