AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

DSGVO Verschärfungen

Ein Thema von Rollo62 · begonnen am 14. Jan 2018 · letzter Beitrag vom 11. Apr 2018
Antwort Antwort
Daniel
(Co-Admin)

Registriert seit: 30. Mai 2002
Ort: Hamburg
13.920 Beiträge
 
Delphi 10.4 Sydney
 
#1

AW: DSGVO Verschärfungen

  Alt 14. Jan 2018, 17:15
Naja, also ein paar handfeste Sachen gibt's dann doch.
Wie bereits richtig erwähnt, befasst sich die DSGVO mit dem Schutz von Personendaten. Wer diese Art von Daten nicht erfasst, ist natürlich erstmal fein raus. Aber auch da rate ich dazu, einen Abgleich zwischen der eigenen Vorstellung von "persönliche Daten" und der Definition aus der DSGVO zu machen. Nur um sicher zu gehen.

Wer allerdings persönliche Daten verarbeitet, auf den kommen verschiedene Aufgaben zu:

(1) Die Erfassung der Daten muss transparent erfolgen. Der Person muss u.a. klar sein, welche Daten für welche Zweck erfasst werden und wer dann darauf Zugriff hat. Es gibt ein Widerspruchsrecht, ein Recht auf Änderung von fehlerhaften Daten und das recht auf auf Löschung persönlicher Daten. Auch das muss vor der Erfassung im Rahmen der Einverständniserklärung klar kommuniziert werden. Unternehmensseitig müssen Maßnahmen geschaffen werden, um besagte Rechte auch einräumen zu können.
(2) Es gibt eine Reihe an Dokumentationspflichten. Ein Unternehmen muss die Arbeitsprozesse dokumentieren, in denen persönliche Daten verarbeitet werden. Wo liegen welche Daten, wer hat Zugriff, zu welchem Zweck werden diese wie lang gespeichert, etc. Eine derartige Dokumentation kann später Grundlage für eine Prüfung sein.
(3) Es gibt den Anspruch an eine sichere Datenhaltung, diese Sicherheit soll einerseits durch die Prozesse, andererseits durch die eingesetzten Werkzeuge erreicht werden. Zudem besteht eine Nachweispflicht, dass relevante Mitarbeiter im Rahmen von Schulungen für das Thema Datenschutz sensibilisiert werden. Die eingangs genannten Prozesse sind ebenfalls zu dokumentieren, deren Umsetzung ist kontinuierlich zu bewerten und ggf. sind die Prozesse anzupassen.
(4) Es gibt Meldepflichten. Sollte es einen Verstoß gegen den Datenschutz gegeben haben, z.B. durch Diebstahl, so ist binnen 72 Stunden eine Meldung an die zuständigen Behörden zu machen. Bei schweren Verstößen sind die betroffenen Personen sogar unverzüglich direkt zu kontaktieren.

Das sind nun nur die ersten Aspekte, die mir gerade aus dem Stegreif einfallen. Das mag man alles mögen und gutheißen - oder meinetwegen auch nicht, ein bisschen mehr als "heiße Luft" ist das in meinen Augen jedoch schon.
Daniel R. Wolf
mit Grüßen aus Hamburg
  Mit Zitat antworten Zitat
Benutzerbild von Codehunter
Codehunter

Registriert seit: 3. Jun 2003
Ort: Thüringen
2.291 Beiträge
 
Delphi 12 Athens
 
#2

AW: DSGVO Verschärfungen

  Alt 14. Jan 2018, 20:22
@Daniel: Vielen Dank für die Erläuterungen. Soweit ich das überschauen kann, ist vieles davon aber bereits seit langem Bestandteil des deutschen Datenschutzrechtes.

Letztendlich muss sich jede Firma und jeder Einzelgewerbetreibende die Frage stellen: Wie viel Aufwand kann ich und wie viel Aufwand muss ich betreiben im Zusammenhang mit der DSGVO?

