this post was submitted on 21 Jun 2023
5 points (100.0% liked)

de_EDV

3805 readers
1 users here now

Ableger von r/de_EDV auf Lemmy.

News, Diskussionen und Hilfestellung zu Hard- und Software

Diese Community dient als Anlaufstelle für alle IT-Interessierten, egal ob Profi oder blutiger Anfänger. Stellt eure Fragen und tauscht euch aus!

Weitere IT Communitys:

[email protected]

[email protected]

[email protected]

[email protected]

founded 1 year ago
MODERATORS
 

Moin zusammen,

ich würde gerne mal wissen, wie andere Firmen die Digitalisierung oder zumindest die interne Kollaboration datenschutzkonform bewerkstelligen. Ich arbeite in einem mittelgroßen Logistik- / Hafenumschlagsbetrieb. Wir sind aufgestellt wie 2005. Wir haben keine eigene IT-Abteilung, sondern nur einen externen Dienstleister, der hauptsächlich MS-Produkte im Portfolio hat. Wir nutzen ein unfassbar primitives Warenwirtschaftssystem, ein ebensolches E-Mail-Programm und MS Office 2013. Ich soll mir Gedanken machen um unsere zukünftige Software, aber ich weiß nicht wo ich anfangen soll. MS Teams würde uns bspw. ordentlich voran bringen, ist aber nicht DSGVO-Konform. Genauso wenig wie Google, Atlassian, Slack usw. Ich nutze in meiner Abteilung "heimlich" Signal zur internen Kommunikation. Signal hat aber wenig Features, was die Zusammenarbeit angeht. Ebenfalls haben wir ein gemeinsames, kostenloses Trelloboard (Ja, auch nicht DSGVO-Konform) damit wir unsere Projekte zumindest einigermaßen übersichtlich beisammen haben. Weitergabe von Dokumenten erfolgt bei uns via E-Mail oder Ablage auf dem Server, beides nicht optimal und vor allem nicht schnell. Hat jemand Erfahrung bzw. Ideen zu dem Thema? Wie sieht es bei euch aus?

you are viewing a single comment's thread
view the rest of the comments
[–] [email protected] 9 points 1 year ago (3 children)

Ich bin hier zwiegespalten.

Auf der einen Seite sehe ich Bedenken gegen O365 (und Co) in erster Linie bei Mittelständlern. Irgendwie sind es immer diese "kleinen" Buden, die super paranoid sind und glauben, alle wollen ihnen nur böses. Die härtesten Verhandlungen bei Projekten hatten wir immer mit Mittelständlern. Ebenso das meiste Zögern bezüglich Datensicherheit. Die ganzen großen Buden, die deutlich mehr und wertvollere Assets haben (VW, BMW, DHL, ...) kommen komischer Weise völlig unproblematisch mit O365 klar. Und die müssen idR auch noch ihren Betriebsrat überzeugen. Das geht aber. Also kann es eigentlich nicht sooo schlimm sein. Naja.

Aber auf der anderen Seite befürworte ich, nicht ständig Microsoft in den Arsch zu kriechen. Jetzt kenne ich nicht, was genau eure/deine Anforderungen sind. Aber du kannst dir ja mal https://mailbox.org anschauen. Da bieten für einen kleinen Obolus eMail Postfach, Cloud Speicher, Online Office und Videokonferenzen an. Alles aus und in Deutschland.

Und - wenn ich hier mal Eigenwerbung machen darf - könntest du auch noch einen Blick auf https://staffbase.com werfen. Der Fokus unseres Produktes ist aber eher Mitarbeiterkommunikation. Kann aber relativ viele Facetten abbilden. Chat, News, Formulare, Speisepläne, Kalender, whatever. Wenn ihr jedoch niemanden habt, der sich für Interne Kommunikation ("Internal Comms") interessiert und das irgendwie vorantreiben wollen würde, hättet ihr glaub ich wenig davon. Einfach hinstellen und dann nix damit machen bringt's nicht.

