Online-Tools für die Lehre: Whiteboard-Tools und die Einbindung US-amerikanischer Dienste.

Bereits im Wintersemester 2020/21 haben wir uns zusammen mit engagierten Lehrenden und der ZEWK auf die Suche nach datenschutzkonformen Online-Tools begeben.

Insbesondere Whiteboard-Tools werden gern in der Lehre genutzt.

Wir haben uns drei Tools (Miro, Contextboard und Collaboard) näher angesehen und konnten einen Anbieter sogar motivieren, sein Tool Collaboard datenschutzfreundlich anzupassen.

„Online-Tools für die Lehre: Whiteboard-Tools und die Einbindung US-amerikanischer Dienste.“ weiterlesen

IT-Angriff auf die TU – Arbeitsfähigkeit erhalten ⚐

⚐ updated am 7. Mai

Die TU ist Opfer eines IT-Angriffs geworden, viele Dienste sind aus Sicherheitsgründen seit Freitag, dem 29. April abgeschaltet und es wird intensiv an einer Wiederherstellung der Services gearbeitet.

Wie kann die temporäre Arbeitsfähigkeit datenschutzkonform sichergestellt werden?

„IT-Angriff auf die TU – Arbeitsfähigkeit erhalten ⚐“ weiterlesen

Crypto Wars – der Kampf um Verschlüsselung

Als Crypto Wars werden staatliche Aktivitäten bezeichnet, vertrauliche Kommunikation technisch und rechtlich zu erschweren und diese letztendlich unmöglich zu machen. Vertrauliche Kommunikation wird dabei als problematisch, wenn nicht sogar als gefährlich und kriminell eingestuft, die gesamte Kommunikation soll abgehört und mitgelesen werden können. Gegner sind dabei Akteure der Zivilgesellschaft, die teilweise auch Unterstützung in Politik und Wirtschaft finden.

Verschlüsselung ist mittlerweile weitverbreitet:
  • Webseiten und E-Mails werden überwiegend mit SSL/TLS verschlüsselt übertragen,
  • Messenger wenden Ende-zu-Ende-Verschlüsselung an,
  • VoIP-Telefonie und Videokonferenzen erlauben Verschlüsselung und
  • selbst E-Mails werden zunehmend mit S/Mime oder PGP verschlüsselt statt als Klartext gesendet

„Crypto Wars – der Kampf um Verschlüsselung“ weiterlesen

Verbesserte Vertragsbedingungen nach gemeinsamen Verhandlungen von HU und TU mit Zoom

Nach dem Urteil des EuGH „Schrems 2“ im Sommer letzten Jahres nahmen beide Berliner Universitäten gemeinsame Verhandlungen mit Zoom auf. Beteiligt waren neben den Fachverantwortlichen auch die Datenschützer*innen beider Einrichtungen.

Wir konnten in mehreren intensiven Verhandlungsrunden mit Zoom bewirken, dass wesentliche Anforderungen an den Datenschutz im neuen Vertrag berücksichtigt werden und dieser allen Berliner Hochschulen von Zoom angeboten wird.

Soweit uns bekannt sind die vereinbarten Änderungen weitreichender als die sonst ausgehandelten Verträge zu kommerziellen Videokonferenz-Tools.

Parallel verhandelten andere deutsche Hochschulen mit Zoom – teilweise auch bundeslandweit, Bayern konnte beispielsweise ein sogenanntes Master Service Agreement (MSA) vereinbaren, in dem ausschließlich deutsches Recht für den Vertrag gilt.

Dank der bundesweiten Vernetzung der Hochschulen konnten wir dieses MSA übernehmen und die von den Berliner Universitäten ausgehandelten Vereinbarungen im sogenannten Data Processing Agreement (DPA) bilden die Grundlage eines Higher Education Deutschland DPA, welches anderen deutschen Hochschulen als Vertragsgrundlage dienen wird.

Verbesserungen im Data Processing Agreement (DPA)

Es wurde verbindlich vereinbart, dass die Rechenzentrumsregion ausgewählt werden kann (sogenannte Lokalisierung), so dass

  • Real-Time-Meeting-Daten nur über Datenzentren in der EU geleitet werden,
  • Cloud Recordings nur in der EU gespeichert werden (wird an der TU nicht genutzt) und
  • ruhende Daten (Data at Rest) primär in der EU gespeichert werden.

