Passwörter adé? Wie sicher sind Passkeys?

Apple, Google und Microsoft führen Passkeys als Standard-Authentifizierung im Web ein. Moderne Browser unterstützen sie, bald auch Webshops und Dienste wie Facebook & Co.

  • Passkeys kurz erklärt und ihre Pros und Cons.

Spoiler: Es gibt keine Empfehlung zur Nutzung. Warten wir es lieber ab.

„Passwörter adé? Wie sicher sind Passkeys?“ weiterlesen

Kann ich gesammelte E-Mail-Adressen für einen Newsletter oder für Direktwerbung nutzen?

Frage:
Von unserem Bereich wurden im Rahmen von Veranstaltungen und anderen Aktivitäten E-Mail-Adressen von Interessenten erhoben, die wir jetzt für unseren neuen Newsletter verwenden wollen. Ist das datenschutzrechtlich zulässig?

Die kurze Antwort:

Nur dann, wenn eine Einwilligung für den Newsletter erteilt wurde.

Außerdem dürfen Daten nicht länger gespeichert werden als für die ursprüngliche Zweckerfüllung erforderlich ist.

Daten dürfen nicht länger als erforderlich gespeichert werden.

Sofern sie darüber hinaus gespeichert werden, ist das bereits ein Datenschutzverstoss.

Rückfrage:
Gibt es nicht eine Ausnahme für Direktwerbung?

Anwort:
Ja, aber nur in sehr engen Grenzen: Eine weitere Kontaktaufnahme ist nach §7 Absatz 3 UWG zulässig, wenn die E-Mail-Adresse im Zusammenhang mit einem Kauf oder einer Dienstleistung erhoben wurde und auf eigene ähnliche Waren oder Dienstleistungen aufmerksam gemacht werden soll. Die Verwendung für einen Newsletter geht nach üblicher Rechtssprechung darüber hinaus.

Die ausführliche Antwort:

„Kann ich gesammelte E-Mail-Adressen für einen Newsletter oder für Direktwerbung nutzen?“ weiterlesen

Literaturverwaltung mit Zotero

Zotero ist eine Open Source Desktop-Anwendung für die Literaturverwaltung. Es ermöglicht das Sammeln, Organisieren und Zitieren von Quellen und ist damit ein Alternative zu kommerziellen Tools wie Endnote und Citavi.

Zotero kann bibliographische Daten und Volltexte aus dem Internet importieren und Quellen in verschiedenen Stilen zitieren. Notizen und Tags können die Bibliographie ergänzen und strukturieren.

Mittels Plugins für MS Word und Libre Office integriert sich Zotero nahtlos in Textverarbeitungsprogramme, um automatisch Zitate und Bibliographien in verschiedenen Zitierstilen zu erstellen. Mit der Zotero Browser-Erweiterung (Add-on) können bibliographische Daten und Volltexte direkt aus Bibliotheks-Katalogen und vielen Literaturdatenbanken übernommen werden.

„Literaturverwaltung mit Zotero“ weiterlesen

Berechtigungen von Browser-Erweiterungen (Addons, Extensions)

Browser-Erweiterungen erleichtern das alltägliche Surfen im Internet – sie reichern die Browser um zusätzliche Funktionen an (Erweiterungen gibt es für Firefox, Chromium/Chrome, Edge, Safari und weitere Browser).

Aus Sicherheits- und Datenschutzsicht sollte aber unbedingt darauf geachtet werden, wie sicher sie sind, d.h. wie die installierten Erweiterungen funktionieren. Es gab bereits einzelne Fälle , die „unerwünschte Nebenwirkungen“ hatten, z.B. indem alle besuchten Websites (URLs) an einen Server übertragen wurden oder über sie Malware eingebunden wurde.

Als Anwender ist es deshalb wichtig, dass nur Erweiterungen vertrauenswürdiger Anbieter installiert werden – bspw. die von Mozilla „empfohlenen“ Erweiterungen wurden geprüft und stark verbreitete Erweiterungen sind zumeist auch sicher, sofern diese als Open Source Software von einer „lebendigen Community“ entwickelt werden umso mehr.

„Berechtigungen von Browser-Erweiterungen (Addons, Extensions)“ weiterlesen

chatGPT und der Datenschutz

ChatGPT ist in aller Munde – die generative KI (Künstliche Intelligenz) hat mittlerweile einen Reifegrad erreicht, die Nutzung dieses und anderer Chatbots ist in vielen Einsatzgebieten denkbar.

An den Hochschulen wird diskutiert und ausprobiert, welche Szenarien sinnvoll und praktikabel sind.

An der TU Berlin hat sich das Berliner Zentrum für Hochschullehre des Themas angenommen. Gearbeitet wird an Handlungsempfehlungen, die eine Hilfestellung geben, wie eine sinnvolle Nutzung von KIs erfolgen könnte.

