• Wenn du alle Inhalte sehen, oder selber eine Frage erstellen möchtest, kannst du dir in wenigen Sekunden ein Konto erstellen. Die Registrierung ist kostenlos, als Mitglied siehst du keine Werbung!

Daten für alle - aber welcher Speicher? NAS, Cloud, oder was?

yellowduck

Mitglied
Thread Starter
Registriert
27.03.2021
Beiträge
51
Es ist auch schon in vielen Häusern eingebrochen worden, in denen NAS betrieben wurden und in dem kein Borland lebte...
 

yellowduck

Mitglied
Thread Starter
Registriert
27.03.2021
Beiträge
51
Genau diese „Argumente“ kamen/kommen immer wieder, wenn Datenschutz unbequem oder teuer wird.
Dann kann man auch irgendwann mit dem Argument „unwahrscheinlich, dass genau darauf jemand stößt“ gleich alles gläsern machen, bis hin zu Patientendaten.
Mag sein, aber dann Liefer doch mal Gegenargumente.
 

lisanet

Aktives Mitglied
Registriert
05.12.2006
Beiträge
4.017
Hhmm, du hast meinen Fall nicht ganz verstanden.

Du musst nach der DSGVO ein Verzeichnis führen, in dem du alle Verarbeitungen mit Daten darstellst. Wenn dein Kunde dir böses will, weil er nachdem er seine Daten von dir angefragt hat und dabei z.B. auch wünscht dass du ihm nennst, ob und wem du sie zur sog. Auftragsverarbeitung gibst (z.B. Speicherung) und ihm das aus welchem Grund auch immer nicht plausibel erscheint - er muss dir nichts beweisen, er hat einfach ein Recht darauf sich zu beschweren. Auch grundlos - dann wird die Datenschutzbehörde tätig.

Und für ein mögliches Bußgeld reicht es schon aus, dass du dieses Verzeichnis nicht führst. Du bist als Kleinunternehmer (unter 250 Mitarbeitern) nur dann von diesem Verzeichnis befreit, wenn du nur gelegentlich Daten verarbeitest und diese Verarbeitung kein besonderes Risiko für die Rechte des Kunden darstellen. Und das musst du beweisen.

Es ist also halt leider nicht so, dass dir ein Kunde eine Nachlässigkeit beweisen muss, du musst erst mal beweisen, dass du die Ausnahmeregelung in Anspruch nehmen kannst, kein Verzeichnis führen zu müssen. Sonst bist du alleine deswegen dran.

Ja, die DSGVO ist ein schwachsinniges Konstrukt. Just my 2 ct.
 

kenduo

Aktives Mitglied
Registriert
27.07.2017
Beiträge
2.688
Du bist also nicht der Admin?
Dann besser doch NAS zuhause, da bin ich Gott ;) Und nur Gott hat uneingeschränkt Zugriff auf alles ;)
Wie gesagt. Verschlüsselt. Halbgott reicht mir auch :iD:
Das ist genau der Punkt. Wer würde sich in solch kleinen Fällen die Arbeit machen, es mir beweisen zu wollen. Und wie würde dieser Mensch/diese Institution es anstellen? In Cupertino um Freigabe eines Backups meiner Cloud bitten (das eventuell gar nicht mehr vorhanden ist, weil die Cloud natürlich längst gelöscht wurde nach dem Datenleak) und dieses dann durchforsten? Mit welchem Recht? Wer würde diesen Aufwand betreiben, um dem kleinen Krauter yellowduck nachweisen zu können, dass er Kluftingers Daten in der Cloud hatte, um so eine Strafe über ein paar Tauend Euro aussprechen zu können?
Bei dem iCloud – Hack wird man das schon sicherlich zuordnen können, aber stimmt schon; der Aufwand ist schon hoch.
 

lisanet

Aktives Mitglied
Registriert
05.12.2006
Beiträge
4.017
Noch was: In Sachen der DSGVO bist du in der Nachweispflicht, dass du die Grundsätze der DSGVO-konformen Verarbeitung nachweist. Es muss dir also niemand einen Fehler beweisen, sondern du die korrekte Verarbeitung.
 

