Kategorie: Datenschutz

Veröffentlicht am

Selbsttest: Wie fit bin ich für die Online-Lehre?

Mikrofon Webcam und Monitor

Wozu dient der Test?

Sie lehren bereits online und wollen wissen wie fit Sie sind?
Sie möchten oder müssen in die Online-Lehre gehen und wüssten gerne, wo Sie stehen? Für Sie ist dieser Test.

Im Präsenzunterricht kann man mit vielen Dingen davonkommen. Wer über viel Erfahrung und Fachwissen verfügt, kann mit der entsprechenden Persönlichkeit fast unvorbereitet zwei Stunden Unterricht gestalten, ohne dass Lernende die fehlende Vorbereitung bemerken. In der Online-Lehre geht das nicht ohne weiteres.

Viele Mechanismen, um Beziehungen zu Lernenden aufzubauen, funktionieren online nicht oder anders. Die Online-Lehre legt Schwächen in Vorbereitung, Fachlichkeit und Didaktik wie unter einem Vergrößerungsglas offen dar.

Dazu kommen noch rechtliche Fragen u.a. in den Bereichen Datenschutz und Urheberrecht, mit denen sich online Lehrende auseinandersetzen müssen.

Im folgenden Selbsttest habe ich einige aus meiner langjährigen Erfahrung wichtige Punkte für erfolgreiche Planung, Erstellung und Durchführung von E-Learning-Kursen zusammengestellt. Wie fit sind Sie?

Selbsttest für Online-Lehrende

Wählen Sie aus, welche Aussagen auf Sie zutreffen.

  • Ich kenne Lerntheorien wie Behaviorismus, Kognitivismus, Konstruktivismus oder Konnektivismus und ich weiß, wie sie bewusst und unbewusst mein Design von Kursen bestimmen und passe mein Kursdesign entsprechend an.
  • Ich kann meine eigene Kompetenz in Online-Lehre mit Modellen wie z.B. TPACK (Mishra und Koehler) einschätzen und mir entsprechend Unterstützung holen, wo mir Kompetenzen fehlen.
  • Ich kenne das ADDIE-Modell zur Kurserstellung mit seinen prinzipbedingten Restriktionen und wende statt dessen Prinzipien der agilen Kurserstellung an.
  • Ich verstehe den Unterschied zwischen einem Lehrziel und einem Lernergebnis und kann kompetenzorientierte Lernergebnisse formulieren.
  • Ich wende bei der Gestaltung meiner Kurse gezielt Taxonomien wie die Bloom‘sche Taxonomie bzw. deren Erweiterung nach Anderson und Krathwohl oder die SOLO-Taxonomie nach Biggs an.
  • Ich kenne die Prinzipien von Constructive Alignment nach Biggs und wende sie zur Planung meiner Kurse an.
  • Ich kenne eine Vielzahl von Prüfungsformen und wähle sie gezielt und passend zu einem zu dokumentierenden Lernergebnis aus.
  • Ich kenne Modelle zur E-Moderation wie z.B. Scaffolding im Five Stages Model nach Salmon und plane danach mein Kursdesign und meine Lehrtätigkeit in meinen Kursen.
  • Bei der Auswahl von Lerntechnologie überlege ich, welche Vorteile oder Nachteile der Einsatz einer speziellen Technologie mit sich bringt und bewerte sie z.B. mit dem SAMR-Modell von Puentedura.
  • Ich kenne die Funktionen mindestens eines LMS (Moodle, Ilias, Canvas, Blackboard usw.) im Detail und kann damit Kurse gestalten.
  • Ich kenne den Unterschied zwischen synchronen und asynchronen Lernaktivitäten und setze jeweilige Aktivitäten gezielt und den Lernumständen entsprechend ein.
  • Ich verstehe die wichtigsten (OER-)Lizenzmodelle und kann gezielt aus Online-Repositorien Materialien auswählen, deren Lizenz meine geplante Nutzung erlaubt.
  • Ich kenne den Unterschied zwischen einem LMS und einer PLE und gestalte meine Kurse so, dass sie zu unterschiedlichen PLEs meiner Lernenden passen können.
  • Ich kenne verschiedene Rubriken zur Bewertung von Kursdesigns und überprüfe meine Designs mit mindestens einer davon.
  • Ich beherrsche die Funktionen mindestens einer Videokonferenzplattform (MS Teams, Adobe Connect, Big Blue Button, Zoom usw.) in der Tiefe und kann Webinare als interaktive Meetings gestalten, bei denen ich auch Kollaborationswerkzeuge und Breakout-Rooms sicher zum Einsatz bringen kann.
  • Ich verfüge über Erfahrung in der Evaluation von Lehr-/Lernveranstaltungen, um die Wirksamkeit meiner Kurse im Verlauf und im Nachlauf überprüfen zu können.
  • Ich kenne die Kernaussagen der Datenschutzgrundverordnung (DSGVO) und kann meine Kursplanung hinsichtlich der DSGVO-Konformität einschätzen.

