Forum

Wie gesagt, Betriebsrat haben wir nicht... Und ob so eine Software die Voraussetzungen von Satz 6: Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen; erfüllt möchte ich ja eben wissen... Bzw. welcher Teil da genau die Voraussetzungen einer MA-Überwachung erfüllt. Es ist keine Leistungsermittlung möglich, da nicht nachvollziehbar ist warum der (personalisierte) Link nicht angeklickt wurde (Mail als das erkannt was es ist, nicht gesehen, nicht bekommen, ignoriert...). Abgesehen davon ist auch nicht ersichtlich, wer diese Mail während der Kampagne schon erhalten hat, und wer nicht. Fällt ein User auf das Phishing herein, bekommt er den Link zu einem kurzen Schulungsvideo, welches auf die Kampagne abgestimmt ist. Also hat der User seine Daten weitergegeben wird nochmal auf den Punkt Kennwortsicherheit und "warum fragen mich legitime Stellen nicht nach meinem Kennwort" mit anschließendem MC Test ob das Problem verstanden wurde. Schon mal eine Schulung bzgl. IT-Sicherheit gehalten? Ich schon, und ich kann dir sagen dass solche Schulungen bei Standardusern entweder keinen, oder nur kurzfristigen Effekt haben. Maximal erhöhst du die Anrufwahrscheinlichkeit NACH dem Klick/Übermitteln der Daten etc. Daher der Gedanke an eine solche Software: Es werden in einem bestimmten Zeitraum (innerhalb einer Woche/Monat...) Fakemails an einen definierten Userkreis geschickt. Diese Mails sind je nach Einstellung der Kampagne leicht/mittel/schwer erkennbare Phishingmails mit einstellbarem "Ziel" (Accountdiebstahl, Herunterladen von Malware...). Ich kann nicht die komplette Belegschaft 4x im Jahr zu einer Hablbtagesschulung schicken, aber ich kann so zumindest die User mit Schulungsbedarf herausfinden. Es ist daher sehr wohl interessant, WER auf diese Mails hereinfallt. Vielleicht nicht in der einzelnen Kampagne, aber wenn es immer die selben Kandidaten sind, kann ich diese gezielt intensiv Schulen. Da man nur Name und Mailadresse eingeben kann: Name und (Firmen)Mailadresse.* AWS Cloud, wenn man da in der Lage ist FFM und nicht Timbukutu auszuwählen --> Deutschland. Was die Vernetzung und den Austausch der Rechenzentren untereinander angeht muss man genau wie bei allen anderen Diensten dem Anbieter glauben, oder es lassen... Ansonsten https + mögliche 2 Faktor Auth.* Wäre noch zu prüfen, wie gesagt, bis jetzt kenne ich von dem Teil nicht mehr wie eine LiveDemo. Es sah so aus, als würde das Formular verworfen werden, aber... Klar, das wäre im Zweifelsfall ein Punkt der zu klären wäre. Siehe oben, es geht auch darum, den Schulungsbedarf einzelner sichtbar zu machen (auch für denjenigen selbst). Stichwort AV Vertrag. So wie jede andere Auftragsverarbeitung auch geregelt ist. Dass sich meine Vertragspartner an Verträge halten, davon muss ich nun mal ausgehen, oder die Firma offline nehmen. Ich musste bei meiner Einstellung nicht zustimmen, dass meine Daten an die Krankenkasse weitergegeben werden, oder dass ich bei der Rentenversicherung gemeldet werde, Lohnabrechnung... Und widersprechen kann ich da so oft ich will, es wird nichts ändern. Rechtmäßigkeit der Verarbeitung  f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Ob ein berechtigtes Interesse vorliegt oder nicht, das ist hier die Frage. Zeiterfassung wäre z.B. ein berechtigtes Interesse, ob IT Sicherheit das auch ist? Wenn ja, wäre die Übermittlung an Dritte kein Problem (die Auswertung hingegen vielleicht schon, das ist aber dann nicht DSGVO) Ein "das darfst du nicht, der Betroffene muss immer zustimmen" stimmt so nicht. Dito, deswegen frag ich nach wenn ich nicht sicher bin. Wie schon gesagt, unser Datenfuzzi hat "nur" wegen der Möglichkeit der MA-Überwachung Bedenken angemerkt, nicht wegen pb Daten. Wenn Cloud generell nicht gehen soll, dann frage ich mich, wie das mit Azure, gehostetn Services... funktionieren soll. Genau dafür gibt es ADV Verträge, die die Einhaltung des Datenschutzes von Dritten -  auch in der Cloud regeln. Rechnet ihr über DATEV ab? Cloud! *Meine Infos und damit auch meine Antworten beziehen sich auf den Vortrag + Live Demo auf der Messe.

