<

2021

2021.03.19 Videokonferenz Sicherheitslücke Warnung und Tipp


EDUDIP hat am 23.3.2021 8Uhr nachgebessert!!! Ein Update wurde veröffentlicht.
Meine Meldung
der Lücke hat zu einem Update bei EDUDIP geführt
Danke an die GDD Geschäftsstelle für die Unterstützung.

########################################### Alt ##################

Tipp:
Eine Webadresse die in einer Videokonferenz (EDUDIP) im Chat gepostete wurde NICHT unmitelbar anklicken!
Stattdessen:
Kopieren Sie die Webadresse aus dem Chat in den Browser.
Rufen Sie aus dem Browser die Webadresse auf!

Warum?
Mit gelang es mehrfach für jeweils eine Sekunde an einer EDUDIP Videokonferenz teilzunehmen, für die ich KEINE Berechtigung hatte!
Update 22.3.2021: Mir ist es gelungen an der Videokonferenz von EDUDIP teilzunehmen, vermutlich weil die Person (welche den Link im Chat angeklickt hatte) die Videokonferenz verlassen hat.

Was ist passiert?
In der Videokonferenz BEISPIEL https://room.edudip.com/webinar/12345/12345678 wurde im Chat meine Webadresse (www.Dtnschtz.de) geschrieben.
Ein Konferenzteilnehmer klickte auf die Webadresse im Chat, es wurde die Webadresse www.Dtnschtz.de aufgerufen.

Ich schaute mir zufällig gerade die Logfiles meiner Internetadresse (DtnSchtz.de) an die generell von meinem Provider angelegt werden.
In jeder ‚ordentlichen‘ Datenschutzerklärung findet sich ein Hinweis dazu
„Die Provider dieser Seiten erheben und speichern automatisch Informationen in sogenannten Server-Log-Dateien, die Ihr Browser automatisch an uns übermittelt.
Dies sind u.a. Referrer URL (von welcher Webseite kommt der Webseitenbesucher)
in diesem Falle also BEISPIEL https://room.edudip.com/webinar/12345/12345678?auth_key=DaTeNSCHuTZ2021

Ich gab diese Referrer URL Webadresse in meinem Browser ein und konnte den Inhalt der noch laufenden EDUDIP Videokonferenz sehen, inklusive Chat un der dort eingegebenen Webadresse (www.Dtnschtz.de).
Nach einer Sekunde kam jedoch der Hinweis
„Medienwiedergabe starten?“ , „Bitte bestätigen Sie den Empfang von Audio/Video“ „Wiedergabe starten“
-> Wiedergabe starten brachte mich nicht weiter. Also erneut die Adresse
https://room.edudip.com/webinar/12345/12345678?auth_key=DaTeNSCHuTZ2021 eingegeben und wieder für eine Sekunde den Inhalt der Konferenz gesehen.

Nicht schlimm?
Naja, ich konnte Motto, Klarnamen der Teilnehmer, den Chatinhalt sehen und unter Umständen die Präsentation.
Mit gelang es den Verantwortlichen für die Videokonferenz zu ermitteln und habe Ihn fairerweise unmittelbar auf den Umstand aufmerksam gemacht.

Datenpanne?
Es kommt sicherlich auf den zu prüfenden Einzelfall an, ob diese Verletzung des Schutzes personenbezogener Daten (Datenpanne) gemäß Artikel 33 DSGVO seitens des Verantwortlichen (Videokonferenz-Initiator) an die Aufsichtsbehörde gemeldet werden muss.
Eine Meldung setzt eine Kenntnisnahme voraus. Gibt es bei EDUDIP Log-Files die geprüft werden können?

Zoom:
Hier hat mein bescheidener Test ergeben, dass bei Aufrufe aus dem Zoom Chat der Chat-Raum NICHT nachvollziehbar ist, da dieser als „Direkter Zugriff“ gewertet wird. Trotzdem ist Vorsicht geboten!

Fazit und Handlungsempfehlung:
Weisen Sie die Teilnehmer von Videokonferenzen,
insbesonderen von EDIDUP Videokonferenzen, darauf hin mögliche
Webadressen NICHT direkt aus dem Chat aufzurufen.
Passen Sie Ihre Richtlinien / Vorgaben / Teilnahmebedingungen entsprechend an.
So vermeiden Sie, dass unberechtigte die nicht öffentliche Videokonferenzadresse erlangen.
So vermeiden Sie, dass unberechtigte die nicht öffentlichen Videokonferenzinhalte erlangen.

