DSGVO Verschärfungen
 

https://blog.lookout.com/de/complian...obile-security

Welche Maßnahmen sollte man für mobile Apps (und Desktop Apps) ergreifen ?
Gibt es irgendwo ein gutes Tutorial/Checkliste wecle Maßnahmen für welche Anwendung reichen?

Ich habe meistens nur viel BlaBla und wenig konkret rechtssicheres dazu gefunden :(

Edit:
Interessant z.B. das
https://www.lda.bayern.de/media/oh_einwilligung.pdf
https://www.heise.de/ix/meldung/Date...s-3936980.html


Rollo

AW: DSGVO Verschärfungen
 

Das ging mir bei anderen Baustellen meistens ganz genauso. Es wurde mit der DSGVO viel Schindluder getrieben, Panikmache, wenig Greifbares. Wenn man sich genauer damit befasst wird einem klar, weshalb es so wenig Greifbares gab: Die europäische DSGVO ist ein typischer EU-Minimalkompromiss mit vielen Ausnahmen für die einzelnen EU-Staaten. In den meisten Punkten blieb die DSGVO hinter dem Schutzniveau nach deutschem Recht zurück. Also hat sich Berlin die Sache einfach gemacht und nutzt weitestgehend die Öffnungsklauseln, wodurch vieles auch nach dem 1.5.2018 einfach so bleibt wie es ist. Die Bagatellgrenzen für die Bestellung eines Datenschutzbeauftragten bleiben z.B. gleich, weil die DSGVO eigentlich gar keine Bestellpflicht mehr vorsieht. Lediglich die Datenschutzerklärung muss man ein bissi überarbeiten bzw. neu erstellen wenn man noch keine hatte.

Die DS-Erklärung ist ein lustiges Konstrukt geworden. Man findet viele Muster-Erklärungen im Netz, alle im typischen Beamtensprech verfasst. Weil die DSGVO hier aber ausdrücklich "einfache Verständlichkeit" einfordert, dürfte es hier Abmahnrisiken geben wenn die Erklärung allzu gestelzt ist. Oder man verfasst die gleich zweisprachig: Auf Deutsch und "Beamtisch" parallel ;-)

AW: DSGVO Verschärfungen
 

Ok, ich denke auch das wieder mal viel Rauch un nichts gemacht wird.
Trotzdem wird es vielleicht neue Standardfloskeln und Verfahren geben.
Ich bin vergleichsweise entspannt weil ich keine persönlichen Daten in der app sammle.
Aber der vorgeschaltete App Store könnte ein Problem sein.
Was ich gelesen hsbe muss auch die datenhaltung und übergabe geregelt seon.
Ich gehe auch davon aus das erstmal eigene Verfahren ausreichend sind wenn sie ordentlich beschrieben sind.
Clouddienste könnten schon kritischer sein, wenn Daten in nicht-EU ausgelagert sind.
Ein einfaches 1-2-3 Kochrezept habe ich noch nicht gefunden.

Rollo

AW: DSGVO Verschärfungen
 

Dann musst du dir wirklich kaum Sorgen machen. Die DSGVO bezieht sich ausschließlich auf PERSONENBEZOGENE Daten. Einzig IP-Adressen könnten relevant sein, weil die neuere EuGH-Rechtsprechung die IP-Adresse als personenbezogenes Datum betrachtet.

Da bin ich mir nicht sicher. Überwiegend dürfte das aber das Problem von Apple, Google & Co sein.

Vorallem die Möglichkeiten für den Anwender aufzeigen, konfigurierbare optionale Datensammlung zu deaktivieren.

Dachte ich ursprünglich auch. Aber denkste! Deutschland wollte ja so eine Art DE-Cloud basteln und ist damit bei der EU-Kommission abgeblitzt. Die einzige Auflage die mir diesbzgl. noch bekannt ist: Eine Außer-EU-Datenhaltung muss in der DS-Erklärung lediglich explizit erwähnt sein.

Wie so oft bei völlig neuen Rechtsrahmen. Erstmal herrscht große Unsicherheit, es fliegen ein paar Abmahnungen hin und her, Bürgerrechtler machen Theater, es gibt ein paar widersprüchliche Gerichtsurteile und nach 2, 3 Jahren hat sich die Rechtsprechung gefestigt. Bis dahin freuen sich ein paar Anwälte ein Loch ins Knie.

AW: DSGVO Verschärfungen
 

Naja, also ein paar handfeste Sachen gibt's dann doch.
Wie bereits richtig erwähnt, befasst sich die DSGVO mit dem Schutz von Personendaten. Wer diese Art von Daten nicht erfasst, ist natürlich erstmal fein raus. Aber auch da rate ich dazu, einen Abgleich zwischen der eigenen Vorstellung von "persönliche Daten" und der Definition aus der DSGVO zu machen. Nur um sicher zu gehen.

Wer allerdings persönliche Daten verarbeitet, auf den kommen verschiedene Aufgaben zu:

(1) Die Erfassung der Daten muss transparent erfolgen. Der Person muss u.a. klar sein, welche Daten für welche Zweck erfasst werden und wer dann darauf Zugriff hat. Es gibt ein Widerspruchsrecht, ein Recht auf Änderung von fehlerhaften Daten und das recht auf auf Löschung persönlicher Daten. Auch das muss vor der Erfassung im Rahmen der Einverständniserklärung klar kommuniziert werden. Unternehmensseitig müssen Maßnahmen geschaffen werden, um besagte Rechte auch einräumen zu können.
(2) Es gibt eine Reihe an Dokumentationspflichten. Ein Unternehmen muss die Arbeitsprozesse dokumentieren, in denen persönliche Daten verarbeitet werden. Wo liegen welche Daten, wer hat Zugriff, zu welchem Zweck werden diese wie lang gespeichert, etc. Eine derartige Dokumentation kann später Grundlage für eine Prüfung sein.
(3) Es gibt den Anspruch an eine sichere Datenhaltung, diese Sicherheit soll einerseits durch die Prozesse, andererseits durch die eingesetzten Werkzeuge erreicht werden. Zudem besteht eine Nachweispflicht, dass relevante Mitarbeiter im Rahmen von Schulungen für das Thema Datenschutz sensibilisiert werden. Die eingangs genannten Prozesse sind ebenfalls zu dokumentieren, deren Umsetzung ist kontinuierlich zu bewerten und ggf. sind die Prozesse anzupassen.
(4) Es gibt Meldepflichten. Sollte es einen Verstoß gegen den Datenschutz gegeben haben, z.B. durch Diebstahl, so ist binnen 72 Stunden eine Meldung an die zuständigen Behörden zu machen. Bei schweren Verstößen sind die betroffenen Personen sogar unverzüglich direkt zu kontaktieren.

Das sind nun nur die ersten Aspekte, die mir gerade aus dem Stegreif einfallen. Das mag man alles mögen und gutheißen - oder meinetwegen auch nicht, ein bisschen mehr als "heiße Luft" ist das in meinen Augen jedoch schon.

AW: DSGVO Verschärfungen
 

@Daniel: Vielen Dank für die Erläuterungen. Soweit ich das überschauen kann, ist vieles davon aber bereits seit langem Bestandteil des deutschen Datenschutzrechtes.

Letztendlich muss sich jede Firma und jeder Einzelgewerbetreibende die Frage stellen: Wie viel Aufwand kann ich und wie viel Aufwand muss ich betreiben im Zusammenhang mit der DSGVO?

Wie ich oben schon schrieb, halte ich das ganze Thema für "unreif". Es gibt nun zwar ein gesetzliches Rahmenwerk, aber vieles bleibt noch unklar. Es wird Abmahnungen geben, weil manche Anwälte solche Situationen immer ausnutzen.

Und das Traurige an der Sache ist leider, dass derjenige, für den man den ganzen Aufriss eigentlich betreiben soll, nämlich der Nutzer/Kunde, sich am allerwenigsten für das ganze Thema interessiert.

AW: DSGVO Verschärfungen
 

Da kann ich dir nur zustimmen. Meiner Meinung liegt das aber an zwei Punkten:

a) Das ganze ist einfach viel zu kompliziert aufgebaut und auch fast schon in einer Fremdsprache verfasst (Bürokraten-Deutsch). Da steigt der Otto-Normal-Bürger einfach nicht mal durch (wenn selbst bei denen, die das Umsetzen müssen noch nicht mal Klarheit herscht.)

b) Das ganze ist nicht der einzige Bereich, in dem der Normalbürger sich auskennen müsste. Ich denke da nur
mal an das Thema "Steuergesetz" oder Verbraucherschutz.

In meinen Augen ist das mal wieder eine Geld- und Arbeitsbeschaffung für Gerichte und Anwälte. Denn bis sich das ganze "eingeschliffen" hat, fällt den Bürokraten bestimmt wieder was neues ein :)

AW: DSGVO Verschärfungen
 

Daniel hat es ja schon sehr gut dargestellt.

Zu (1) gibt es aber auch Einschränkungen. Wenn beispielsweise ein anderes Gesetz zur Datenaufbewahrung verpflichtet (bei mir wäre es der Medizinsektor), dann hätte die entsprechende Person KEIN Recht auf vorzeitige Löschung der Daten. Dies ist in meinem Fall zwar was sehr spezielles, aber ich bin mir sicher, dass es das in anderen Bereichen auch gibt (Aufbewahrungen Rechnungen etc,).

Beste Grüße

AW: DSGVO Verschärfungen
 

Die Punkte bisher sind schon Alle recht gut zusammengefasst, und geben interessante Anregungen.

Ich frage mich z.B. aber auch noch: Was sind eigentlich persönliche Daten, und was nicht:
1. EMail-Adress plus Username (nur für einfachste Anmeldeverfahren) ?
2. EMail-Adress plus Username, plus IP-Adresse ?
3. EMail-Adress plus Username, plus Coockie (zur Authentifizierung am Server) ?
4. EMail-Adresse plus Klarname ?
5. EMail-Adresse plus vollständige Adresse (ja das wohl sicher) ?
6. Familiendaten, Medizinische Daten, Bankdaten, Vertragsdaten, etc. (ja klar) !

Müsste eine einfache Anwendung die nur User mit EMail verwaltet schon Alle Punkte im DSGVO berücksichtigen ?
Also so in der Art 1. bis 4., oder evtl. sogar bis 4.).

Ab wann muss man anfangen mehr in die Datensicherheit zu investieren, Mitarbeiter zu schulen, Datenübergabe zu organisieren, etc., etc. ?

Wenn die reine EMail schon als persönliche Daten zählt, z.B. für Spammer, bewertet wird dann wäre ja wirklich fast jede App/Website betroffen die User-Registrierung anbietet :(

Was ist wenn man die User-Registierung über Google/Facebook API's macht, hat man damit das Problem auf G+/FB verlagert ?

Rollo

AW: DSGVO Verschärfungen
 

Hier mal Artikel 4 mit den Begriffsbestimmungen:
https://dsgvo-gesetz.de/art-4-dsgvo/

Email-Adressen fallen in die Kategorie "Allgemeine Personendaten". Bei Login-Daten versteht sich das fast von selbst - da geht es ja ganz ausdrücklich darum, dass sich eine Person gegenüber einem (Online-)System identifizieren soll.