MacKaz

Aktives Mitglied
Registriert
12.01.2020
Beiträge
1.274
Was für „Gegenargumente“?
Es haben sich zig Leute mit dem Thema beschäftigt und die Regeln (neu) aufgestellt, da hast Du doch die Gegenargumente ;)
Das sollte Leuten wie Dir genau diese Denke und Abwägung nehmen - Verstoß=Haftung, das ist nun das Grundprinzip ;)
Das soll andere davor bewahren, dass jemand wie Du (der offensichtlich in dem Thema nur sehr bedingt drinsteckt) einfach mal Entscheidungen trifft, ohne dafür später einzustehen.
 

WollFuchs

Mitglied
Registriert
15.04.2019
Beiträge
148
Stell Dir selber die Frage ob Du die DSGVO einhalten moechtest, so wie Du es vermutlich von Deinen Geschaeftspartnern auch erwartest, wenn diese es von sich behaupten.
Wenn nein, ist alles weitere schon egal und Du kannst den Rest ueberspringen. Nicht boes gemeint aber dann spar Dir die Zeit.

Die Daten, wenn bei externen, nicht so hinterlegt, wie Du es oder die Kunden es erwarten, sind ein Verstoss.
Nur weil Dich keiner erwischt im Moment, ist das weder legal noch ok. Betrunken fahren ohne Unfall ist ja
nach gemeiner Ansicht auch kein "ahhh, passt schon Sepp".. ausser Du bist Landtagsabgeordneter ..

Die Frage ist nicht ob es ein Problem wird, sondern wann.

NAS:
die vermutlich einfachste, wenn auch am Anfang schwerste Huerde, die man nimmt.
Denn, wie richtig erkannt wurde, ein Raid ist kein Backup. Schrott oder Datenverlust auf einer Platte spiegelt sich bis Platte x.

Softer Einstieg ... Syno DS 220+
ein 2 Platten RAID mit verschluesselten Ordnern, getrennt nach Business und Privat.
Raid -> Redundanz. Faellt eine Platte aus, geht es normal weiter, Du bestellt eine Ersatzplatten und wenn die da ist, tauschst Du die defekte aus und das NAS
macht ein Rebuild. Easy Peasy.

Backup:
An das NAS, sagen wir mal .. 2 x 4 TB Platten drin, macht 4 TB nutzbarer Platz .. kommt eine externe 4 TB Platte. Einmal die Woche oder jeden Abend oder einmal
im Monat .. wie Du magst und wie sicher Du es brauchst.
Per Backupjob ballert das NAS eine versionisierte Sicherung des NAS auf die externe Platte. Verschluesselt und getrennt aufzubewahren.

Kosten bis hier .. 600.- EUR etwa.
Das setzt Du als Selbststaendiger vermutlich eh ab und es ist unter der Grenze fuer geringe Gueter .. alles fluffig.

Vorteil:
Alle Daten sind bei Dir und nur bei Dir. Ob von extern auf die Daten zugegriffen wird und wenn ja, wie und wer und wann, entscheidest Du.
Kommt der boese Dieb ins Haus, klaut er nen schwarzen Kasten mit Platten. Nach dem einschalten ist da nichts zu sehen, denn die Mounts
der Ordner sind ja verschluesselt. Das ist aber Dir im Betrieb Wurst, das Ding rennt ja 24/7 (Verbauch ist wirklich ein Witz).

Warum eine DS220+ und keine DS120?
Die + Modelle koennen virtualisieren und Dockerimages bereitstellten.
Ausserdem sind die DS2xx Modelle mit 2 statt einer Platte ausgestattet.
Nach oben keine Grenze .. bei mir steht wohl dann eine DS920+ an oder
eben das passende 2022er Modell .. mal sehen was Syno bringt.