Update 22.03.2021:
EDUDIP ist über diese Lücke informiert und dabei diese zu schließen.

Mit positiven Absichten schreibt Ihnen Ihr persönlicher Risikooptimierer
Lorenz Macke (Hannover) externer Datenschutzbeauftragter

Stichworte: , , , , , , ,

2021.03.20 Teilnahme als Datenschutz Experte Update Deutschland

Gerne stelle ich mein Datenschutz Wissen den teilnehmenden Teams zur Verfügung.
Ob Einsamkeit, fehlende Digitalisierung oder soziale Ungleichheit: In der Corona-Pandemie hat jeder die großen Herausforderungen unserer Gesellschaft im Alltag erlebt. Wie schaffen wir es, gestärkt aus der Krise hervorzugehen, statt in die alte Normalität zurückzufallen? Es ist Zeit für ein Update.

Weitere Infos www.updatedeutschland.org

Es schreibt Euch der Risikominderer und persönlicher externer Datenschutzbeauftragter
Lorenz Macke (Hannover)

Stichworte: , , , , ,


Click and Meet and Collect Tipps und Hinweise Muster

Click and Meet – Meet and Collect – Call and Meet – Date and Meet – Click and Sale … ach komm‘ vorbei!
Tipps für Kunden und Shop-Betreiber
Stand 9.3.2021 nach bestem Wissen und Gewissen.

Generell: Wenn Sie als Betrieb Daten erfassen wie z.B. Name, Pseudonym, Telefonnr, E-Mail müssen Sie gemäß DSGVO bestimmte Informationen bereitstellen.
Ein kostenfreies Muster für Click and Meet stelle ich hier bereit.
Das Muster enthält die erforderlichen Informationspflichten gemäß DSGVO.

Wenn die Datenerfassung nur per Papier stattfindet, ohne (spätere) elektronische Hilfsmittel, dann brauchen Meiner Meinung nach diese Informationen NICHT gegeben zu werden.
Wenn die Datenerfassung mit Hilfe von elektronischen Hilfsmitteln stattfindet
oder später die Daten mit, elektronischen Hilfsmitteln verarbeitet werden,
dann müssen diese Informationen gemäß DSGVO gegeben werden.

Für Kunden und Betriebe
+Die für die Terminreservierung erhobenen Daten dürfen NUR für die Terminvergabe genutzt werden.
+ Nach erreichen des Zwecks, als der Termin ist erreicht, sind die Daten zu löschen/ zu vernichten (z.B. Papierschredder) / unkenntlich zu machen.
+ Um die Daten behalten zu dürfen, d.h. für einen anderen Zweck, muss der Kunde aktiv zustimmen.

+Auf die Erfassung nicht notwendiger Daten ist zu verzichten
+Bei der Terminvergabe kann sogar auch ein Pseudonym verwendet werden wie z.B. Cora Rona. Dies ist auch bei der Tischreservierung empfohlen, wenn der Name des reservierenden auf dem Tisch sichtbar ist.

+ Falls Termine ‚öfter‘ nicht wahrgenommen werden, ist es ratsam Echtnamen bzw. Telnr zu erfassen für eine eventuelle Sperrliste.
+ Diese Daten zur Terminvereinbarung sind unabhängig und getrennt von der eventuellen Pflicht, die echten Kontaktdaten zu dokumentieren.

+ Wenn die Termine einige Tage im Voraus gebucht werden, und die Inzidenz steigt, sollte eine Absage des Termines möglich sein.
(da der Kunde evtl. nichts von der zwangsweisen Schließung bei bestimmten Inzidenzwerten erfährt bzw. selber nicht versteht OB offen oder zu ist).

