DSGVO Verschärfungen
 

https://blog.lookout.com/de/complian...obile-security

Welche Maßnahmen sollte man für mobile Apps (und Desktop Apps) ergreifen ?
Gibt es irgendwo ein gutes Tutorial/Checkliste wecle Maßnahmen für welche Anwendung reichen?

Ich habe meistens nur viel BlaBla und wenig konkret rechtssicheres dazu gefunden :(

Edit:
Interessant z.B. das
https://www.lda.bayern.de/media/oh_einwilligung.pdf
https://www.heise.de/ix/meldung/Date...s-3936980.html


Rollo

AW: DSGVO Verschärfungen
 

Das ging mir bei anderen Baustellen meistens ganz genauso. Es wurde mit der DSGVO viel Schindluder getrieben, Panikmache, wenig Greifbares. Wenn man sich genauer damit befasst wird einem klar, weshalb es so wenig Greifbares gab: Die europäische DSGVO ist ein typischer EU-Minimalkompromiss mit vielen Ausnahmen für die einzelnen EU-Staaten. In den meisten Punkten blieb die DSGVO hinter dem Schutzniveau nach deutschem Recht zurück. Also hat sich Berlin die Sache einfach gemacht und nutzt weitestgehend die Öffnungsklauseln, wodurch vieles auch nach dem 1.5.2018 einfach so bleibt wie es ist. Die Bagatellgrenzen für die Bestellung eines Datenschutzbeauftragten bleiben z.B. gleich, weil die DSGVO eigentlich gar keine Bestellpflicht mehr vorsieht. Lediglich die Datenschutzerklärung muss man ein bissi überarbeiten bzw. neu erstellen wenn man noch keine hatte.

Die DS-Erklärung ist ein lustiges Konstrukt geworden. Man findet viele Muster-Erklärungen im Netz, alle im typischen Beamtensprech verfasst. Weil die DSGVO hier aber ausdrücklich "einfache Verständlichkeit" einfordert, dürfte es hier Abmahnrisiken geben wenn die Erklärung allzu gestelzt ist. Oder man verfasst die gleich zweisprachig: Auf Deutsch und "Beamtisch" parallel ;-)

AW: DSGVO Verschärfungen
 

Ok, ich denke auch das wieder mal viel Rauch un nichts gemacht wird.
Trotzdem wird es vielleicht neue Standardfloskeln und Verfahren geben.
Ich bin vergleichsweise entspannt weil ich keine persönlichen Daten in der app sammle.
Aber der vorgeschaltete App Store könnte ein Problem sein.
Was ich gelesen hsbe muss auch die datenhaltung und übergabe geregelt seon.
Ich gehe auch davon aus das erstmal eigene Verfahren ausreichend sind wenn sie ordentlich beschrieben sind.
Clouddienste könnten schon kritischer sein, wenn Daten in nicht-EU ausgelagert sind.
Ein einfaches 1-2-3 Kochrezept habe ich noch nicht gefunden.

Rollo

AW: DSGVO Verschärfungen
 

Dann musst du dir wirklich kaum Sorgen machen. Die DSGVO bezieht sich ausschließlich auf PERSONENBEZOGENE Daten. Einzig IP-Adressen könnten relevant sein, weil die neuere EuGH-Rechtsprechung die IP-Adresse als personenbezogenes Datum betrachtet.

Da bin ich mir nicht sicher. Überwiegend dürfte das aber das Problem von Apple, Google & Co sein.

Vorallem die Möglichkeiten für den Anwender aufzeigen, konfigurierbare optionale Datensammlung zu deaktivieren.

Dachte ich ursprünglich auch. Aber denkste! Deutschland wollte ja so eine Art DE-Cloud basteln und ist damit bei der EU-Kommission abgeblitzt. Die einzige Auflage die mir diesbzgl. noch bekannt ist: Eine Außer-EU-Datenhaltung muss in der DS-Erklärung lediglich explizit erwähnt sein.

Wie so oft bei völlig neuen Rechtsrahmen. Erstmal herrscht große Unsicherheit, es fliegen ein paar Abmahnungen hin und her, Bürgerrechtler machen Theater, es gibt ein paar widersprüchliche Gerichtsurteile und nach 2, 3 Jahren hat sich die Rechtsprechung gefestigt. Bis dahin freuen sich ein paar Anwälte ein Loch ins Knie.

