Kategorien
Datenschutzrecht digitale Transformation Digitalkonzerne

Sion: Datenkraken auch in der Autoindustrie

Sonomotors ist ein kleines und feines Startup Unternehmen mit dem Ziel, das erste solar-ladefähige Elektrofahrzeug für den Alltagsbetrieb herzustellen – wir werden das Fahrzeug 2023 auf unseren Straßen sehen.

Sono will noch mehr – CarSharing und digitale Integration. Doch dabei ist die Firma einen Schritt zu weit gegangen und kooperiert mit einem amerikanischen Unternehmen, um die anfallenden Daten auszuwerten: Sibros unterliegt als US-amerikanisches Unternehmen dem amerikanischen Datenschutzrecht und den entsprechenden Offenlegungsverpflichtungen.
Aus Sicht der GDPR Konformität und dem Interesse der Sion Fahrer an digitaler Souveränität kann es nicht angehen, daß die persönlichen Daten, die durch die Fahrzeugnutzung anfallen, einer amerikanischen Firma überlassen werden.
Dies ist ein definitives No-Go Argument für alle, die an digitaler Souveränität interessiert sind.
Vielleicht mal bei Digitalcourage nachlesen, wer alles in den letzten Jahren BigBrother Awards und Mentions bekommen hat – die Autoindustrie war auch dabei.

Kategorien
Datenschutzrecht Digitalkonzerne

Freemailer vermeiden

Es ist ja so einfach und billig, Freemailer wie gmx.de oder web.de als private oder gar geschäftliche Mail Plattform zu verwenden.

Leider übersieht der Benutzer dabei, daß er mit Preisgabe seiner persönlichen Daten und Vorlieben bezahlt. Einen dieser Mechanismen hat der Sicherheitsforscher Mike Kuketz dieser Tage wieder herausgestellt. Durch die Darstellung von Links mit vorangestellten Dereferern gewinnen die Anbieter ein exaktes Bild über die vom Nutzer angeklickten Seiten und können diese in ein persönliches Profil abbilden. Daß dies geschieht, wird ausdrücklich in den Nutzungsbedinungen genehmigt.

Eine ausführliche Darstellung der Kosten der sogenannten Freemailer entsteht gerade hier.

Besser: Verwendet sichere Anbieter, posteo.de, riseup.net oder auch faudin.de (letzteres leider noch nicht mit dem hohen Standard der vorgenannten….)

Kategorien
Datenschutzrecht digitale Transformation Digitalkonzerne

Softwarelösungen für Schulen

Inhalt

    Kommunikationswerkzeuge

    Dieser Beitrag sammelt als Work in Progress Antworten auf die Frage, welche internetbasierten Kommunikationswerkzeuge für Schulen interessant sind und gibt Hinweise auf Auswahlkriterien aus der Sicht von Technik und Datenschutz.

    Folgende Musterlösungen stehen im Mittelpunkt:

    • Technologiestudie Elternserver
    • Belwue Baden-Württemberg
    • Standardlösungen kommerzieller Anbieter
    • Schulnetz Baden-Württemberg

    Von vorneherein ausgeschlossen sind Dienste wie WhatsApp, Tiktok, Facebook. Diese kommen für die schulische Nutzung aus Datenschutzgründen generell nicht in Frage. Im Übrigen ist schon die Nutzung von WhatsApp auf Geräten, auf denen Kontakte von Schülern gespeichert sind datenschutzrechtlich problematisch.1

    Immerhin sollte auch im Bildungsbereich ‚Digitale Souveränität‘ im Vordergrund stehen – hierzu Näheres von Peter Ganten, Univention.

    Kriterien

    Folgende Kriterien können zur Auswahl von Kommunikationswerkzeugen herangezogen werden.

    • Technik: Tut das Werkzeug, was es soll. Benutzbarkeit. Plattformabhängigkeit.
    • Soll es das tun, was es tut?
    • Welcher Administrationsaufwand ist intern und extern notwendig?
    • Welche Schulungen sind notwendig?
    • Welche Kosten und vor Allem Folgekosten fallen an? Wer profitiert auf welche Weise vom Einsatz des Werkzeugs?
    • Welches Lizenzmodell wird genutzt (wobei aufgrund der Nachvollziehbarkeit und Zukunftssicherheit immer Open Source Modelle zu bevorzugen sind)
    • Welche rechtlichen Implikationen sind zu beachten (Datensicherheit, Datenschutz)?
    • Wie ist die Zukunftssicherheit zu beurteilen?
    • Wie ist die Interoperabilität zu beurteilen (Vender Lock In, Kompatibilität zu HPI SchulCloud, GaiaX)?

    Email Verteiler

    Email Verteiler dienen dazu, Mails an vordefinierte Gruppen zu senden

    • und alle Empfänger zu berücksichtigen
    • ohne die einzelnen Empfängeradressen preiszugeben
    • mit Kontrolle über Versand
    • mit einem Archiv der versendeten Nachrichten
    • mit Schutz gegen Spam und Malware
    • mit der Möglichkeit, daß sich Empfänger ein- und austragen können
    • mit der Möglichkeit, statt einzelner Nachrichten nur (tägliche, wöchentliche) Zusammefassungen zu bekommen
    • mit der Möglichkeit, nach Größe und Dateityp von Anhängen zu filtern

    Videokonferenz-Lösungen

    Auf dem Markt gibt es diverse Lösungen, die alle in Schulen mehr oder weniger unreflektiert, zum Teil auf Initiative einzelner Lehrer, eingesetzt werden.

    Siehe hierzu die separate Tabelle ‚Vergleich gängiger Videokonferenz-Dienste.pdf‘

    Auch Videokonferenzlösungen müssen datenschutzkonform und sicher genutzt werden.

    Chat

    Dienste wie Whatsapp, Facebook, tiktok, und nun leider auch Telegram und Signal sind nicht datenschutzkonform zu betreiben. Alle diese Dienste übertragen sämtliche Kontaktdaten bei jedem Login an Server, die nicht der Datenschutzgrundverordnung entsprechen.

    Siehe hierzu auch Our study of three popular mobile messengers (WhatsApp, Signal, and Telegram) shows that, contrary to expectations, large-scale crawling attacks are possible.

    ichat. Wiewohl Apple kein Interesse hat, Daten zu verkaufen und vorzuhalten und bei der Herausgabe an Behörden sehr restriktiv ist, bleibt der Ort der Datenhaltung problematisch (USA). Es ist fraglich, ob mit Apple ein tragbarer Vertrag zur Auftragsdatenverarbeitung zu erzielen ist.

    Das bedeutet, datenschutzrechtlich gesehen, kommen noch folgende Werkzeuge in Betracht:

    • selbst oder in Europa datenschutzkonform gehostete Lösungen auf Basis von XMPP/Jabber, auch im Rahmen von Univention UCS
    • selbst oder in Europa datenschutzkonform gehostete Lösungen auf Basis von Matrix nach dem Vorbild der französischen Behörden oder von https://hpi-schul-cloud.de/
    • SMS

    Nextcloud

    Bei Nextcloud2 handelt es sich um die wichtigste OpenSource Plattform, die es ermöglicht, Dateien in privaten Cloud Umgebungen zu speichern. Diese Plattform bietet darüberhinaus einige Erweiterungen und Zusatzmodule (siehe unten).

    Es bestehen folgende Betreibermodelle:

    • Einrichtung eines eigenen Servers vor Ort oder bei einem Hosting Service/Provider. Voraussetzung ist bei beiden Lösungen profundes Wissen im Linux Umfeld und die Bereitschaft, sich in die Installation des Systems einzuarbeiten. Es ist empfohlen, sich hier des kostenpflichtigen Supports durch nextcloud GmbH zu versichern.
    • Nutzung eines Anbieters – https://www.elternserver.de, hetzner.de, portknox.net, ionos, stehen für unterschiedliche Betreiberkonzepte, Kostenmodelle und Beratungsmöglichkeiten.

    Gemeinsame Dateiablage

    Ähnlich wie die Cloud Dienste von Microsoft, Box, Google können Nutzer auf Nextcloud Daten ablegen und sie

    • ausschließlich alleine nutzen
    • für eine begrenzte Zeit mit/ohne Kennwort Einzelnen oder Gruppen mit oder ohne Download-Möglichkeit zur Verfügung stellen
    • in Gruppen-Ordnern gemeinsam mit vordefinierten Benutzergruppen bearbeiten

    Kalender

    Jeder kann private / Gruppenkalender erstellen und verwalten sowie diese mit lokalen Rechnern oder mobilen Endgeräten / Smartphones synchronisieren.

    Adreßverwaltung

    Jeder kann private / Gruppenadreßbücher erstellen und verwalten sowie diese mit lokalen Rechnern oder mobilen Endgeräten / Smartphones synchronisieren.

    Aufgabenplanung

    Mit Deck kann der Nutzer allein oder gemeinsam mit anderen / Gruppen Aufgaben in Blöcke gliedern, mit Anmerkungen / Anhängen und Status versehen und Erinnerungen anheften.

    Webmail

    Es gibt zwei unterschiedlich komfortable und integrierte Möglichkeiten, über nextcloud auf Mail Accounts zuzugreifen.

    Videokonferenz

    Nextcloud bietet eine integrierte Videokonferenzlösung (Talk) für kleinere Gruppen (10 Personen) sowie eine BigBlueButton Integration für größere und stabile Videokonferenzen (max 100 Teilnehmer).

    Umfragen

    Es gibt zwei Module für vorgefertigte Umfragen

    • Terminfindung, Abstimmungen, einfaches Eintragen von Personen zu Aktivitäten
    • formularbasierte Umfragen

    Integration in bestehende Umgebungen

    Nextcloud kann in bestehende ActiveDirectory Umgebungen eingebunden werden.

    Gemeinsames Editieren von Office Dokumenten

    Ein Highlight der Nextcloud Umgebung ist die Möglichkeit, daß mehrere Personen gleichzeitig Online Dokumente im Openoffice Format / Microsoft Format bearbeiten. Die gängigen Textverarbeitungsfunktionen stehen online und lizenzfrei zur Verfügung. Der Funktionsumfang reicht an OpenOffice oder Microsoft Word heran.

    Moodle Lernplattform

    Schulen in Baden-Württemberg steht auf dem Landesbildungsserver die kostenlose Möglichkeit bereit, einzelne Moodle Kurse einzurichten (https://www.schule-bw.de/service-und-tools/webtools/moodle#zugang-als-trainer-einrichten) und auch BigBlueButton Videokonferenzen zu nutzen.

    Integrierte Lösung / PaedML, UCS, BelWue

    Univention UCS bietet größeren Organisationen eine integrierte Plattform unter einer einheitlichen Benutzeroberfläche. Hierin können Werkzeuge wie Nextcloud, Mail, Moodle, Stundenplansoftware, ERP und vieles mehr eingebunden werden. Der erhebliche Administrationsaufwand kann mit Hilfe externer Beratung und intensiver Schulung der bauftragten Lehrer bewältigt werden.

    Bildungseinrichtungen in Baden-Württemberg können am BelWue Netz mit verschiedenen Diensten teilnehmen, unter Anderem eigene moodle Server mit BigBlueButton Integration.

    Linkliste

    Mike Kuketz hat die Sachlage hinsichtlich Microsoft ausführlich zusammengefaßt und zeigt Alternativen auf.

    Beurteilung verschiedener Anbieter aus datenschutzrechtlicher Sicht https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2020-BlnBDI-Hinweise_Berliner_Verantwortliche_zu_Anbietern_Videokonferenz-Dienste.pdf

    KuMi BaWue: https://lehrerfortbildung-bw.de/st_digital/elearning/

    Wissenschaftsnetz Baden-Württemberg https://www.belwue.de/produkte.html

    Landesbildungsserver https://www.schule-bw.de/service-und-tools/webtools/moodle

    Landezentrale für politische Bildung zu Digitalem Unterricht mit Moodle, H5P und BigBlueButton https://www.lpb-bw.de/moodle-h5p#c58281

    Eine Einschätzung der datenschutzrechtlichen Konsequenzen der Nutzung von Microsoft Anwendungen bietet heise.de unter https://www.heise.de/hintergrund/Schule-digital-K-ein-Platz-fuer-Microsoft-4875272.html . Hier ist auch eine Einschätzung der Lehrerfachgruppe in der Gesellschaft für Informatik zu finden.

    1Siehe https://www.dr-datenschutz.de/whatsapp-gehoert-nicht-an-schulen/ oder auch it.kultus-bw.de

    2Siehe https://nextcloud.com/de/

    Kategorien
    Datenschutzrecht Digitalkonzerne

    Wenn das Facebook Log zeigt, daß Firmen, von denen Sie nie gehört haben, Ihre Daten zu Facebook hinzufügen…

    sollten Sie einmal bei Privacy International nachlesen, was da so geschieht.

    Kurz gesagt: Es ist nicht vollständig erforscht. Gründe können vielfältig sein – aufgekaufte Unternehmenssparten, Werbeagenturen, die nicht sauber arbeiten, nicht angeklickte Werbeanzeigen auf besuchten Facebook / WebSeiten, …

    Es lohnt sich, mal nachzufragen.

    Kategorien
    Datenschutzrecht

    whatsApp gehört nicht an Schulen

    Wieder und wieder weisen Datenschützer und Datenschutzbehörden auf die grundsätzliche Problematik von WhatsApp hin; früher schon auf datenschutzbeauftragter-info.de, zuletzt golem.de:

    …Es sei also unzulässig, wenn Lehrer Whatsapp benutzen, um mit ihren Schülern oder auch den Eltern zu kommunizieren. Die Kommunikation mit Schülern oder Eltern sollte stattdessen über eine schulische E-Mail-Adresse erfolgen.

    Davon abgesehen gelten für Lehrer ähnliche Bedenken wie für Ärzte. Als Berufsgeheimnisträger dürfen sie grundsätzlich kein Whatsapp benutzen.

    Begründet ist dies unter anderem (!) mit dem Mechanismus, daß sämtliche  Kontakte, die auf dem Smartphone gespeichert sind, an WhatsApp / Facebook weitergeleitet werden und Facebook mittlerweile wieder Metadaten von WhatsApp verwendet und im US amerikanischen Datawarehouse verarbeitet.

    Worum geht es hauptsächlich:

    • sämtliche EMail Adressen und Telefonnummern aus dem lokalen Adreßbuch werden ohne Zustimmung der Betroffenen auf amerikanische Server kopiert und dort von Facebook ausgewertet
    • sämtliche Kommunikations-Metadaten werden ausgewertet
    • durch Gruppenzwänge werden Einzelpersonen gezwungen, diese Software mit allen Nebenfolgen einzusetzen
    • wer datenschutzrechtliche Bedenken hat, wird aus Gruppenkommunikationen ausgeschlossen
    • es ist ungeklärt, welches rechtliche Vertragsverhältnis Minderjährige mit dem amerikanischen Mutterkonzern eingehen und ob dies überhaupt statthaft ist

    Kategorien
    Datenschutzrecht

    Zoom, Google und das Datenschutzrecht

    An dieser Stelle sammeln sich Kurznachrichten zum Thema Datenschutz – immer mal wieder reinschauen…

    Zoom

    in Zeiten des Home Office werden Videokonferenz-Systeme fleißig genutzt. Nicht immer erfolgt dabei eine Prüfung, was die Schattenseiten sind – Zoom als amerikanische Firma hat offenbar wenig Hemmungen, Daten ungefragt mit Facebook zu teilen – siehe Artikel auf vice.com; Aktualisierung durch Golem.de: Diese, aber nicht andere problematische Funktionen, wurden nun entfernt.

    Weitere Informationen sehr gut aufbereitet auf https://www.kuketz-blog.de/category/microblog/ .

    Es darf bezweifelt werden, daß die Art, wie Google Nutzerdaten verwendet, der Datenschutzgrundverordnung entspricht. Jedenfalls ist eine einschlägige Klage anhängig (zdnet)