Workshop Datenschutz und Datensicherheit praktisch am PC

Aus Bloghandbuch

Version vom 8. Mai 2019, 09:47 Uhr von Hc.voigt (Diskussion | Beiträge)

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Wechseln zu: Navigation, Suche

Schulungsangebot für Betriebsrätinnen und Betriebsräte, organisiert von der Bildungsabteilung der GPA-djp.

Auf dieser Seite alle Infos zu Hintergrund, Geschichte und Aufbau des Workshops. Auf der Diskussion-Seite sind die Stimmen der Feedback-Runden gesammelt.


Entwicklung des Workshop-Angebots

Im März 2012 hat die GPA-djp Bildungsabteilung erstmals ein Workshop/Seminar Datenschutz und Datensicherheit praktisch am PC angeboten.

Für Bildungsabteilung und Referenten stellt dieses Angebot einen Feldversuch dar. Offen ist, gibt es diesen Bedarf, wie groß ist dieser Bedarf, welche Themenbereiche und -behandlungen werden von Teilnehmer_innen erwartet, welche Themenbehandlungen werden für die Betriebsratsarbeit als brauchbar erachtet, vor welchen praktischen Problemen stehen Betriebsrät_innen und Mitarbeiter_innen in Betrieben und auf den Fremdsystemen, welche Antworten lassen sich technisch, organisatorisch und rechtlich auf die in Betrieben herrschende Situation geben?

Das Workshop Datenschutz und Datensicherheit praktisch am PC ist als anrechenbares Wahlmodul für den Lehrgang zum Betrieblichen Datenschutzbeauftragten: Die Basisausbildung in Sachen betrieblicher Datenschutz anrechenbar.

Das erste Workshop war binnen einer Stunde vierfach überbucht. Es fand, vorerst noch eintägig, im April 2012 statt. Eine Dokumentation dieses ersten Durchgangs findet sich im "Daten im Betrieb"-Blog. Erstellt wurde diese Dokumentation von Thomas Kreiml aus der GPA-djp Bildungsabteilung, der beim ersten Versuch anwesend war.

Trainer des Workshops sind Thomas Lohninger, Netzaktivist und Hacker, Christian Voigt, Soziologe und Trainer in der Erwachsenenbildung und Michael Zeltner, Netzkünstler und Hacker.

Die Zusammenarbeit zwischen einer Person aus der Gewerkschaft, einer Person aus der "Hacker-Szene" und einer Person mit langjähriger Erfahrung in der Betriebsratsschulung ist programmatisch.

  1. können nur so praktische Erfahrungen aus den verschiedenen Feldern zusammengebracht und ausgetauscht werden: Stand der Datenschutzpraxis in Betrieben, Stand der Datenschutzpraxis in der "Hacker-Szene", Praxis von Betriebsvereinbarungen und Betriebsratsarbeit, Beurteilung technischer Grundlagen, Praxisanwendung für Betriebsratschulungen und für die Arbeit in Betrieben, strategische Überlegungen zur Implementierung von Anwendungen unter Einbeziehung der organisatorischen, know-how-technischen und rechtlichen Hürden.
  2. sollen die Workshops das Fundament für einen laufenden und nachhaltigen Wissensaustausch zwischen der Betriebsratswelt, den Expert_innen in Gewerkschaften und der "Hacker-Szene" bilden.


Ein zweites eintägiges Workshop wurde im Juni eingefügt und von der Warteliste aus mit Teilnehmer_innen gefüllt.

Im September und Oktober 2012 wurden zwei weitere Termine eingerichtet, diesmal bereits als zweitägige Veranstaltung. Beide Termine wurden wieder nur über die Warteliste der ersten Ausschreibung im März 2012 gefüllt.

Das untenstehende Workshop-Konzept ist das Ergebnis der Erfahrungen der ersten vier Durchgänge.

Nächste Schritte sehen neben weiteren Seminaren in 2012 vor:

  • Entwicklung einer Broschüre für Betriebsrät_innen auf Basis der Workshop-Inhalte und -Erfahrungen, dazu soll es sowohl (und zuerst)
    • Einträge hier im BlogHandbuch unter der Kategorie Datenschutz geben
    • als auch in weiterer Folge eine gedruckte Broschüre.
  • Austausch mit der work@it
  • Austausch mit verschiedenen im weiten Feld "Datenschutz" befassten Expert_innen
  • Austausch mit anderen Gewerkschaften in Ö und D

Im Jänner 2013 findet ein Workshop mit Führungskräften der GPA-djp statt.

Und ebenfalls im Jänner 2013 nimmt Anna Masoner einen Ö1 Radiobericht für die Sendung Matrix zu diesem Arbeitsfeld, Schulungsbedarf und Workshopangebot auf, der im März gesendet wird.

Im Sommer 2013 bringt die Futurezone einen längeren Artikel zu ["Big Brother am Arbeitsplatz" über die Workshops, die Problemlagen und Erfahrungen http://futurezone.at/netzpolitik/wir-glauben-der-chef-liest-unsere-e-mails/24.600.500].

Jänner 2014 findet das erste Workshop statt, das nicht ausgebucht ist (8 Anmeldungen und Teilnehmer_innen).


Der Workshop

Ausschreibungstext

Titel: Datenschutz und Datensicherheit praktisch am PC

Datenschutz ist ein ebenso heikles wie umfassendes Thema. Es berührt verschiedene Gesetze. Mehrere Personengruppen wie TechnikerInnen, JuristInnen und AnwenderInnen sind involviert. Als Betriebsrat regeln wir Fragen des Datenschutz in nicht einer sondern gleich mehreren Betriebsvereinbarungen. Dabei ist Datenschutz etwas praktisches und keine komplizierte abstrakte Materie.

Du kannst als ArbeitnehmerIn persönlich an den Computern einiges tun, um deine eigenen Daten sowie jene deiner KollegInnen und KommunikationspartnerInnen zu schützen. Schauen wir uns an, welche Einstellungen du an Geräten vornehmen kannst. Wie und wo solltest du Daten speichern. Welchen Tools kannst du vertrauen. Was sollten wir bei unserem Kommunikationsverhalten bedenken?

In diesem Workshop beschäftigen wir uns praktisch am PC damit, was wir als Betriebsratsmitglieder bei der Arbeit an Firmen- und an privaten PCs bedenken sollten, was wir einstellen und welche Dienste wir nutzen können.


Zielgruppe

Betriebsratsmitglieder, die Mitglied der GPA-djp sind


Ziele
  • Du verstehst, was das heißt, dass der PC am Arbeitsplatz ein Fremdrechner in einem Fremdsystem ist und kannst dementsprechend mit Daten umgehen.
  • Du kannst für das Surfen im Internet praktische Sicherheitsvorkehrungen an Browsern vornehmen.
  • Du kannst einschätzen, welche Spuren wir in unseren Firmennetzwerken und welche Spuren wir auf Websites hinterlassen.
  • Du kannst Daten verschlüsseln und geschützt speichern
  • Du kannst sichere Passwörter richtig wählen und Dir auch merken.
  • Du kannst Kommunikation schützen, sichere Kanäle auswählen und sogar aufbauen.
  • Du kannst anderen vermitteln, worum es bei sicherer Kommunikation im Kern immer geht.


Es geht bei Datenschutz nicht darum, ob du etwas zu verbergen hast. Schließlich liegen bei dir auch Daten deiner Freunde, deiner Familie, deiner KollegInnen.


Methoden
  • Inhaltliche Inputs von Referenten
  • Praxisübungen am PC
  • Erfahrungsaustausch und Diskussion
  • Fallbesprechungen


Trainer
  • Hans Christian Voigt, Soziologe, politische Bildung
  • Michael Zeltner, Hacker & Datenschützer, Digitale Kunst
  • Thomas Lohninger, Programmierer, Datenschützer, epicenter.works


Das könnte dich auch interessieren

Der gläserne Mensch - unsere Daten als Macht- und Wirtschaftsfaktor (WS)


Workshop Design

Das ist der Aufbau und Fahrplan, wie er sich im Zuge der ersten Workshops herausgearbeitet hat.

Wir differenzieren fünf zentrale Ziele/Blöcke, die jeweils mit (a) Einstieg und (b) Wiederholung und Vertiefung an beiden Seminartagen bearbeitet werden. Die thematischen Blöcke werden auf diese Weise jeder für sich zwei Mal ins Zentrum gestellt, wiederholt und vertieft:

I Datensicherheit: Einschätzen können, Prinzipien verstehen a + b
II Passwörter, Dateitypen, Ablagesysteme bzw. Speicherorte a + b
III Internet: sicheres Surfen a + b + c
IV Symmetrische Verschlüsselung von Dateien a + b
V Asymmetrische Verschlüsselung von E-Mail-Kommunikation a + b


