Share this page!

Maybe Scrolly?
Alvar C.H. Freude Profile picture
Twitter logo
9 Nov, 11 tweets, 6 min read
#MS365 als Bestandteil einer digitalen Bildungsplattform? Der #LfDI BaWü hat intensiv das @KM_BW zu Microsoft 365 beraten und hat ein Pilotprojekt mit einer speziell für Schulen konfigurierten Variante begleitet. Komplette Empfehlung nun bei @fragdenstaat: baden-wuerttemberg.datenschutz.de/empfehlung-lfd…
Die Empfehlungen kommen zum Schluss, dass zahlreiche rechtliche Risiken bestehen, daher rät der LfDI vom Einsatz von MS365 ab. Das alles ist in einem Haupt-Dokument zusammengefasst und begründet fragdenstaat.de/dokumente/1184…
In den Anlagen – siehe fragdenstaat.de/anfrage/bewert… – sind nochmals diverse Details der technischen Prüfung und diverses weitere Informationen zum Ablauf der Beratungen aufgeführt.
Rechtlich ist zum Beispiel fraglich, ob die vom KM gewählte Konfiguration die Grundsätze aus Artikel 5 DS-GVO einhalten kann und die Schulen ihrer Rechenschaftspflicht nachkommen könne, siehe z.B. Seite 13ff. im Hauptdokument. US-Datentransfer spielt nur eine kleine Rolle.
Die Zusammenfassung berichtet u.a., dass es trotz umfangreicher Bemühungen von LfDI zusammen mit dem Ministerium und hochrangigen Vertretern Microsofts nicht gelungen ist, eine vollständige Übersicht über alle Verarbeitungen zu erhalten. (Seite 21 f. Hauptdokument)
… und zu den Anlagen sage ich nachher vielleicht noch was, jetzt muss ich erst mal zum Elternabend ;-) …
Für alle Nutzer von Outlook iOS/Android wichtiger Punkt: auch wenn ihr das mit lokalem/eigenem Exchange oder IMAP/SMTP-Server nutzt, Eure Mails gehen damit immer über Microsoft-Server die auch Eure Passwörter im Klartext dafür benötigen: fragdenstaat.de/anfrage/bewert…
Das ist zwar nicht geheim und schon länger bekannt – aber wer weiß das schon wirklich?

Im Ergebnis heißt das auch: wer aus Gründen der Vertraulichkeit einen eigenen Mailserver betreibt, sollte kein Outlook unter iOS/Android nutzen, da damit alle Mails über fremde Server gehen.
Technische Details gibts in Anlage 7: fragdenstaat.de/anfrage/bewert…

Demnach wurde im Rahmen der Prüfung eine große Zahl an sog. Telemetrie- und Diagnosedaten an Microsoft übertragen und über 500 verschiedene Hosts kontaktiert.
Die Ereignisse, die nicht nur an den Cloud-Dienst sondern auch als Telemetrie- und Diagnosedaten an Microsoft gingen, sind laut der Untersuchung sehr detailliert, z.B. wie oft Pfeiltasten gedrückt oder welche Funktion im Interface aufgerufen wurde.
Rechtlich ist es so, dass der nach DSGVO Verantwortliche (also i.d.R. die Schulen!) die Rechtmäßigkeit aller Verarbeitungen der personenbezogenen Daten nachweisen müssen. Das ist laut Hauptdokument fragdenstaat.de/dokumente/1184… nicht gelungen, vgl. auch Seite 21, 22:

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Alvar C.H. Freude

Alvar C.H. Freude Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @alvar_f

Alvar C.H. Freude Profile picture
7 Nov
Job für Informatiker, Technik-Nerds, Datenschützer, Hacker: der #LfDI BaWü sucht eine/n Referenten (m/w/d) in Abteilung 5 für technisch-organisatorischen Datenschutz, siehe baden-wuerttemberg.datenschutz.de/stellenausschr…

Aber was macht man da so? Dazu ein paar weitere Hinweise in diesem Thread […]
[…] Neben den Infos in der Stellenanzeige finden sich weitere Hinweise im Geschäftsverteilungsplan unter baden-wuerttemberg.datenschutz.de/wp-content/upl… ab Seite 15: Unterstützung Fachabteilungen, Einzelthemen; Internet, Tracking & Apps; Prüflabor, Forensik; Mastodon- und BBB-Server, LfDI-App usw. […]
[…] Und was heißt das? Nun, z.B. hat Abt. 5 für das Papier zu Videokonferenzsystemen baden-wuerttemberg.datenschutz.de/videokonferenz… die technische Prüfung durchgeführt. baden-wuerttemberg.datenschutz.de/vks/ – Beratung ist eine wesentliche Tätigkeit der Aufsichtsbehörden und daher auch beim #LfDI. […]
Read 13 tweets
Alvar C.H. Freude Profile picture
25 Sep
Für Software-Entwickler und Nerds ein kleiner Thread zur IT-Sicherheit bei #Datenbanken und Zugriffs-Berechtigungen:

Bei normalen Dateisystem haben wir uns daran gewöhnt, dass nicht jeder Server-Dienst nach /etc, /usr/local/bin oder c:\windows\system32 schreiben darf. 1/x
Viele Entwickler wollen auf Datenbanken aber Vollzugriff auf alles haben. Steht die Anwendung im Netz und findet jemand eine Lücke ist die Kacke am Dampfen: „DELETE FROM users;“ und alle User sind weg. Mit „TRUNCATE users“ gehts sogar schneller. 2/x
Mit Pech geht das sogar auf fremden Datenbanken auf dem gleichen Server. Dumm.

Daher kennen anständige relationale Datenbankmanagementsystemen (RDBMS) User, Rollen und Zugriffsrechte; nutzt man die, darf der Applikations-User der Web-Anwendung nur das nötige. 3/x
Read 20 tweets
Alvar C.H. Freude Profile picture
25 Sep
#GehtWählen!

Wen und welche Partei?
WEN WÄHLEN? hilft:
wen-waehlen.de
wen-waehlen.de/btw21/parteien…

#btw21 #btw2021
Hallo @cducsubt, @cdu, @CSU. Ich bin etwas verwundert:
Die Mehrheit er CDU/CSU-Bundestagskandidatinnen und -Kandidaten sagt seit Jahren, dass die Nebentätigkeiten von MdB stärker offen gelegt werden sollen. Aber nichts passiert.

wen-waehlen.de/btw21/parteien…

Wahlkampf-Lügen?
Und das war auch 2013 und 2017 schon so:
wen-waehlen.de/btw13/parteien…
wen-waehlen.de/btw17/parteien…
Read 9 tweets
Alvar C.H. Freude Profile picture
24 Sep
Die bessere Wahl-O-Mat-Alternative: wen-waehlen.de/?start=1
… und in den Statistiken mal wieder interessant zu sehen, bei wem Menschenwürde am niedrigsten bewertet wird: wen-waehlen.de/btw21/parteien…
… oder die Gleichberechtigung aller Menschen: wen-waehlen.de/btw21/parteien…
Read 12 tweets
Alvar C.H. Freude Profile picture
26 Aug
Der @henningtillmann hat da 👇 gezeigt, dass die @CSU die Besucher ihrer Negative-Campaigning-Website u.a. an Facebook verpetzt. Ohne (erforderliche!) Rechtsgrundlage, natürlich.
Hier nun ein Thread, warum so etwas trotz Nachbesserung Problematisch ist, los geht's! 1/x
Da Verarbeitungen personenbezogener Daten grundsätzlich einer Rechtsgrundlage nach Artikel 6 Absatz 1 Unterabsatz 1 oder bei besonderen Kategorien personenbezogener Daten wie politischer Meinungen DS-GVO nach Artikel 9 Absatz 2 DS-GVO bedürfen, hat die CSU … 2/x
… schnell nachgebessert.
Ob CSU oder nicht, ist auch egal, die Fehler machen viele:
Nachgebessert? Naja, sie hat es versucht. Facebook ist nicht mehr dabei, und mit einem „Cookie Banner“ versuchen sie, vermutlich eine Einwilligung einzuholen. Siehe Beispiele ab 2. Screenshot 3/x
Read 24 tweets
Alvar C.H. Freude Profile picture
25 Aug
Gastronomie in Zeiten, in denen nach Corona geöffnet werden darf. Stuttgart Innenstadt.
Beim Palast der Republik nebenan war es übrigens gerammelt voll.
Ich frage mich nun: solche Schließungen in bester Lage macht man natürlich nicht freiwillig – aber offensichtlich ist es nicht so nötig bisherige eventuelle Einnahmeverluste auszugleichen, um eine Öffnung dennoch sicherzustellen […]
Read 4 tweets

Did Thread Reader help you today?

Support us! We are indie developers!

This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal

Thank you for your support!

Follow Us on Twitter!

Like this author's thread?

Get emails when @alvar_f has new unrolls!

Check out other threads from @alvar_f!

Read all threads by @alvar_f

:(