Im Docker rennt z.b. hier ein Pi-hole, der mich brav von Werbung befreit und meine DNS Abfragen erledigt.
Einrichtung dauert 15 min und alles fluffig.

Mein Drucker kann auch Scan to SMB .. egal was in der Post ist (naja ausser Werbung) kommt erst mal in den
Scanner und landet per Knopfdruck auf dem NAS in einem Ordner (Scannerablage). Da koennte ich noch OCR
und Dokumentenverwaltung machen .. brauch ich aber aktuell nicht. Hauptsache ich finde Rechung xy, wenn die
Originale grad beim Steuerberater sind.

NAS im LAN:
jeder Rechner im Netz kann darauf zugreifen, wenn man es erlaubt.
Das Ding kommt ganz normal an eine RJ45 Dose, einen Switch oder was Du halt so an Verkabelung hast.
Es kann Dir den DHCP im Netz machen (muss es aber nicht), den DNS, als Multimediaserver (dann sicher ein + Modell nehmen) dienen oder noch tausend
andere spassige Sachen machen.

Hier sind fast nur Windows Rechner .. vor 4 Monaten kam ein neuer Laptop.
Alle Installer liegen auf dem NAS bereit, alle Dokumente sowieso, also mappe ich die passenden Ordner auf dem NAS, installiere den notwendigen Kram,
lege Shortcut zum Dokumenten Ordner an, fertig. Weiterarbeiten mit neuem Rechner in sehr kurzer Zeit.

Backup, Timemachine, Userverwaltung, Rechte und Rollen, Tools, alles schon bei Syno an Bord, man muss es nur korrekt nutzen und da kommt die grosse
Synology Community ins Spiel.

Eigener Mailserver? Eigene Webseiten hosten? virtuelle Windowskiste laufen lassen? NAS.

Aber .. wenn man nur 3 mal klicken will und dann rennt das, da uebersieht man viele Fallstricke.

<drops the keyboard>
 

yellowduck

Mitglied
Thread Starter
Registriert
27.03.2021
Beiträge
51
@lisanet Sorry ja, deinen Post hatte ich vergessen. Aber gut - selbst wenn die Ausnahmeregelung auf Ein-Personen-Nebengewerbler mit wenigen Kunden nicht gelten sollte - im Falle eines Falles ist ein solches Verzeichnis doch auch relativ schnell erstellt und kann vorgelegt werden.
Das soll andere davor bewahren, dass jemand wie Du (der offensichtlich in dem Thema nur sehr bedingt drinsteckt) einfach mal Entscheidungen trifft, ohne dafür später einzustehen.
Ich stecke nicht nur durch diesen Thread alles andere als bedingt in diesem Thema drin. Und damit gehöre ich sicherlich zu einer Minderheit. Ich könnte dir aus dem Stand dutzende Klein- und mittelständische Betriebe nennen, die überhaupt nichts mit der DSGVO am Hut haben und z. B. noch nie von zu führenden Verzeichnissen und anderen Vorgaben gehört haben, geschweige denn diese umsetzen. Ich kenne große Unternehmen mit Hunderten Mitarbeitern, die inzwischen mal eine kopierte Datenschutzerklärung auf der Webseite haben und denken, damit ist das Thema erledigt (sic!)
 

lisanet

Aktives Mitglied
Registriert
05.12.2006
Beiträge
4.017
@lisanet Sorry ja, deinen Post hatte ich vergessen. Aber gut - selbst wenn die Ausnahmeregelung auf Ein-Personen-Nebengewerbler mit wenigen Kunden nicht gelten sollte - im Falle eines Falles ist ein solches Verzeichnis doch auch relativ schnell erstellt und kann vorgelegt werden.

Ich stecke nicht nur durch diesen Thread alles andere als bedingt in diesem Thema drin. Und damit gehöre ich sicherlich zu einer Minderheit. Ich könnte dir aus dem Stand dutzende Klein- und mittelständische Betriebe nennen, die überhaupt nichts mit der DSGVO am Hut haben und z. B. noch nie von zu führenden Verzeichnissen und anderen Vorgaben gehört haben, geschweige denn diese umsetzen. Ich kenne große Unternehmen mit Hunderten Mitarbeitern, die inzwischen mal eine kopierte Datenschutzerklärung auf der Webseite haben und denken, damit ist das Thema erledigt (sic!)
stimmt alles. Wo kein Kläger, da kein Richter. Und da die meisten Kunden und Unternehmer keinerlei Ahnung von der DSGVO haben, passsiert auch wenig.

Wenn allerdings ein Querulant kommt, dann hast du definitv ein Problem. Da hilft dir dein "das kann man ganz einfach nachträglich erstellen" auch nichts. Der spektakuläre Fall von 1&1 ging lediglich um eine Telefonnummer, die an den Ex-Partner herausgeben wurde. Und 1&1 hatte noch vertragsrelevante DAten zur Authentifzierung abgefragt. 10 Mio waren das dann in diesem Fall.

Oder 300.000 in einer Mail an Kunden, die alle eingewilligt hatten auch Mails zu erhalten. Fehler war hier dass die Mailadressen im To-Header waren und nicht in BCC.

Und, da du ja rein theoretische Fälle wolltest, hast du nun welche. Die sind sogar recht real. Die kannst du natürlich gerne abtun und als nicht relabant ansehen. Wie gesagt, es wird auch nichts passieren, solange du keinen Querulanten hat, der dich mit der DSGVO ärgern will. Dann aber hast du ein Riesen-Problem.

Der Glaube, das man dir einen Fehler nachweisen müsste, ist eben bei der DSGVO nicht in allen Dingen so. Du musst beweisen, dass du alles konform machst. Und da hast du spätestens dann ein Problem, wenn die Behörde nachfragt und du bis dahin dich nicht damit auseinander gesetzt hast. Das kannst du nicht mal schnell übers Wochenende aus dem Ärmel schütteln.

Edit:
Selbstverständlich kannst du auch für dich entscheiden, dass du das Risiko einfach eingehst. Es ist dein Leben und Unternehmen.
 

MacKaz

Aktives Mitglied
Registriert
12.01.2020
Beiträge
1.274
Ich stecke nicht nur durch diesen Thread alles andere als bedingt in diesem Thema drin. Und damit gehöre ich sicherlich zu einer Minderheit. Ich könnte dir aus dem Stand dutzende Klein- und mittelständische Betriebe nennen, die überhaupt nichts mit der DSGVO am Hut haben und z. B. noch nie von zu führenden Verzeichnissen und anderen Vorgaben gehört haben, geschweige denn diese umsetzen. Ich kenne große Unternehmen mit Hunderten Mitarbeitern, die inzwischen mal eine kopierte Datenschutzerklärung auf der Webseite haben und denken, damit ist das Thema erledigt (sic!)
Ja, das würde ich nicht anzweifeln, ist vermutlich die Realität.
Wobei es ja nicht mal nur um die Regeln an sich geht - das fängt ja schon viel „praktischer“ an und das ist schade.
 

lisanet

Aktives Mitglied
Registriert
05.12.2006
Beiträge
4.017
Lese dir nur mal §5 der DSGVO durch -> https://dejure.org/gesetze/DSGVO/5.html

In Absatz 1 siehst du die Grundsätze. Schon die klingen nach in der Praxis nur schwer oder nicht erfüllbar:

"in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden" (also ist nicht deine Sicht oder Aussage, sondern die Sicht deines Kunden maßgebend),

"für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden" (also hast du die Zwecke festgelegt, für die du die Daten erhebst / verarbeitest?)

"in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist;" (nach Beendigung des Auftrages und Bezahlung durch den Kunden, musst du also die Löschung sicherstellen, oder sie anonymisieren. Tja, da scheidet dann sogar TimeMachine aus.)