Zusätzlich wurden Klarstellungen zu internationalen Datenflüssen und zu weiteren technischen und organisatorischen Maßnahmen erreicht.

Zoom darf nach den neuen Verträgen personenbezogene Daten ausschließlich zum Zweck der Vertragserfüllung nutzen und nicht für andere Zwecke.

Die Unterauftragnehmer sind abschließend aufgelistet. Bevor weitere Unterauftragnehmer beauftragt werden, muss Zoom nunmehr die Hochschulen informieren. Diese können der Beauftragung widersprechen.

Weiterhin wurden Zusagen bzgl. der Ende-zu-Ende-Verschlüsselung erreicht.

Auch wenn trotz dieser signifikanten Verbesserungen keine vollständige Verarbeitung der personenbezogenen Daten innerhalb der EU und in Ländern mit gleichwertigem Datenschutzniveau sichergestellt werden kann, ist es dank der Vereinbarungen und zusätzlicher Maßnahmen wie der Ende-zu-Ende-Verschlüsselung oder dem Betrieb des Zoom Connectors im TU-eigenen Rechenzentrum möglich, ein deutlich besseres Schutzniveau als bislang zu erreichen.

Der Vertrag kann zwar nicht als datenschutzrechtlich unbedenklich bewertet werden, jedoch sind wir überzeugt, dass die bestmöglichen Vereinbarungen getroffen werden konnten.

Hinweise der Berliner Aufsichtsbehörde zu Videokonferenz-Tools

In den am 18.2.2021 aktualisierten Hinweisen der Beauftragten für Datenschutz und Informationssicherheit (BBDI) zum Einsatz von ViKo-Tools gibt es ausführliche Anmerkungen zu Zoom, die wir geprüft und mit unserem Vertrag abgeglichen haben. Dabei konnten wir feststellen, dass die Monita der BBDI überwiegend nur für das globale DPA, jedoch nicht für den ausgehandelten Vertrag gelten. Einige wenige auch für uns geltenden Einwände werden in den bereits mit Zoom vereinbarten Follow-up-Verhandlungsrunden besprochen und können hoffentlich abschließend geklärt werden.

Fazit

Von uns wird positiv eingeschätzt, dass Zoom die im Laufe des letzten Jahres bekannt gewordenen Schwachstellen zügig geschlossen hat und das Produkt um viele aus Datenschutz-Sicht sinnvolle Funktionen erweitert hat, bspw. verbesserte Verschlüsselungsmechanismen, den Ausbau der EU-Datacenter und die Möglichkeit, den Betrieb weitgehend auf diese zu beschränken. Die vertragliche Reduzierung der Subauftragnehmer wird ebenso positiv bewertet, da dadurch Datenflüsse an Dritte reduziert werden konnten.

Ergänzend möchten wir noch anmerken, dass wir mit InnoCampus im engen Austausch zu den Optionen und globalen Einstellungen von Zoom stehen und insgesamt eine sehr Datenschutz-freundliche Konfiguration eingestellt ist. Nähere Informationen dazu sowie verschiedene Anleitungen (Ende-zu-Ende-Verschlüsselung, Zoom Connector) sind auf der Webseite von InnoCampus zu Zoom abrufbar.

Insgesamt bietet Zoom sowohl vertraglich, funktionell und aus Datenschutz-Sicht eine gute Lösung, gerade auch im Vergleich mit den Mitbewerbern. Zoom kann zwar von uns aus den oben genannten Gründen nicht als datenschutzrechtlich unbedenklich eingestuft werden, aufgrund der Alternativlosigkeit für große Veranstaltungen halten wir die Nutzung aus Datenschutz-Sicht für vertretbar. Wir konnten zusätzliche Maßnahmen mit Zoom vereinbaren („additional safeguards“), um den aus dem Urteil des EuGH „Schrems 2“ folgenden Anforderungen der Datenschutzaufsichts­behörden Folge zu leisten.

Außerdem begrüßen wir, dass die TU sich für den Betrieb von Open Source Videokonferenz-Tools einsetzt. Wir setzen auch darauf, dass sich die ersten positiven Erfahrungen der Humboldt-Universität mit dem Betrieb von BigBlueButton bestätigen und die TU daran partizipiert.

Weitere Informationen

 

 

Ende-zu-Ende-Verschlüsselung für vertrauliche Meetings bei Zoom und Webex

Die Übertragung der Audio- und Videodaten wird zwar verschlüsselt, auf den Servern der Diensteanbieter in der Cloud werden die Daten aber oft unverschlüsselt verarbeitet.

Um den Zugriff Dritter auf vertrauliche Meetings zu erschweren, kann bei Webex und Zoom vom Gastgeber Ende-zu-Ende-Verschlüsselung (E2E) aktiviert werden.

„Ende-zu-Ende-Verschlüsselung für vertrauliche Meetings bei Zoom und Webex“ weiterlesen

Umfang des Auskunftsersuchen von (ehemaligen) Beschäftigten

In Ihrem Jahresbericht 2019 äußert sich die Berliner Beauftragte für Datenschutz und Informationsfreiheit über den Umfang des Auskunftsersuchens nach Art. 15 DSGVO von ehemaligen Beschäftigten.

„Umfang des Auskunftsersuchen von (ehemaligen) Beschäftigten“ weiterlesen

Wie können geheime Online-Abstimmungen durchgeführt werden?

In Pandemiezeiten sind wir gezwungen, Gremiensitzungen und die darin notwendigen Abstimmungen online durchzuführen.

Wir diskutieren hier, wie geheime Abstimmungen online durchgeführt werden können und zeigen einige Grenzen auf.

Außerdem verweisen wir auf eine ausführliche Anleitung für das Abstimmungstool in Webex.

„Wie können geheime Online-Abstimmungen durchgeführt werden?“ weiterlesen

Mac-Nutzer*innen: Update der Zoom-App vornehmen, da diese Ton aufzeichnet.

Betroffen ist nach unseren Erkenntnissen die Version 5.4.4 für MacOS, die am 23. November 2020 ausgerollt wurde. Bei Version 5.4.6 vom 8. Dezember scheint das eigentümliche Verhalten nicht mehr aufzutreten.

Mac-Nutzer*innen ist dringend anzuraten die Zoom-Desktop-App mindestens auf die Version 5.4.6 upzudaten. Stand heute ist Version 5.4.7 verfügbar.

„Mac-Nutzer*innen: Update der Zoom-App vornehmen, da diese Ton aufzeichnet.“ weiterlesen

BND sucht Hacker für Staats-Trojaner und Cyber-Angriffe auf alle Arten von Endgeräten

Kaum ist das Gesetzvorhaben auf dem Weg, ist klar wohin die Reise geht:

Jetzt wird in die Hände gespuckt und die Sache ernsthaft angegangen. Die Aufgaben des neuen BND-Hackers sind:

  • Entwicklung und Programmierung einzigartiger, individuell entwickelter Werkzeuge zur Aufklärung und Informationssammlung von Computersystemen, Netzwerken und mobilen Endgeräten
  • Entwicklung und Erprobung neuer Verfahren und Methoden im Bereich Cyber Intelligence
  • Software Reverse Engineering von quellenoffener und nicht quellenoffener Software
  • Analyse von Schwachstellen in Programmen und Betriebssystemen

Vermutlich werden die gefundenen Schwachstellen nicht als CVEs gemeldet, sondern sollen für Cyber-Angriffe auf Endgeräte genutzt werden.

„BND sucht Hacker für Staats-Trojaner und Cyber-Angriffe auf alle Arten von Endgeräten“ weiterlesen

Videoüberwachung von schriftlichen Online-Prüfungen im datenschutzrechtlichen Fokus

Obwohl an der TU Berlin unseres Wissens nach keine Videoüberwachung bei Online-Klausuren praktiziert wird, haben wir uns der Fragestellung angenommen und geprüft, inwieweit diese möglich wäre.

Wir kommen zur folgenden datenschutzrechtlichen Einschätzung:

Derzeit ist eine Videoüberwachung von Online-Klausuren nicht zulässig.

Und:

Soweit eine solche geplant ist, bedarf es einer landesgesetzlichen Rechtsgrundlage.

„Videoüberwachung von schriftlichen Online-Prüfungen im datenschutzrechtlichen Fokus“ weiterlesen