AW: DSGVO Verschärfungen
 

Naja, also ein paar handfeste Sachen gibt's dann doch.
Wie bereits richtig erwähnt, befasst sich die DSGVO mit dem Schutz von Personendaten. Wer diese Art von Daten nicht erfasst, ist natürlich erstmal fein raus. Aber auch da rate ich dazu, einen Abgleich zwischen der eigenen Vorstellung von "persönliche Daten" und der Definition aus der DSGVO zu machen. Nur um sicher zu gehen.

Wer allerdings persönliche Daten verarbeitet, auf den kommen verschiedene Aufgaben zu:

(1) Die Erfassung der Daten muss transparent erfolgen. Der Person muss u.a. klar sein, welche Daten für welche Zweck erfasst werden und wer dann darauf Zugriff hat. Es gibt ein Widerspruchsrecht, ein Recht auf Änderung von fehlerhaften Daten und das recht auf auf Löschung persönlicher Daten. Auch das muss vor der Erfassung im Rahmen der Einverständniserklärung klar kommuniziert werden. Unternehmensseitig müssen Maßnahmen geschaffen werden, um besagte Rechte auch einräumen zu können.
(2) Es gibt eine Reihe an Dokumentationspflichten. Ein Unternehmen muss die Arbeitsprozesse dokumentieren, in denen persönliche Daten verarbeitet werden. Wo liegen welche Daten, wer hat Zugriff, zu welchem Zweck werden diese wie lang gespeichert, etc. Eine derartige Dokumentation kann später Grundlage für eine Prüfung sein.
(3) Es gibt den Anspruch an eine sichere Datenhaltung, diese Sicherheit soll einerseits durch die Prozesse, andererseits durch die eingesetzten Werkzeuge erreicht werden. Zudem besteht eine Nachweispflicht, dass relevante Mitarbeiter im Rahmen von Schulungen für das Thema Datenschutz sensibilisiert werden. Die eingangs genannten Prozesse sind ebenfalls zu dokumentieren, deren Umsetzung ist kontinuierlich zu bewerten und ggf. sind die Prozesse anzupassen.
(4) Es gibt Meldepflichten. Sollte es einen Verstoß gegen den Datenschutz gegeben haben, z.B. durch Diebstahl, so ist binnen 72 Stunden eine Meldung an die zuständigen Behörden zu machen. Bei schweren Verstößen sind die betroffenen Personen sogar unverzüglich direkt zu kontaktieren.

Das sind nun nur die ersten Aspekte, die mir gerade aus dem Stegreif einfallen. Das mag man alles mögen und gutheißen - oder meinetwegen auch nicht, ein bisschen mehr als "heiße Luft" ist das in meinen Augen jedoch schon.

AW: DSGVO Verschärfungen
 

@Daniel: Vielen Dank für die Erläuterungen. Soweit ich das überschauen kann, ist vieles davon aber bereits seit langem Bestandteil des deutschen Datenschutzrechtes.

Letztendlich muss sich jede Firma und jeder Einzelgewerbetreibende die Frage stellen: Wie viel Aufwand kann ich und wie viel Aufwand muss ich betreiben im Zusammenhang mit der DSGVO?

Wie ich oben schon schrieb, halte ich das ganze Thema für "unreif". Es gibt nun zwar ein gesetzliches Rahmenwerk, aber vieles bleibt noch unklar. Es wird Abmahnungen geben, weil manche Anwälte solche Situationen immer ausnutzen.

Und das Traurige an der Sache ist leider, dass derjenige, für den man den ganzen Aufriss eigentlich betreiben soll, nämlich der Nutzer/Kunde, sich am allerwenigsten für das ganze Thema interessiert.

AW: DSGVO Verschärfungen
 

Da kann ich dir nur zustimmen. Meiner Meinung liegt das aber an zwei Punkten:

a) Das ganze ist einfach viel zu kompliziert aufgebaut und auch fast schon in einer Fremdsprache verfasst (Bürokraten-Deutsch). Da steigt der Otto-Normal-Bürger einfach nicht mal durch (wenn selbst bei denen, die das Umsetzen müssen noch nicht mal Klarheit herscht.)

b) Das ganze ist nicht der einzige Bereich, in dem der Normalbürger sich auskennen müsste. Ich denke da nur
mal an das Thema "Steuergesetz" oder Verbraucherschutz.