Dieser Beitrag widmet sich den Datenschutzaspekten.

Zwei zentrale Empfehlungen vorweg:

* Geben Sie nur wenige persönliche Daten preis, u.a. weder private Accounts und E-Mail-Adressen noch ihr korrektes Geburtsdatum.

* Vertrauliche Informationen sollten nicht über chatGPT geteilt werden.

„chatGPT und der Datenschutz“ weiterlesen

E-Mail-Apps für dienstliche Smartphones

Um E-Mails auf einem dienstlichen Mobilgerät abzurufen und senden zu können, gibt es mehrere Möglichkeiten:

  1. Die Weboberfläche des Exchange-Servers der TU Berlin im Browser aufrufen
  2. Die standardmäßig im jeweiligen Betriebssystem vorinstallierte Mail-App nutzen (Mail bei iOS, Gmail bei Android), oder
  3. eine zusätzliche E-Mail-App installieren

Wir diskutieren die Vor- und Nachteile der drei Ansätze.

„E-Mail-Apps für dienstliche Smartphones“ weiterlesen

Open Source Business Alliance: Mindestanforderungen an Cloud-Angebote für die öffentliche Hand

Cloud-Lösungen werden künftig für staatliche Einrichtungen, Behörden und Bildungseinrichtugnen eine große Rolle spielen. Auf dem Weg zu digitaler Souveränität sind deshalb angemessene Vorgaben wichtig, um Sicherheit und Datenschutz der Anwendungen garantieren zu können. Diese sollten fester Bestandteil öffentlicher Ausschreibungen werden.

Die OSB-Alliance, der Bundesverband von Open Source Anbietern und Anwendern, hat dazu ein Positionspapier veröffentlicht.

Dieses formuliert aus ihrer Sicht erfüllbare Kriterien, die bei der Umsetzung von Cloud-Diensten im öffentlichen Sektor berücksichtigt werden sollen.

Sie formulieren zwei Kernziele für die digitale Souveränität:
  1. Wirkungsvoller Schutz von persönlichen Daten der Bürger*innen und vertraulichen Informationen  vor unerlaubtem Zugriff.
    Der Staat bzw. seine Behörden müssen jederzeit die Kontrolle darüber bewahren, wer, wann und unter welchen Umständen auf welche Daten zugreifen darf.
  2. Unabhängigkeit der Einsatzfähigkeit digitaler Infrastrukturen von anderen Staaten oder Unternehmen.
    Wirtschaftliche Abhängigkeiten und die Gefahr daraus resultierender politischer Zwänge müssen vermieden werden, um elementare staatliche Funktionen sicherzustellen und für Krisen- oder Katastrophenfällen widerstandsfähig, d.h. „resilient“, zu sein .

Diese beiden Fähigkeiten zur (1) Kontrolle von Datenflüssen sowie zur (2) Nutzung und Gestaltung von Informationstechnologie tragen entsprechend dem Papier zur digitalen Souveränität einer Organisation, einer Einzelperson oder von ganzen Staaten bei.

Wenig überraschend benennen sie Transparenz, Nachvollziehbarkeit und Überprüfbarkeit auf Code-Basis als wesentliche Aspekte für die Sicherheit von Cloud-Diensten. Mögliche Ableitungen von Daten sind nur dadurch zu vermeiden – Open Source Code sei (auch) deswegen für alle Teile von Cloud-Anwendungen zu bevorzugen.

Neben vielen weiteren Punkten wird (Daten-)portabilität eingefordert, um dem Lock-in-Problem zu begegnen: Es muss möglich sein, den Cloud-Anbieter zu wechseln (sonst gern als Multi-Cloud-Strategie bezeichnet).

Warum ist all das überhaupt erwähnenswert?

Leider sieht es bei Cloud-Anwendungen zur Zeit nicht danach aus, dass die oben genannten Punkte erfüllt werden können.

Der Cloud-Markt wird derzeit durch die großen US-Firmen bestimmt, d.h. Amazon mit AWS, Microsoft mit Azure und Google mit Google Cloud. Sie bieten nur Garantien vertraglicher Art – unabhängige und regelmäßige Code-Überprüfungen, wie sie in etablierten Open Source Projekten üblich sind, gibt es nicht.

Die Auftraggeber müssen darauf vertrauen, dass in den Rechenzentren der Anbieter alles mit rechten Dingen zugeht.

