Webmail, DSGVO und die Umstellungen ab 01.07.2019

ACHTUNG: Mit 01.07.2019 wird es nicht mehr möglich sein, Email-Clients zu nutzen! Die Arbeit der Studierendenvertreter*innen wird damit eingeschränkt, jedoch ist diese Entscheidung nicht willkürlich. Auf Anraten unserer Anwälte wird das Schreiben/Lesen von Emails auf die Webmail-Oberfläche beschränkt.

Kurzversion:

  1. Emails können nurmehr über  das 1&1 Webmail abgerufen werden
  2. Der Zugang zum Webmail funktioniert ausschließlich über meine.oeh-salzburg.at
  3. Um Zugang zu einem Dienst zu haben, muss der/die Vorsitzende die Berechtigung dazu gegeben haben.

Das bedeutet:

  • webmail.oeh-salzburg.at funktioniert nicht mehr
  • Email Clients (Thunderbird, Apple Mail , etc.) funktionieren nicht mehr
  • Zugang zu Emails nurnoch via meine.oeh-salzburg.at

Das Ziel:

  • Die gesamte ÖH nutzt meine.oeh-salzburg.at als digitale Anlaufstelle für alle ÖH Angelegenheiten
  • Die Studierendenvertreter*innen nutzen die Plattform und die Vorsitzenden der ÖH Organe administrieren die Berechtigungen gezielt! Das Bedeutet, die Vergabe der Rechte liegt beim Organ-Vorsitz, also zB der STV Vorsitzenden.
  • Email Clients werden nicht mehr genutzt

Der Vorteil:

  • Passwörter gehen nicht mehr verloren, weil es sie nicht gibt.
  • Anstatt Passwörter werden Berechtigungen vergeben
  • Wer aus der ÖH Ausscheidet, dem wird die Berechtigung einfach entzogen (= keine Probleme bei Übergaben)

Berechtigungen für die Webmail App werden immer vom Organ Vorsitz vergeben! Du siehst keinen Webmail Zugang? Der Vorsitz muss dir diese Berechtigung geben – mehr erfahren. 


Hierzu eine Stellungnahme, wieso wir das machen:

Der Versand von E-Mails gehört zum Alltag in jedem Büro. Und kaum ein/e Aktivist*in wird sich dabei Gedanken um den Datenschutz machen. Mit der Einführung der Datenschutzgrundverordnung (DSGVO) seit Mai 2018 gehen Organisationen hohe Risiken ein, wenn sie den E-Mail-Schutz vernachlässigen.

Wenn man sich mit diesem Thema und seinen Auswirkungen auf die Prozesse und IT-Lösungen des eigenen Unternehmens befasst, kommt man unweigerlich zu dem Punkt, an dem man feststellt, dass viele persönliche Daten übertragen und in E-Mails und E-Mail-Backups gespeichert werden. Die Umstellung in meine.oeh-salzburg.at zur E-Mail Webapp führt dazu, dass im Hintergrund die IT Infrastruktur hochgradig integriert und miteinander verzahnt ist, damit es einfacher ist, alle persönlichen Informationen einer Person zu finden, die ihre Daten gemäß Artikel 17 der DSGVO löschen lassen möchte.

In vielen kleinen bis mittleren Organisationen (STVen, UV) sind die gängigen IT-Lösungen nicht so ausgereift. Bei E-Mails nutzen sie normalerweise einen Exchange-Server und lokale E-Mail-Clients wie Outlook auf den Desktop-Computern der Mitarbeiter. Das Suchen und Finden alter E-Mails mit persönlichen Informationen ist aufgrund der Organisationsstruktur der ÖH praktisch nicht möglich. Scheidet eine Person aus der ÖH aus, werden üblicherweise Email Passwörter geändert, aber E-Mail Clients auf den persönlichen Rechnern können maximal freiwillig gelöscht werden.

Die ÖH Uni Salzburg hat eine hohe Fluktationsrate, alle 2 Jahre werden alle funktionen neu gewählt und die Organisation zählt über 300 Aktivist*innen. Auf einen datenschutzrechtlich konfromen Umgang mit Studierendendaten wird nicht geachtet, zumal einige Organe immernoch Google-Mail Accounts für ihr Organ nutzen. Hier 2 Beispiele:

Szenario 1: Die Vorsitzende eines Organs speichert den Account zB. stv.politikwissenschaft@oeh-salzburg.at in Mozilla Thunderbird ein. Ihr Partner nutzt den Laptop regelmäßig und kann jederzeit personenbezogene Daten aus dem Email-Postfach auslesen.

Szenario 2: Ein Sachbearbeiter des Organs STV Kowi verliert beim Feiern sein Smartphone, wo in einer Handyapp die E-Mail Adresse der Studienvertretung eingepflegt ist. Dritte können unbefugt die Studierendendaten aus den Emails herauslesen.

Die Folgenabschätzung (gem. Artikel 35 DSGVO) hat ergeben, dass aufgrund der hohen Fluktation, der vielen privaten PCs, der vielen Funktionär*innen und dem geringen Bewusstsein zur DSGVO die ÖH keine E-Mail Clients zulassen wird, um die Speicherung von Emails auf lokalen Rechnern unterbinden zu können.

Das Lesen/Schreiben von Emails läuft über das Webmail ab, nur Personen die eine Berechtigung zum Lesen der E-Mails haben können den Service „Emails“ nutzen. Zudem kann nachvollziehbar Personen die Berechtigung erteilt, und wieder entzogen werden. Die fahrlässige Speicherung von Studierendendaten wird damit verhindert.