In meinen Augen ist das mal wieder eine Geld- und Arbeitsbeschaffung für Gerichte und Anwälte. Denn bis sich das ganze "eingeschliffen" hat, fällt den Bürokraten bestimmt wieder was neues ein :)

AW: DSGVO Verschärfungen
 

Daniel hat es ja schon sehr gut dargestellt.

Zu (1) gibt es aber auch Einschränkungen. Wenn beispielsweise ein anderes Gesetz zur Datenaufbewahrung verpflichtet (bei mir wäre es der Medizinsektor), dann hätte die entsprechende Person KEIN Recht auf vorzeitige Löschung der Daten. Dies ist in meinem Fall zwar was sehr spezielles, aber ich bin mir sicher, dass es das in anderen Bereichen auch gibt (Aufbewahrungen Rechnungen etc,).

Beste Grüße

AW: DSGVO Verschärfungen
 

Die Punkte bisher sind schon Alle recht gut zusammengefasst, und geben interessante Anregungen.

Ich frage mich z.B. aber auch noch: Was sind eigentlich persönliche Daten, und was nicht:
1. EMail-Adress plus Username (nur für einfachste Anmeldeverfahren) ?
2. EMail-Adress plus Username, plus IP-Adresse ?
3. EMail-Adress plus Username, plus Coockie (zur Authentifizierung am Server) ?
4. EMail-Adresse plus Klarname ?
5. EMail-Adresse plus vollständige Adresse (ja das wohl sicher) ?
6. Familiendaten, Medizinische Daten, Bankdaten, Vertragsdaten, etc. (ja klar) !

Müsste eine einfache Anwendung die nur User mit EMail verwaltet schon Alle Punkte im DSGVO berücksichtigen ?
Also so in der Art 1. bis 4., oder evtl. sogar bis 4.).

Ab wann muss man anfangen mehr in die Datensicherheit zu investieren, Mitarbeiter zu schulen, Datenübergabe zu organisieren, etc., etc. ?

Wenn die reine EMail schon als persönliche Daten zählt, z.B. für Spammer, bewertet wird dann wäre ja wirklich fast jede App/Website betroffen die User-Registrierung anbietet :(

Was ist wenn man die User-Registierung über Google/Facebook API's macht, hat man damit das Problem auf G+/FB verlagert ?

Rollo

AW: DSGVO Verschärfungen
 

Hier mal Artikel 4 mit den Begriffsbestimmungen:
https://dsgvo-gesetz.de/art-4-dsgvo/

Email-Adressen fallen in die Kategorie "Allgemeine Personendaten". Bei Login-Daten versteht sich das fast von selbst - da geht es ja ganz ausdrücklich darum, dass sich eine Person gegenüber einem (Online-)System identifizieren soll.

AW: DSGVO Verschärfungen
 

Ich dachte ursprünglich dabei an den einfachsten Fall, d.h. eine nicht-personenbezogene Anmeldung,
z.B. mit freiem Usernamen, Cookie, OHNE Email-Adresse, zur Verifikation lediglich Captcha.

So könnte sich ein User an ein System registrieren, ohne das er auch nur einen echten Teil seiner echten Identität angeben müsste.
Trotzdem wäre er eindeutig identifiziert, unter seinem Account, durch Cookies o.ä.

Ich habe solche Systeme schon öfter mal gesehen, und für sehr praktisch befunden.
Also wäre das nach der Begriffsbestimmung doch Alles schon eindeutig UNTER der DSGVO:
Die Frage wäre doch ob eine
"therese1799" oder ein "knallipulli33" eine IDENTIFIZIERBARE Person wäre, wenn diese sich über anyonyme Daten an ein System anmeldet, und dort nur ihre/seine eigenen Daten verwaltet.

Wäre dies identifizierbar ?
Mit Email: ja womöglich, wenn auch nur mit Hilfe vom Provider
Ohne Email: das wäre doch normalerweise auszuschliessen (mal abgesehen von Vorratsdatenspeicherung und Prism)

Wenn ich REST-Services für registierte Benutzer anbiete, ohne diese zu zwingen persönliche Daten anzugeben könnte man doch theoretisch ausserhalb des DSGVO Anwendungsfalls liegen.

Andererseits
Selbst wenn Obiges für solche REST-Services zuträfe, und eine Ausnahme wären:
Dann könnte man trotdem nicht verhindern das Personen ihre echten Daten/Informationen eingeben und veröffentlichen statt bewusst anonym zu bleiben
(Der DAU soll ja geschützt werden).