[–] [email protected] 7 points 1 year ago (2 children)

Das mit dem Zwiespalt verstehe ich total. Ich bin leider unser Datenschutzbeauftragter und habe im Zuge dessen eine ausführliche Analyse zu diesem Thema für die Geschäftsleitung geschrieben. Es gibt leider keine Möglichkeit M365 Datenschutzkonform einzusetzen. Wir haben ausschließlich B2B-Beziehungen, bei uns ist tatsächlich die Gefahr auf eine Überprüfung durch die Aufsichtsbehörden vernachlässigbar gering.

Ich sehe es aber absolut nicht ein Microsoft zu verwenden. Sie behaupten auf ihrer Webseite, dass ein DSGVO-konformer Einsatz möglich ist, obwohl die Datenschutzkonferenz das widerlegt hat. Daraufhin reagiert Microsoft auch noch richtig pissig und aggressiv. Datenschutz geht denen einfach am Arsch vorbei.

Danke für deine Vorschläge, schaue ich mir an. Staffbase sieht gut aus, ist aber wohlmöglich ein wenig überbordend für unsere Firma. Wobei wir sehr viele gewerbliche Mitarbeiter haben, für die das tatsächlich von Interesse sein könnte, wenn die ihre Schichtpläne direkt aufs Handy bekommen würden, anstatt wie bislang als ausgedruckten Aushang ;)

[–] [email protected] 1 points 1 year ago (1 children)

Hast du bezüglich der Datenschutzprobleme ein passt Quellen? Bei uns in der Firma wirs das Thema gerade auch aktuell

[–] [email protected] 2 points 1 year ago

Ja, na klar. Gibt halt zwei grundsätzliche Probleme. Zum Einen sind da Telemetrie- und Diagnosedaten, die an MS gesendet werden und zum Anderen die US-Gesetze wie den "Cloud Act".

Quellen zum ersten Punkt:

  • Abschlussbericht der Datenschutzkonferenz:

https://www.datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365_abschlussbericht.pdf

  • Folgend ein Zitat aus dem Dokument „Festlegung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder“ der DSK:

Dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten "Datenschutznachtrags vom 15. September 2022" nicht geführt werden kann. Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.

https://datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365.pdf

  • In BW für Schulen verboten (ab Seite 48)

https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2023/02/TB_38_Datenschutz-2022_V1-.pdf

Quellen zum zweiten Punkt

  • Die Nutzung von US-Cloud-Anbietern ist nach einem Beschluss der Vergabekammer Baden-Württemberg vom 13.07.2022 rechtswidrig:

https://gdprhub.eu/images/b/b4/VK_Baden_W%C3%BCrttemberg_-_1_VK_23-22.pdf

  • Schrems II Urteil, gibt also kein gültiges Datentransferabkommen zwischen der EU und den USA

https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Europa-Internationales/Auswirkungen-Schrems-II-Urteil.html

Das nur so auf die Schnelle

[–] [email protected] 1 points 1 year ago (1 children)

Cloudgeraffel mit Nextcloud, Handys mit Threema Work ausstatten, Abfahrt.

[–] [email protected] 1 points 1 year ago (1 children)

Oh, gute Idee mit Threema Work, hatte ich gar nicht auf dem Schirm.

[–] [email protected] 1 points 1 year ago

Haben wir als out of band Kommunikation benutzt, für den Fall dass Teams abamselt während wir nen Incident haben. Oder dass Angreifer in Teams-Sessions hocken könnten.

[–] [email protected] 3 points 1 year ago (1 children)

Genau. Irgendwie dürfen Microsoft, Facebook und Google in Deutschland oder gar Europa ihre Dienste anbieten, und irgendwie dürfen große Konzerne und teils .gov diese Dienste auch benutzen. Aber für eine 50-köpfige GmbH ist das alles zu heikel. 😂

[–] [email protected] 1 points 1 year ago

Das Problem ist ja, dass die ganzen großen Konzerne so tief in den Ökosystemen dieser Anbieter sind, dass eine Umstellung unfassbar teuer wäre und man in vielen Bereichen noch Abstriche machen müsste oder zumindest Kompromisse. So viel ist denen Datenschutz dann doch nicht wert.

[–] [email protected] 3 points 1 year ago

Bin ganz deiner Meinung. Alle wollen, dass Deutschland digital nicht abgehängt wird. Aber anstatt das Know-How in DE aufzubauen hängen alle an Microsoft.