Die Stellungnahme des behördlichen Datenschutzes ist ein zentrales Element für die ordnungsgemäße Umsetzung von Verarbeitungstätigkeiten personenbezogener Daten.
Im Kurzpapier legen wir dar, welche Aufgaben den Verantwortlichen und welche dem behördlichen Datenschutz gesetzlich zugeordnet sind und wie die datenschutzrechtliche Stellungnahme einzuordnen ist.
Seit dem Angriff auf die Windows-Systeme der TU mit einem Verschlüsselungstrojaner im April 2021 waren – und sind es zum Teil bis heute – sämtliche TU-Angehörige von den Auswirkungen des Vorfalls in Form von ausgefallenen bzw. eingeschränkten Diensten betroffen.
Mittlerweile sind die meisten Dienste wieder verfügbar bzw. durch Alternativen ersetzt worden, für die die verbliebenen Arbeiten an den Diensten der ZECM gibt es eine Roadmap. Einige Dienste wurden außer Betrieb genommen, bspw. tubmeeting, MS Sharepoint und WebAFS.
Die TU hat aus dem Vorfall gelernt und hart daran gearbeitet, die IT-Systeme sicher neu aufzustellen.
Seit Semesterbeginn wird das Portfolio an Videokonferenzdiensten durch das Open Source Videokonferenztool BigBlueButton (BBB) ergänzt, welches von InnoCampus betrieben wird.
Damit steht ein leistungsfähiger Dienst zur Verfügung, der vollständig auf Servern der TU Berlin betrieben wird und deshalb den Anforderungen an einen datenschutzfreundlichen Betrieb in besonderem Maße genügen kann.
In Berlin wird -teilweise seit Beginn der Pandemie- BigBlueButton an den meisten Hochschulen von den Rechenzentren als Videokonferenztool betrieben, um nur einige zu nennen:
Mit dem Inkrafttreten des
„Gesetz(es) zur Änderung des Infektionsschutzgesetzes und weiterer Gesetze anlässlich der Aufhebung der Feststellung der epidemischen Lage von nationaler Tragweite“
zum 24.11.2021 ist der § 28b neu ins Infektionsschutzgesetz eingefügt worden.
Danach müssen alle Arbeitgeber*innen ab sofort sicherstellen und nachweisen, dass ausschließlich geimpfte, genesene oder getestete Beschäftigte die Arbeitsstätte betreten.
Gleichzeitig sind alle Beschäftigten verpflichtet, einen Impfnachweis, einen Genesenennachweis oder einen tagesaktuellen Testnachweis innerhalb der Arbeitsstätte mit sich zu führen, zur Kontrolle zur Verfügung zu halten oder bei ihren Arbeitgeber*innen zu hinterlegen.
Zu den Erfahrungen mit den Folgen des Cyberangriffs seit April beantwortete Mattis Neiling als Datenschutzbeauftragter Fragen in einem Panel der 4. Jahrestagung Cybersecurity am 28.10.2021. Er stellte dabei einige auch aus Sicht des Datenschutzes wichtige Punkte in den Vordergrund, die in diesem Beitrag näher ausgeführt werden:
Antworten auf einige Fragen werden im Anschluss daran dargestellt, u.a. eine Chronologie der Ereignisse in Folge des Cyberangriffs seit Ende April.
„Vor – während – nach einem Cyberangriff: Wie am besten reagieren?“ weiterlesen
Die TU ist Opfer eines IT-Angriffs geworden, viele Dienste sind aus Sicherheitsgründen seit Freitag, dem 29. April abgeschaltet und es wird intensiv an einer Wiederherstellung der Services gearbeitet.
Wie kann die temporäre Arbeitsfähigkeit datenschutzkonform sichergestellt werden?
„IT-Angriff auf die TU – Arbeitsfähigkeit erhalten“ weiterlesen
Nach dem Urteil des EuGH „Schrems 2“ im Sommer letzten Jahres nahmen beide Berliner Universitäten gemeinsame Verhandlungen mit Zoom auf. Beteiligt waren neben den Fachverantwortlichen auch die Datenschützer*innen beider Einrichtungen.
Wir konnten in mehreren intensiven Verhandlungsrunden mit Zoom bewirken, dass wesentliche Anforderungen an den Datenschutz im neuen Vertrag berücksichtigt werden und dieser allen Berliner Hochschulen von Zoom angeboten wird.
Soweit uns bekannt sind die vereinbarten Änderungen weitreichender als die sonst ausgehandelten Verträge zu kommerziellen Videokonferenz-Tools.
„Verbesserte Vertragsbedingungen nach gemeinsamen Verhandlungen von HU und TU mit Zoom“ weiterlesen
Die Arbeitsgemeinschaft der Berliner Personalräte und Datenschutzbeauftragten der Berliner Hochschulen zu IT-Fragen hat ein Positionspapier verabschiedet, indem die Hochschulen aufgefordert werden, starkes Engagement für den Betrieb und die Weiterentwicklung von Open-Source-Videokonferenztools wie BigBlueButton (BBB) und Jitsi zu zeigen.
Im Sommer wurde das Routing der TU Zoom-Videokonferenzen der TU umgestellt:
Hauptstandort ist der neue Zoom-Cloud-Standort Deutschland (Frankfurt).
Bei Bedarf wird der Echzeit-Datenverkehr der Videokonferenzen auch über die anderen Datacenter von Zoom in der EU übertragen – derzeit sind das Irland, Niederlande und Schweden; jedoch nicht außerhalb der EU. Selbst Teilnehmer*innen aus der USA oder anderen Nicht-EU-Staaten werden über die EU abgewickelt.
„Zoom läuft an der TU nur noch über europäische Data-Center“ weiterlesen
