DSGVO und Datenbankanwendungen
 

Hallo Delphianer,
wie der eine oder andere schon mitbekommen hat, bin ich seit einiger Zeit in den Themen Informationssicherheit und Datenschutz unterwegs.
Ich bin momentan dabei, mich bei einer Zertifizierungsstelle als Datenschutz-Auditor registrieren zu lassen. Darüber werde ich dann in der Lage sein, ein Haus-Zertifikat über den umgesetzten Datenschutz erstellen lassen zu können. Hauszertifikat deshalb, weil es momentan keine Akkreditierung für die DSGVO gibt.
In der gleichen Weise möchten wir in naher Zukunft auch Datenbankapplikationen bescheinigen, welche Anforderungen der DSGVO darin umgesetzt sind.

Als Einstieg in das Thema habe ich eine Blog-Serie begonnen:
https://www.jd-engineering.de/dsgvo-...nen-anwendung/
https://www.jd-engineering.de/dsgvo-...iffskontrolle/

Wie ist Euer Interesse? Soll ich das Thema weiterverfolgen? Ist Interesse vorhanden, Applikationen entsprechend zertifizieren zu lassen?

AW: DSGVO und Datenbankanwendungen
 

Hallo Joachim!
Finde ich eine sehr gute Idee. Auf der einen Seite kann man Kunden/Interessenten gegenüber mit was aufwarten wenn es um das Thema geht und andererseits glaube ich, dass viele Entwickler gar nicht wissen, was wirklich notwendig ist und was gemacht werden soll.
Gruß aus den Bergen
Günter

AW: DSGVO und Datenbankanwendungen
 

Hallo,

ich finde die Idee SUPER!

AW: DSGVO und Datenbankanwendungen
 

:thumb:

Wem sollte Eurer Meinung nach die Verwaltung des Passworts für die Datenbank gestattet werden? Dem Kunden, der Eure Software einsetzt? Da warte ich schon auf die Tage, wenn Firmen ihre Kundendaten verlieren, weil sie ihr eigenes Passwort nicht mehr wissen.

AW: DSGVO und Datenbankanwendungen
 

Auf einer Datenbank gibt es ja meist ein Administratorkonto ("ADSSYS", "SYSDBA", "sa", ...) mit Zugriff auf alles. Das Kennwort gibt man nicht an den Kunden, sondern nur die Kennwörter der einzelnen Datenbanken. Damit können die machen wozu sie lustig sind. Im Zweifelsfall steigt man per Fernwartung ein und setzt das vergurkte DB-PW zurück.
Das geht natürlich nur bei eher kleinen Installationen. Hat der Kunde schon DB-Instanzen laufen, wo man seine Software nur dazutut, geht das nicht.

@Joachim: super Idee!

AW: DSGVO und Datenbankanwendungen
 

Passwort? (Singular!?)
Ein wenig Selbstverantwortung darf man dem Kunden schon zubilligen. Er ist schließlich der Betreiber der Datenbank. Wenn er diese Tätigkeit einem Dienstleister überträgt, gut, aber das ist alleine seine Sache.

Gruß
K-H

AW: DSGVO und Datenbankanwendungen
 

und ein neuer Teil der Reihe. Dieses mal behandele ich die Eingabekontrolle: https://www.jd-engineering.de/dsgvo-eingabekontrolle/

AW: DSGVO und Datenbankanwendungen
 

Wie ist das dann eigentlich wenn man die Daten nicht löschen will, sondern nur anonymisieren. Dann müsste man ja die ganzen Logs auch anonymisieren bzw. einfach löschen.
Wie geht man da damit um?
Gruß aus den Bergen
Günter

AW: DSGVO und Datenbankanwendungen
 

Ja schwierig, nicht? Vielleicht sollte bereits das Log (z.T.) anonymisiert bzw. pseudonymisiert sein. Denn was ist, wenn ein Kunde gelöscht wird, weil er "vergiss mich!" gesagt hat. Dann ist er zwar gelöscht, steht aber immer noch im Log...

Das ist vermutlich ähnlich schwer zu beantworten wie die Frage, wer die Logs eigentlich sehen darf: nur der Datenschutzbeauftragte? Der Admin kann sie zwangsläufig immer sehen.

AW: DSGVO und Datenbankanwendungen
 

Zum eigentlichen Löschen komme ich dann noch in einem späteren Beitrag ... da sind ja auch gesetzliche Aufbewahrungsfristen zu beachten.