So wie ich das verstehen müsste wäre wirklich JEDER Fall unter der DSGVO zu berücksichtigen, vermutlich nur mit unterschiedlicher Schärfe, je nach Relevanz der Daten und Indentifizierbarkeit der echten Person.

Andere Fälle wären wohl noch: (mal bewusst etwas weiter hergeholt)
- Gaming mit Online-Austausch der Scores (sind allgemeine, personenbezogenen Informationen)
- Browser-Historie (sind allgemeine, personenbezogenen Informationen)
- Desktop-App Setup (sind allgemeine, personenbezogenen Informationen)
- Intranet-Server App (sind allgemeine, personenbezogenen Informationen)
- Nutzung von VoiceCommand in Apps (wird i.d.R. personenbezogene Sprachinfo an Clouds in Drittländer (AWS, Google, Azure) liefern)
...
...

Dann sollte man sich wohl doch mal tiefer mit den ganzen Prozessen zum Datenschutz auseinandersetzen, und was das als Entwickler und Betrieben für solche Apps und Dienste wohl bedeuten mag :-)
Ein einfacher Disclaimer zum Wegclicken wird vielleicht nicht mehr ausreichen.

Rollo

AW: DSGVO Verschärfungen
 

Grundsätzlich ist doch inzwischen alles mögliche ein Personendatum, weil sich in Zeiten von Big Data alles irgendwie zu einem Gesamtbild verknüpfen lässt. Selbst ein Foto ohne jegliche weitere Information lässt sich über die biometrischen Datenbanken von G & FB als personenbezogenes Datum sehen. Das wird noch interessant werden, wenn ich an die Persönlichkeitsrechte von Katalogmodels denke.

Letztens habe ich was gelesen, dass NFC-fähige Smartphones durch die Diebstahldetektoren an Supermarkttüren dazu gebracht werden, ihre IMEI auszuspucken. Ähnlich verhält es sich mit NFC-gepimpten Karten wie e-Perso, eGK usw. Rein physikalisch kann man mit Hochgewinnantennen die regelmäßig ausgesendeten Signale an den Supermarkttüren auch aus größerer Distanz noch mitlesen. Reicht schon wenn man die in der Hosentasche hat und durch das aktivierende Induktionsfeld läuft. Selbst ohne konkrete Kommunikation könnten sich dadurch Rückschlüsse auf konkrete Personen ergeben. Ob sich die Supermärkte darüber schon Gedanken gemacht haben? Oder die Hersteller der Karten?

Das ganze Ding Datenschutz in der angedachten Form kommt IMHO viele Jahre zu spät. Geht man restriktiv und streng nach Vorschrift an die Sache ran, kriminalisiert man ganz alltäglich gewordene Technologien und Verfahren. Nimmt man es auf die leichte Schulter, fällt man irgendwann auf die Nase. Profitieren werden von alldem am Ende wohl wieder nur Außer-EU-Firmen.

AW: DSGVO Verschärfungen
 

Lasst mal aktuelles NFC & RFID hier aus dem Spiel...

auch ganz ohne "Alu-Hut" senden/veröffentlichen aktuelle Chips nur noch eine "RandomUID" als quasi SessionKEY... ISO-14443/4 sowie ISO18xxx lassen das zu, bzw. sehen sogar explizit nun so vor!

An die echte "UniqueID" des Transponders/der Karte kommt man nur nach komplettem ISO konformen "Select" und aktivem mehrstufigem Verbindungsaufbau... definitiv nicht für mal 100 beliebige einfach im Vorbeigehen binnen ein paar Millisekunden.
Und mithören "richtiger Verbindungen" macht da dann wegen (3)DES/AES gesicherter Übertragung auch mit noch so guten Antennen einfach wenig Sinn:)

Zufällig mache ich das RFID Zeug hauptberuflich auf Bitebene... DE-Ausweis, DE-Reisepass, DE-Gesundheitskarte und die neuen VISA-Karten sind gut(gegen NDA) dokumentiert und somit "per offenem Design sicher".
Klar gibt es böse Tools für einfache Speicherkarten oder das "geknackte"MifareClassic... aber nun die MifareDesfireEV1/EV2 wie im Reisepass oder Ausweis sind "technisch sicher", außer es man glaubt an böse Mächte mit einem Hardware Masterkey/Backdoor... und ja deshalb steckt auch mein Perso weiter in einer Funk dichten Hülle:) Ich verbiete es niemandem das Ding zu lesen, ich möchte aber einfach nur wissen wann sich wer dafür interessiert;)


