Workshop Datenschutz und Datensicherheit praktisch am PC

Aus Bloghandbuch

Wechseln zu: Navigation, Suche

Schulungsangebot für Betriebsrätinnen und Betriebsräte, organisiert von der Bildungsabteilung der GPA-djp.


Entwicklung des Workshop-Angebots

Im März 2012 hat die GPA-djp Bildungsabteilung erstmals ein Workshop/Seminar Datenschutz und Datensicherheit praktisch am PC angeboten.

Für Bildungsabteilung und Referenten stellt dieses Angebot einen Feldversuch dar. Offen ist, gibt es diesen Bedarf, wie groß ist dieser Bedarf, welche Themenbereiche und -behandlungen werden von Teilnehmer_innen erwartet, welche Themenbehandlungen werden für die Betriebsratsarbeit als brauchbar erachtet, vor welchen praktischen Problemen stehen Betriebsrät_innen und Mitarbeiter_innen in Betrieben und auf den Fremdsystemen, welche Antworten lassen sich technisch, organisatorisch und rechtlich auf die in Betrieben herrschende Situation geben?

Das Workshop Datenschutz und Datensicherheit praktisch am PC ist als anrechenbares Wahlmodul für den Lehrgang zum Betrieblichen Datenschutzbeauftragten: Die Basisausbildung in Sachen betrieblicher Datenschutz anrechenbar.

Das erste Workshop war binnen einer Stunde vierfach überbucht. Es fand, vorerst noch eintägig, im April 2012 statt. Eine Dokumentation dieses ersten Durchgangs findet sich im "Daten im Betrieb"-Blog. Erstellt wurde diese Dokumentation von Thomas Kreiml aus der GPA-djp Bildungsabteilung, der beim ersten Versuch anwesend war.

Trainer des Workshops sind Thomas Lohninger, Netzaktivist und Hacker, Christian Voigt, Soziologe und Trainer in der Erwachsenenbildung und Michael Zeltner, Netzkünstler und Hacker.

Die Zusammenarbeit zwischen einer Person aus der Gewerkschaft, einer Person aus der "Hacker-Szene" und einer Person mit langjähriger Erfahrung in der Betriebsratsschulung ist programmatisch.

  1. können nur so praktische Erfahrungen aus den verschiedenen Feldern zusammengebracht und ausgetauscht werden: Stand der Datenschutzpraxis in Betrieben, Stand der Datenschutzpraxis in der "Hacker-Szene", Praxis von Betriebsvereinbarungen und Betriebsratsarbeit, Beurteilung technischer Grundlagen, Praxisanwendung für Betriebsratschulungen und für die Arbeit in Betrieben, strategische Überlegungen zur Implementierung von Anwendungen unter Einbeziehung der organisatorischen, know-how-technischen und rechtlichen Hürden.
  2. sollen die Workshops das Fundament für einen laufenden und nachhaltigen Wissensaustausch zwischen der Betriebsratswelt, den Expert_innen in Gewerkschaften und der "Hacker-Szene" bilden.


Ein zweites eintägiges Workshop wurde im Juni eingefügt und von der Warteliste aus mit Teilnehmer_innen gefüllt.

Im September und Oktober 2012 wurden zwei weitere Termine eingerichtet, diesmal bereits als zweitägige Veranstaltung. Beide Termine wurden wieder nur über die Warteliste der ersten Ausschreibung im März 2012 gefüllt.

Das untenstehende Workshop-Konzept ist das Ergebnis der Erfahrungen der ersten vier Durchgänge.

Nächste Schritte sehen neben weiteren Seminaren in 2012 vor:

  • Entwicklung einer Broschüre für Betriebsrät_innen auf Basis der Workshop-Inhalte und -Erfahrungen, dazu soll es sowohl (und zuerst)
    • Einträge hier im BlogHandbuch unter der Kategorie Datenschutz geben
    • als auch in weiterer Folge eine gedruckte Broschüre.
  • Austausch mit der work@it
  • Austausch mit verschiedenen im weiten Feld "Datenschutz" befassten Expert_innen
  • Austausch mit anderen Gewerkschaften in Ö und D

Im Jänner 2013 findet ein Workshop mit Führungskräften der GPA-djp statt.