hi all!, ich würde gerne nächstes Jahr anfangen Informatik zu studieren. Da ich jedoch nach meiner Ausbildung eine Vollzeitstelle antreten werde, bleibt mir wohl nur ein Fernstudium. Nach ein paar Recherchen bin ich bei der IUBH hängen geblieben. Laut der Info Broschüre kann man den Studiengang Informatik zu 100% Online abschließen + Prüfungen. Die Kosten sind zwar nicht zu verachten, sollten aber dennoch zahlbar sein.  Nun würde mich aber mal Interessieren ob ihr mit der IUBH schon Erfahrungen habt und ob Ihr diese Empfehlen würdet um ein Fernstudium abzulegen. Vielen Dank! **Nachtrag Habe gerade gesehen das ich wohl im falschen Bereich gepostet habe. Kann man den Beitrag verschieben? Sorry!

Also grundsätzlich gilt mit Datenschutz, dass die betroffene Person/Gruppe betrachtet wird und aus der Sicht des "Opfers" argumentiert wird, ob solche Aktionen datenschutzkonform sind. Man müsste mal genauer wissen, was für Daten erfasst und gespeichert werden. Abgesehen vom "vollständigen Namen": welche Daten können vom Programm noch erfasst werden? Wo werden die Daten gespeichert? (Cloud -> No Go! Deutschland, USA oder woanders???) Ist das Transportweg zur Cloud verschlüsselt? (-> MotM Angriff, ...) Was passiert mit "abgegriffenen Zugangsdaten"? Wie lange werden Daten gespeichert? (Wichtig zu beachten, ob Backups von Amazon solche Daten mit speichern - und das werden sie bestimmt teilweise auch) Löschfristen? (Achtung: Backups!) Warum ist es nötig einzelne Benutzer zu erfassen und nicht Gruppen? Datenschutzbedenklich wird es, wenn man die ganzen Fragen beantwortet und einiges nicht konkret beantworten lassen. Aus meiner Sicht (in Hinblick auf Informationssicherheit/Datenschutz) ist das Programm bedenklich, weil du keine Kontrolle mehr über die Daten hast, wenn diese mal in der Cloud liegen. Wer garantiert dir, dass die Daten nicht weitergegeben werden? Erzählen kann man dir es, dass sie es nicht tun, aber ob das stimmt? Dich müsste eher interessieren, wieviele Anfälligkeiten/Scheitern passiert sind. Wer gescheitert ist, sollte nicht interessieren, sondern wirklich nur der prozentuale Anteil. Die Schulung sollte immer auf die Allgemeinheit (sprich: für jeden) aufgebaut sein und nicht auf einzelne Personen. Alle führenden Fachkräfte müssen informiert werden sowie auch der Betriebsrat. Der Mitarbeiter "muss" davon auch wissen, was mit seinen Daten passiert, sodass er auch ein Recht auf Widerspruch hat. Gerade, wenn es um personenbezogene Daten geht. (Name, E-Mail, ...) Wenn ich dein Informationssicherheits- und Datenschutzbeauftragter wäre, würde ich dir erstmal direkt den Riegel vor deine Nase schieben und dürftest mir großes "Pamphlet" an Fragen beantworten. Und das sage ich als normaler IT-Administrator ^^ (Ich wurde darauf sensibilisiert). Interessanterweise ist Datenschutz teilweise so ungenau, dass 2 Datenschützer unterschiedliche Meinungen dazu haben können. Jedenfalls ist bei meinem Datenschützer so: Cloud? Keine Chance!   EDIT: Übrigens fällt mir dazu noch ein. Wenn ihr das Programm wirklich nutzen und auf der sicheren Seiten sein wollt, kommt ihr mit einem Audit beim Software Hersteller sowie Amazon Cloud (Rechenzentrum) nicht drumherum. Die müssen dann richtig die Hosen runterlassen.

Im Gegensatz zu z.B. Testkäufen im Supermarkt wäre das wohl schon eine "technische Einrichtung" und hätte ein BR ein somit ein Mittspracherecht lt.   Betriebsverfassungsgesetz § 87 Mitbestimmungsrechte Satz 6 .  Schulung und Aufklärung halte ich generell für sinnvoll - aber warum muss man dazu prüfen, ob ein Anwender auf eine bestimmte Art von Mail hereinfällt?