Aber es stimmt, das "haben oder nicht haben" so einer "deutschen RFID-Karte" wird bereits aktiv z.B. bei Zutritt zu XY automatisch abgefragt und wer es "nicht hat", muss sich einer besonderen manuellen Überprüfung stellen. Das ist OK, denn es ist z.B. das Hausrecht eines Veranstalters nur Leute mit vorhandener el. "DE"-Identifikation oder nur nach persönlicher Prüfung rein zu lassen.
(DSGVO ist da völlig wurscht, max. ist das diskriminierend gegen "Nichtbesitzer" oder "abschirmende Aluhutträger"... aber eben wegen letzterer ist es doch gegenüber allen legal!)

AW: DSGVO Verschärfungen
 

Zugegeben, ein etwas weit hergeholtes Beispiel. Wobei es leider schon oft so war dass selbst das beste offene Design sich später als unzureichend heraus stellt. Stichwort Heartbleed beim OpenSSL.

Am eigentlichen Problem ändert das jedoch nichts. Du hast einfach eine nahezu unüberschaubare Menge an Wegen, wie du Informationen sammeln kannst. Nicht mal immer absichtlich. Das wollte ich damit eigentlich sagen: Personenbezogene Daten können auch zufällig anfallen, ohne das dies geplant wäre.

Nehmen wir handelsübliche Webhosting-Angebote. Du bastelst dir einen einfachen REST-Service mit einem LAMP-Backend. Du dokumentierst sämtliche Informationswege wunderbar und streng nach Vorschrift. Irgendwann stellt sich heraus, dein Webhoster hat sein automatisiertes Mysql-Backup bei irgendeinem Cloudservice ausgelagert und von dort sind deine Kundendaten "verdunstet".

Oder du betreibst einen Webshop, hast viel Geld für Anwälte und AGB + Datenschutzerklärung ausgegeben und deine Magento-Agentur klemmt dir mal fix Google Analytics ins Shoptemplate, weil man die SEO-Plugins evaluieren will. Nur dass das in deinen teuer eingekauften Unterlagen nicht vorgesehen war.

Das Problem dabei ist, dass immer den letzten die Hunde beißen. Und der darf dann sehen wie er die Verantwortlichkeitskette nach oben aufgedröselt bekommt.

Darum finde ich den ursprünglichen Ansatz der hier im Thread genannt wurde, das Prinzip der Datensparsamkeit, immer noch den sichersten. Weniger für den Kunden/Nutzer, dem das sowieso meist piepegal ist sondern mehr für den Anbieter.

AW: DSGVO Verschärfungen
 

Das versuche ich ja auch, aber wenn man den Gesetzestext sehr streng auslegt kann eben Alles drunterfallen.

Kennt vielleicht jemand irgendwelche Präzedenzfälle wo soetwas schonmal offiziell bewertet worden ist ?
Oder gibt es eine "Guideline" von offizieller Stelle, so wie bei den EU-Richtlinien üblich ?

Rollo

AW: DSGVO Verschärfungen
 

Wie denn? Das entsprechende Gesetz ist doch noch nicht mal in Kraft getreten :-)

Ich habe schon viele verschiedene Texte gelesen. Manches wurde ja hier schon verlinkt. Allen gemeinsam scheint aber zu sein, dass es kaum bis gar keine Praxisbeispiele gibt.

Ich denke, genau das ist auch damit beabsichtigt. Denn ob etwas personenbezogen ist, hängt vom konkreten Anwendungsfall ab. Wenn man z.B. um zwei, drei Ecken ein Cookie doch wieder mit einer Postanschrift verknüpfen kann, ist es personenbezogen. Gibt es nirgends etwas, das man einer Person zuordnen kann, dann nicht.

AW: DSGVO Verschärfungen
 

Ja richtig, aber Datenschutz gab es vorher auch schon.
Es könnte ja etwas z.B. zu Sammeln von Daten im Web oder in der Cloud entschieden worden sein.
Da würde man ja mögliche Argumente für uns wider sehen können.

Ich habe nur etwas von den ganz großen Fällen gehört (Google, Amazon, etc.), aber da gibt es doch bestimmt noch etwas Realeres dazwischen.

