Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Keybase ist eine Plattform für Ende-zu-Ende-verschlüsselte Nachrichten, Dateifreigabe und Identitätsverifikation, 2020 von Zoom übernommen. Sie bietet Chat (1:1 und Gruppe), verschlüsselten Dateispeicher (KBFS), verschlüsselte Git-Repositories und ein kryptografisches Identitätsbeweissystem, das Konten mit Social-Media-Handles verknüpft. Obwohl Nachrichteninhalte Ende-zu-Ende-verschlüsselt sind, verarbeitet Keybase Metadaten (Absender, Empfänger, Zeitstempel, IPs, Geräte-IDs) auf US-Infrastruktur und ist damit für DSGVO-Transferbewertungen relevant.
Keybase startete 2014 als öffentliches Verzeichnis, das PGP-Schlüssel mit verifizierten Social-Identitäten (Twitter, GitHub, Websites) verknüpft. Daraus entwickelte sich eine vollständige E2E-verschlüsselte Kommunikationsplattform mit Chat, Teams, verschlüsseltem Dateispeicher (KBFS), verschlüsselten Git-Repositories und Stellar-Wallet-Anbindung. 2020 wurde Keybase von Zoom Video Communications übernommen, um Zooms E2E-Fähigkeiten zu stärken. Die aktive Produktentwicklung hat sich seitdem verlangsamt, der Dienst läuft jedoch weiter und die Open-Source-Clients werden weiter gepflegt.
Trotz E2E verarbeitet Keybase umfangreiche Metadaten: Benutzername, optionale E-Mail, öffentliche PGP-Schlüssel, Identitätsnachweise auf Social-Plattformen, Freundesnetzwerk und Team-Mitgliedschaften, Geräte-IDs (eine je Installation), IP pro Sitzung, Zeitstempel der Nachrichten, Dateigrößen und Chat-Zähler. Verschlüsselte Inhalte werden auf Keybase-Servern abgelegt, sind aber von Zoom nicht entschlüsselbar. Der Web-Client keybase.io setzt beim Login Sitzungs-, und CSRF-Cookies.
Keybase verarbeitet personenbezogene Daten von EU-Nutzern (Benutzername, E-Mail, IP, Sozialgraph) und unterliegt damit der DSGVO. Da Zoom in den USA ansässig ist, sind Transfers an Zoom-Server in den USA über SCC und das EU, US Data Privacy Framework abzusichern. Die Metadaten sind für sich genommen risikoarm, können jedoch Kommunikationsmuster und Identitätsverknüpfungen offenlegen, die in bestimmten Kontexten (Journalismus, Aktivismus, regulierte Berufe) sensibel sind.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Für Privatpersonen ist die Registrierung bei Keybase Vertragserfüllung (Art. 6(1)(b) DSGVO), da der Dienst von der betroffenen Person verlangt wird. Bei organisationsseitigem Einsatz mit Beschäftigten sind Vertragserfüllung und das berechtigte Interesse an sicherer Kommunikation übliche Grundlagen, verbunden mit Informationspflichten. Für Cookies im Web-Client greift die ePrivacy-Richtlinie; nicht zwingend erforderliche Cookies brauchen Einwilligung.
Seit 2020 wird Keybase von Zoom (US) betrieben, Infrastruktur AWS in den USA. Damit fällt Keybase eindeutig in die US-Transferkategorie. SCC gelten, Zoom ist im EU, US Data Privacy Framework zertifiziert, und die starke E2E-Verschlüsselung der Inhalte bietet eine substantielle zusätzliche Schutzmaßnahme. Für sensible Einsatzszenarien sollte eine TIA durchgeführt werden.
Für organisationsseitigen Einsatz schließen Sie den Zoom-AVV (umfasst Keybase) ab, dokumentieren Sie Keybase im Verzeichnis, führen Sie für US-Transfers eine TIA durch, informieren Sie Nutzer (Beschäftigte oder Mitglieder), wählen Sie nicht-identifizierende Gerätenamen, vermeiden Sie, mit Keybase-Identitätsnachweisen private und berufliche Konten zu verknüpfen, und prüfen Sie eine Migration zu aktiv entwickelten Alternativen für langfristige Roadmap-Sicherheit.
Websites using Keybase must obtain user consent under GDPR regulations.
DPIA considerations
Keybase verarbeitet Benutzernamen, E-Mail, öffentliche PGP-Schlüssel, Identitätsnachweise auf Social-Plattformen, Freundesnetzwerk, Team-Mitgliedschaften, Geräte-IDs (eine je Installation), IP pro Sitzung sowie Chat-Metadaten (Zeitstempel, Nachrichtenzahlen, Dateigrößen), während der Inhalt Ende-zu-Ende-verschlüsselt ist. Wesentliche DSFA-Aspekte: (1) seit 2020 gehört Keybase zu Zoom (US) und erbt die US-Transferposition; (2) Metadaten können Sozialgraphen und Kommunikationsmuster offenbaren, auch ohne Inhaltszugriff; (3) öffentliche Identitätsnachweise verknüpfen Konten mit Social-Handles und sind durchsuchbar; (4) Kontolöschung entfernt nicht immer sofort sämtliche Server-Metadaten; (5) Keybase wird nicht mehr aktiv weiterentwickelt; die langfristige Roadmap ist unsicher.
Sample consent text
Wir nutzen Keybase für Ende-zu-Ende-verschlüsselte Kommunikation. Inhalte werden clientseitig verschlüsselt, dennoch verarbeitet Keybase (Eigentum von Zoom Video Communications, USA) Metadaten wie Ihren Benutzernamen, Ihre IP und Ihren Kontaktgraphen in den USA gestützt auf SCC und das EU, US Data Privacy Framework. Sie können diesen Zugriff jederzeit durch Löschen Ihres Keybase-Kontos widerrufen.
Third-party domains contacted
keybase.ioapi.keybase.iokeybaseusercontent.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| session | Strictly Necessary | Session | Web client session cookie used to maintain authenticated state on keybase.io. |
| csrf | Strictly Necessary | Session | Cross site request forgery protection token for the keybase.io web interface. |
Keybase ist ein essenzieller Dienst, aber Transparenz ist wichtig. Verwalten Sie Ihre gesamte Einwilligung mit FlowConsent.
Keybase ist primär ein Desktop-, und Mobil-Client. Die Web-Version keybase.io setzt Sitzungs-, und CSRF-Cookies auf keybase.io nur für angemeldete Nutzer, nicht für anonyme Besucher öffentlicher Profile. Es gibt kein Tracking-Widget für Kunden-Websites.
Für Privatpersonen ist Einwilligung nicht die Grundlage; Rechtsgrundlage ist die Vertragserfüllung. Bei organisationsseitigem Einsatz gegenüber Beschäftigten greifen Vertrag oder berechtigtes Interesse, mit Informationspflicht. Cookie-Einwilligung gilt für den Web-Client keybase.io.
Vertragserfüllung (Art. 6(1)(b) DSGVO) für den Messaging-Dienst und berechtigtes Interesse (Art. 6(1)(f)) für Sicherheits-Telemetrie. Marketingkommunikation durch Zoom zu Keybase-Produkten würde Einwilligung nach Art. 6(1)(a) erfordern.
Ja. Seit der Übernahme durch Zoom 2020 wird die gesamte Infrastruktur von Zoom auf AWS in den USA betrieben. Transfers stützen sich auf SCC und das EU, US Data Privacy Framework, in dem Zoom zertifiziert ist.
Eine DSFA wird empfohlen, sobald eine Organisation Keybase einsetzt, insbesondere bei sensiblen Anwendungsfällen (Journalismus, Gesundheit, Recht, regulierte Branchen). E2E ist eine starke zusätzliche Schutzmaßnahme, aber der Metadaten-Transfer in die USA rechtfertigt eine dokumentierte Bewertung nach Art. 35 DSGVO.
Bei organisationsseitigem Einsatz schließen Sie den Zoom-AVV ab, dokumentieren Sie Keybase im Verzeichnis, führen Sie eine TIA durch, informieren Sie Nutzer (Beschäftigte oder Mitglieder) intern, bevorzugen Sie nicht-identifizierende Gerätenamen und prüfen Sie EU-E2E-Alternativen für volle EU-Residenz.
Element (Matrix-Protokoll, in der EU self-hostbar), Threema (Schweiz), Signal (US-Non-Profit), Wire (Schweiz und Deutschland), Olvid (Frankreich) und Tutanota (Deutschland) sind E2E-Alternativen. Für vollständige EU-Residenz und Roadmap-Sicherheit sind Element mit EU-Hosting oder Wire am nächsten vergleichbar.
Nennen Sie Keybase (Zoom Video Communications Inc., USA) als Auftragsverarbeiter für Kommunikation und Identität, listen Sie die Metadaten-Kategorien (Benutzername, E-Mail, IP, Kontaktgraph, Geräte-IDs, Nachrichten-Metadaten) und weisen Sie darauf hin, dass Inhalte E2E-verschlüsselt sind, die Rechtsgrundlage, die Aufbewahrung, das US-Hosting und den Transfer-Mechanismus (SCC, Data Privacy Framework).