+Der Termin kann
-persönlich an dir Tür vereinbart werden (z.B. in NRW)
-per Telefon
-per E-Mail
-per Buchung über ihr EIGENES Terminsystem
-…

Hier ein Vertrag zur Auftragsverarbeitung abzuschließen sowie darauf zu achten, dass SIE als Laden/Geschäft die Möglichkeit haben die Daten zu löschen.
Der Kalender-Dienstleister darf die Daten NICHT für eigene Zwecke nutzen (sonst gemeinsame Verantwortlichekeit-viel Spaß dabei)!!!
Der Kalender-Dienstleister Sondern NUR Für die Terminvereinbarung. Löschfristen sind zu beachten. Es sind sowohl Ihre eigenen Datenschutzhinweise (Click and Meet) UND die Datenschutzhinweise des Kalender-Dienstleisters UND die Datenschutzhinweis der Kalender-Dienstleister Webseite zur Verfügung zu stellen.

Denken Sie an einen PlanB.

Tipp: Nutzen Sie ein Kalendertool bei dem SIE und nur SIE selber die Kontrolle (Datenhoheit) über die Daten haben!

es werden die Daten an Google weitergegben. Darauf ist 'eigentlich' hinzuweisen...
Tipp: Daten im Inland verarbeiten (nicht Google USA)

+Eine Kundenzufriedenheitsumfrage, eine Aufforderung zur Bewertung, die Aufnahme in den Newsletter.... erfordert der Einwilligung seitens des Kundens die den Anforderungen des Datenschutzes und dem UWG entspricht. Auch hierbei viel Spaß 🙂
+Keine Einwilligung = Keine weitere Nutzung!
+Eine Kopplung an Bedingungen für gesetztliche geforderte Terminvereinbarung zusätzliche Daten anzugeben ist unzulässig!
+Eine Kopplung an Bedingungen für gesetztliche geforderte Terminvereinbarung die Daten weiter nutzen zu können ist unzulässig!
+Die erhobenen ohne aktive Zustimmung für andere Zwecke zu nutzen.

+Die Daten sind zu schützen, sodaß niemand unberechtigtes die Daten sehen, fotografieren, hören, kopieren oder beeinflussen kann.
... Kunden gehen davon aus, dass jeder Mitarbeiter seitens des Arbeitgebers gemäß DSGVO schriftlich zur Vertraulichkeit verpflichtet wurde.


NUR für die Terminvereinbarung
(nicht zur Kontaktnachverfolgung)

Download der PDF Datei
Muster_Click _and_Meet_Infomationspflichten__Datenschutz.PDF (Ziel ’speichern unter‘ oder nach dem Anklicken in den Downloads nachschauen)
Muster_Click _and_Meet_Infomationspflichten__Datenschutz (Docx) zum direkten Download.
Version 01 vom 7.3.2021

Weitere Tipps zur Dokumentation der Kontaktnachverfolgung z.B. per Luca APP, per Anwesenheitsliste unter Datenschutz Vorlagen Muster

Falls ich auch Ihnen geholfen habe, können Sie Ihren DANK gerne in Form einer Google Bewertung mitteilen.
(Für Google Konto Inhaber, also mindestens alle Androit Nutzer).

Es schreibt Ihnen, Ihr persönlicher externer Datenschutzbeauftragter
Lorenz Macke (Hannover)

Stichworte: , , , , , , , , , , ,


2021.02.09 Safer Internet Day

ARCHIV: Fake, Phishing, Facebook – Webinartermine (kostenfrei)

Offizieller Beitrag zum Safer Internet Day 9. Februar 2021
Das Motto: „Together for a better internet“

klicksafe.de/sid

1.+3.Event (Webinar)
Was erwartet Euch?
Wie erkennt Ihr Fake E-Mails?
Wie erkennt Ihr Phishing E-Mails?
Ein Interaktives Quiz
Live – Locker – Lehrreich

2.+4. Event (Webinar)
Facebook Fake Gewinnspiele
Bist Du das in dem Video?
Wie sichert Ihr Euer Facebook Konto?
Hilfe mein Facebook Konto wurde gehackt!
Echtzeit – Erklärend – Erkenntnisreich


Mögliche Zugabe(n) pro Event (Webinar)
+Wie aus Eventim -> EventImpf wurde -> (Fake) Verbreitung Presse
+Der „Zweites Profil“ Kettenbrief bei Facebook satzweise widerlegt

Die Teilnahme ist
ohne Registrierung,
ohne Micro,
ohne Videokamera möglich.

Am ende des Webinars besteht die Möglicheit Fragen zu stellen.
Um Fragen zu stellen, braucht Ihr ein Micro.
Mit „Hand heben“ teilt Ihr mit, dass Ihr etwas sagen möchtet.
Es ist Euch überlassen OB Ihr Eurer Videobild übertragt.