Rollo

AW: DSGVO Verschärfungen
 

Ich habe die Erfahrung gemacht, dass man sich mit solchen Fragen durchaus an den nächst zuständigen öffentlichen Datenschutzbeauftragten wenden kann. Jedes Bundesland hat einen, manchmal auch die Verwaltungsebenen darunter. Die wissen es zu schätzen, wenn sie mal einer fragt. Da wird einem nicht gleich ein Strick draus gedreht. Dafür müssen i.d.R. medienwirksam FB & Co. herhalten.

AW: DSGVO Verschärfungen
 

Super Tipp, dankesehr :thumb:
Ich werde mich mal umhören.

Hätte ich auch selber drauf kommen können
"(Teil)Verursacher zu Beteiligten machen" ist eigentlich auch mein Motto.

Rollo

AW: DSGVO Verschärfungen
 

Ich stehe auf dem Schlauch. Wo soll ich den "öffentlichen Datenschutzbeauftragten" finden. In Google finde ich dann nur den Datenschutzbeauftragten für den öffentlichen Dienst. Aber der wird ja wohl nicht gemeint sein.

AW: DSGVO Verschärfungen
 

In HH ist das zum Beispiel seit 2009 Prof. Caspar.
https://www.datenschutz-hamburg.de/

Ich denke, dass Du im behördlichen Umfeld Deiner Stadt oder der nächsten Gemeinde suchen musst.

AW: DSGVO Verschärfungen
 

Google "Datenschutzbeauftragter Köln", 10 Sekunden Scrollen, das gefunden:

http://www.stadt-koeln.de/service/ad...tzbeauftragter

Köln scheint sich hier etwas zurück zu halten in der Zusammenarbeit zwischen Verwaltung und Privatwirtschaft. Aber als erste Anlaufstelle sicher trotzdem nicht verkehrt. Sei es auch nur um zu erfahren, wer wirklich zuständig ist.

AW: DSGVO Verschärfungen
 

Alter Tread, jaaaa. Aber noch aktuell :stupid:

Ich will hier noch ein paar Einschätzungen von unserem DS-Beauftragten geben,
die ich auch teile nach meinen diversen Recherchen:

1. Personenbezogene Daten sind Alles wo eine Peron irgendwie rückverfolgt werden kann (siehe auch Threads weiter unten)
2. Normale Infrastruktur, wie Festnetztelefon, etc. könnte von der DSGVO unberücksichtigt bleiben.
   (Obwohl ich diese Einschätzung nicht 100% teile, denn da muss man mal richtig drüber nachdenken, ich sehe Fritzbox und Co. auch als möglichen Auftragsbearbeiter).
3. Wenn ich Entwicklung, Datenpflege, etc. für andere Firma übernehme, sollte ich als Verarbeiter aktiv einen Vertrag anfordern, oder warten bis der Kunde zu mir kommt ?
   # Ja, besser aktiv anfordern wenn nichts vom Kunden kommt. Es müssen sowieso alle Beteiligten die DSGVO einhalten, deshalb besser vertraglich absichern.
4. Personenbezogene Daten sind zur Registrierung bei Apple / Google Store nötig.
   Die App selbst verwaltet keine persönlichen Daten.
   # Die Abwicklung Datenschutz wurde durch Phone Co. beim Kauf erledigt, die App muss nichts unternehmen.
   # Die Kundendaten liegen bei Phone Co., und nicht bei der App.
   # Keine Datenschutz Maßnahmen nötig
5. Nutzer kann seine Daten mit Ortungsdaten verknüpfen (nach Zustimmung in der App)
   # App ist nur verantwortlich für App funktionen, Lokal sollte das kein Problem sein.
6. Weiterleitung der Ortungsdaten an EMail-App, WhatsApp, etc. liegt nicht im Verantwortungsbereich der App
   # Datenschutz wurde durchFremdapp geklärt (EMail Client, WhatsApp, etc.) wenn App nicht unbeaufsichtigt senden kann.
   # Wenn Nutzer Taste drücken muss, evtl. mit 2x Bestätigen in Fremdapp, liegt es in seiner Verantwortung.
7. Web-Server, und oder PushNotifications.
   # Zur Registrierung unkritischer Personendaten sollten EMail und Passwort, womöglich mit 2-Faktor Auth ausreichen.
8. Web-Server, PushNotification: Vorher Abfrage mit Zustimmung nötig ?
   # JA
9. Web-Server, PushNotification: In welche Form muss eine solche Zustimmung in der App haben ?
   # Kann wie üblich im Web aussehen.
   # Zusätzliche Mobile-Formalien sind nicht nötig.
10. Web-Server sollte von einem deutschen Hoster geführt werden.
    # Die personenbezogenen Daten würden in dessen DB gespeichert.
    # Das ist ein Auftragsverarbeiter, auch wenn er selber nichts verarbeitet, sondern nur die Infrastruktur stellt.
    # Auftragsbearbeiter und Verarbeiter ist wer die Datenbank betreibt.
11. Sollte ich mit dem Web-Hoster einen Vertrag abschliessen ?
    # Ja, der Hoster würde aber von sich aus in seinen AGB entsprechende Formen finden.
    # Man sollte versuchen einen spezielen Vertrag mit dem Hoster abzuschliessen.
12. Gibt es für den Fall des Standard-Hostings einen Mustervertrag ?
    # Nein, sollte bei den Hostern abgefragt werden.

Bestimmt kann das ja noch jemand sinnvoll Ergänzen, denn da fehlt 99% :-D

Rollo

AW: DSGVO Verschärfungen
 

Na warts mal ab wenns Mitte Mai wird. Dann fängt dieser Thread an zu kochen 8-)

Kannst du das mal genauer ausführen? Das liest sich jetzt so als könnte man eigene Verpflichtungen dahingehend auf den Anwender abwälzen, in dem man ihn nur penetrant genug mit Bestätigen-Meldungen belegt. Das kann doch nicht im Sinne des Erfinders sein...

AW: DSGVO Verschärfungen
 

Die Ortungsdaten sind erstmal lokal in der App.
Das wäre unkritisch, wenn man vorher sich die Zustimmung des Nutzers geholt hat.

Wenn ich diese jetzt sende an einen anderen Intent/Share, dann übergebe ich die Daten an
z.B. den Email-Client des Phones.
Damit ist der EMail Client in der Datenschutz-Verantwortung.
Der Nutzer muss jede Mail erst in meiner App, dann in der EMail App bestätigen bevor etwas raus geht.

Das meinte ich, wenn es von meiner app zu einer 2. App geschickt wird, lokal, sollten die DS Vorgaben auf diese 2. App übergehen, und meine App hat damit nichts mehr zu tun.

Soweit die Einschätzung des DSB, kann ich auch nachvollziehen.
Du hast ja bei der Mail-App oder WhatsApp schon deine DS abgenickt.

Rollo

AW: DSGVO Verschärfungen
 

Ah ok, das klingt einleuchtend. Hat sich denn euer DSB dahingehend geäußert, ob man sich den Datentransfer jedesmal bestätigen lassen muss wenn er stattfinden soll oder reicht es, wenn die "Abnickung" intern hinterlegt? Mit Blick auf die nervigen Cookie-Banner im Web meine ich. Nicht dass das dann in mobilen Apps auch zu inflationärer Vermehrung von Liest-ohnehin-niemand-vor-dem-Wegklicken-sondern-sind-nur-formaljuristisch-vorhanden-Meldungen führt.

AW: DSGVO Verschärfungen
 

Nein, ich habe aber so nicht nachgefragt.
Für mich ist klar das eine einmalige Bestätigung reichen sollte.

Ich überlege auch ob man die Bestätigung lokal protokollieren sollte (Datum, Entscheidung),
um im Zweifelsfall etwas nachweisen zu können.

Andererseits kommt der Nutzer ohne Bestätigung ja gar nicht erst weiter.

Ich glaube nicht das man das bei jeder Aktivierung machen muss, soviel Gehirnschmalz müsste man dem DAU schon zumuten können.
Der kann ja auch Ratenkreditverträge, Telefone und Häuserkaufverträge unterschreiben.

Ist aber ein guter Hinweis, mich nerven diese Cookie-Dinger auch extrm.
Für mich ist das ein klarer Fall von Überreaktion der WebMaster :stupid:

Interessant fand ich auch die Einschätzung von dem DSB das bis Mai wohl kaum jemand sein Web/App auf Stand gebracht haben wird.
Der hat sehr Praxisnah verstanden das diese wohl noch eine Weile dauern wird, auch bis sich neue Standardverfahren etabliert haben.
Die Großen arbeiten da schon dran und das wird wohl bis Mai kommen, aber bei dem Rest kanns halt noch dauern.
Er meinte ich wäre klar im Vorteil, weil ich mich zumindest mit der Materie schon auseinandersetze.

Rollo