Wie ich oben schon schrieb, halte ich das ganze Thema für "unreif". Es gibt nun zwar ein gesetzliches Rahmenwerk, aber vieles bleibt noch unklar. Es wird Abmahnungen geben, weil manche Anwälte solche Situationen immer ausnutzen.

Und das Traurige an der Sache ist leider, dass derjenige, für den man den ganzen Aufriss eigentlich betreiben soll, nämlich der Nutzer/Kunde, sich am allerwenigsten für das ganze Thema interessiert.
Ich mache grundsätzlich keine Screenshots. Schießen auf Bildschirme gibt nämlich hässliche Pixelfehler und schadet der Gesundheit vom Kollegen gegenüber. I und E zu vertauschen hätte den selben negativen Effekt, würde aber eher dem Betriebsklima schaden
  Mit Zitat antworten Zitat
Ghostwalker

Registriert seit: 16. Jun 2003
Ort: Schönwald
1.299 Beiträge
 
Delphi 10.3 Rio
 
#3

AW: DSGVO Verschärfungen

  Alt 15. Jan 2018, 06:06
Und das Traurige an der Sache ist leider, dass derjenige, für den man den ganzen Aufriss eigentlich betreiben soll, nämlich der Nutzer/Kunde, sich am allerwenigsten für das ganze Thema interessiert.
Da kann ich dir nur zustimmen. Meiner Meinung liegt das aber an zwei Punkten:

a) Das ganze ist einfach viel zu kompliziert aufgebaut und auch fast schon in einer Fremdsprache verfasst (Bürokraten-Deutsch). Da steigt der Otto-Normal-Bürger einfach nicht mal durch (wenn selbst bei denen, die das Umsetzen müssen noch nicht mal Klarheit herscht.)

b) Das ganze ist nicht der einzige Bereich, in dem der Normalbürger sich auskennen müsste. Ich denke da nur
mal an das Thema "Steuergesetz" oder Verbraucherschutz.

In meinen Augen ist das mal wieder eine Geld- und Arbeitsbeschaffung für Gerichte und Anwälte. Denn bis sich das ganze "eingeschliffen" hat, fällt den Bürokraten bestimmt wieder was neues ein
Uwe
e=mc² or energy = milk * coffee²
  Mit Zitat antworten Zitat
Benutzerbild von scrat1979
scrat1979

Registriert seit: 12. Jan 2007
Ort: Sulzbach a.d. Murr
1.029 Beiträge
 
Delphi 10.4 Sydney
 
#4

AW: DSGVO Verschärfungen

  Alt 15. Jan 2018, 11:31
Daniel hat es ja schon sehr gut dargestellt.

Zu (1) gibt es aber auch Einschränkungen. Wenn beispielsweise ein anderes Gesetz zur Datenaufbewahrung verpflichtet (bei mir wäre es der Medizinsektor), dann hätte die entsprechende Person KEIN Recht auf vorzeitige Löschung der Daten. Dies ist in meinem Fall zwar was sehr spezielles, aber ich bin mir sicher, dass es das in anderen Bereichen auch gibt (Aufbewahrungen Rechnungen etc,).

Beste Grüße
Michael Kübler
  Mit Zitat antworten Zitat
Rollo62

Registriert seit: 15. Mär 2007
4.241 Beiträge
 
Delphi 12 Athens
 
#5

AW: DSGVO Verschärfungen

  Alt 15. Jan 2018, 11:46
Die Punkte bisher sind schon Alle recht gut zusammengefasst, und geben interessante Anregungen.

Ich frage mich z.B. aber auch noch: Was sind eigentlich persönliche Daten, und was nicht:
1. EMail-Adress plus Username (nur für einfachste Anmeldeverfahren) ?
2. EMail-Adress plus Username, plus IP-Adresse ?
3. EMail-Adress plus Username, plus Coockie (zur Authentifizierung am Server) ?
4. EMail-Adresse plus Klarname ?
5. EMail-Adresse plus vollständige Adresse (ja das wohl sicher) ?
6. Familiendaten, Medizinische Daten, Bankdaten, Vertragsdaten, etc. (ja klar) !

Müsste eine einfache Anwendung die nur User mit EMail verwaltet schon Alle Punkte im DSGVO berücksichtigen ?
Also so in der Art 1. bis 4., oder evtl. sogar bis 4.).

Ab wann muss man anfangen mehr in die Datensicherheit zu investieren, Mitarbeiter zu schulen, Datenübergabe zu organisieren, etc., etc. ?

Wenn die reine EMail schon als persönliche Daten zählt, z.B. für Spammer, bewertet wird dann wäre ja wirklich fast jede App/Website betroffen die User-Registrierung anbietet

Was ist wenn man die User-Registierung über Google/Facebook API's macht, hat man damit das Problem auf G+/FB verlagert ?

Rollo
  Mit Zitat antworten Zitat
Daniel
(Co-Admin)

Registriert seit: 30. Mai 2002
Ort: Hamburg
13.920 Beiträge
 
Delphi 10.4 Sydney
 
#6

AW: DSGVO Verschärfungen

  Alt 15. Jan 2018, 11:56
Hier mal Artikel 4 mit den Begriffsbestimmungen:
https://dsgvo-gesetz.de/art-4-dsgvo/

Email-Adressen fallen in die Kategorie "Allgemeine Personendaten". Bei Login-Daten versteht sich das fast von selbst - da geht es ja ganz ausdrücklich darum, dass sich eine Person gegenüber einem (Online-)System identifizieren soll.
Daniel R. Wolf
mit Grüßen aus Hamburg
  Mit Zitat antworten Zitat
Rollo62

Registriert seit: 15. Mär 2007
4.241 Beiträge
 
Delphi 12 Athens
 
#7

AW: DSGVO Verschärfungen

  Alt 15. Jan 2018, 14:51
Ich dachte ursprünglich dabei an den einfachsten Fall, d.h. eine nicht-personenbezogene Anmeldung,
z.B. mit freiem Usernamen, Cookie, OHNE Email-Adresse, zur Verifikation lediglich Captcha.

So könnte sich ein User an ein System registrieren, ohne das er auch nur einen echten Teil seiner echten Identität angeben müsste.
Trotzdem wäre er eindeutig identifiziert, unter seinem Account, durch Cookies o.ä.

Ich habe solche Systeme schon öfter mal gesehen, und für sehr praktisch befunden.
Also wäre das nach der Begriffsbestimmung doch Alles schon eindeutig UNTER der DSGVO:
Zitat:
„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen;

als identifizierbar wird eine natürliche Person angesehen, die direkt
oder indirekt (ja, aber wäre nicht ohne mehrere Instanzen rückverfolgbar), insbesondere
mittels Zuordnung zu einer Kennung (ja, wäre aber nur ein Alias) wie einem Namen, zu einer Kennnummer (ja, aber anonym), zu Standortdaten, zu einer Online-Kennung (ja, aber anonym)

oder zu einem oder mehreren besonderen Merkmalen (wenn das zu dem Folgenden gehört ist das wohl nicht erfüllt) identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;
Die Frage wäre doch ob eine
"therese1799" oder ein "knallipulli33" eine IDENTIFIZIERBARE Person wäre, wenn diese sich über anyonyme Daten an ein System anmeldet, und dort nur ihre/seine eigenen Daten verwaltet.

Wäre dies identifizierbar ?
Mit Email: ja womöglich, wenn auch nur mit Hilfe vom Provider
Ohne Email: das wäre doch normalerweise auszuschliessen (mal abgesehen von Vorratsdatenspeicherung und Prism)

Wenn ich REST-Services für registierte Benutzer anbiete, ohne diese zu zwingen persönliche Daten anzugeben könnte man doch theoretisch ausserhalb des DSGVO Anwendungsfalls liegen.

Andererseits
Zitat:
„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen;
Selbst wenn Obiges für solche REST-Services zuträfe, und eine Ausnahme wären:
Dann könnte man trotdem nicht verhindern das Personen ihre echten Daten/Informationen eingeben und veröffentlichen statt bewusst anonym zu bleiben
(Der DAU soll ja geschützt werden).


So wie ich das verstehen müsste wäre wirklich JEDER Fall unter der DSGVO zu berücksichtigen, vermutlich nur mit unterschiedlicher Schärfe, je nach Relevanz der Daten und Indentifizierbarkeit der echten Person.

Andere Fälle wären wohl noch: (mal bewusst etwas weiter hergeholt)
- Gaming mit Online-Austausch der Scores (sind allgemeine, personenbezogenen Informationen)
- Browser-Historie (sind allgemeine, personenbezogenen Informationen)
- Desktop-App Setup (sind allgemeine, personenbezogenen Informationen)
- Intranet-Server App (sind allgemeine, personenbezogenen Informationen)
- Nutzung von VoiceCommand in Apps (wird i.d.R. personenbezogene Sprachinfo an Clouds in Drittländer (AWS, Google, Azure) liefern)
...
...

Dann sollte man sich wohl doch mal tiefer mit den ganzen Prozessen zum Datenschutz auseinandersetzen, und was das als Entwickler und Betrieben für solche Apps und Dienste wohl bedeuten mag
Ein einfacher Disclaimer zum Wegclicken wird vielleicht nicht mehr ausreichen.

Rollo
  Mit Zitat antworten Zitat
Benutzerbild von Codehunter
Codehunter

Registriert seit: 3. Jun 2003
Ort: Thüringen
2.291 Beiträge
 
Delphi 12 Athens
 
#8

AW: DSGVO Verschärfungen

  Alt 15. Jan 2018, 19:59
Email-Adressen fallen in die Kategorie "Allgemeine Personendaten". Bei Login-Daten versteht sich das fast von selbst - da geht es ja ganz ausdrücklich darum, dass sich eine Person gegenüber einem (Online-)System identifizieren soll.
Grundsätzlich ist doch inzwischen alles mögliche ein Personendatum, weil sich in Zeiten von Big Data alles irgendwie zu einem Gesamtbild verknüpfen lässt. Selbst ein Foto ohne jegliche weitere Information lässt sich über die biometrischen Datenbanken von G & FB als personenbezogenes Datum sehen. Das wird noch interessant werden, wenn ich an die Persönlichkeitsrechte von Katalogmodels denke.

Letztens habe ich was gelesen, dass NFC-fähige Smartphones durch die Diebstahldetektoren an Supermarkttüren dazu gebracht werden, ihre IMEI auszuspucken. Ähnlich verhält es sich mit NFC-gepimpten Karten wie e-Perso, eGK usw. Rein physikalisch kann man mit Hochgewinnantennen die regelmäßig ausgesendeten Signale an den Supermarkttüren auch aus größerer Distanz noch mitlesen. Reicht schon wenn man die in der Hosentasche hat und durch das aktivierende Induktionsfeld läuft. Selbst ohne konkrete Kommunikation könnten sich dadurch Rückschlüsse auf konkrete Personen ergeben. Ob sich die Supermärkte darüber schon Gedanken gemacht haben? Oder die Hersteller der Karten?

Das ganze Ding Datenschutz in der angedachten Form kommt IMHO viele Jahre zu spät. Geht man restriktiv und streng nach Vorschrift an die Sache ran, kriminalisiert man ganz alltäglich gewordene Technologien und Verfahren. Nimmt man es auf die leichte Schulter, fällt man irgendwann auf die Nase. Profitieren werden von alldem am Ende wohl wieder nur Außer-EU-Firmen.
Ich mache grundsätzlich keine Screenshots. Schießen auf Bildschirme gibt nämlich hässliche Pixelfehler und schadet der Gesundheit vom Kollegen gegenüber. I und E zu vertauschen hätte den selben negativen Effekt, würde aber eher dem Betriebsklima schaden
  Mit Zitat antworten Zitat
Antwort Antwort


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 23:56 Uhr.
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz