News – Seite 4 – Datenschutz

Hinweise der Baden-Württembergischen Aufsichtsbehörde zur Nutzung von Microsoft 365 durch Schulen

Die Landesdatenschutz-Aufsichtsbehörde hat einen intensiven Begutachtungsprozeß zu den Möglichkeiten datenschutzkonformer Anpassungen unternommen. Dieser wurde im April abgeschlossen und kommt im Wesentlichen zu dem Ergebnis, dass eine DSGVO-konforme Nutzung von Office 365 an Schulen nicht umsetzbar ist. Ein Grund besteht darin, dass personenbezogene Daten in die USA übertragen und diese von Microsoft für eigene Zwecke genutzt werden, ohne dass dafür eine geeignete Rechtsgrundlage gegeben ist.

Die Entscheidung ist insofern überraschend, da die Einführung von Office 365 und insbesondere von Microsoft Teams an den Schulen seitens des Baden-Württembergischen Landesministeriums forciert wurde. Das Statement hat somit auch Strahlkraft über das Bundesland und über Schulen hinaus.

Für das kommende Schuljahr 2022/23 sollen die Schulen Alternativen zu Office 365 nutzen bzw. die datenschutzgerechte Nutzung ggü. der Aufsichtsbehörde belegen. Alternativen werden über die „digitale Bildungsplattform“ des Landes angeboten.

Weitere Informationen

LfDI Baden-Württemberg, 25.4.2022:
- Nutzung von MS 365 an Schulen
- Hinweise des LfDI zur Nutzung von Microsoft 365 durch Schulen
Ministerium für Kultus, Jugend und Sport Baden-Württemberg:
- Stellungnahme zur Nutzung von Microsoft 365
- Die Digitale Bildungsplattform
Kuketz-Blog – Datenschutz: Studien, Analysen und Einschätzungen zu Microsoft-Produkten (9. Mai 2022)

Datenschutzgerechter Einsatz von Zoom für Lehrveranstaltungen an Hessischen Hochschulen

Die hessische Aufsichtsbehörde hat sich damit auseinandergesetzt, welche Maßnahmen geeignet sind, um Zoom datenschutzkonform betreiben zu können – auch über die Pandemie hinaus.

„Datenschutzgerechter Einsatz von Zoom für Lehrveranstaltungen an Hessischen Hochschulen“ weiterlesen

Crypto Wars 2.0 – EU Kommission forciert Chatkontrolle in Gesetzentwurf

Wir berichteten bereits darüber, jetzt macht die Kommission ernst mit der digitalen Massenüberwachung:

Alle Dienstanbieter sollen verpflichtet werden,
jede (private) Kommunikation auf kinderpornographische Inhalte zu scannen.

Derzeit ist es noch freiwillig, künftig aber gefordert, dass alle Inhalte kontrolliert werden müssen. Es ist nur eine Frage der Zeit, dass die Begehrlichkeiten der Behörden nicht auf kinderpornographische Inhalte beschränkt bleiben werden, was in einer Domäne funktioniert, kann leicht adaptiert werden.

„Crypto Wars 2.0 – EU Kommission forciert Chatkontrolle in Gesetzentwurf“ weiterlesen

Pilotbetrieb von BigBlueButton an der TU Berlin

Seit Semesterbeginn wird das Portfolio an Videokonferenzdiensten durch das Open Source Videokonferenztool BigBlueButton (BBB) ergänzt, welches von InnoCampus betrieben wird.

Damit steht ein leistungsfähiger Dienst zur Verfügung, der vollständig auf Servern der TU Berlin betrieben wird und deshalb den Anforderungen an einen datenschutzfreundlichen Betrieb in besonderem Maße genügen kann.

In Berlin wird -teilweise seit Beginn der Pandemie- BigBlueButton an den meisten Hochschulen von den Rechenzentren als Videokonferenztool betrieben, um nur einige zu nennen:

Alice-Salomon-Hochschule Berlin (ASH)
Berliner Hochschule für Technik (BHT, ehem. Beuth)
Hochschule für Technik und Wirtschaft Berlin (HTW)
Hochschule für Wirtschaft und Recht Berlin (HWR)
Humboldt-Universität (HUB)
Universität der Künste (UdK)

Weitere Informationen

Sicherheitslücke: 70.000 Datensätze von Nutzer*innen der Unibibliothek Leipzig waren online abrufbar

Eine Webanwendung gab zwei Wochen lang Zugriff auf den Datenbestand, der Namen, E-Mail-Adressen und Bibliothekskarten-Nummer von 70.000 Nutzer*innen enthielt.

Erstaunlicherweise war die Zahl an Datensätzen deutlich höher als die Zahl aktiver Nutzer*innen. Offenbar waren auch inaktive Nutzer*innen betroffen, so dass nunmehr sowohl an der Verbesserung der IT-Sicherheit als auch am Löschkonzept gearbeitet wird.

Weitere Informationen

Uni Leipzig – Sicherheitslücke in der Universitätsbibliothek
heise.de – Unibibliothek Leipzig meldet Sicherheitslücke (Hinweis: Die Webseite bindet Aktivitätenverfolgung und weitere externe Dienste ein)

Positionspapier “Datenschutzkonforme digitale Tools in der Lehre”

Ein Kommentar zum aktuellen Positionspapier der Arbeitsgruppe Digitale Medien der Deutschen Gesellschaft für Hochschuldidaktik (dghd) in Kooperation mit der Gesellschaft für Medien in der Wissenschaft (GMW).

„Positionspapier “Datenschutzkonforme digitale Tools in der Lehre”“ weiterlesen

Erfolg von NOYB: Österreichs Datenschutzbehörde wird aktiv und bescheidet, dass Google Analytics gegen die DSGVO verstößt

Die erste von 101 Beschwerden von Max Schrems‘ Organisation NOYB „None of Your Business“ wurde jetzt positiv beschieden:

Der Einsatz von Google Analytics ist illegal.

Alle wussten es, jetzt müssen die Aufsichtsbehörden aktiv werden: Die Einbindung von Google Analytics und die für die Nutzung vereinbarten Standardvertragsklauseln genügen nicht den Anforderungen der DSGVO und sind mithin nicht zulässig.

„Erfolg von NOYB: Österreichs Datenschutzbehörde wird aktiv und bescheidet, dass Google Analytics gegen die DSGVO verstößt“ weiterlesen

EU-Verordnung plant Scans von Nutzerinhalten auf Endgeräten

Alle Strafverfolger wollen es, Apple hat bereits gezeigt, wie es geht.

Endgeräte scannen, bevor die Kommunikation verschlüsselt wird.

Die EU Kommission lanciert eine Verordnung, die Tech-Unternehmen und Telekommunikations-Anbieter dazu verpflichten soll, Endgeräte der Nutzer*innen und Kommunikation auf strafbare Inhalte zu scannen und diese automatisiert an die Behörden weiterzugeben.

„EU-Verordnung plant Scans von Nutzerinhalten auf Endgeräten“ weiterlesen

Sicherheitslücke bei Komponente log4j gefährdet eine Vielzahl von Systemen

Bei der weitverbreiteten Logging-Komponente log4j 2 ist am Freitag eine schwerwiegende Schwachstelle bekannt geworden, ein Zero-Day-Exploit. Das BSI hat am Wochenende die höchste Warnstufe rot dafür ausgerufen, da es vermehrt zu Angriffen kam.

Das log4j-Framework ist als Java-Bibliothek in viele Systeme integriert, insbesondere bei webbasierten Anwendungen, die dadurch angreifbar sein können.

Die Entwickler der Open Source Software haben umgehend einen Patch und Hinweise zur Abstellung der Schwachstelle veröffentlicht. Eine Anpassung der Systeme ist dringend geboten. An der TU wurden die zentralen Dienste bereits angepasst bzw. sind temporär nur eingeschränkt verfügbar.

Weitere Informationen

heise.de – Schutz vor schwerwiegender Log4j-Lücke – was jetzt hilft und was nicht (Hinweis: die Webseite bindet Aktivitätenverfolgung und andere externe Inhalte ein)
Offizielle Webseite der Apache-Foundation zum Logging-Framework Log4j 2
News der TU/ZECM zum Exploit

Nachtrag vom 15. Dezember

Es ist wohl schlimmer als gedacht: Letztlich handelt es sich um ein grundsätzliches Problem der Spezifikation der Programmiersprache, da diese zur Laufzeit ein (Nach)laden von Variablen und ihren Werten aus externen Quellen erlaubt. Daher sind solche problematische Schwachstellen auch schwer im Code zu erkennen. Überdiese Art von Schnittstellen verfügt nicht nur Java, es ist ein gängiges Konzept. Leider kein Sicherheitskonzept. Zumindest bleibt zu hoffen, dass die log4j-Schwachstelle ein Umdenken anregt.

heise.de – Kommentar zu Log4j: Es funktioniert wie spezifiziert (Hinweis: die Webseite bindet Aktivitätenverfolgung und andere externe Inhalte ein)

Koalitionsvertrag vereinbart Stärkung der Bürgerrechte im Digitalen

Ja!

Der gestern präsentierte Koalitionsvertrag von SPD, Grünen und FDP greift viele Forderungen aus der Zivilgesellschaft auf, u.a.

Überprüfung der Sicherheitsgesetze in einer Überwachungsgesamtrechnung, die wissenschaftlich evaluiert wird
(statt wie bisher: massive Ausweitung der Befugnisse und Staatstrojaner-Einsatz)
Videoüberwachung und biometrische Identifizierungen sollen im öffentlichen Raum (weitgehend) unterbleiben
(statt wie bisher diskutiert: Digitale Kontrolle des öffentlichen Raumes ausweiten)
Meldepflicht von Sicherheitslücken an das BSI durch staatliche Stellen
(statt wie bisher: diese einzukaufen um sie für Onlinedurchsuchungen / Staatstrojaner zu nutzen oder als Angreifer Hackbacks vorzunehmen)
Neuausrichtung des BSI als unabhängigere IT-Sicherheits-Instanz
ein Recht auf sichere Verschlüsselung
(statt wie bisher: Aushöhlung und Hintertüren)
Legalisierung der Aufdeckung von Schwachstellen „responsible disclosure“
(statt wie bisher: Strafverfolgung)
Herstellerhaftung für Schäden, die fahrlässig durch IT-Sicherheitslücken verursacht werden
(statt wie bisher: Bitten um Produktverbesserung)
Ersatzteile und Updates sollen für die gesamte Lebenszeit von Produkten verfügbar sein
(statt wie bisher: Hoffen auf freiwillige Selbstverpflichtung)
Open Source und offene Standards sollen bei öffentlichen Softwareentwicklungsprojekten die Regel sein „public money for public code“
Anonyme / pseudonyme Nutzung von Diensten soll möglich sein
(statt wie bisher diskutiert: Klarnamenpflicht)
Regelungen zur Anonymisierung von Daten sowie Strafbarkeit von De-Anonymisierung

„Koalitionsvertrag vereinbart Stärkung der Bürgerrechte im Digitalen“ weiterlesen