Hallo Leute, mal keine technische sondern eine rechtliche Frage heute, ich hoffe damit kennt sich jemand etwas aus.
Also als Dienstleister ist auch einer unserer Kunden eine Schule. Im Mittelpunkt dieser hängt natürlich auch eine Securepoint. Wie das in allen Schulen so ist surfen die Schüler natürlich mehr als alles andere.
Jetzt habe ich mir überlegt auf einen seperaten Server den LogServer zu installieren sowie zustätzlich ein MS Sql Server. Bei jedem Anmelden eines Clients im Netzwerk (jeder Schüler hat sein eigenen AD Konto) wird per Script der Computername, der Benutzername, IP Adresse, Zeit und Datum ausgelesen und auf dem SQL Server in die Datenbank geschrieben (ist z.Z. noch nicht in Betrieb, habe ich nur als Teststellung für einen Client um zu gucken ob das klappt, funktioniert wunderbar).
Mit Hilfe des LogServers könnte ich mir nun eine bestimmte Zeile im Logging raussuchen, mir die IP merken, die Datenbank öffnen, nach der IP Adresse zu der jeweiligen Zeit suchen und hätte somit den User ermittelt.
Grund dafür ist eigentlich nur, falls irgendwelche Schüler mal "irgendwelche Seiten" aufrufen sollten wo es dann vieleicht Probleme geben könnte, wollen wir uns als IT Dienstleister ja nicht dafür verantworten. Allerdings habe ich in vielen Foren (www.mcseboard.de,...) gelesen, das solch eine Überwachung nicht rechtens ist und gegen Datenschutzgesetz und was weiß ich nicht noch alles für Gesetzte verstößt. Kann mir da irgendjemand weiterhelfen??? Ich mein eigentlich ist man doch gezwungen solch eine Protokollierung in "öffentlichen Einrichtungen" zu machen oder?
Danke schonmal, grüße
Logserver - Rechtsfragen
Moderator: Securepoint
Moin,
mit dem Release 2 können Sie die Benutzer direkt durch den Proxy am AD authentifizieren. Der Benutzername wird dann auch im Log hinterlegt sein. Das heisst theoretisch können Sie sich das Skript und den MS-Sql Server sparen. Es werden jedoch keine https-Seiten über den Proxy mitgeloggt, die können sie entweder ganz verbieten oder nur über das Skript mitloggen.
Ich würde die Schüler einen Zettel unterschreiben lassen indem steht, dass alle Anfragen ins Internet mitgeloggt werden und bei "Straftaten" herausgegeben werden. Diese Logfiles dürfen natürlich nicht ewig aufbewahrt werden. Auch dürfen Sie nicht verdachtsunabhängig ermittel (Leistungskontrolle). Speichern ist aber meines wissens nach Ok.
Ich würde da ehr auf Abschrecken und Vorbeugen setzen!
mit dem Release 2 können Sie die Benutzer direkt durch den Proxy am AD authentifizieren. Der Benutzername wird dann auch im Log hinterlegt sein. Das heisst theoretisch können Sie sich das Skript und den MS-Sql Server sparen. Es werden jedoch keine https-Seiten über den Proxy mitgeloggt, die können sie entweder ganz verbieten oder nur über das Skript mitloggen.
Ich würde die Schüler einen Zettel unterschreiben lassen indem steht, dass alle Anfragen ins Internet mitgeloggt werden und bei "Straftaten" herausgegeben werden. Diese Logfiles dürfen natürlich nicht ewig aufbewahrt werden. Auch dürfen Sie nicht verdachtsunabhängig ermittel (Leistungskontrolle). Speichern ist aber meines wissens nach Ok.
Ich würde da ehr auf Abschrecken und Vorbeugen setzen!
Zuletzt geändert von carsten am Di 18.12.2007, 10:39, insgesamt 1-mal geändert.
There are 10 types of people in the world... those who understand binary and those who don\'t.
Diese Thematik ist bereits bei "normalen" Arbeitgeber/-nehmer Verhältnissen sehr schwierig (zu beantworten) und in so einem Fall würde ich Carsten tendenziell recht geben: Aufnahme der Einschränkung des Umfangs des Loggings/der Kontrolle in den Arbeitsvertrag oder eine Internetnutzungsvereinbarung als Zusatz zum AV. (hängt natürlich vom Einzelfall ab - betriebliche Übung, Betriebsrat, etc.)
Aber bei Schülern? Hier würde ich mich einmal an den Schulleiter wenden und mir von ihm die Möglichkeiten recherchieren lassen und dann schriftlich abnicken lassen...
(was bringt mir die Unterschrift eines 11 Jährigen?)
Das "Schulrecht" ist besonders zu betrachten...
... abgesehen davon, dass eh verhindert werden muss, dass Minderjährige auf "Erwachsenen"-Seiten zugreifen können...
Wie ist das Netz aufgebaut? Natürlich "Labor"-PCs für Schüler in einem Netz und die sind von der Securepoint geschützt?
Die Verwaltungs-PCs sind natürlich getrennt und spielen in der Frage gar keine Rolle...?
Wie auch immer, der Weg führt über den Schulleiter.
Da wie gesagt - je nach Alter der Schüler - eh ein Content-Filter notwendig ist, würde ich an dieser Stelle auf das Log der Securepoint verzichten und mir ein entsprechendes Produkt wählen (Freigaben von bestimmten Kategorien...), dass ohne administrativen Eingriff proaktiv(!) verhindert, dass unerlaubte Seiten aufgerufen werden.
In Kurzform: rechtlich getragene/vorgeschriebene Einschränkungen in der Internetnutzung -> keine personenbezogene Kontrolle möglich/notwendig -> alles "OK" (Es sei denn das Schulrecht spricht hier noch etwas anderes...)
achim
Aber bei Schülern? Hier würde ich mich einmal an den Schulleiter wenden und mir von ihm die Möglichkeiten recherchieren lassen und dann schriftlich abnicken lassen...
(was bringt mir die Unterschrift eines 11 Jährigen?)
Das "Schulrecht" ist besonders zu betrachten...
... abgesehen davon, dass eh verhindert werden muss, dass Minderjährige auf "Erwachsenen"-Seiten zugreifen können...
Wie ist das Netz aufgebaut? Natürlich "Labor"-PCs für Schüler in einem Netz und die sind von der Securepoint geschützt?
Die Verwaltungs-PCs sind natürlich getrennt und spielen in der Frage gar keine Rolle...?
Wie auch immer, der Weg führt über den Schulleiter.
Da wie gesagt - je nach Alter der Schüler - eh ein Content-Filter notwendig ist, würde ich an dieser Stelle auf das Log der Securepoint verzichten und mir ein entsprechendes Produkt wählen (Freigaben von bestimmten Kategorien...), dass ohne administrativen Eingriff proaktiv(!) verhindert, dass unerlaubte Seiten aufgerufen werden.
In Kurzform: rechtlich getragene/vorgeschriebene Einschränkungen in der Internetnutzung -> keine personenbezogene Kontrolle möglich/notwendig -> alles "OK" (Es sei denn das Schulrecht spricht hier noch etwas anderes...)
achim
Zuletzt geändert von achim am Di 18.12.2007, 13:23, insgesamt 1-mal geändert.
also es ist keine schule in dem Sinne...
es ist eine Weiterbildungs"schule" , in welcher demzufolge auch keine minderjährigen sind.
wie das netz aufgebaut ist?
also verwaltungsnetz und schulnetz hängen an seperaten interfaces an der securepoint ..
es ist eine Weiterbildungs"schule" , in welcher demzufolge auch keine minderjährigen sind.
wie das netz aufgebaut ist?
also verwaltungsnetz und schulnetz hängen an seperaten interfaces an der securepoint ..
das mit dem netzaufbau war mehr oder weniger nur am rande, um die thematik einzuordnen...
aus eigener erfahrung kann ich nur sagen, dass internet und schulen eine komplizierte mischung ist:
keiner weiß genaues und wenn ich noch auf dem aktuellsten stand bin, gibt es noch nicht einmal eine rechtliche grundlage, dass die schulverwaltung überhaupt an das internet angeschlossen sein darf(!).
leider ist es so: wer viel fragt, bekommt viele antworten, die nicht unbedingt zusammen passen und wahrscheinlich nicht unbedingt angenehm sind...
die frage ist, sollen
a) "beweismittel" zur verfügung stehen, wenn rechtliche Schritte gegen die Schule eingeleitet werden, oder
b) rechtliche schritte im bereich "internet" gegen die schule verhindert werden?
bei a):
wie gesagt Schulleiter auf die Problematik hinweisen und Informationsquellen suchen (lassen). (z.b. LDSB, RA, andere schulen)
und je nach ergebnis das log der securepoint verwenden + eine wie auch immer geartete zu unterschreibende Einverständniserklärung.
prinzipiell gilt das prinzip der datensparsamkeit und datenvermeidung in hinsicht auf personenbezogene daten.
bei b) ein contentfilter produkt auswählen, das proaktiv nur bestimmte kategorien von seiten freigibt und erhobene daten datenschutzgerecht speichert (z.b. ip-adressen oder benutzernamen nur nach eingabe zweier passwörter [admin/dsb oder leiter] offenbart)...
Eine Einverständniserklärung mit genauer beschreibung der erhobenen daten ist auch hier erforderlich... (die schule ist in diesem fall nun einmal provider für die schüler und unterliegt den entsprechenden gesetzen; TKG, Fernmeldegesetz etc.)
alternativ: eben nicht viel fragen/nachdenken und einfach machen (was in der praxis wohl am verbreitetsten ist).
achim
aus eigener erfahrung kann ich nur sagen, dass internet und schulen eine komplizierte mischung ist:
keiner weiß genaues und wenn ich noch auf dem aktuellsten stand bin, gibt es noch nicht einmal eine rechtliche grundlage, dass die schulverwaltung überhaupt an das internet angeschlossen sein darf(!).
leider ist es so: wer viel fragt, bekommt viele antworten, die nicht unbedingt zusammen passen und wahrscheinlich nicht unbedingt angenehm sind...
die frage ist, sollen
a) "beweismittel" zur verfügung stehen, wenn rechtliche Schritte gegen die Schule eingeleitet werden, oder
b) rechtliche schritte im bereich "internet" gegen die schule verhindert werden?
bei a):
wie gesagt Schulleiter auf die Problematik hinweisen und Informationsquellen suchen (lassen). (z.b. LDSB, RA, andere schulen)
und je nach ergebnis das log der securepoint verwenden + eine wie auch immer geartete zu unterschreibende Einverständniserklärung.
prinzipiell gilt das prinzip der datensparsamkeit und datenvermeidung in hinsicht auf personenbezogene daten.
bei b) ein contentfilter produkt auswählen, das proaktiv nur bestimmte kategorien von seiten freigibt und erhobene daten datenschutzgerecht speichert (z.b. ip-adressen oder benutzernamen nur nach eingabe zweier passwörter [admin/dsb oder leiter] offenbart)...
Eine Einverständniserklärung mit genauer beschreibung der erhobenen daten ist auch hier erforderlich... (die schule ist in diesem fall nun einmal provider für die schüler und unterliegt den entsprechenden gesetzen; TKG, Fernmeldegesetz etc.)
alternativ: eben nicht viel fragen/nachdenken und einfach machen (was in der praxis wohl am verbreitetsten ist).
achim
Zuletzt geändert von achim am Di 18.12.2007, 16:57, insgesamt 1-mal geändert.
Hallo,
also Firewall, Proxy und Logging sind eine gefaehrliche Mischung.
Privat = null Problemo, je nach Groesse eines Kunden kommt schon das Thema Betriebsrat auf....oeffentliche Einrichtungen (auch die "privaten", die im Auftrag arbeiten) macht das Eisen wieder richtig heiss:
Ich bin sicher kein Rechts-Experte (sonst haette ich eine Kanzlei und weniger Stress mit der Technik
), aber es sind im Grunde immer folgende Punkte zu beachten (Kunden/Unternehmensbezogen):
1. Sobald ein LAN per Router an das Internet angebunden wird, fungiert der Kunde/die Firma als Provider, welcher rechtlich gesehen, die Zugriffe auf das Internet loggen muss.........ABER: Logging = JA ... Auswerten = NEIN
2. Egal welche Groesse das Unternehmen hat, sollte (muss) jeder Mitarbeiter eine Vereinbarung zur Internetnutzung zur Vorlage und Unterschrift bekommen haben.
Denn die GF ist am Ende der Kette immer vom rechtlichen Standpunkt verantwortlich! - Fuer einen weiteren Puffer sorgt der Datensicherheits-Beauftragte.
3. Eingriffe in den Internettraffic (Auswertungen, Beschraenkungen etc.) sind nicht nicht erlaubt, ausser definitiv durch den/die Mitarbeiter schriftlich bestaetigt, bzw. durch den Betriebsrat abgesegnet.
Alleine die "Kleinigkeit", im Spamfilter nach einer Mail zu schauen ist rechtlich nicht haltbar (egal ob der "Admin" den Header, Body oder sonst was sieht).
Eselsbruecke = Post-Geheimnis (hinkt, aber passt trotzdem)
Sogar fuer dem Spamfilter muss sich das Unternehmen schriftlich absichern, denn eine "Maschine" analysiert den Mail-Inhalt im Bayesischen-Filter = wird gelesen!
4. Nichts wird so heiss gegessen, wie es gekocht wird.
Ich will mich nicht direkt Achim anschliessen, denn "einfach machen" ist in diesem Bereich am Anfang OK, aber wenn es knallt, kann das boese enden.
Ich wuerde mit dem Kunden reden, die Problematik auf den Tisch bringen und mir eben seine Entscheidung schriftlich quittieren lassen. = Er muss wissen, wie er rechtlich agieren kann/darf/muss!
Wenn er das nicht will, wuerde ich das schon ein bisel in die Richtung peilen, einen Suendenbock beim IT-Dienstleister zu suchen (und sei es nur fuer die Zukunft).
Wie gesagt....ein heisses Eisen. Die Praxis sieht bei einem Grossteil aus, als waere der Admin, der Gott im LAN. Er kann und darf alles: (Who is god? - I am root!) und das wird teils geduldet und teilweise sogar begruesst!
Aber das Thema ist schon lange durch. Logging ist nur ein Teil von vielen Puzzle-Stuecken, denn wie oft kommen noch Mails ohne korrekten "Footer" an, fuer die Firmen seit Anfang 2007 ohne weiteres eine Abmahnung erhalten koennten.
Gruss
M.Goeres
also Firewall, Proxy und Logging sind eine gefaehrliche Mischung.
Privat = null Problemo, je nach Groesse eines Kunden kommt schon das Thema Betriebsrat auf....oeffentliche Einrichtungen (auch die "privaten", die im Auftrag arbeiten) macht das Eisen wieder richtig heiss:
Ich bin sicher kein Rechts-Experte (sonst haette ich eine Kanzlei und weniger Stress mit der Technik
), aber es sind im Grunde immer folgende Punkte zu beachten (Kunden/Unternehmensbezogen):1. Sobald ein LAN per Router an das Internet angebunden wird, fungiert der Kunde/die Firma als Provider, welcher rechtlich gesehen, die Zugriffe auf das Internet loggen muss.........ABER: Logging = JA ... Auswerten = NEIN
2. Egal welche Groesse das Unternehmen hat, sollte (muss) jeder Mitarbeiter eine Vereinbarung zur Internetnutzung zur Vorlage und Unterschrift bekommen haben.
Denn die GF ist am Ende der Kette immer vom rechtlichen Standpunkt verantwortlich! - Fuer einen weiteren Puffer sorgt der Datensicherheits-Beauftragte.
3. Eingriffe in den Internettraffic (Auswertungen, Beschraenkungen etc.) sind nicht nicht erlaubt, ausser definitiv durch den/die Mitarbeiter schriftlich bestaetigt, bzw. durch den Betriebsrat abgesegnet.
Alleine die "Kleinigkeit", im Spamfilter nach einer Mail zu schauen ist rechtlich nicht haltbar (egal ob der "Admin" den Header, Body oder sonst was sieht).
Eselsbruecke = Post-Geheimnis (hinkt, aber passt trotzdem)
Sogar fuer dem Spamfilter muss sich das Unternehmen schriftlich absichern, denn eine "Maschine" analysiert den Mail-Inhalt im Bayesischen-Filter = wird gelesen!
4. Nichts wird so heiss gegessen, wie es gekocht wird.
Ich will mich nicht direkt Achim anschliessen, denn "einfach machen" ist in diesem Bereich am Anfang OK, aber wenn es knallt, kann das boese enden.
Ich wuerde mit dem Kunden reden, die Problematik auf den Tisch bringen und mir eben seine Entscheidung schriftlich quittieren lassen. = Er muss wissen, wie er rechtlich agieren kann/darf/muss!
Wenn er das nicht will, wuerde ich das schon ein bisel in die Richtung peilen, einen Suendenbock beim IT-Dienstleister zu suchen (und sei es nur fuer die Zukunft).
Wie gesagt....ein heisses Eisen. Die Praxis sieht bei einem Grossteil aus, als waere der Admin, der Gott im LAN. Er kann und darf alles: (Who is god? - I am root!) und das wird teils geduldet und teilweise sogar begruesst!
Aber das Thema ist schon lange durch. Logging ist nur ein Teil von vielen Puzzle-Stuecken, denn wie oft kommen noch Mails ohne korrekten "Footer" an, fuer die Firmen seit Anfang 2007 ohne weiteres eine Abmahnung erhalten koennten.
Gruss
M.Goeres
Zuletzt geändert von M Goeres am Di 18.12.2007, 21:27, insgesamt 1-mal geändert.
Die Welt wird nicht bedroht von den Menschen, die böse sind, sondern von denen, die das Böse zulassen
- Albert Einstein -
- Albert Einstein -
hallo, m.goeres,
ich hoffe, ich bin jetzt nicht in der falschen schublade gelandet...
>> alternativ: eben nicht viel fragen/nachdenken und einfach machen (was in der praxis wohl am verbreitetsten ist).
sollte auf keinen fall mein vorschlag bzw. meine praxis darstellen.
und war eine etwas schlecht ausgedrückte variante deines statements
zitat: "Nichts wird so heiss gegessen, wie es gekocht wird."
leider gibt es gerade im bereich der schulen oft das problem den rechtlich korrekten weg zu finden, falls dieser überhaupt existiert... (wenn man sich sie mühe macht und alles korrekt machen will, kann sich dies schon mal einige monate hinziehen, bis dies durch alle instanzen durch ist, ein ok erfolgt ist, um am nächsten doch noch zu hören "wir haben uns da doch noch was anders überlegt")
die verantwortung für zitat: "aber wenn es knallt, kann das boese enden" trägt hier der schulleiter, der sich in solch einem fall höchst wahrscheinlich an den dienstleister wendet...
... daher sollte sich von selbst verstehen, dass der dienstleister im interesse seiner kundenbeziehung, seines images etc. gut berät und im falle "unklarer" rechtsverhältnisse "einfach machen" als "ich mache es nach bestem wissen und gewissen unter den allgemeinen datenschutzrechtlichen bestimmungen" versteht.
Auf jeden fall kann ich dir in allen punkten zustimmen. (auch dass das mailing oft vergessen wird.)
aber da es gerade bei einer privaten nutzungserlaubnis und der daraus resuktierenden providerstellung des "Arbeitgebers/der Schule etc." (vereinfacht) oft sehr kompliziert wird, kommt es auch oft dazu, dass der "privat-wirtschaftliche" kunde NACH einer beratung einfach sagt, ich will es - die kontrolle - einfach haben, "machen sie es einfach so"...
gute nacht
achim
ich hoffe, ich bin jetzt nicht in der falschen schublade gelandet...
>> alternativ: eben nicht viel fragen/nachdenken und einfach machen (was in der praxis wohl am verbreitetsten ist).
sollte auf keinen fall mein vorschlag bzw. meine praxis darstellen.
und war eine etwas schlecht ausgedrückte variante deines statements
zitat: "Nichts wird so heiss gegessen, wie es gekocht wird."
leider gibt es gerade im bereich der schulen oft das problem den rechtlich korrekten weg zu finden, falls dieser überhaupt existiert... (wenn man sich sie mühe macht und alles korrekt machen will, kann sich dies schon mal einige monate hinziehen, bis dies durch alle instanzen durch ist, ein ok erfolgt ist, um am nächsten doch noch zu hören "wir haben uns da doch noch was anders überlegt")
die verantwortung für zitat: "aber wenn es knallt, kann das boese enden" trägt hier der schulleiter, der sich in solch einem fall höchst wahrscheinlich an den dienstleister wendet...
... daher sollte sich von selbst verstehen, dass der dienstleister im interesse seiner kundenbeziehung, seines images etc. gut berät und im falle "unklarer" rechtsverhältnisse "einfach machen" als "ich mache es nach bestem wissen und gewissen unter den allgemeinen datenschutzrechtlichen bestimmungen" versteht.
Auf jeden fall kann ich dir in allen punkten zustimmen. (auch dass das mailing oft vergessen wird.)
aber da es gerade bei einer privaten nutzungserlaubnis und der daraus resuktierenden providerstellung des "Arbeitgebers/der Schule etc." (vereinfacht) oft sehr kompliziert wird, kommt es auch oft dazu, dass der "privat-wirtschaftliche" kunde NACH einer beratung einfach sagt, ich will es - die kontrolle - einfach haben, "machen sie es einfach so"...
gute nacht
achim