Ich hatte heute eine Diskussion mit einem Admin zum Thema MS365. Ich bin ja bekantlich ein Fan davon. Sein Einwand war, dass es gegen Gesetze zur verstößt, da man umfassen Mitarbeiter überwachen und Leistung auswerten kann, speziell:
Logs zu bearbeiteten Dokumenten
Getippte Tastaturanschläge
Logs was man alles so gemacht hat
Mein Argument war, dass zumindest der erste Punkt gerade ein Feature ist.
Mit O365 ist eine Verhaltenskontrolle möglich und damit können halt auch Auswertung von Leistungs- und Verhaltensdaten erstellt werden.
Sicherlich dürfte zumeist der Funktionsnutzen im Vordergrund stehen, doch sollte der Umfang und Einsatz der verschiedenen Anwendungen zur Nutzung im Unternehmen angemessen geregelt sein (z.B. Betriebsanweisung) bzw. Auswertungsfunktionen auch deaktiviert werden können oder über ein Rollen‐ und Berechtigungskonzepts den Zugriff definieren (auch für Admins).
Die Frage die sich mir an dieser Stelle stellt: welchen Background hat der Admin? Ich meine damit den Skill aber auch die Perspektive!
Sofern er irgendwie hinsichtlich Mitbestimmung angehaucht ist, wird er sich zu dem Thema Gedanken machen. Es steht außer Frage: das Thema ist mitbestimmungswürdig und auch nicht einfach.
Ist es jemand, der sich eventuell schon einmal mit der Graph API auseinandergesetzt hat und sich ‚kreative Gedanken‘ gemacht hat, dann wird ihm bewusst was man alles auswerten könnte.
Sicherlich kannst Du argumentieren, das es Features sind, das wird aber nicht wirken, denn die Möglichkeiten können ja auch mißbraucht werden. Insofern sollte es geregelt werden, was der ‚Betrieb‘ darf und was nicht.
Der affine Mitarbeiter wird das Thema Drittland in die Waagschale werfen - hat Dein Ansprechpartner offensichtlich nicht - oder?
Offen bleibt die Frage: was versteht Microsoft unter dem Servicebegriff ‚eigene Geschäftszwecke‘?
Richtig - an die SCCs hält sich Microsoft soweit das im Rahmen der lokalen/nationalen Rechtsprechung möglich ist. Außerdem kannst Du im Compliance Center einiges ‚selbst dafür tun‘ und es gibt Hilfestellungen hierzu.
Das nicht einzugrenzende ‚Restrisiko‘ ist schlichtweg die nationale Gesetzgebung (cloud act).
Moin,
Als Azure Admin und externer Berater hole ich den BR früh ins Boot.
Mit dem Compliance Center, cloudapp sec Center und den Azure Monitor Logs kann man genau nachverfolgen wer wann was gemacht hat, von wo auf welchen Endgerät. Dafür braucht es nicht mal die Graph API.
Im Grundsatz würd ich PIM einsetzten und solche spezifische Query’s Monitoren und Alarme Versenden.
Wie muss man sich das dann vorstellen? Der User bekommt eine Info, wenn ein Admin ihn überwacht? Das wäre ja eine super Lösung im Sinne der Transparenz.
Nicht der User selber würde benachrichtigen werden aber ein dediziertes Team. Ich habe in meiner Zeit als Admin nur selten mit Industriespionage zu tun gehabt, aber in den Fall würde man einen „Mitareiter“ nicht informieren.
Allerdings sehe ich es wie du Admin/privilegierter Anwender Richtlinie und fertig.
BR ins Boot holen und fertig.
Es is wie du sagst es ist ein Compliance Feature, zum Teil auch ein Teil der ISMS Sicherheit und damit meiner Meinung auch ein Teil des Art. 32 DSVO.
Wenn zu dieser Thematik mal Bedarf besteht kann ich dass gerne mal in einer live Demo zeigen.
Ich hatte gestern dazu die Fortsetzung der Debatte beim Kunden. Die Argumentation ist, dass man diese Daten nach DSGVO Art. 5 (Datenminierung) gar nicht erheben dürfte…da konnte ich erstmal nichts gegen sagen…
Gibt es dazu ein Urteil oder sowas? Ich habe nix gefunden…
Wer sagt denn dass es verboten ist die Daten zu erheben wer wann auf eine Datei zugegriffen hat. was in dem Dokument geändert wurde wurde ja nicht erhoben. nur dass wann wer wann wo und von welchen Endgerät.
Im Sinne des Art. 6 b/c und f. Bin ich interessiert und ggf. verpflichtet aus Sicherheitsgründen nachzuvollziehen wer auf die Daten zugegriffen hat und von wo um z.B. Herauszufinden ob der Zugriff von einem ggf. gehackten Gerät erfolgte etc.