Auswertung

14-17 zutreffende Aussagen: Sie haben ein in die Tiefe gehendes Verständnis von Didaktik, Technologie und Recht in der Online-Lehre.

10-13 zutreffende Aussagen: Sie haben schon einiges über Online-Lehre gelernt, aber in ein paar Feldern ist noch Raum für Verbesserungen.

0-9 zutreffenden Aussagen: Lassen Sie den Kopf nicht hängen! Sie haben zwar noch einiges im Bereich der Online-Lehre zu lernen, aber das bringt Spaß und ist keine Geheimwissenschaft.

Mit meiner langjährigen Erfahrung im Bereich Train-the-Online-Trainer kann ich Sie und Ihr Unternehmen bzw. Ihre Organisation und Ihre Lehrenden dabei unterstützen, moderne Online-Kurse zu gestalten und diese als E-Moderatoren zu begleiten.

Train-the Trainer, individuelle Erstellung von Online-Kursen / E-Learning

Veröffentlicht am

Mit eigenen „Cloud-Anwendungen“ unabhängig werden

Was bedeutet, „Die Daten sind in der Cloud“?

Wenn Daten in der Cloud sind, bedeutet es eigentlich nur, dass die Daten auf einem Server sind, von dem ich meistens keinerlei Ahnung habe, wo er steht und wie er eingerichtet ist.

Die Cloudanbieter sorgen – im Idealfall – für die technische Bereitstellung mit hoher Verfügbarkeit, für Backups, Datensicherheit und Datenschutz.

Leider gibt es diese ideale Welt nicht.

Sicherheit und Datenschutz

Regelmäßig gibt es Sicherheitsvorfälle, bei denen Hacker auch bei renommierten Anbietern riesige Datenmengen abfließen lassen. Häufig beruhen diese Vorfälle auf Fehlkonfigurationen, die Kundenadmins bei der Bedienung von Cloud-Diensten machen.

Derartige Vorfälle sind aber nicht der einzige Aspekt, der die Datensicherheit und den Datenschutz gefährdet. Vielmehr sind die Anbieter selbst häufig an der „Mitnutzung“ ihrer Kundendaten interessiert (1) und gegebenenfalls auch zur Zusammenarbeit z.B. mit den us-amerikanischen Geheimdiensten verpflichtet (2).

Wegen dieser Zusammenarbeit hat unlängst der Europäische Gerichtshof die Regeln zur Verarbeitung europäischer, personenbezogener Daten in den USA unter dem Privacy Shield gekippt (3, 4).

Und auch die Rechtmäßigkeit der Alternative, die Weitergabe von personenbezogenen Daten mit EU-Standardvertragsklauseln, wird u.a. von den irischen Datenschutzbehörden als nicht mehr DSGVO-konform angesehen. Sie haben deshalb Facebook die Weitergabe von Daten in die USA mit dieser Rechtsgrundlage untersagt, da in den USA kein vergleichbares Schutzniveau gegeben sei (5).

Alternativen

Wenn meine hausinterne IT sowieso umfangreich in der sicheren Konfiguration von Cloud-Diensten geschult werden muss und zusätzlich die rechtliche Zulässigkeit von Datentransfers in die Cloud offensichtlich auf tönernen Füßen steht, warum baue ich mir dann die passende Infrastruktur nicht gleich selbst?

Quelloffene, alternative Software existiert und die gegenseitige Integration wird auch immer besser. Wer sich von Cloud-Diensten außerhalb der EU unabhängig machen will, kann mit einer Kombination aus Nextcloud, Collabora, BigBlueButton und einem LMS wie Moodle oder Iomad weitreichende Unabhängigkeit erzielen.