Die Installation der Zoom Software/ der Zoom App ist Voraussetzung
um am Webinar teilzunehmen. Vorab Zoom installieren: Quelle Zoom.

Ihr benötigt die Meeting ID und den Meeting Kenncode
Zoom möchte einen frei wählbaren (umbenennbaren) Benutzernamen haben, der für Teilnehmende sichtbar ist.
Die Teilnahme ist kostenfrei über zoom.us/join bzw. das eventuell bereits bei Euch vorhandene aktuelle Zoom Programm mit Meeting ID den Meeting Kennncode. Ihr gelangt zuerst in einen Warteraum.

Jetzt vormerken!!!

Hinweise
Ich erhalte KEINE versteckten personenbezogen Daten von Euch.
Wenn Du Deine Videokamera anschaltest, ist Dein Bild für alle Teilnehmer sichtbar.
Wenn Dein Mikrophon (Audio ein) freigeschaltet ist, ist Dein Ton für alle Teilnehmer hörbar.

Es ist Dir überlassen ob und welche Daten du von dir preisgibst.
Bitte bedenkt, dass andere Teilnehmer Sprache oder/und Bild nur dann von Euch mitbekommen, wenn Ihr SELBER die Stummschaltung per „Audio ein“ aufhebt bzw. Euer Videobildsignal per „Video starten“ übertragt. Zu Beginn sind Micro + Kamera ausgeschaltet. Während des Vortrages sind alle Micros stummgeschaltet. Bitte Fragen erst im nachhinein. Danke!

Geschlechterneutrale Formulierung:
In der Einzahl verwende ich meist die männliche Form.
In der Mehrzahl dann die weibliche.

C-Nerv (Zehnerv) Hinweis: Im Zusammenhang mit dem „EventImpf“ Beispiel, wir das C-Wort unvermeidbar erwähnt.

Der Beitrag ist vegan, auch wenn sich das Wort „Phishing“ wie „Fish-ing“ anhört. Der Fis(c)h in der Grafik existiert artgerecht 🙂

Interesse an einen den Vorträge/ Webinare? Zu den Kontaktmöglichkeiten

Stichworte: , , , , , , , ,

2021.01.31 Home Office Richtlinie Mobiles Arbeiten (Definition)

Home Office: Der Oberbegriff für Mobiles Arbeiten / Telearbeit.

Der Arbeitgeber hat den Beschäftigten im Fall von Büroarbeit oder vergleichbaren Tätigkeiten anzubieten, diese
Tätigkeiten in deren Wohnung auszuführen, wenn keine zwingenden betriebsbedingten Gründe entgegenstehen
“ (Arbeitsschutzkontrollgesetz §2(5) [erstmal] befristet bis 15.3.2021 verlängert bis 30.4.2021)



Der ArbeitNEHMER muss in der Regel zustimmen, dass die Arbeit im Home Office stattfinden kann – da Home Office eine Vereinbarung voraussetzt.

„Der Beschäftigte kann nicht gezwungen werden… wenn weder Laptop, W-Lan, Programme zu Hause vorhanden sind, dann sprechen betrieblichen Gründe dageben“ (Bundesarbeitsminister Hubertus Heil 20.1.2021 Pressekonferenz)

Urteil: „Eine auf drei Wochen befristete Anordnung des Dienstherrn, wegen der aktuellen Corona-Pandemie im Home-Office arbeiten zu müssen, verstößt auch dann nicht gegen das Recht des Beamten auf amtsangemessene Beschäftigung, wenn in diesem Zeitraum im Home-Office faktisch keine oder kaum Aufgaben übertragen werden.“ (VG Berlin 14.04.2020, Az. VG 28 L 119/20) und weiter bezüglich der Entscheidung OB angeotdnet wird:
Dabei sollten soziale und gesundheitliche Aspekte mitberücksichtigt werden

Zudem müssen Arbeitnehmer UND der Arbeitbeitgeber regeln, ob und wie private Geräte (Internetverbindung, Computer, Wohnraum, Handy…) im Home Office genutzt werden.

Der Arbeitnehmer muss die Möglichkeit haben u.a. aufgrund von Unverhältnismäßigkeit/Unzumutbarkeit wieder in den betrieblichen Arbeitsplatz zu wechseln.