Und auch hier gilt nur ein privilegierter Kreis darf die Funktionen nutzen.
Im Grunde dürfte man nach der Argumentation des Kunden auch kein AD, kein AV/DLP etc. und keine Versionierung von Dokumenten verwenden was schlichtweg blödsinnig ist. Allerdings würde ich das vom RA absegnen lassen.
Ich sehe sogar ein Anwendungsgrund es zu tun nach Art 5
f. in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
Mal den Datenschutz bei Seite! Hier wird eine Auswertung auf eine Ebene verschoben, die zu viel Spielraum für Interpretation gibt, die nicht mit der Aufgabenbewältigung des Arbeitsnehmer zutun hat, sondern mit seiner Person. Und ja das muss geschützt werden.
Vielleicht sollten wir dann den Interpretationsspielraum auch für den Arbeitnehmer erweitern, und den Arbeitsprozess des Chefs auswerten dürfen. Schließlich möchte ich selbst interpretieren dürfen, ob die Zukunft in dem Unternehmen mit diesen Chef einen Sinn ergibt oder halt nicht.
Wie sagte einzt Benjamin Franklin: Wer die Freiheit aufgibt, um Sicherheit zu gewinnen, der wird am Ende beides verlieren.
Nicht jede Datei die ein Mitarbeiter erhebt, gehört automatisch dem Unternehmen. Sind es Daten die für das Unternehmen freigegeben wurden, als Abgabe, oder für die Bearbeitung, dann ist das „vielleicht“ so zu werten.
Urheber eines Werkes ist in Deutschland immer die natürliche Person, die das Werk geschaffen hat, niemals aber eine “Firma”. Urheber eines Werkes ist in Deutschland immer die natürliche Person, die das Werk geschaffen hat, niemals aber eine “Firma”.
Wer das nicht aushält kann ja in die USA Auswandern dort sein Glück probieren. Ich bin so froh, das in Deutschland das Urheberecht nicht übertragbar ist.
Das ist sicher richtig. Daher stellt sich ja auch die Frage: muss man auf Tools wie O365 verzichten, weil damit prinzipiell die Überwachung von Mitarbeitern möglich ist? Ich würde sagen nein, aber muss Mechanismen der Transparenz schaffen (sagt auch die DSGVO Art 5).
Ich habe da folgende Ideen:
Da offensichtlich Profiling betrieben wird - gewollt oder nicht - ist eine DSFA nach Art 35 fällig. In dieser Risikoanalyse würde man vermutlich weitere Risiken aus diesem Profil heraus identifizieren.
Man trifft entsprechende Maßnahmen, um die Überwachungsrisiken zu minimieren
Wie könnten solche Maßnahmen aussehen? Mir fallen aktuell folgende ein:
In der Admin- oder IT-Richtlinie, in Unternehmen mit Betriebsrat in einer Dienstvereinbarung IT, ist definiert, wer was wann und wie mit den automatisch in O365 erhobenen Daten anfangen darf.
Jeder Mitarbeiter muss sehen können, welche Daten über ihn erhoben und ausgewertet werden (Art 15)
Es muss einen Mechanismus geben, der Betroffene informiert, wenn zB jemand auf seine Profil-Daten zugreift, die er nicht sieht.
Das muss man aus meiner Sicht differenziert sehen. Richtig ist, dass das Urheberrecht in DE nicht übertragbar ist.
Allerdings sind Daten und Ergebnisse, die im Rahmen des Arbeitsverhältnisses entstehen für das Unternehmen nutzbar (Übertragung der Nutzungsrechte), auch wenn der Mitarbeiter das Unternehmen verlässt. Alles andere wäre ja auch nicht praktikabel, wenn ein MA ein Unternehmen verlässt.
Was die spannende Frage ist: darf ein Mitarbeiter die von ihm erzeugten Daten und Ergebnisse auch in einem anderen Kontext / Unternehmen nach Beendigung des Beschäftigungsverhältnisses nutzen? Wenn ja, wann und wie und auf was muss man da achten?
Wer das nicht aushält kann ja in die USA Auswandern dort sein Glück probieren. Ich bin so froh, das in Deutschland das Urheberecht nicht übertragbar ist.
Zum Thema USA: ich habe mich im Kontext diverser Projekte mit dem Thema „Kontrolle und Überwachung der Mitarbeiter“ beschäftigen müssen. Der krasseste Fall den ich bisher hatte war, dass die GF alle E-Mails der MA mitliest.
Nach Rücksprache mit Anwälten war das wohl legal (wenn auch sicher nicht legitim oder zumindest moralisch fraglich), sofern die private Nutzung von Mails untersagt war.
Ich war daher überrascht, wie nah wir bei den USA sind, wenn es hart auch hart kommt…
Also in erster Linie wird das Profiling nicht aktiv betrieben. Sondern es muss aktiv getriggert werden. Und eine DSFA halte Ich im ersten Schritt für nicht unbedingt notwendig.
Es entstehen erstmal nur Logs an den unterschiedlichsten Stellen wie bei jedem OS auch.
Das zusammenführen der Logs um damit ein Profiling zu betreiben ist auch aus meiner Sicht nicht zulässig. Wenn man es auf die Spitze treibt können die query’s auch automatisch ausgeführt werden.
In jedem Arbeitsvertrag eine Entwicklers steht die Arbeitsergebnisse des Mitarbeiters verbleiben im Besitz der Firma oder des Kunden.
Ich selber war und bin MA und kann damit gut leben und sehe da kein moralischen Anstoß. Den Wozu stellt den ein AG ein AN an? Für Arbeitsergebnisse.
Das Zitat von Franklyn wurde ich in sofern wieder sprechen als das das schwächste Glied in der IT-Sec I.d.R Menschen sind und ich nach Art32 die Personen bez. Daten schützen muss und das mache ich z.B mit logs. Also Schütze ich mich als Verantwortlicher im Sinne des Zero Trust ich traue niemanden und nicht mal mir.
Grad O365 bietet so viele Möglichkeiten ein gesundes Maß an Überwachung und ISMS umzusetzen. (schon mal den neuen Datenschutz Bereich im Compliance Bereich gesehen der wertet genau aus welche Daten wo erhoben werden)
Ich weiß ja das hier ein paar Theoretiker sind aber irgendein Admin muss ja auch den ganzen Kram umsetzten den sich Menschen so ausdenken ;). Und wenn man nicht X Tools als Firma einsetzen möchte und damit wahrscheinlich sehr viel Geld in die Hand nehmen muss, kommt eine Firma um Dienste wie O365 herum um ein gescheites Arbeiten und gesetzliche Auflagen (oder ISOs) zu erfüllen .
Open Source ist nicht immer Günstiger.
PS: jeder Gute Geschäftsführer sollte steht’s seine eigene Arbeit überwachen, um das Unternehmen erfolgreicher zu machen. Das sagt zumindest jeder Berater😅.
Natürlich sind die Nutzerrechte übertragbar und das Automatisch! Jedoch nicht zu jedem Zeitpunkt! Der Arbeitnehmer allein bestimmt, wenn ein Dokument übertragbar wird, und nicht die Tatsache, dass man einen Firmencomputer oder den Bleistift von Chef nutzt.
Stell dir mal vor, der Arbeitgeber könnte jeden einzelnen Prozess beobachten. Dann könnte er ihn ja zur jeder Zeit stören, oder sogar heimlich für sich übertragen und für sich ausgeben. Das ist ja schon fast Gedankenlesen. Hier müsste ja Juristisch einige Punkte vollkommen neu Bewertet werden, z.B Fahrlässigkeit.
Ein Dokument was ein Mitarbeiter erstellt, geht keinen etwas an, bis es bereit für die Veröffentlichung ist.
Ah ja, und wie verhält sich das mit Arbeitnehmern die z.B. eine Software die sie davor Privat in die Firma mit eingebracht haben?
Es sagt ja auch keiner etwas gegen Logs. Gegen Keylogs aber schon. sollte sich das ein Arbeitsgeber erlauben, gehe ich durch alle Instanzen.
Mann muss ja mal bedenken, dass schon das schreiben jetzt hier von mir, in diesen kleinen Editor und einem Keylogger - ja das aller letzte wäre! Irgendwer beginnt mit der Anrede, beim erstellen einer Antwort auf den Beitrags seines Chef’s, da sollte nur der Verfasser wissen, das es 5 Versuchte brauchte jene Anrede ohne das Wort „Arschloch“ zu Formulieren.
Wir müssen nicht auf Office356 verzichten. Wenn wir Sicherheit möchten, dann gilt die für alle. Jeder Mensch im Netz soll sicher sein, auch vor den Augen und Ohren anderer. Wenn wir das verstehen, dann verstehen wir auch Franklin. wer Sicherheit mit einen Aber formulieren möchte, dürfte niemals Gegenstand einer Diskussion sein.
Es sollten Dokumente mit dem Status Entwurf, nicht in Logs erscheinen oder für irgendwem, außer dem Erfasser, sichtbar sein. Grundsätzlich will ich Informiert werden wer, wie und wo Daten angeschaut hat, Einsicht angefordert hat, die mit mir zu tun haben.
Zum Thema Arbeitsrechner und Privater Nutzung. Wer hier in Zukunft als Arbeitgeber meint, totale Einsicht zu wollen, der darf sich darauf gefasst machen, das auf den Geräten nichts mehr großartiges passiert. Man nimmt dann halt andere Kanäle, um seine Arbeit im Entwurfsstatus zu halten. Das würde dem ganzen also wieder endgegenwirken.