Autor: don't panic

Über das Pseudonym: "Don't panic" ist auf das Cover des legendären elektronischen Reiseführers durch die Galaxis gedruckt, damit ein Anhalter keine Angst verspürt. - The British author Arthur C. Clarke said Douglas Adams' use of "don't panic" was perhaps the best advice that could be given to humanity. cf. Wikipedia

Passwörter adé? Wie sicher sind Passkeys?

Apple, Google und Microsoft führen Passkeys als Standard-Authentifizierung im Web ein. Damit werden Passwörter überflüssig und können nicht mehr gehackt werden.

Moderne Browser unterstützen sie, bald auch Webshops und Dienste wie Facebook & Co.

Hinweis v. 13.5.24:
Seit Februar hat sich einiges getan, u.a. unterstützt der Passwortmanager KeyPassXC mittlerweile Passkeys, so dass darüber eine Unabhängigkeit von Anbietern und ein Austausch über verschiedene Geräte hinweg grundsätzlich möglich ist, die vermutlich aber nur von einem Bruchteil der Anwender genutzt werden wird. Jedoch bleibt der Kritikpunkt bestehen, dass die Anbieter die Passkeys mit eigenen Tools verwalten wollen (und in ihrer Cloud speichern), eine leichtgewichtige, unabhängige und verlässliche Lösung zeichnet sich noch nicht ab.

  • Passkeys kurz erklärt und ihre Pros und Cons.

Spoiler: Es gibt keine Empfehlung zur Nutzung. Warten wir es lieber ab.

„Passwörter adé? Wie sicher sind Passkeys?“ weiterlesen

Kann ich gesammelte E-Mail-Adressen für einen Newsletter oder für Direktwerbung nutzen?

Frage:
Von unserem Bereich wurden im Rahmen von Veranstaltungen und anderen Aktivitäten E-Mail-Adressen von Interessenten erhoben, die wir jetzt für unseren neuen Newsletter verwenden wollen. Ist das datenschutzrechtlich zulässig?

Die kurze Antwort:

Nur dann, wenn eine Einwilligung für den Newsletter erteilt wurde.

Außerdem dürfen Daten nicht länger gespeichert werden als für die ursprüngliche Zweckerfüllung erforderlich ist.

Daten dürfen nicht länger als erforderlich gespeichert werden.

Sofern sie darüber hinaus gespeichert werden, ist das bereits ein Datenschutzverstoss.

Rückfrage:
Gibt es nicht eine Ausnahme für Direktwerbung?

Anwort:
Ja, aber nur in sehr engen Grenzen: Eine weitere Kontaktaufnahme ist nach §7 Absatz 3 UWG zulässig, wenn die E-Mail-Adresse im Zusammenhang mit einem Kauf oder einer Dienstleistung erhoben wurde und auf eigene ähnliche Waren oder Dienstleistungen aufmerksam gemacht werden soll. Die Verwendung für einen Newsletter geht nach üblicher Rechtssprechung darüber hinaus.

Die ausführliche Antwort:

„Kann ich gesammelte E-Mail-Adressen für einen Newsletter oder für Direktwerbung nutzen?“ weiterlesen

HAWKI – Zugang zu ChatGPT 4 für Hochschulangehörige

Die individuelle Nutzung von ChatGPT erfordert die Registrierung mit einer E-Mail-Adresse und (häufig privaten) Mobilnummer. Zudem ist das leistungsfähige ChatGPT 4 mit monatlichen Kosten von derzeit 20€ verbunden. Und der Anbieter OpenAI kann Profile generieren.

Die individuelle Anmeldung ist keine Option für alle Studierenden und Beschäftigten.

Da die Hochschullehre eine hoheitliche Aufgabe ist, kann ChatGPT nicht verpflichtend eingesetzt werden, denn die Offenlegung personenbezogener privater Daten gegenüber Open AI kann nicht eingefordert werden. Aufgrund fehlender Chancengleichheit ist die Zulässigkeit einer freiwilligen Nutzung unter diesen Bedingungen ebenso kritisch zu betrachten.