Telearbeit: Ein fester Arbeitsplatz am Wohnsitz des Arbeitsnehmers (meist zu Hause).
Die Geräte für den häuslichen Arbeitsplatz, werden vom Arbeitgeber gestellt, darunter zählt u.a. auch der ergonomische Bürostuhl.
Zudem ist eine Einwilligung der Mitbewohner erforderlich um mögliche häusliche Kontrollen zu ermöglichen.
Der Arbeitgeber kann einen Teil der Kosten für den Dauerhaften Arbeitsplatz übernehmen (müssen), z.B. für Strom, Arbeitsfläche/Raum, Heizung…

Mobiles Arbeiten: Das Gerät (Laptop, Internetverbindung, Firmenhandy…) wird meist vom Arbeitgeber gestellt. Die Tätigkeit findet an wechselnden Orten statt. Der Arbeitsort kann auch (mal) der Wohnsitz sein.

Bring your own device: Der Mitarbeiter darf sein eigenes Gerät nutzen. Dies sollte jedoch vermieden werden.

Prinzipien:
+Trennung von privat und geschäftlich.

+Vertraulichkeit:
– Die Daten sind so geschützt, dass niemand unberechtigtes die Möglichkeit hat, Informationen zur Kenntnis zu nehmen.

+Verfügbarkeit:
– Die Daten bleiben vorhanden.
– Die Daten sind so geschützt, dass niemand unberechtigtes die Möglichkeit hat, diese (vollständig) zu zerstören.

+Unveränderbarkeit:
– Die Daten bleiben vollständig.
– Die Daten sind so geschützt, dass niemand unberechtigtes dies verändern kann.

+Verpflichtung:
– Was im Büro gilt, gilt auch im Home Office (vergleichbares Schutzniveau)
– Regelung Home Office ermöglichen
– Richlinie Home Office

-> Der Datenschutzbeauftragte bietet Muster für Richtlinien an um verschiedene Konstellationen zu regeln.

Aus aktuellem Anlass (19.01.2021):
Der Arbeitgeber muss nachweisen, warum der Arbeitgeber dem Mitarbeiter die Arbeit im Home Office NICHT ermöglicht.

„Das erforderliche Schutzniveau kann (noch) nicht hergestellt werden“ … der private Computer des Mitarbeitenden kann/darf/sollte keinesfalls werden!
„Verträge mit Auftraggebern lassen keine Home Office zu“
„Wir haben noch keine Home Office Richtlinien“

„Das erforderliche technische Gerät ist (noch) nicht verfügbar“
„Es ist kein Budget für technisches Gerät vorhanden“
(…wir warten erst bis die zugesagten Gelder tatsächlich ausgezahlt wurden)
„Die Programme/Daten/Userprofile sind so organisiert, dass kein Fernzugriff möglich ist“

„Es ist seitens des Mitarbeitenden unzumutbar im HomeOffice zu arbeiten“ -> Diese freiwillige Erkenntnis ist zu dokumentieren.

Richtlinien, Tipps und Quiz (kostenfrei 10 Minunten anonym) zum Thema HomeOffice
Allgemeine Hinweise zum Home Office


Es schreibt Ihnen Ihr persönlicher externer Datenschutzbeauftragter Lorenz Macke (Hannover)

[Ursprünglich ist der Artikel vom 16.03.2020]

Warum bringe ich hier Argument GEGEN Home Office?
Es ist meine Pflicht als externer Datenschutzbeauftragter im Sinne der DSGVO „zu unterrichten und zu beraten“

2020.12.12 Datenschutz im Jahr 2020 – Rückblick & Ausblick (Qualifikation)

Webinar

Die Themen die meine Kunden, und somit auch mich, in 2020 beschäftigt haben:
Emotet Virus
Welche Corona-Infos darf ich im von meinen Mitarbeitern erfragen?
Welche Corona-Infos muss der Mitarbeitern seinem Arbeitgeber mitteilen?
Home Office Regelungen / Richtlinien
Anpassung der Webseite (diverse Urteile)
Datenübermittlung in die USA
Schulung / Sensibilisierung

… meine Arbeitsweise in Form einer Weihnachtsgeschichte im Video dargestellt:
Braucht der Weihnachtsmann einen Datatenschutzbeauftragten?