Zum Inhalt springen

Datenschutzgrundverordnung (DSGVO)


Empfohlene Beiträge

Geschrieben
vor 3 Stunden schrieb Abd al Rahman:

Das meine ich mit FUD. Sie schreiben, dass sie eine technische Störung haben und implizieren, dass sie aufgrund der DSGVO (sie behaupten es nicht explizit) Kundendaten löschen müssen. 

Glaubst Du allen Ernstes daran?

Ich glaube das schon ...

Die Fuzzies haben sicherlich etwas "Privatpersönliches" gelöscht, das in einem anderen Prozess wichtig war (Plausi, etc.) - was schließlich zu einem technischen Fehler geführt hat :D 

Geschrieben
vor 6 Minuten schrieb Bruder Buck:

Das ist hart. Aber ich kann es verstehen, wenn Leute aufgeben, die nicht so hartnäckig sich in das Thema einarbeiten, wie unser Oberkamel. :lookaround:

----------

Eine andere Frage an die Runde hier: Wenn ein Verein jetzt schon per "bcc" ab und an Rundmails verschickt, würde es reichen, den Empfängern ein "opt-out" zu schicken? Also quasi "wenn Sie nicht mehr im Rundmail sein wollen, schreiben Sie das", verbunden mit einer einfachen Beschreibung, wer vom Verein die Adressen speichert und das sie gegen fremden Zugriff geschützt werden? Also eine Art vereinfachtes Verfahren, zur Not halt fürs erste bei einem Verein, welcher noch nicht in Sachen DSGVO wirklich tätig war.

Meiner Meinung nach nein. Aber: Wenn sie vorher per opt-in zugestimmt haben und das dokumentiert wurde, sollte das meiner Meinung nach passen. 

  • Like 1
Geschrieben
vor 4 Minuten schrieb Lukarnam:

Ich glaube das schon ...

Die Fuzzies haben sicherlich etwas "Privatpersönliches" gelöscht, das in einem anderen Prozess wichtig war (Plausi, etc.) - was schließlich zu einem technischen Fehler geführt hat :D 

:lol: Das kann ich mir in der Tat vorstellen. 

Geschrieben (bearbeitet)
vor 17 Minuten schrieb Bruder Buck:

Eine andere Frage an die Runde hier: Wenn ein Verein jetzt schon per "bcc" ab und an Rundmails verschickt, würde es reichen, den Empfängern ein "opt-out" zu schicken?

Nö.

Bearbeitet von Einskaldir
Geschrieben
Am 22.5.2018 um 16:36 schrieb Einskaldir:

Der Seminarleiter eines just von mir zur DSGVO besuchten Seminars erzählte die "lustige" Anekdote, dass in einem vom ihm besuchten Seminar auch jemand vom BND saß. Und dieser sehr glaubhaft versicherte, dass ALLE Daten, auch deine, dem BND bestens bekannt seien. Und zwar alles, was du so im Netz treibst, was du auf deinem Smartphobne machst usw.  Daran wird auch eine DSGVO nichts ändern, denn eine Ermächtigungsgrundlage dafür besteht ja aktuell auch nicht.

Der Dilettantismus ist also nur Tarnung? 😄 Ich denke, der BND kennt das, was die Amerikaner ihn sehen lassen - zumindest was die große Masse angeht. 

Geschrieben (bearbeitet)

Ö hat eben erzählt, in ihrer Behörde wird die Verwendung von "normalen" eMails zur Kommunikation mit Kunden ab morgen ausgesetzt. Elektronische Kommunikation wird nur noch über intere Mechanismen möglich, der Kunde muss sich dazu irgendwo auf BAA Server anmelden.

Probleme macht wohl, dass der Empfänger hochsensitiver Daten nicht klar identifizierbar ist und das Infos nur auf gezieltes Verlangen (und mit Einverständniserklärung) des Kunden übermittelt werden dürfen. Kurzfassung: Der beherrscht beides nicht.

Über Auskunftsmöglichkeiten via Telefon wird noch entschieden.

Kunden sollen wie früher lieber vor Ort Auskunft erhalten, was Terminstress verursachen wird.

Bearbeitet von Lukarnam
Geschrieben
vor 52 Minuten schrieb Lukarnam:

Ö hat eben erzählt, in ihrer Behörde wird die Verwendung von "normalen" eMails zur Kommunikation mit Kunden ab morgen ausgesetzt. Elektronische Kommunikation wird nur noch über intere Mechanismen möglich, der Kunde muss sich dazu irgendwo auf BAA Server anmelden.

Probleme macht wohl, dass der Empfänger hochsensitiver Daten nicht klar identifizierbar ist und das Infos nur auf gezieltes Verlangen (und mit Einverständniserklärung) des Kunden übermittelt werden dürfen. Kurzfassung: Der beherrscht beides nicht.

Über Auskunftsmöglichkeiten via Telefon wird noch entschieden.

Kunden sollen wie früher lieber vor Ort Auskunft erhalten, was Terminstress verursachen wird.

Warum kommt man erst jetzt darauf?? :confused:

(völlig unschwampfige Frage)

Geschrieben (bearbeitet)

@Abd al Rahman 

 

Verständnisfragen, ich habe noch nicht alles "studiert":

1. Zählen zur Auskunftspflicht auch Daten aus Backups bzw. Langzeitarchiven? Beispiel, nur mal angenommen: Du hast gestern eines Deiner regelmässigen Backups gemacht, heute ändere ich meine Stammdaten und frage um Auskunft - dann erhalte ich keine (veraltete) Info aus dem Backup / Archiv. Richtig?

2. ich tippe eine Mail, einen Beitrag mit persönlichen Angaben zu User A (an User C), z.B. dessen Gesundheitsinfos, was weiss ich, Zahnausfall. Obwohl Du die Daten speicherst, musst / kannst Du auf Anfrage von User A keine Auskunft darüber geben, was ich über ihn an C getippt habe. Richtig?

 

Bearbeitet von Lukarnam
Geschrieben (bearbeitet)
vor 29 Minuten schrieb Randver MacBeorn:

Warum kommt man erst jetzt darauf?? :confused:

(völlig unschwampfige Frage)

"Jetzt" hat man die Mitarbeiter formal informiert - und eine 11 DIN A4 Seiten lange Info Broschüre im besten Deutsch im Wartebereich ausgelegt. Die versteht auch keiner - weder Kunde noch Mitarbeiter. Außer, man hat Germanistik studiert oder spricht "Oxford-Deutsch". ;) Tun die Roihesse, ausländischen Mitbürger und Jugendliche nicht.

Ö soll mir mal eine Kopie mitbringen ...

Bearbeitet von Lukarnam
Geschrieben (bearbeitet)
vor 21 Minuten schrieb Lukarnam:

@Abd al Rahman 

 

Verständnisfragen, ich habe noch nicht alles "studiert":

1. Zählen zur Auskunftspflicht auch Daten aus Backups bzw. Langzeitarchiven? Beispiel, nur mal angenommen: Du hast gestern eines Deiner regelmässigen Backups gemacht, heute ändere ich meine Stammdaten und frage um Auskunft - dann erhalte ich keine (veraltete) Info aus dem Backup / Archiv. Richtig?

Nein, sehen wir anders. Du "verarbeitest" ja Daten. Nur weil die Daten in einem Langzeitarchiv sind, sind sie ja nicht weg. Das ist keine Möglichkeit sich von der Auskunftspflicht zu befreien, weil die Daten ja dennoch vorhanden sind. Du musst die Daten in Deiner Software historisieren und ggf. vorherige Daten, z.B. Voradressen, mit herausgeben. Sonst könntest Du ja sensible Daten in Backups und Langzeitarchiven "verstecken".

Bearbeitet von Randver MacBeorn
Geschrieben (bearbeitet)
vor 38 Minuten schrieb Randver MacBeorn:

Nein, sehen wir anders. Du "verarbeitest" ja Daten. Nur weil die Daten in einem Langzeitarchiv sind, sind sie ja nicht weg. Das ist keine Möglichkeit sich von der Auskunftspflicht zu befreien, weil die Daten ja dennoch vorhanden sind. Du musst die Daten in Deiner Software historisieren und ggf. vorherige Daten, z.B. Voradressen, mit herausgeben. Sonst könntest Du ja sensible Daten in Backups und Langzeitarchiven "verstecken".

Ich verstehe Deine Rückmeldung.

Das Einspielen eines beliebigen Backup- Zustandes oder einer Langzeitarchiv- Information ist allerdings nicht trivial. Du kannst ja ausgelagerte Daten nicht nach Belieben in laufende produktive Systeme einspielen und damit aktuelle Daten überschreiben. Also brauchst Du parallele, kontrollierte (validierte) Systeme mit allen damit verbundenen Kosten (Rechenzentrumsplatz, Hardware, Lizenzen, Personal, Service / Operational Level Agreements, ... ). Selbst für einen großen Konzern / eine Behörde sind die damit verbundenen Kosten kein Pappenstiel.

Die Kosten, die ich für die verpflichtenden Nachweis der Wiederherstellbarkeit eines einzigen Systems habe, alle drei Jahre, sind ein großer Aufwand / Batzen Geld. Und das ist genau EIN beliebiger Zeitpunkt innerhalb der Aufbewahrungspflicht.

Wie stellst Du Dir den lückenlosen Nachweis vor, gegebenenfalls bei stündlichen oder täglichen Updates? Das nicht für eine Anfrage, sondern für Dutzende, Hunderte (von Kunden)? Das ist eine teure Herausforderung.

Bearbeitet von Lukarnam
Geschrieben (bearbeitet)
vor 59 Minuten schrieb Lukarnam:

@Abd al Rahman 

 

Verständnisfragen, ich habe noch nicht alles "studiert":

1. Zählen zur Auskunftspflicht auch Daten aus Backups bzw. Langzeitarchiven? Beispiel, nur mal angenommen: Du hast gestern eines Deiner regelmässigen Backups gemacht, heute ändere ich meine Stammdaten und frage um Auskunft - dann erhalte ich keine (veraltete) Info aus dem Backup / Archiv. Richtig?

2. ich tippe eine Mail, einen Beitrag mit persönlichen Angaben zu User A (an User C), z.B. dessen Gesundheitsinfos, was weiss ich, Zahnausfall. Obwohl Du die Daten speicherst, musst / kannst Du auf Anfrage von User A keine Auskunft darüber geben, was ich über ihn an C getippt habe. Richtig?

 

Zu 1:

Backups und Langzeitarchive werden unterschiedlich behandelt. Ein Langzeitarchiv ist kein Backup. Die Auskunftspflicht besteht auch für archivierte Daten.

Backups werden anders behandelt. Man muss nur darauf achten, dass Backups die nicht benötigt werden im Rahmen der Backupstrategie gelöscht werden. Hier im Forum lösche ich nach 10 Tagen. Man muss aber drauf achten, dass, wenn ich auf Wunsch persönliche Daten gelöscht habe, diese nach dem einspielen des Backups nochmal gelöscht werden.  

Zu 2:

Ja. Darüber kann und muss ich keine Auskunft geben. 

Bearbeitet von Abd al Rahman
Geschrieben
vor 7 Stunden schrieb Lukarnam:

"Jetzt" hat man die Mitarbeiter formal informiert - und eine 11 DIN A4 Seiten lange Info Broschüre im besten Deutsch im Wartebereich ausgelegt. Die versteht auch keiner - weder Kunde noch Mitarbeiter. Außer, man hat Germanistik studiert oder spricht "Oxford-Deutsch". ;) Tun die Roihesse, ausländischen Mitbürger und Jugendliche nicht.

Ö soll mir mal eine Kopie mitbringen ...

Dem "Kunden" wird es also mal wieder zusätzlich erschwert mit Ös Brötchengeber zu kommunizieren. Wenn ich richtig erinnere, wo sie arbeitet, dann wird es mir auch Scherereien machen und zu zusätzlichen Gängen mit entsprechenden Lebenszeitverlusten führen. Zum K......

Geschrieben (bearbeitet)

Was ich für richtig gut halte: Wenn Datenpannen passieren, müssen die innerhalb von 72 Stunden gemeldet werden. Zum einen den Betroffenen Personen, zum anderen der Aufsichtsbehörde. Wenn ich das richtig verstehe, betrifft das auch eher kleine Pannen. Wie z.B. wenn Massenmails statt per BCC als CC verschickt wurden, wie das z.B. bei einem Midgard-Con vor ein paar Jahren ein paar mal geschehen ist. Wobei die Formulierung nicht ganz klar ist. Bedeutet die Weitergabe meiner Mailadresse an eine ganze Latte von Leuten ein Risiko für Rechte und Freiheiten? Es schränkt mein Recht zur Informellen Selbstbestimmung ein. 

Bearbeitet von Abd al Rahman
Geschrieben
vor 3 Stunden schrieb Abd al Rahman:

Hier was nützliches für ne Selbstauskunft.

unten auf der Seite ist der Fragebogen verlinkt. Ich hab den schon an diverse Firmen verschickt, bei denen ich mich frage, woher die zur Hölle meine Daten haben.

 

Ja der Mod. T5F, genial...

 

Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde Dich hier an.

Jetzt anmelden
  • Wer ist Online   0 Benutzer

    • Keine registrierten Benutzer online.
×
×
  • Neu erstellen...