Es braucht also andere Wege!

Dass generative KI wie ChatGPT im Hochschulalltag heute und künftig eine wichtige Rolle spielt, ist offensichtlich. Im Rahmen der Kultusministerkonferenz (KMK) wird das Bekenntnis dazu gegeben und die Notwendigkeit eines fehlertoleranten Umgangs mit KI-Tools und die Schaffung rechtsicherer und chancengleicher Zugänge gefordert.

An Generativer KI führt kein Weg vorbei!

Die HAWK Hochschule in Hildesheim, Holzminden und Göttingen hat bereits im Januar 2023 eine Open-Source-Software entwickelt, die ChatGPT datenschutzkonform auf Basis eines Interfaces einbindet.

Es ist also möglich:
Datenschutzkonformer Zugang zu ChatGPT.

„HAWKI – Zugang zu ChatGPT 4 für Hochschulangehörige“ weiterlesen

Urteil: Geburtsdatum darf kein Pflichtfeld für die Studierendenparlamentkandidatur sein

Das Oberverwaltungsgericht Hamburg beschied:

Die Pflicht zum Vermerk des Geburtsdatums auf dem Kandidaturbogen zum Studierendenparlament verstößt gegen den in Art. 5 Abs. 1 Buchst. c) DSGVO verankerten Grundsatz der Datenminimierung.

Dem Gericht war die Erforderlichkeit des Geburtsdatums nicht ersichtlich, so dass dieses nicht erhoben werden darf.

„Urteil: Geburtsdatum darf kein Pflichtfeld für die Studierendenparlamentkandidatur sein“ weiterlesen

Chatkontrolle auf Eis, freiwillige Kontrolle soll verlängert werden

Nachdem sich Ende 2023 keine Einigung unter den Mitgliedsstaaten abzeichnete, wird die verpflichtende Chatkontrolle keine Gesetzeskraft vor der EU-Wahl im Mai erhalten.

Die derzeitige Ausnahmeregelung nach der Anbieter wie Meta und Microsoft Chatinhalte auf Kinderpornographie scannen dürfen, soll über August 2024 hinaus verlängert werden.

„Chatkontrolle auf Eis, freiwillige Kontrolle soll verlängert werden“ weiterlesen

Literaturverwaltung mit Zotero

Zotero ist eine Open Source Desktop-Anwendung für die Literaturverwaltung. Es ermöglicht das Sammeln, Organisieren und Zitieren von Quellen und ist damit ein Alternative zu kommerziellen Tools wie Endnote und Citavi.

Zotero kann bibliographische Daten und Volltexte aus dem Internet importieren und Quellen in verschiedenen Stilen zitieren. Notizen und Tags können die Bibliographie ergänzen und strukturieren.

Mittels Plugins für MS Word und Libre Office integriert sich Zotero nahtlos in Textverarbeitungsprogramme, um automatisch Zitate und Bibliographien in verschiedenen Zitierstilen zu erstellen. Mit der Zotero Browser-Erweiterung (Add-on) können bibliographische Daten und Volltexte direkt aus Bibliotheks-Katalogen und vielen Literaturdatenbanken übernommen werden.

„Literaturverwaltung mit Zotero“ weiterlesen

Appell zur Nutzung sozialer Medien – Open Petition

Mit einem offenen Brief wendet sich das neu gegründete Aktionsbündnis neue Soziale Medien an die Hochschulrektorenkonferenz (HRK):

Die Hochschulen in Deutschland werden darin aufgefordert, ihre Auftritte bei X/Twitter „baldmöglichst still zu legen. … Gleichzeitig sollten Präsenzen auf Mastodon und anderen Servern im Fediverse aufgebaut werden, deren dezentrale und moderierte Gestaltung viel eher mit den Regeln eines demokratischen und nachhaltigen Miteinanders vereinbar ist.“

Wir begrüßen die Initiative, die zu einer größeren Unabhängigkeit von den kommerziellen sozialen Medien führen kann, wenn die Hochschulen mit guten Beispiel vorangehen.

Als Erstunterzeichner werben wir dafür, dass ihr die Petition ebenso  unterschreibt!

Weitere Informationen

Neue Outlook-App überträgt Zugangsdaten in die Microsoft-Cloud

Mit der neuen lokal installierbaren Outlook-Desktop-App werden IMAP-Zugangsdaten in die Microsoft-Cloud übertragen.

Sowohl aus Datenschutz- als auch IT-Sicherheitssicht sollte das „neue Outlook“ deshalb keinesfalls genutzt werden.

Microsoft erklärt auf Nachfrage, dass die „Datensynchronisation für konsistente Nutzererfahrung“ erforderlich sei. Anwender*innen können dann ihre Mails sowohl lokal als auch in der MS-365-Cloud abrufen.

Problematisch ist dabei auch, dass die Ausleitung der Logins und Passwörter von Microsoft nicht transparent kommuniziert wird, es gibt lediglich eine Benachrichtigung auf eine erfolgende Datensynchronisation.

Microsofts plant, Anwender*innen „soft“ in die Cloud zu migrieren („wo die Mails schon mal da sind…“), und ermöglicht damit nebenbei, alle E-Mails mitlesen zu können.

=> Betroffene sollten das Produkt umgehend außer Betrieb nehmen und ihr E-Mail-Passwort ändern.

Weitere Informationen:

 

 

Berechtigungen von Browser-Erweiterungen (Addons, Extensions)

Browser-Erweiterungen erleichtern das alltägliche Surfen im Internet – sie reichern die Browser um zusätzliche Funktionen an (Erweiterungen gibt es für Firefox, Chromium/Chrome, Edge, Safari und weitere Browser).

Aus Sicherheits- und Datenschutzsicht sollte aber unbedingt darauf geachtet werden, wie sicher sie sind, d.h. wie die installierten Erweiterungen funktionieren. Es gab bereits einzelne Fälle , die „unerwünschte Nebenwirkungen“ hatten, z.B. indem alle besuchten Websites (URLs) an einen Server übertragen wurden oder über sie Malware eingebunden wurde.

Als Anwender ist es deshalb wichtig, dass nur Erweiterungen vertrauenswürdiger Anbieter installiert werden – bspw. die von Mozilla „empfohlenen“ Erweiterungen wurden geprüft und stark verbreitete Erweiterungen sind zumeist auch sicher, sofern diese als Open Source Software von einer „lebendigen Community“ entwickelt werden umso mehr.

„Berechtigungen von Browser-Erweiterungen (Addons, Extensions)“ weiterlesen

Prüfung der Aufsichtsbehörde: Datenschutzkonformität von Webex ist an der FU Berlin gegeben

Die seit 2021 laufende Prüfung der Videokonferenzplattform Webex an der Freien Universität ist nun abgeschlossen, die Datenschutz-Aufsichtsbehörde des Landes (BlnBDI) hat damit den Einsatz von Cisco Webex an der Universität für zulässig erklärt. Dei Beschwede des AStA

In einem Schreiben an die Hochschule teilte die Behörde mit:

„Grund für diese Entscheidung ist, dass die für uns wesentlichen datenschutzrechtlichen und technischen Defizite abgestellt wurden.“

Die Entscheidung ist auch für andere Hochschulen erfreulich, da Webex vielerorts als Videokonferenzplattform im Einsatz ist, so auch an der TU Berlin.

Sowohl bei den technischen Anpassungen als auch zu den vertraglichen Anforderungen an Cisco gibt es einen Austausch zwischen TU und FU –  datenschutzrechtlich wesentliche Aspekte sind auf dieselbe Weise gelöst, beispielsweise die Beschränkung der Verarbeitung der Meeting-Daten auf europäische Server und die generelle Empfehlung von Ende-zu-Ende-Verschlüsselung für vertrauliche Meetings.

Weitere Informationen

Webex wird auch im Berliner Senat verwendet. Außerdem in der Berliner Justiz für Anhörungen, Gerichtsverhandlungen und Beratungen: