Es gibt eine Fülle von Dokumenten von Microsoft mit Hinweisen zur Einhaltung der DSGVO, z. B. " Windows und die DSGVO: Informationen für IT-Administratoren und Entscheidungsträger" ziemlich gründliche Erklärung, welche Daten wohin verschoben werden.

Laut dem Dokument selbst dauert das Lesen 17 Minuten. Ich denke, Sie werden sich danach besser fühlen.

Microsoft hat eine Menge Paranoia, von denen einige möglicherweise gerechtfertigt sind, aber die harte Tatsache ist, dass MS es sich nicht leisten kann, die DSGVO zu ignorieren oder in den USA HIPAA.

Ich habe die Antwort in Information Security SE gelesen und fand sie nicht hilfreich. Das Zitat von MS hat mit der Offenlegung von Daten zu tun, wie dies gesetzlich oder rechtlich vorgeschrieben ist.

Bearbeiten: Ich denke, ich sollte etwas mehr Hintergrund hinzufügen. Ich bin in einer Doktorandenstelle, die tatsächlich für die Forschung eingestellt wurde. Aufgrund meines Hintergrunds in der Informatik bin ich jedoch "offiziell" für alles verantwortlich, was in unserem Labor mit elektronischer Datenverarbeitung zu tun hat.

Erstens denke ich, dass es in Ihrem Labor ein ernstes Managementproblem gibt: Es ist völlig unprofessionell, die Verantwortung für den Datenschutz einem Doktoranden zu überlassen. Als Doktorand könnten Sie sicherlich eine technische Beratungsfunktion haben, aber es muss ein ständiges Mitglied der Institution sein, das die offizielle Verantwortung trägt. Wenn ein Problem auftritt, muss jeder, der Sie damit beauftragt hat, erklären, warum er es für angemessen hielt. Die gute Nachricht für Sie ist, dass es sehr unwahrscheinlich ist, dass Sie ohnehin als rechtlich verantwortlich angesehen werden (üblicher Haftungsausschluss: IANAL).

Zweitens sind Kenntnisse in Informatik [bearbeitet] möglicherweise nützlich, reichen aber sicherlich nicht aus, wenn dies der Fall ist kommt zu den rechtlichen und ethischen Belangen des Datenschutzes, insbesondere bei sensiblen Daten über menschliche Subjekte. Selbst mit der besten Absicht haben Sie einfach nicht den rechtlichen Hintergrund. Wessen Job ist es dann? Es gibt verschiedene Möglichkeiten, wahrscheinlich nicht in Ihrem Labor, sondern auf der Ebene Ihrer Universität / Institution:

• Die IT-Abteilung: Diese Fragen stellen Sie nach Software-Schwachstellen und Empfehlungen zum Datenschutz.
• Die Ethikkommission: Sie können sie um Richtlinien bezüglich des angemessenen Schutzniveaus bitten, das für bestimmte Daten menschlicher Probanden erforderlich ist. Übrigens sollte jeder in Ihrem Labor, der mit dieser Art von Daten arbeitet, vor Beginn seines Projekts eine ethische Genehmigung erhalten.
• Die Datenschutzbehörde oder, falls nicht, die Anwaltskanzlei: Sie können Sie und Ihre Kollegen darüber informieren ihre gesetzlichen Pflichten in Bezug auf die Daten der menschlichen Probanden.

Diese Abteilungen in Ihrer Institution haben die beruflichen Fähigkeiten und die rechtliche Verantwortung. Sie schützen sich, indem Sie sie um Rat fragen und ihm folgen: Wenn sie sagen, dass Windows 10 in Ordnung ist, sind Sie vom Haken. Wenn sie sagen, dass es nicht sicher ist, besteht Ihre einzige Aufgabe darin, Ihren Kollegen ihre Empfehlung zu übermitteln und zu erwähnen, woher sie kommt.

Ihre Universität sollte über eine Art Datenschutzbüro verfügen. Sie müssen unbedingt mit ihnen sprechen. Gut gemeinte Ratschläge von Fremden im Internet sind großartig, um Ihnen eine Vorstellung von den Themen zu geben, aber es besteht eine potenzielle rechtliche Haftung für die Universität hier, und Sie müssen mit den Personen sprechen, deren Aufgabe es ist Verwalten Sie diese Probleme.

Stellen Sie sicher, dass Ihr Rat tatsächlich auf soliden Fakten basiert, und überlegen Sie, auf welche Weise die Daten am wahrscheinlichsten auslaufen können. Finden Sie heraus, was Windows 10 Microsoft melden könnte und ob dies in Ihrem Fall ein echtes Problem ist.

Informieren Sie sich über die tatsächlichen Vorschriften und Gesetze in Ihrem Land und möglicherweise auch über die Universitätsregeln, falls vorhanden . In der Lage zu sein, auf bestimmte Vorschriften zu verweisen, ist für solche Argumente nützlich.

In einem typischen akademischen Umfeld haben Sie wahrscheinlich nicht die Mittel, um Dinge wirklich zu sperren. Ich würde mich auf die gefährlichsten und gebräuchlichsten Arten konzentrieren, wie die Computer kompromittiert werden könnten. Microsoft ist meiner Meinung nach weit am Ende dieser Sorgen. Ich würde mich hauptsächlich um die folgenden Fälle sorgen:

• Personen, die die Daten mit nach Hause nehmen oder auf ihren privaten Computern
• Computer, die durch Malware kompromittiert werden
• Computer, Festplatten oder USB-Laufwerke, die gestohlen werden oder verloren gehen

Sie konzentrieren sich auf eine sehr entfernte und unwahrscheinliche Bedrohung, die es viel einfacher macht, Ihre Argumente zurückzuweisen. Konzentrieren Sie sich auf realistische und plausible Bedrohungen und seien Sie bereit, immer noch einen harten Kampf zu führen.

Ich habe Ihre Frage so gelesen, dass Sie nicht für den Datenschutz, sondern für die Einrichtung von Windows-PCs verantwortlich sind. In diesem Fall würde ich Ihre Bedenken in einer E-Mail an Ihren Gruppenleiter weitergeben, damit Sie einen (virtuellen) Papierpfad haben, und ihn fragen, ob Sie die Windows-PCs trotzdem einrichten sollen oder ob Sie dies möchten Suchen Sie nach einer anderen Lösung.

Wenn Ihre eigentliche Verantwortung im Datenschutz liegt und sie genau das ignorieren, wofür sie Sie eingestellt haben, sollten Sie wahrscheinlich nach einem anderen Arbeitsplatz suchen.

Was tun, wenn Sie in Ihrem Labor für den Datenschutz verantwortlich sind, Ratschläge jedoch ignoriert werden?

Wenn Sie wirklich verantwortlich sind und wenn Wenn Sie in einer Gerichtsbarkeit leben, in der der Datenschutz "Zähne" hat (dh EU / DSGVO), haben Sie die Möglichkeit, jegliches nicht konforme Verhalten zu beenden. Sie können grundsätzlich alles tun (PCs herunterfahren, Router ausschalten usw.) - dies ist natürlich die letzte Aufgabe, nicht die erste Reaktion, und bevor Sie dies tun, müssen Sie noch einige andere Dinge tun: Zum Beispiel informieren deine Kollegen; Richtlinien aufschreiben; Lassen Sie sich von Ihren Stakeholdern unterstützen, führen Sie Informations- / Unterrichtsstunden usw. durch.

Wenn Sie dies nicht alles tun (oder Ihre Kollegen die Konformität ablehnen), beginnen Sie mit den einfachen Dingen, aber eskalieren Sie schließlich, dann Sie sollte diese Rolle des "Verantwortungsbewusstseins" wirklich fallen lassen.

Die DSGVO definiert tatsächlich spezifische Rollen in Bezug auf den Datenschutz. Abhängig davon, wo Sie leben, hat Ihr Land möglicherweise andere solche Definitionen (oder vielleicht gar keine, aber dann würden Sie diese Frage wahrscheinlich nicht stellen). Wenn Sie also zufällig die Rolle des Datenschutzbeauftragten übernehmen, haben Sie die Befugnis und Verantwortung, zu handeln .

Wenn all dies nicht zutrifft und Sie einfach eine normale Arbeiterbiene sind, besteht Ihre eigentliche Verantwortung darin, a) alles zu tun, was Ihr Datenschutzbeauftragter sagt und verlangt, und b) Gesetzesverletzungen Ihrem Datenschutzbeauftragten oder zu melden andere Interessengruppen - Wenn es Ihrem Datenschutzbeauftragten egal ist, können Sie weiter nach oben gehen, aber ehrlich gesagt ist es Ihre persönliche Entscheidung, ob Sie dies tun möchten. Wenn Sie Verstöße für die tatsächlich verantwortlichen Personen sichtbar machen (eine Papierspur führen, möglicherweise Ihren eigenen Vorgesetzten in Cc einsetzen usw.), sollte es Ihnen persönlich gut gehen.

BEARBEITEN: Der Titel der Frage, der das Wort "verantwortlich" enthält, hat mich verwirrt. Im speziellen Fall von OP gilt nur mein letzter Absatz. Ich werde den Rest stehen lassen, falls jemand dies braucht, der tatsächlich "R" verantwortlich ist (im Sinne von RACI). OP , am besten arbeiten Sie daran, nicht für etwas verantwortlich zu sein, auf das Sie keinen Einfluss haben. Sprechen Sie mit Ihrem Vorgesetzten und lassen Sie sich beraten, wie das geht, ohne Brücken zu brennen ("Hey Coach, anscheinend denken alle, ich bin unser Datensicherheits-Typ, aber sie müssen ihre Sachen selbst zusammenbringen, ich kann sie nicht babysitten." . "etc.).

Sie haben in den Kommentaren angegeben, dass Sie sich in Europa befinden und daher der DSGVO unterliegen.

Da Sie vertrauliche Informationen sammeln, sollte es einen formellen Prozess für die Erfassung und Verwaltung dieser Informationen geben Informationen, einschließlich der Informationen, die gesammelt werden, zu welchen Zwecken, wie lange sie aufbewahrt werden, wie sie geschützt sind usw. All dies muss mit allen Personen geteilt werden, deren Daten Sie sammeln, bevor Sie dies tun.

Es sollte auch eine Person geben, die tatsächlich offiziell dafür verantwortlich ist (der Datenschutzbeauftragte), die in dieser Erklärung aufgeführt sein sollte.

Beziehen Sie sich auf diese Person. Sie sind die Person, die tatsächlich verantwortlich ist, nicht Sie.

Wenn Sie nicht über diese Richtlinien und Verfahren verfügen, sollten Sie Ihren Manager auf diese Tatsache und die möglichen Konsequenzen aufmerksam machen. Schreiben Sie es schriftlich, damit Ihr a ** abgedeckt ist.

Wenn Sie der Meinung sind, dass Ihre Institution gegen ihre Verpflichtungen verstößt und nichts unternimmt, um diese zu beheben, besteht natürlich die Möglichkeit, es zu melden die zuständigen Behörden mit allen Konsequenzen, die dies für alle Beteiligten haben kann (natürlich auch für Sie - man kann nicht ignorieren, wie oft Whistleblower landen).

Um Ihre Frage zu beantworten und explizit zu fragen: "Was tun, wenn Ihr Rat ignoriert wird?", empfehle ich dringend das CYA-Akronym : C über Y unsere A sss.

Da Sie (ich nehme an) keine Führungsrolle innehaben, haben Sie höchstwahrscheinlich nur begrenzte Mittel, um diese tatsächlich durchzusetzen die Ratschläge, die Sie geben, aber um zu verhindern, dass die Schuld nachlässt, sollten Sie Mittel ergreifen, um Ihre Aktivitäten zu dokumentieren. Vielleicht ist die wichtigste Maßnahme hier, eine Papierspur zu hinterlassen.

Sie können beispielsweise eine E-Mail an Ihren Vorgesetzten schreiben:

Lieber XY,

Nach einigen Recherchen zu diesem Thema rate ich unserem Labor, Windows 10 wegen Bedenken hinsichtlich der Windows-Telemetriedaten nicht zu verwenden. (...) Stattdessen rate ich, XYZ von ABC zu verwenden.

Mit freundlichen Grüßen ...

Dies dient nicht nur als Beweis für Sie, Möglicherweise wird Ihr Manager diesen Vorschlag jedoch auch genauer prüfen. Wenn er / sie merkt, dass er / sie jetzt verantwortlich ist, wenn die Dinge den Bach runtergehen - ist er möglicherweise weniger geneigt, Sie einfach zu ignorieren.

Sprechen Sie mit dem Berater. Wenn er Sie nicht unterstützt, verlassen Sie die Position.

Es kommt sehr häufig vor, dass Universitätslaborgruppen die Richtlinien in Bezug auf Sicherheit, Datensicherheit, Vertraulichkeit, Software-Urheberrechte usw. nicht wirklich befolgen. Die Industrie ist ebenfalls nicht perfekt, aber in der Regel viel konformer als Universitätslaborgruppen

Ich war Sicherheitsbeauftragter für meine Laborgruppe. Überprüfung der Standards, regelmäßige Überprüfung der Augenspülung usw. Es wurden klare Dinge festgestellt, die wir falsch gemacht haben, aber der Berater war nicht daran interessiert, mich zu unterstützen (dachte, ich sei zu streng ... aber ich kam aus der Branche und hatte gesehen, wie Menschen verletzt wurden und war an mehr Aufmerksamkeit gewöhnt.) Wir hatten ein Feuer in einem Bereich, den ich bereits als mangelhaft identifiziert hatte, aber mit Leuten, die nichts reparieren wollten. Danach sagte ich dem PI, dass es sein Labor sei und er verantwortlich sein müsse, und ich weigerte mich, angesichts seiner Einstellung mit der Laborsicherheit in Verbindung gebracht zu werden. (Er sagte gut und jemand anderes ging und überprüfte die Augenspülungen.)

Vielleicht müssen Sie nicht so konfrontativ sein, aber ich würde sehr ernsthaft darüber nachdenken, sich nur zu weigern, die Sicherheitspflicht zu erfüllen, wenn Leute sich anziehen Nehmen Sie es nicht ernst und der PI unterstützt Sie nicht.

Ich weiß nichts über Datenschutz, aber nach dem, was ich in Sicherheit gesehen habe, vermute ich, dass es dasselbe Problem ist. Safety hat umfangreiche Studien und Aufzeichnungen erhalten, und akademische Labore haben etwa das Zehnfache der Vorfälle von industriellen Forschungslabors. Ich persönlich kannte zwei Personen mit schwerer Zeit, die durch Lösungsmittelbrände im Uni-Labor (verbrannte Gesichter und Monate im Krankenhaus) Vorfälle verloren hatten, und habe dies in einem CRD eines großen Unternehmens nie gesehen. Professoren geben den Studenten gelegentlich die Schuld, aber unter dem Strich werden PIs nicht so zur Rechenschaft gezogen wie Manager in einem Unternehmen. Studenten werden weniger geschätzt als Angestellte usw. Und es wird sich nicht ändern und hat es seit Jahrzehnten nicht mehr getan. Du bist also wirklich besser dran, dich einfach zu trennen. Und halten Sie Ihre eigene Ausrüstung sicher und konform.

Sollten die Dinge aus irgendeinem Grund sauer werden, wäre ich gerne auf der sicheren Seite.

Die Frage ist, wovor Sie sich schützen möchten - eine Klage, gegen die Sie sich richten Sie oder losgelassen werden?

Mein Verdacht (aber ich bin offensichtlich kein Anwalt) ist, dass die erstere nur sehr wenig gefährdet ist und nahezu keinen wirklichen Schutz gegen die letztere bietet.

Die unangenehme Realität ist, dass viele Menschen (in der Wissenschaft und außerhalb) nicht so sehr einen Mitarbeiter einstellen, sondern eine Versicherung abschließen, wenn sie Rollen übernehmen, beispielsweise für einen verantwortlichen Datenschutz (wie bei bestimmten Zertifizierungen in der Industrie). Sie wissen (oder vermuten zumindest stark), dass das, was sie tun, nicht legal ist, wollen sich nicht ändern und suchen jemanden, auf den sie hinweisen können, wenn die Dinge nach Süden gehen.

Wenn es echte rechtliche Probleme gibt Ich vermute, dass sich das Datenschutzproblem eher an die Universität als an Personen richtet, die dort arbeiten - und selbst wenn es sich an bestimmte Personen richtet, sind es die verantwortlichen Manager, keine Labortechniker ohne Autorität das Verhalten anderer Mitarbeiter zu ändern. Allerdings besteht eine sehr gute Chance, dass Sie intern immer noch zum Sündenbock gemacht werden (bis hin zum Loslassen), wenn Sie aus keinem anderen Grund dazu neigen, bergab zu rollen. Nach meiner Erfahrung mit Verwaltungsstrukturen der Universität kann Sie kein Papierpfad wirklich davor schützen.

Natürlich sollten Sie immer noch versuchen, Ihr Labor über relevante Probleme zu informieren, die Sie sehen, aber da Sie keine Autorität darüber haben, muss es die Form von annehmen eher beraten als strenge Regeln. Gute Beziehungen zum Team zu haben (und über hervorragende Soft Skills zu verfügen) ist wahrscheinlich die beste Wahl, um tatsächlich etwas zu bewirken. Es kann sich auch lohnen, hier pragmatisch zu sein und große Bedrohungen anzugehen, die nicht zu viel Opfer von Ihrem Team erfordern - der InfoSec Stack Exchange ist möglicherweise eine sehr gute Ressource, um Informationen darüber zu erhalten (ich vermute die Verwendung von Windows) ist nicht einer dieser Fälle).

Hinweis: Es gibt Jobs, bei denen Sie für bestimmte Arten persönlich verantwortlich sind von Problemen (funktionale Sicherheit in der Automobilindustrie ist ein Beispiel, das in den Sinn kommt). Diese zeichnen sich jedoch in der Regel dadurch aus, dass Sie explizite Qualifikationen benötigen, um diesen Job überhaupt legal ausführen zu dürfen. Ein Unternehmen kann nicht einfach einen zufälligen Ingenieur ernennen, der jetzt rechtlich für die Sicherheitszertifizierung verantwortlich ist. Teil der obligatorischen Schulung für solche Jobs sind auch explizite Informationen darüber, wofür Sie letztendlich verantwortlich sind und wie Sie bei Verstößen voraussichtlich vorgehen werden.

Wenn Sie sich große Sorgen über Telemetrie und Informationslecks machen und über die erforderlichen Rechte verfügen, um administrative Aufgaben an den von Ihrem Labor verwendeten Geräten auszuführen, würde ich eine App zum Blockieren der Telemetrie vorschlagen, obwohl ich Sie dringend auffordere, diese zu testen und zu überprüfen es vor jeder Art von Bereitstellung. Persönlich bin ich ein Fan von BlackBird, aber seien Sie vorsichtig bei den Effekten, die die Funktionalität aufheben (Standorterkennung, LAN usw.). Studieren und testen Sie diese Software erneut im Voraus.

Ich möchte jedoch einen weiteren Aspekt des Datenschutzes erwähnen, nicht im Sinne von Datenschutz , sondern von Datenintegrität .

Ich würde in einer Million Jahren nicht erwischt werden, wenn ich Windows für datensensitive Arbeiten verwende, da ich und viele andere Opfer der Tendenz von Windows und seinen Apps (z. B. OneDrive) geworden sind, Benutzerdateien zu löschen ohne Vorankündigung (dauerhaft unter Umgehung des Papierkorbs). Ein neueres Beispiel finden Sie im 1809-Update. Es gibt viele andere.