Die Empfehlungen kommen zum Schluss, dass zahlreiche rechtliche Risiken bestehen, daher rät der LfDI vom Einsatz von MS365 ab. Das alles ist in einem Haupt-Dokument zusammengefasst und begründet fragdenstaat.de/dokumente/1184…
In den Anlagen – siehe fragdenstaat.de/anfrage/bewert… – sind nochmals diverse Details der technischen Prüfung und diverses weitere Informationen zum Ablauf der Beratungen aufgeführt.
Rechtlich ist zum Beispiel fraglich, ob die vom KM gewählte Konfiguration die Grundsätze aus Artikel 5 DS-GVO einhalten kann und die Schulen ihrer Rechenschaftspflicht nachkommen könne, siehe z.B. Seite 13ff. im Hauptdokument. US-Datentransfer spielt nur eine kleine Rolle.
Die Zusammenfassung berichtet u.a., dass es trotz umfangreicher Bemühungen von LfDI zusammen mit dem Ministerium und hochrangigen Vertretern Microsofts nicht gelungen ist, eine vollständige Übersicht über alle Verarbeitungen zu erhalten. (Seite 21 f. Hauptdokument)
… und zu den Anlagen sage ich nachher vielleicht noch was, jetzt muss ich erst mal zum Elternabend ;-) …
Für alle Nutzer von Outlook iOS/Android wichtiger Punkt: auch wenn ihr das mit lokalem/eigenem Exchange oder IMAP/SMTP-Server nutzt, Eure Mails gehen damit immer über Microsoft-Server die auch Eure Passwörter im Klartext dafür benötigen: fragdenstaat.de/anfrage/bewert…
Das ist zwar nicht geheim und schon länger bekannt – aber wer weiß das schon wirklich?
Im Ergebnis heißt das auch: wer aus Gründen der Vertraulichkeit einen eigenen Mailserver betreibt, sollte kein Outlook unter iOS/Android nutzen, da damit alle Mails über fremde Server gehen.
Demnach wurde im Rahmen der Prüfung eine große Zahl an sog. Telemetrie- und Diagnosedaten an Microsoft übertragen und über 500 verschiedene Hosts kontaktiert.
Die Ereignisse, die nicht nur an den Cloud-Dienst sondern auch als Telemetrie- und Diagnosedaten an Microsoft gingen, sind laut der Untersuchung sehr detailliert, z.B. wie oft Pfeiltasten gedrückt oder welche Funktion im Interface aufgerufen wurde.
Rechtlich ist es so, dass der nach DSGVO Verantwortliche (also i.d.R. die Schulen!) die Rechtmäßigkeit aller Verarbeitungen der personenbezogenen Daten nachweisen müssen. Das ist laut Hauptdokument fragdenstaat.de/dokumente/1184… nicht gelungen, vgl. auch Seite 21, 22:
• • •
Missing some Tweet in this thread? You can try to
force a refresh
Job für Informatiker, Technik-Nerds, Datenschützer, Hacker: der #LfDI BaWü sucht eine/n Referenten (m/w/d) in Abteilung 5 für technisch-organisatorischen Datenschutz, siehe baden-wuerttemberg.datenschutz.de/stellenausschr…
Aber was macht man da so? Dazu ein paar weitere Hinweise in diesem Thread […]
[…] Neben den Infos in der Stellenanzeige finden sich weitere Hinweise im Geschäftsverteilungsplan unter baden-wuerttemberg.datenschutz.de/wp-content/upl… ab Seite 15: Unterstützung Fachabteilungen, Einzelthemen; Internet, Tracking & Apps; Prüflabor, Forensik; Mastodon- und BBB-Server, LfDI-App usw. […]
Für Software-Entwickler und Nerds ein kleiner Thread zur IT-Sicherheit bei #Datenbanken und Zugriffs-Berechtigungen:
Bei normalen Dateisystem haben wir uns daran gewöhnt, dass nicht jeder Server-Dienst nach /etc, /usr/local/bin oder c:\windows\system32 schreiben darf. 1/x
Viele Entwickler wollen auf Datenbanken aber Vollzugriff auf alles haben. Steht die Anwendung im Netz und findet jemand eine Lücke ist die Kacke am Dampfen: „DELETE FROM users;“ und alle User sind weg. Mit „TRUNCATE users“ gehts sogar schneller. 2/x
Mit Pech geht das sogar auf fremden Datenbanken auf dem gleichen Server. Dumm.
Daher kennen anständige relationale Datenbankmanagementsystemen (RDBMS) User, Rollen und Zugriffsrechte; nutzt man die, darf der Applikations-User der Web-Anwendung nur das nötige. 3/x
Hallo @cducsubt, @cdu, @CSU. Ich bin etwas verwundert:
Die Mehrheit er CDU/CSU-Bundestagskandidatinnen und -Kandidaten sagt seit Jahren, dass die Nebentätigkeiten von MdB stärker offen gelegt werden sollen. Aber nichts passiert.
Der @henningtillmann hat da 👇 gezeigt, dass die @CSU die Besucher ihrer Negative-Campaigning-Website u.a. an Facebook verpetzt. Ohne (erforderliche!) Rechtsgrundlage, natürlich.
Hier nun ein Thread, warum so etwas trotz Nachbesserung Problematisch ist, los geht's! 1/x
Da Verarbeitungen personenbezogener Daten grundsätzlich einer Rechtsgrundlage nach Artikel 6 Absatz 1 Unterabsatz 1 oder bei besonderen Kategorien personenbezogener Daten wie politischer Meinungen DS-GVO nach Artikel 9 Absatz 2 DS-GVO bedürfen, hat die CSU … 2/x
… schnell nachgebessert.
Ob CSU oder nicht, ist auch egal, die Fehler machen viele:
Nachgebessert? Naja, sie hat es versucht. Facebook ist nicht mehr dabei, und mit einem „Cookie Banner“ versuchen sie, vermutlich eine Einwilligung einzuholen. Siehe Beispiele ab 2. Screenshot 3/x
Gastronomie in Zeiten, in denen nach Corona geöffnet werden darf. Stuttgart Innenstadt.
Beim Palast der Republik nebenan war es übrigens gerammelt voll.
Ich frage mich nun: solche Schließungen in bester Lage macht man natürlich nicht freiwillig – aber offensichtlich ist es nicht so nötig bisherige eventuelle Einnahmeverluste auszugleichen, um eine Öffnung dennoch sicherzustellen […]