Die dort eingesetzte Cloud-Technologie ist -zumindest bei Platform as a Service (PaaS) und Software as a Service (SaaS)– Anbieter-spezifisch, proprietär und nicht Open Source. Der Auftraggeber kann somit keine echte Kontrolle über die Verarbeitungstätigkeiten haben, d.h. wer Zugriff auf Daten und Code hat und wo diese verarbeitet werden. Ein Wechsel von Anwendungen weg von einem dieser Anbieter ist ein unvorhersagbares Mammut-Projekt – es ist ein Lock-in gegeben.

Mittlerweile sind die Open Source Cloud-Technologien wie Open Stack weit ausgereift, mit ihrer Leistungsfähigkeit sind sie eine echte Alternative zu den kommerziellen US-amerikanischen Diensten. Auch in Deutschland gibt es kommerzielle Anbieter Open Source-basierter Cloud-Lösungen, so dass größere Anwendungen auch außerhalb des eigenen Rechenzentrums betrieben werden können.

Insofern sollten öffentliche Einrichtungen bei Cloud-Technologien von vornherein auf Open Source statt auf proprietäre Lösungen setzen.

Möglicherweise sind die US-amerikanischen Cloud-Anbieter durch Vergaberichtlinien für öffentliche Aufträge davon zu überzeugen, dass sie künftig (auch) auf Open Source setzen (Open Source bedeutet an dieser Stelle, dass der Code transparent ist, die Software jedoch u.U. nur mit Lizenzkosten nutzbar).

Weitere Informationen

 

Vorratsspeicherung ade – EuGH kippt deutsche Regelung

Der Eingriff in die Grundrechte sei nicht verhältnismäßig, insbesondere die anlasslose Vorratsspeicherung von Verkehrs- und Standortdaten. Eine allgemeine Speicherung von IP-Adressen und die gezielte Vorratsdatenspeicherung zur Bekämpfung schwerer Kriminalität kann aber von den Mitgliedsstaaten geregelt werden.

Die seit Jahren anhaltende Diskussion um die allgemeine Vorratsdatenspeicherung sollte mit dem Urteil ein Ende finden – auch wenn immer wieder vereinzelt Forderungen danach zu hören waren, zuletzt von der Innenministerin Faeser. Eine Nachfolgeregelung wird es wohl geben, diese muss aber deutlich weniger Daten speichern, wenn sie das EuGH-Urteil umsetzen soll.

Aus der Pressemitteilung:

Ein solcher Satz von Verkehrs und Standortdaten, die zehn bzw. vier Wochen lang gespeichert werden, kann aber sehr genaue Schlüsse auf das Privatleben der Personen, deren Daten gespeichert wurden etwa auf Gewohnheiten des täglichen Lebens, ständige oder vorübergehende Aufenthaltsorte, tägliche oder in anderem Rhythmus erfolgende Ortsveränderungen, ausgeübte Tätigkeiten, soziale Beziehungen dieser Personen und das soziale Umfeld, in dem sie verkehren , und insbesondere die Erstellung eines Profils dieser Personen ermöglichen.“

Weitere Informationen

D*ie Datenschutzbeauftragte verbietet das! – Oder doch nicht?

Sehr oft hört mensch im beruflichen Kontext die Aussage: „Das dürfen wir so nicht machen, unser*e Datenschutzbeauftragte*r hat das verboten.

Aber hat er* sie das wirklich?

Kurze Antwort vorab: Nein, dieses Recht steht ih*r nicht zu!

Aber wozu gibt es dann die Datenschutzbeauftragten?

De*m Datenschutzbeauftragten eines Betriebs, einer Behörde oder eines Unterbehmens obliegt u.a. die Aufgabe der Beratung der Leitungsebene sowie der gesamten Belegschaft in allen datenschutzrechtlichen Fragen. Auch hat sie*er die Einhaltung aller datenschutzrechtlichen Bestimmungen zu überwachen. Allerdings steht de*r Datenschutzbeauftragten kein Weisungsrecht zu.

Demnach muss Er*Sie nicht datenschutzkonforme Verarbeitungsvorgänge beanstanden, hat aber kein Recht diese zu verbieten oder zu erlauben.

Entscheidungen über die Umsetzung von Verarbeitungsvorgängen  trifft ausschließlich die Leitungsebene, ggf. die nachgeordneten Führungskräfte. Sie sind Verantwortliche im Sinne der Datenschutzgrundverordnung  und somit auch verantwortlich für die Einhaltung der bei der Verarbeitung personenbezogener Daten gebotenen organisatorischen und technischen Sicherheit und aller datenschutzrechtlichen Vorschriften.

Fazit:

Verbieten oder erlauben dürfen nur die Leitungsebene, bzw. die nachgeordneten Führungskräfte.

D*ie Datenschuztbeauftragte darf ausschließlich Empfehlungen abgeben.

Vielleicht ist es manchmal einfach bequemer oder leichter d*en Datenschutzbeauftragte*n als Buhmenschen vorzuschieben.