1. Seminartag

I(a) und III(a)
  • Vorstellungsrunde - Problemdarstellung durch TN, Erwartungen sammeln
  • Flipchart Zeichung von Datenübertragung und MIM, Ergänzung um Unternehmen
  • Problemdarstellung Referenten: Datensicherheit im Fremdsystem
  • Die 3 Ebenen: 1) Datensammelwahn (billig geworden), 2) Vorratsdatenspeicherung (Daten auf Vorrat speichern, weil billig) 3) "Rasterfahndung" (Datenauswerten: in Betrieben)
  • Auf Löschen drängen, Zweckbindung und Zustimmungspflichtig, Datensparsamkeit
  • über Betriebsvereinbarung zu Internet reden, Wer hat bereits eine BV E-Mail/Internet? Zustimmungspflichtig und Möglichkeit einstweiliger Verfügung
  • Beziehung zur IT Abteilung
  • Netzpolitik als Bürger_innen, Konsument_innen und Arbeitnehmer_innen
  • Einstieg am PC mit Aufruf einer website, bei der es eine "Sicherheitswarnung" gibt, bsp: ccc.de oder cacert.org
  • Signatur zur Identifikation: Problem, "das kann jeder behaupten"; Notwendigkeit der Verschlüsselung und Zertifikatsüberprüfung
  • https als Verschlüsselung der Datenübertragung, Vergleich mit Email Kommunikation
  • Links herzeigen zu
II(a)
  • Leseschutz für Word.doc und Excel.xls setzen
  • Eigenschaften von Dateien, Erklärung "Metadaten", Eigenschaften Dialog in Windows,
  • Exkurs Metadaten (Fallbeispiel "Massenvernichtungswaffen"), Bsp Tony Blair
  • Dateien mit Editor öffnen,
  • Durchbesprechen Metadaten säubern "Metadaten cleanup"googl'n
  • Passwortqualität besprechen mit Input/Präsentation: Erklärung der Kriterien sicherer PWs
  • PW-Manager erwähnen, im WWW auf Tutorials hinweisen, Website zum d/l und d/l
  • Dateien verschlüsseln: VeraCrypt, im WWW auf Tutorials hinweisen, Website zum d/l
IV(a)
  • veracrypt ausführen und kleines Volume erstellen, das per E-Mail verschickbar ist

Volume mit Word.doc und Excel.xls füllen

  • E-Mail-Clients des EDV-Raums öffnen und untereinander die Volumes mailen
  • Umgang mit gemeinsamen Passwörtern besprechen
V(a)
  • pgp; im WWW auf Tutorials hinweisen, Bedingungen erklären
  • Websites für d/l (auch Thunderbird und Extension)
  • Gpg4win ausführen, Schlüssel mit Ablaufdatum erstellen

<pause>

  • Schlüssel in Thunderbird verwalten
  • Schlüssel gegenseitig austauschen, Emails mit Signatur senden
  • Verschlüsselte Emails senden
Wiederholung & Ausblick 2. Tag
  • Rekapitulieren, was wir gelernt haben: Bericht an BR-Kolleg_innen
  • Digitaler Schatten: me&my shadow
  • Trailer von des Spiels data dealer

2. Seminartag

III(b)
  • Wiederholung Zertifikate und https
  • https everywhere installieren; add-ons besprechen
  • lightbeam Visualisierung: third-party-inhalte
  • AdBlock installieren und Auswirkung auf lightbeam herzeigen, tracking besprechen
  • Ghostery installieren, Cookies besprechen und dazu die Einstellungen im Browser herzeigen, panopticlick
  • Personalisierung und Filterbubble besprechen, alternative Suchmaschinen DuckDuckGo vorstellen
II(b)
  • Wiederholung zu Metadaten
  • Wiederholung zu Passwörtern
  • Passwort-Manager ausführen und nutzen
  • Möglichkeiten unauffälligerer Speicherorte besprechen
  • Vorratsdatenspeicherung als Beispiel staatlicher Überwachung
  • Auskunftsrecht nach Datenschutzgesetz. Verweis auf help.gv.at, dsb.gv.at und argedaten.at
IV(b)
  • veracrypt Wiederholung
  • Volumes des Vortags wieder öffnen, Dateien bearbeiten, schließen
  • größeres Volume erstellen und PW-Manager für Passwort nutzen
  • Verschlüsseln der Festplatte besprechen
V(b)
  • Wiederholung PGP, Erklärung asymmetrischer Verschlüsselung
  • Wiederholung Signatur
  • Schlüssel-Server
  • verschlüsselte Emails versenden
  • Bedingungen für verschlüsseltes Emailen von BRs diskutieren
III(c)
  • Parallelstrukturen; Einsatz von E-Mail-Adressen; google Drive
  • IP Adressen Lookup
  • panoptyclick
  • Tor: im WWW auf Tutorials hinweisen, Bedingungen erklären, ausführen
  • Herzeigen Zertifikats-Liste im Browser (Internet Explorer)
I(b)
  • Gesamtwiederholung
  • Diskussion Einsatzmöglichkeiten und Strategien ("Wo sitzt die IT im Unternehmen")
  • Diskussion Prinzipien Datensicherheit
  • Risikoszenarien
  • Feedback