Die Nextcloud stellt Dateien, Kalender, E-Mail, To-dos, Kanban-Boards, Terminabstimmungen, Messenger, Fragebögen und vieles mehr zur gemeinsamen Nutzung bereit. Die meisten Funktionen haben Schnittstellen zu Mobilgeräten oder Applikationen wie Mozillas Thunderbird.

Textdateien, Tabellenkalkulationen und Präsentationen können von NutzerInnen gemeinsam in der Nextcloud mit Collabora im Browser bearbeitet werden. Und ist das von LibreOffice abgeleitete Web-Office schon einmal installiert, kann es auch in Lernmanagementsystemen wie Moodle oder Iomad integriert werden und Lernenden Zusammenarbeit in Lernszenarien ermöglichen.

Genauso integriert sich die Videokonferenz-Software BigBlueButton in Nextcloud (wenn die interne Talk-Lösung nicht ausreicht) und Moodle/Iomad. Neben der Video- und Audioübertragung kann der Bildschirm geteilt werden, ein Whiteboard gemeinsam bearbeitet werden oder gemeinsame Notizen zum Meeting erstellt werden.

Kosten

Die Hersteller der Lösungen geben ihre Software kostenlos zum Download ab. Aber kostenlos sind die Lösungen dadurch natürlich nicht. Sachgerechte Installation, Konfiguration und Betrieb erfordern Expertise und zeitlichen Aufwand. Der Betrieb eigener oder gemieteter Hardware verursacht weitere Kosten. Ob die Kosten in der Summe über die Lebenszeit der Lösung günstiger liegen als für eine proprietäre Lösung muss im Einzelfall geprüft werden.

Neben dem eigenen Betrieb der Software bietet sich auch das Hosting bei spezialisierten Dienstleistern in der EU an.

Fazit

Ein Leben – und vor allem Arbeiten – ohne Cloud-Dienste von Microsoft, Google oder Amazon ist möglich. Abhängig von der vorhandenen Expertise im Haus kann so eine Lösung sogar kostengünstiger sein. Auf jeden Fall befreit sie aber von rechtlichen Unsicherheiten bei der DSGVO-konformen Verarbeitung von Daten. Denn am Ende ist immer der/die Datenverarbeitende und nicht der Dienstleister in der rechtlichen Verantwortung für die Daten.

Veröffentlicht am

Digitalisierung als Überlebensstrategie

Den Betrieb ihres Yogaraums in der Corona-Krise einstellen oder die Kurse online weiterführen? Vor diese Frage gestellt, entschied sich Dörte Kortum von yogaraum-flensburg.de dafür, ihr Angebot durch Videokonferenzen zu digitalisieren.

Sie hatte gerade neue Präventionskurse gestartet, als die weitere Durchführung durch die Corona-Krise unmöglich wurde. Normalerweise fordern die Krankenkassen eine Durchführung der Kurse an einem Ort mit Anwesenheitspflicht, damit Teilnehmende die Kosten erstattet bekommen können. Diese Anforderungen wurden in der Krise gelockert. Eine Voraussetzung ist allerdings, dass Lehrende ihre Teilnehmenden stets sehen können.

Ihre Teilnehmenden erklärten sich dankenswerterweise mit großer Mehrheit dazu bereit, die Virtualisierung der Kurse auszuprobieren.

Für die Yogalehrerin und Ergotherapeutin stellte die Umsetzung eine hohe Hürde da, da sie ihren Teilnehmenden nicht nur eine technisch stabile und einfache Lösung anbieten wollte, sondern auch rechtlich auf der sicheren Seite sein musste.

Vorbereitung

In Videokonferenzen habe ich sie zunächst zur Technik, zur Durchführung der Kurse und als TÜV-zertifizierter Datenschutzbeauftragter auch zum Datenschutz beraten.

Die Beschaffung stellte sich als nicht ganz einfach dar, weil die notwendige Technik nur noch begrenzt verfügbar ist und teilweise zu absurd hohen Preisen gehandelt wird.
Nach ein paar Tagen waren aber alle Probleme gelöst, ein Vertrag über Auftragsverarbeitung mit einem deutschen Anbieter von Videokonferenzen geschlossen und der Yogaraum mit Kamera, Freisprecheinrichtung, Videoprojektor und stabiler Internetanbindung auf die neuen Aufgaben vorbereitet.

An einem Termin zur Überprüfung der Technik nahmen fast vierzig Personen teil und nutzten die Gelegenheit, den Umgang mit der Technik zu üben und Probleme auszuräumen.

Durchführung

Um einen guten Kontakt zu allen Mitgliedern der Kursgruppe zu halten, teilte Dörte Kortum die Interessenten in zwei Gruppen von maximal 20 Teilnehmenden auf.

Bei den ersten Sitzungen gab es noch einmal kurze Einführungen zum Ablauf und Verhalten bei technischen Störungen. Dazu stand ich die ersten 15 Minuten im Konferenzraum als zusätzlicher Moderator bereit und war anschließend in Telefonbereitschaft. Diese wurde lediglich zweimal in Anspruch genommen, da die Durchführung erfreulich störungsfrei lief.

Die Teilnehmenden haben die ersten Veranstaltungen überaus positiv kommentiert und freuen sich, dass sie ihre Kurse zu Ende führen können. Für Dörte Kortum hätte ohne die Videokonferenztechnik die Corona-Krise die Schließung ihres Yogaraums bedeutet. Jetzt denkt sie über ein zusätzliches Online-Kursangebot nach.

Kommentare der Teilnehmenden im Chat

Veröffentlicht am

Homeoffice schnell improvisiert in Zeiten von Corona Virus

Einführende Überlegungen

Durch die Ausbreitung des Corona-Virus hat sich die Haltung vieler Unternehmen zum Homeoffice schlagartig geändert. Was bisher vielleicht mürrisch geduldet oder sogar vollständig abgelehnt wurde, könnte im Fall einer Quarantäne der Mitarbeiter/-innen zu einer Frage des wirtschaftlichen Überlebens werden.

In diesem Artikel möchte ich ein paar Tipps und Checklisten zur Hand geben, wie der Übergang zum Homeoffice für den Notfall gelingen kann.

Die Vorgehensweise deckt sich dabei natürlich nicht mit einer strukturierten Planung. So ist, wenn von heute auf morgen ein Drittel der Belegschaft nicht erscheinen kann, die Sicherung der Arbeitsfähigkeit einigen Aspekten wie z.B. der 100% IT-Sicherheit bestimmt übergeordnet. Denn was nutzt eine perfekt geschützte Organisation, die leider insolvent ist?
Trotzdem sollten natürlich auch im Notfallszenario IT-Sicherheit, Datenschutz oder Arbeitssicherheit so weit wie möglich im Auge behalten werden.

Vorrangig geht es in diesem Artikel aber um die Werkzeuge und Prozesse für die Zusammenarbeit und nicht um die rechtlichen Hintergründe.

Schritt 1: Was für eine Haltung brauchen wir?

Homeoffice funktioniert nur mit Offenheit und Vertrauen. Arbeitnehmer/-innen wie Arbeitgeber/-innen müssen sich sicher fühlen, von der anderen Seite nicht ausgenutzt zu werden.

Arbeitgeber/-innen befürchten häufig, dass sich Arbeitnehmer/-innen im Homeoffice nicht so konzentriert um ihre Aufgaben kümmern.
Die Arbeitgeberseite muss dazu verstehen, dass Kollegen/-innen im Homeoffice vielleicht nicht immer sofort per Telefon oder E-Mail verfügbar sind. Gerade kleinen Kindern ist es schwer zu vermitteln, dass Papa oder Mama zu Haus sind und trotzdem gleichzeitig bei der Arbeit. Dadurch verlängert sich oft der Arbeitstag, weil Unterbrechungen entstehen.

  • Hier macht es Sinn, Antwortzeiten für Anfragen (z.B. 1h) oder feste Zeitkorridore für die Erreichbarkeit (z.B. während des Kindergartenbesuchs) zu definieren.

Arbeitnehmer/-innen wollen andererseits auch nicht mehr zu erledigende Arbeit erhalten, als es im Büro normal wäre.

  • Hier kann man regelmäßige, virtuelle Kurzmeetings zum aktuellen Stand der Arbeit und Auslastung einrichten
  • oder auch auf Kanban Boards (s. Infrastruktur unten) zurückgreifen.

In Unternehmen mit Betriebsrat wird dieser sicher in der Extremsituation alle Maßnahmen vertrauensvoll von Anfang an mitgestalten.

Schritt 2: Welche Infrastruktur wird benötigt?

Kommunikation (synchron)

  • Telefon (notwendig)
  • Videokonferenzen (sinnvoll)
  • Telefonkonferenzen (sinnvoll, wenn Video keine Option ist)

Kommunikation (asynchron)

  • E-Mail (notwendig)
  • Chatprogramme, Nachrichtenforen (sinnvoll)

Dateiaustausch

  • Möglichkeit, Daten über das Internet z.B. in einer Cloud-Lösung freizugeben (notwendig)
    Dateien können je nach Konfiguration innerhalb der Organisation oder auch für Dritte zum Lesen und/oder Bearbeiten freigegeben werden.

Kollaborations- und Organisationswerkzeuge

  • Freigaben für Kalender (sinnvoll)
    Diese Funktion ist häufig vorhanden – ohne genutzt zu werden…
  • Online-Texteditoren (sinnvoll)
    Online-Texteditoren ermöglichen, über das Internet gemeinsam an Dokumenten (Texten, Tabellen, Präsentationen) zu arbeiten, wobei alle Beteiligten gleichzeitig den aktuellen Stand sehen.
  • Terminabstimmungswerkzeuge (sinnvoll)
    Beteiligte können bei Terminvorschlägen ankreuzen, ob sie verfügbar sind.
  • Kanban Boards (sinnvoll)
    Im Beispiel unten liegt ein Stapel mit Aufgaben links, die Beteiligte sich selbst nehmen oder durch Vorgesetzte zugewiesen bekommen können.
    Sind die Aufgaben in Bearbeitung, werden sie in die Mitte gezogen. Zusätzlich können die Karten mit weiteren Beschreibungen ergänzt werden.
    Erledigte Aufgaben gehen auf den rechten Stapel. Von dort können sie archiviert werden.
    Das gesamte Team hat immer im Überblick, wer an was arbeitet. Leerlauf entsteht nicht, weil man sich selbst immer neue Aufgaben nehmen kann.

Schritt 3: Was haben wir an Infrastruktur bzw. können wir schnell beschaffen?

Firmenseitig:

Häufig sind schon Lizenzen oder Installationen zu Software vorhanden, deren Potential nur zum Bruchteil ausgeschöpft wird.
Wer über Installation von Nextcloud oder Owncloud verfügt oder Office 365 lizensiert hat, hat praktisch alle oben genannten Werkzeuge schon im Unternehmen bzw. kann leicht die notwendigen Voraussetzungen schaffen.

Ist nichts derartiges vorhanden, so sind für den Notfall über das Internet entsprechende Werkzeuge (sogar mit Vertrag zur Auftragsverarbeitung) in kurzer Zeit aufgesetzt.

Im Homeoffice:

  • Der Heimarbeitsplatz sollte über ein Minimum an Ergonomie verfügen. Ein Couchtisch im Wohnzimmer ist wenig geeignet.
  • Hochauflösende Webcam für Videokonferenzen.
  • USB-Headset für Videokonferenzen (alternativ geeignete Freisprecheinrichtungen).
  • Internetbandbreite im Bereich von oberhalb 2 Mbit/s, um sinnvoll an Videokonferenzen teilnehmen zu können. Mehr Bandbreite ist auch für den Austausch von Dateien sinnvoll.
  • VPN auf dem Rechner oder über separaten VPN-Router.
  • Nummer für Call-through, damit ausgehende Anrufe mit einer Telefonnummer des Unternehmens dargestellt werden.

Schritt 4: Auf was können die Kollegen/-innen im Homeoffice zugreifen?

Es kann sein, dass aus Gründen des Datenschutzes oder der IT-Sicherheit nicht alle Dokumente oder Prozesse im Homeoffice verfügbar sein dürfen oder sollen.
Hier sind zum Beispiel Fragen der Zugänglichkeit und von Zugriffen Dritter (Partner, Kinder etc.) zu klären.
Von diesen Beschränkungen abgesehen, lassen sich die meisten Tätigkeiten aus einem Büro in das Homeoffice verlagern.

Schritt 5: Wie setzen wir es in der Praxis um?

  • Offen sein. Die Situation ist komplex und alle Beteiligten werden Fehler machen. Das ist nicht schön, gehört aber dazu.
  • Notwendige zentrale Plattformen aufsetzen/konfigurieren und testen.
  • Webcams, Headsets etc. beschaffen.
  • Testlauf mit technik-afinen Kollegen/-innen.
  • Unterstützung für Fragen zur Technik und Organisation bereitstellen.
    Dazu zählen Schulungen genauso wie Helplines (am Telefon und in Videokonferenz).
  • Mit Erfahrungen aus Tests schrittweise weitere Nutzer/-innen einbeziehen und an die Grenzen der Systeme und Prozesse heran tasten.
  • Laufend evaluieren: Was läuft gut, wo brauchen wir Anpassungen?
  • Offen sein, freundlich bleiben und allen Beteiligten für ihre Anstrengungen in der besonderen Situation danken.

Schritt 6: Wie gestalten wir unsere Zusammenarbeit?

  • Regelmäßige Online-Meetings für den sozialen Zusammenhalt und gegen die Vereinsamung.
  • Transparenz durch z.B. Kanban Boards (s.o.).
  • Flexibel in der Aufgabenbewältigung – mit den Bedürfnissen sowohl der Organisation wie der Mitarbeiter/-innen im Blick.

Schritt 7: Was lernen wir für den Normalbetrieb?

Vielleicht zeigt der Notfallbetrieb neue Chancen für den normalen Betriebsablauf auf. Definitiv werden sich auch Probleme zeigen. Daher sollte es begleitend eine Dokumentation geben, die positive wie negative Aspekte sammelt.

Diese Dokumentation kann beispielsweise auch als freigegebenes Dokument durch alle Beteiligten erarbeitet werden.
Wer auf ein Problem stößt, kann dieses gleich eintragen. Gleiches gilt natürlich auch für positive Resonanz!

Schritt 8: Was ist im Normalbetrieb zu berücksichtigen?

Wichtig für den Normalbetrieb ist die Klärung u.a. folgender Themenfelder:

  • IT-Sicherheit
  • Datenschutz
  • Mitbestimmungsrechte/Betriebsvereinbarungen
  • Arbeitssicherheit

Wenn Sie über die Tipps in diesem Artikel hinaus Unterstützung benötigen, stehe ich Ihnen gerne zur Verfügung.

Artikelbild: https://www.scientificanimations.com / CC BY-SA

Veröffentlicht am

„Smarte“ Assistenten als Gefahr für IT-Sicherheit

Forscher/-innen der Northeastern University und des Imperial College London haben in einem Experiment untersucht, wie oft die elektronischen Assistenten in „smarten“ Lautsprechern versehentlich aktiviert werden.

Je nach Assistent (Siri, Alexa, Google, Cortana) und verwendetem Lautsprecher lag die Rate der Fehlaktivierungen pro 24 Stunden zwischen 1,5 und 19 Mal. Die Forscher/-innen nutzen dialoglastige Fernsehserien für ihre Versuche. Aktivierungen durch darin enthaltene Aktivierungswörter wurden herausgerechnet.

Was bedeutet das für IT-Sicherheit in Unternehmen?

Die verwendeten Assistenten sind heute auch auf Telefonen allgegenwärtig. Werden diese in vertraulichen Sitzungen versehentlich aktiviert, so muss damit gerechnet werden, dass vertrauliche Informationen abfließen. Dazu ist keine Installation von Schadsoftware nötig.

Bei Apple werden immerhin „weniger als 1% der täglichen Siri-Aktivierungen“ von Menschen abgehört, um die Qualität der Assistenten zu verbessern. Bei anderen Anbietern soll diese Rate teilweise sogar höher liegen. Da die Anbieter diese Aufgabe weltweit, häufig in Niedriglohnländern ausführen lassen, ist nicht nachvollziehbar, wer und an welchem Ort unter Umständen an vertraulichen Gesprächen teilnimmt.

Je nach Assistent sollte man auf jeden Fall in den Einstellungen die Möglichkeit zur Teilnahme an Maßnahmen zur Qualitätsverbesserung oder ähnlich lautenden Klauseln deaktivieren.

Artikelbild: Ales Nesetril auf Unsplash

Veröffentlicht am

Office 365 DSGVO-konform?

Golem meldet, dass Microsoft für deutsche Großkunden Office 365 auch aus deutschen Rechenzentren anbieten möchte, um Bedenken hinsichtlich des DSGVO-konformen Betriebs auszuräumen.

In der Vergangenheit musste Microsoft das Produkt schon u.a. auf Druck der niederländischen Regierung überarbeiten, da personenbezogene Daten unbefugt an Dritte und in die USA abflossen.

Verbessert die Datenhaltung in Deutschland also die rechtliche Position der Auftraggeber hinsichtlich Einhaltung der DSGVO? Aus meiner Sicht nicht wesentlich.

Zum jetzigen Zeitpunkt hat Microsoft ein gültiges Zertifikat unter dem Privacy Shield (Gültigkeit noch bis 30.9.2020). Damit könnte schon jetzt ein Vertrag über Auftragsverarbeitung in einem Drittland nach DSGVO abgeschlossen werden.

Die Notwendigkeit zum Abschluss eines Vertrages über Auftragsverarbeitung ergibt sich daraus, dass zum einen in den bearbeiteten Dokumenten in der Regel personenbezogene Daten enthalten sein dürften und zum anderen auch durch die Nutzer der Software personenbezogene Daten (z.B. Telemetriedaten) erzeugt werden (s.a. Art. 4 und Art. 24 DSGVO).

„Die Verarbeitung durch den Auftragsverarbeiter wird … grundsätzlich dem Verantwortlichen zugerechnet.“ (s.a. Kurzpapier Nr. 13, Auftragsverarbeitung, Art. 28 DS-GVO, Datenschutzkonferenz). Der Verantwortliche (in der Microsoft beauftragenden Organisation) ist für die Auswahl geeigneter Auftragsverarbeiter verantwortlich.

Die Frage, die sich Verantwortliche jetzt stellen müssen, ist zum einen, ob die rechtliche Absicherung mittels Vertrag hinreichend ist, wenn der Auftragsverarbeiter in der Vergangenheit gegen die DSGVO verstoßen hat auch die Aufsichtsbehörden noch keine eindeutige Position bezogen haben.

Zum anderen sollte man sich allerdings auch fragen, ob man Datenabflüsse auch aus Sicht der IT-Sicherheit überhaupt tolerieren möchte, selbst wenn sie rechtlich nach DSGVO nicht zu beanstanden wären. Einmal in die USA abgeflossen, ist die Kontrolle vollständig verloren.
Zumal durch den Cloud Act Unternehmen in den USA zur Herausgabe von Daten auch auf europäischen System verpflichtet sind. Hierbei sollte man auch daran denken, dass die DSGVO nur personenbezogene Daten aber nicht beispielsweise Informationen zu Geschäftsprozessen oder Technologien schützt.

Viele Funktionen der Microsoft Lösung lassen sich auch durch Software wie z.B. Nextcloud oder Owncloud realisieren. Diese können In-House oder bei geeigneten Hostern innerhalb der EU installiert werden und belassen die Kontrolle über die Daten bei den Verantwortlichen.

UPDATE 24.2.20: Heise berichtet, dass sich die Business-Versionen von Office 365 nicht an das per Gruppenrichtlinie erzwungene Abschalten von Makros bei MS Office-Dokumenten halten. Damit kann die Software zu einem Einfallstor für Schadsoftware wie Emotet werden, wenn nicht die teureren Enterprise-Versionen genutzt werden.

Veröffentlicht am

Dunkle Seite der KI

Sehen heißt häufig glauben. Um so wichtiger ist eine breite Medienbildung, wenn durch so genannte Deep Fakes Videoaufnahmen so verändert werden können, dass Menschen Mimik und Worte untergeschoben werden, die von anderen Personen stammen.

Die Organisation Future Advocacy zeigt dieses mit Videos der konkurrierenden britischen Politiker Johnson und Corbyn, die sich in Deep-Fake-Videos gegenseitig zum Premierminister empfehlen.

https://vimeo.com/372491634
https://vimeo.com/372492457

Dabei sind diese Videos noch mit relativ viel Handarbeit entstanden. Im Netz gibt es schon Software, die Mimik und Mundbewegung einer Person in Echtzeit gegen die einer anderen austauschen kann.

Beitragsbild: UK Government [OGL 3 (http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3)]

Veröffentlicht am

Bußgelder nach DSGVO vereinheitlicht

Die Datenschutzbehörden von Länder und Bund haben sich laut heise.de auf einheitliche Regeln zur Berechnung von Bußgeldern bei Verstößen gegen die DSGVO geeinigt.

Danach fließen in die Berechnung die Schwere des Verstoßes, die Größe des Unternehmens und der mittlere Jahresumsatz von Unternehmen vergleichbarer Größe ein. Drohe die Zahlungsunfähigkeit, könne dieses auch berücksichtigt werden.