Und ebenfalls im Jänner 2013 nimmt Anna Masoner einen Ö1 Radiobericht für die Sendung Matrix zu diesem Arbeitsfeld, Schulungsbedarf und Workshopangebot auf, der im März gesendet wird.

Im Sommer 2013 bringt die Futurezone einen längeren Artikel zu ["Big Brother am Arbeitsplatz" über die Workshops, die Problemlagen und Erfahrungen http://futurezone.at/netzpolitik/wir-glauben-der-chef-liest-unsere-e-mails/24.600.500].

Jänner 2014 findet das erste Workshop statt, das nicht ausgebucht ist (8 Anmeldungen und Teilnehmer_innen).


Der Workshop

Ausschreibungstext

Titel: Datenschutz und Datensicherheit praktisch am PC

Datenschutz ist ein ebenso heikles wie umfassendes Thema und berührt verschiedene Gesetzesbereich. Meist sind mehrere Personengruppen wie TechnikerInnen, Juristen und AnwenderInnen bei Datenschutzfragen involviert bzw. betroffen. In den Betrieben gibt es oft mehrere Betriebsvereinbarungen zur Regelung unterschiedlicher Systeme wie z.B. zur Nutzung des Internets, der Telefonanlage usw.

Was können wir als ArbeitnehmerInnen persönlich und praktisch an den Computern tun, um unsere eigenen Daten sowie jene unserer KollegInnen und KommunikationspartnerInnen zu schützen? Welche Einstellungen können wir an unseren Geräten vornehmen, wie und wo sollten wir Daten speichern und was sollten wir bei unserem Kommunikationsverhalten bedenken?

In diesem Workshop beschäftigen wir uns praktisch am PC damit, was wir als Betriebsratsmitglieder bei der Arbeit an Firmen- und an privaten PCs bedenken sollten, was wir einstellen und welche Dienste wir nutzen können.

Ziele:

Verstehen, was das heißt, dass der PC am Arbeitsplatz im Betrieb ein Fremdrechner in einem Fremdsystem ist und dementsprechend mit Daten umgehen.

Für das Surfen im Internet praktische Sicherheitsvorkehrungen an Browsern vornehmen können. Einschätzen können, welche Spuren wir in unseren Firmennetzwerken und welche Spuren wir auf Websiten z.B. auch auf Plattformen wie Facebook hinterlassen.

Daten geschützt speichern können – Fragen zu Passwörtern, Passwort-Managern und Verschlüsselung von Dateien oder Festplatten.

Die eigene Kommunikation schützen können: wie sichern wir Kanäle oder bauen sichere Kanäle auf? Wie gehen wir es an, damit wir zwischen Betriebsräten verschlüsselte Emails austauschen können?

Methoden:
  • Inhaltliche Inputs von Referenten
  • Praxisübungen am PC
  • Diskussion
  • Fallbesprechungen



Workshop Design

Das ist der Aufbau und Fahrplan, wie er sich im Zuge der ersten Workshops herausgearbeitet hat.

Wir differenzieren fünf zentrale Ziele/Blöcke, die jeweils mit (a) Einstieg und (b) Wiederholung und Vertiefung an beiden Seminartagen bearbeitet werden. Die thematischen Blöcke werden auf diese Weise jeder für sich zwei Mal ins Zentrum gestellt, wiederholt und vertieft:

I Datensicherheit: Einschätzen können, Prinzipien verstehen a + b
II Passwörter, Dateitypen, Ablagesysteme bzw. Speicherorte a + b
III Internet: sicheres Surfen a + b + c
IV Symmetrische Verschlüsselung von Dateien a + b
V Asymmetrische Verschlüsselung von E-Mail-Kommunikation a + b


1. Seminartag

I(a) und III(a)
  • Vorstellungsrunde - Problemdarstellung durch TN, Erwartungen sammeln
  • Flipchart Zeichung von Datenübertragung und MIM, Ergänzung um Unternehmen
  • Problemdarstellung Referenten: Datensicherheit im Fremdsystem
  • Die 3 Ebenen: 1) Datensammelwahn (billig geworden), 2) Vorratsdatenspeicherung (Daten auf Vorrat speichern, weil billig) 3) "Rasterfahndung" (Datenauswerten: in Betrieben)
  • Auf Löschen drängen, Zweckbindung und Zustimmungspflichtig, Datensparsamkeit
  • über Betriebsvereinbarung zu Internet reden, Wer hat bereits eine BV E-Mail/Internet? Zustimmungspflichtig und Möglichkeit einstweiliger Verfügung
  • Beziehung zur IT Abteilung
  • Netzpolitik als Bürger_innen, Konsument_innen und Arbeitnehmer_innen
  • Einstieg am PC mit Aufruf einer website, bei der es eine "Sicherheitswarnung" gibt, bsp: ccc.de oder cacert.org
  • Signatur zur Identifikation: Problem, "das kann jeder behaupten"; Notwendigkeit der Verschlüsselung und Zertifikatsüberprüfung
  • https als Verschlüsselung der Datenübertragung, Vergleich mit Email Kommunikation
  • Links herzeigen zu
II(a)
  • Leseschutz für Word.doc und Excel.xls setzen
  • Eigenschaften von Dateien, Erklärung "Metadaten", Eigenschaften Dialog in Windows,
  • Exkurs Metadaten (Fallbeispiel "Massenvernichtungswaffen"), Bsp Tony Blair
  • Dateien mit Editor öffnen,
  • Durchbesprechen Metadaten säubern "Metadaten cleanup"googl'n
  • Passwortqualität besprechen mit Input/Präsentation: Erklärung der Kriterien sicherer PWs
  • PW-Manager erwähnen, im WWW auf Tutorials hinweisen, Website zum d/l und d/l
  • Dateien verschlüsseln: VeraCrypt, im WWW auf Tutorials hinweisen, Website zum d/l
IV(a)
  • veracrypt ausführen und kleines Volume erstellen, das per E-Mail verschickbar ist

Volume mit Word.doc und Excel.xls füllen

  • E-Mail-Clients des EDV-Raums öffnen und untereinander die Volumes mailen
  • Umgang mit gemeinsamen Passwörtern besprechen
V(a)
  • pgp; im WWW auf Tutorials hinweisen, Bedingungen erklären
  • Websites für d/l (auch Thunderbird und Extension)
  • Gpg4win ausführen, Schlüssel mit Ablaufdatum erstellen

<pause>

  • Schlüssel in Thunderbird verwalten
  • Schlüssel gegenseitig austauschen, Emails mit Signatur senden
  • Verschlüsselte Emails senden
Wiederholung & Ausblick 2. Tag
  • Rekapitulieren, was wir gelernt haben: Bericht an BR-Kolleg_innen
  • Digitaler Schatten: me&my shadow

2. Seminartag

III(b)
  • Wiederholung Zertifikate und https
  • https everywhere installieren; add-ons besprechen
  • lightbeam Visualisierung: third-party-inhalte
  • AdBlock installieren und Auswirkung auf lightbeam herzeigen, tracking besprechen
  • Ghostery installieren, Cookies besprechen und dazu die Einstellungen im Browser herzeigen, panopticlick
  • Personalisierung und Filterbubble besprechen, alternative Suchmaschinen DuckDuckGo vorstellen
II(b)
  • Wiederholung zu Metadaten
  • Wiederholung zu Passwörtern
  • Passwort-Manager ausführen und nutzen
  • Möglichkeiten unauffälligerer Speicherorte besprechen
  • Vorratsdatenspeicherung als Beispiel staatlicher Überwachung
  • Auskunftsrecht nach Datenschutzgesetz. Verweis auf help.gv.at, dsb.gv.at und argedaten.at
IV(b)
  • veracrypt Wiederholung
  • Volumes des Vortags wieder öffnen, Dateien bearbeiten, schließen
  • größeres Volume erstellen und PW-Manager für Passwort nutzen
  • Verschlüsseln der Festplatte besprechen
V(b)
  • Wiederholung PGP, Erklärung asymmetrischer Verschlüsselung
  • Wiederholung Signatur
  • Schlüssel-Server
  • verschlüsselte Emails versenden
  • Bedingungen für verschlüsseltes Emailen von BRs diskutieren
III(c)
  • Parallelstrukturen; Einsatz von E-Mail-Adressen; google Drive
  • IP Adressen Lookup
  • panoptyclick
  • Tor: im WWW auf Tutorials hinweisen, Bedingungen erklären, ausführen
  • Herzeigen Zertifikats-Liste im Browser (Internet Explorer)
I(b)
  • Gesamtwiederholung
  • Diskussion Einsatzmöglichkeiten und Strategien ("Wo sitzt die IT im Unternehmen")
  • Diskussion Prinzipien Datensicherheit
  • Risikoszenarien
  • Feedback


Erwartungen an die Workshops

WS Juni 12
Eingangs der Workshops genannte Workshop-Erwartungen und Fragen, die die Betriebsrät_innen gerne einschätzen könnten:


häufig genannt:

  • Was kann das Unternehmen alles sehen und machen?
    • Was können System-Administrator_innen tun?
  • Einschätzungsfragen zu verwendeter Software: wie sicher ist X und Y, was kann bei X und Y erfasst werden, wie funktioniert X und Y, warum will das Unternehmen X und Y verwenden, wie könnte der BR den Einsatz von X und Y überprüfen?
  • Wir haben das "Gefühl", dass unsere E-Mails vom Unternehmen gelesen werden.
    • Können wir verhindern, dass das Unternehmen E-Mails lesen kann?
  • Was darf das Unternehmen alles tun?
    • Welche Rechte haben wir, worauf kann der Betriebsrat sich berufen?
    • Wie sehen die rechtlichen Grundlagen aus, wo können wir uns informieren?
  • Können wir irgendwie sehen/feststellen/kontrollieren, was sich das Unternehmen alles anschaut?


WS September 12
manchmal genannt:
  • Wie können wir Dateien sicher vor "Gelesen werden" schützen.
    • Reicht der Leseschutz mit Passwort von (z.B.) Microsoft Dateien wie word-docx oder excel-sheets?
  • Wie kann ich meinen Laptop vom Unternehmen schützen und meine Daten am Laptop vor dem Unternehmen schützen?


einzelne spezielle Fragen:

  • Das Unternehmen will X, Y einführen, wir machen uns in dem Zusammenhang X, Y Sorgen. Wie können wir das einschätzen, können wir das verhindern, kann das Unternehmen das erzwingen, was können wir verlangen, ...?
  • Wir haben eine Blackberry-/Lotus Notes-/...-Server, über den unser Kommunikation ... das bringt folgende Probleme/Fragen ...
  • Wie funktioniert das Intranet?
  • Wie ist das Risiko einzuschätzen, dass es von uns Daten im Internet gibt?


Feedback aus den Workshops

Das Feedback zu den vier Durchgängen des Workshops war idR sehr positiv.


Ein wiederkehrender Kritikpunkt war, dass

  • sich die Teilnehmer_innen mehr handfeste rechtliche Informationen gewünscht hätten, bzw
  • Rechtsinformationen erwartet hätten bzw.
  • in der Ausschreibung nicht klar genug herauszulesen war, dass dieser Workshop sich mit praktischen Anwendungen am Gerät beschäftigt bzw.
  • nicht transparent genug wäre, welche (vielen) anderen Schulungsangebote es für den Bereich "Datenschutz und Datensicherheit" gäbe.


Wiederkehrende Diskussionspunkte sind,

  • warum wir Open Source Programme verwenden/empfehlen,
  • dass vielleicht besser alles auf die Microsoft Umgebung abgestimmt sein sollte,
  • ob das Installieren von Programm in den Betrieben realistisch durchsetzbar ist,
  • ...


Wiederkehrende Verbesserungsvorschläge und Wünsche waren,

  • Unterlagen/Skriptum für das Workshop und als Hilfestellungen, um Durchgemachtes in der Praxis nachmachen zu können,
  • "Vielleicht sollte das Thema zweigeteilt werden, und zwar für Anfänger und Fortgeschrittene. Es wurden viele frei erhältliche Tools vorgestellt. In der heutigen Zeit arbeiten aber viele KollegInnen vor allem mit Microsoft Produkten in den Firmen. Daher sollte mehr auf die Spuren in einem Windows System und deren Vermeidung eingegangen werden."