Erwartungen an die Workshops

WS Juni 12
Eingangs der Workshops genannte Workshop-Erwartungen und Fragen, die die Betriebsrät_innen gerne einschätzen könnten:


häufig genannt:

  • Was kann das Unternehmen alles sehen und machen?
    • Was können System-Administrator_innen tun?
  • Einschätzungsfragen zu verwendeter Software: wie sicher ist X und Y, was kann bei X und Y erfasst werden, wie funktioniert X und Y, warum will das Unternehmen X und Y verwenden, wie könnte der BR den Einsatz von X und Y überprüfen?
  • Wir haben das "Gefühl", dass unsere E-Mails vom Unternehmen gelesen werden.
    • Können wir verhindern, dass das Unternehmen E-Mails lesen kann?
  • Was darf das Unternehmen alles tun?
    • Welche Rechte haben wir, worauf kann der Betriebsrat sich berufen?
    • Wie sehen die rechtlichen Grundlagen aus, wo können wir uns informieren?
  • Können wir irgendwie sehen/feststellen/kontrollieren, was sich das Unternehmen alles anschaut?


WS September 12
manchmal genannt:
  • Wie können wir Dateien sicher vor "Gelesen werden" schützen.
    • Reicht der Leseschutz mit Passwort von (z.B.) Microsoft Dateien wie word-docx oder excel-sheets?
  • Wie kann ich meinen Laptop vom Unternehmen schützen und meine Daten am Laptop vor dem Unternehmen schützen?


einzelne spezielle Fragen:

  • Das Unternehmen will X, Y einführen, wir machen uns in dem Zusammenhang X, Y Sorgen. Wie können wir das einschätzen, können wir das verhindern, kann das Unternehmen das erzwingen, was können wir verlangen, ...?
  • Wir haben eine Blackberry-/Lotus Notes-/...-Server, über den unser Kommunikation ... das bringt folgende Probleme/Fragen ...
  • Wie funktioniert das Intranet?
  • Wie ist das Risiko einzuschätzen, dass es von uns Daten im Internet gibt?


Feedback aus den Workshops

Das Feedback zu den vier Durchgängen des Workshops war idR sehr positiv.


Ein wiederkehrender Kritikpunkt war, dass

  • sich die Teilnehmer_innen mehr handfeste rechtliche Informationen gewünscht hätten, bzw
  • Rechtsinformationen erwartet hätten bzw.
  • in der Ausschreibung nicht klar genug herauszulesen war, dass dieser Workshop sich mit praktischen Anwendungen am Gerät beschäftigt bzw.
  • nicht transparent genug wäre, welche (vielen) anderen Schulungsangebote es für den Bereich "Datenschutz und Datensicherheit" gäbe.


Wiederkehrende Diskussionspunkte sind,

  • warum wir Open Source Programme verwenden/empfehlen,
  • dass vielleicht besser alles auf die Microsoft Umgebung abgestimmt sein sollte,
  • ob das Installieren von Programm in den Betrieben realistisch durchsetzbar ist,
  • ...


Wiederkehrende Verbesserungsvorschläge und Wünsche waren,

  • Unterlagen/Skriptum für das Workshop und als Hilfestellungen, um Durchgemachtes in der Praxis nachmachen zu können,
  • "Vielleicht sollte das Thema zweigeteilt werden, und zwar für Anfänger und Fortgeschrittene. Es wurden viele frei erhältliche Tools vorgestellt. In der heutigen Zeit arbeiten aber viele KollegInnen vor allem mit Microsoft Produkten in den Firmen. Daher sollte mehr auf die Spuren in einem Windows System und deren Vermeidung eingegangen werden."