Und das wichtigste in Absatz 2:

"Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können"

_Du_ musst es also nachweisen, das alles so eingehalten wurde. Nachweisen, nicht behaupten.
 

yellowduck

Mitglied
Thread Starter
Registriert
27.03.2021
Beiträge
51
@lisanet Danke für die Hintergründe. Und wenn man es so kompakt liest, wird (mir) wieder einmal klar, dass die DSGVO im Grunde eine gute Sache ist, die aber leider grottenschlecht und völlig realitätsfremd umgesetzt wurde. Gut - es ist nicht das erste Gesetz/die erste Verordnung, der sowas widerfahren ist.

Doppelt witzig ist aber, dass dies in einer Zeit geschieht, in der wir alle - oder zumindest fast alle - täglich lustig unsere Daten in die Welt pupsen. Social Media, Clouds, ach - alleine Smartphones bzw. deren Hersteller: Wir sind gläserner, als wir es je waren. Und wir stimmen zu! Weil es komfortabel ist. Weil "Apple ruhig wissen darf, wo ich gestern gewesen bin", weil "ich nix zu verbergen habe". Es gibt Datensammlungen über jeden einzelnen von uns, die können wir uns gar nicht vorstellen.

Und dann darf Holz Müller verklagt werden, weil er irgendwann einmal die Mail-Anfrage von Frau Klabuster nach 10 Festmetern Eiche beantwortet hat und ihre Mail-Adresse somit automatisch in Herrn Müllers Outlook gespeichert wurde. Worum sich Herr Müller aber einen Dreck scherte (er hatte genug mit seiner Arbeit zu tun).
Und Frau Klabuster kam später mit einem Holzhändler aus dem Nachbardorf zusammen, mit dem Herr Müller nicht wirklich gut konnte. Ihr neuer Freund fragte sich, wie man Herrn Müller wohl mal richtig schön ans Bein pinkeln könnte, da hatte Frau Klabuster eine Idee ...

Es ist eine komische Welt. Nicht nur wegen dem Virus.
 

WollFuchs

Mitglied
Registriert
15.04.2019
Beiträge
148
Nein, du hast es nicht verstanden.
klabuster verklagt in dem fall weder holz mueller noch sonstwen.
das hat mit dem thema nichts zu tun. Es haette, wenn mueller die
Mails nicht dsgvo konform speichert oder die daten verarbeitet.

Und ja, es ist noch deutlich komplizierter. :)
 

BalthasarBux

Aktives Mitglied
Registriert
07.01.2020
Beiträge
1.089
DSGVO im Grunde eine gute Sache ist, die aber leider grottenschlecht und völlig realitätsfremd umgesetzt wurde.
Man sollte auch erwähnen, dass die DSGVO trotz aller Mängel auch ein Leuchtturm-Projekt in anderen Ländern ist. Firmen aus den USA, die auch in Europa anbieten wollen, müssen sich hier an die DSGVO halten und überlegen sich mehrmals, ob sie in Europa und USA unterschiedliche Datenschutzstandards fahren wollen oder ob sie einfach überall einheitlich unterwegs sind, und damit ist die DSGVO das Mindestmaß.
 

yellowduck

Mitglied
Thread Starter
Registriert
27.03.2021
Beiträge
51
... und ihre Mail-Adresse somit automatisch in Herrn Müllers Outlook gespeichert wurde. Worum sich Herr Müller aber einen Dreck scherte ...
Na jetzt mal keine Korinthen kacken, @WollFuchs ;)
Ich korrigiere mich: "... und ihre Mail-Adresse somit automatisch in Herrn Müllers Outlook gespeichert wurde, dessen Kontakte er regelmäßig mit seinem Google-Konto synchronisierte. Außerdem pflegte er die Angewohnheit, Angebotsanfragen per Mail auszudrucken und in einem Ordner abzuheften."

Müller und Klabuster kamen mir einfach so aus den Fingern geflossen, ist doch latte.
Fakt ist: Wir alle so "Daten streu" und 'nen Unternehmer kannst du hopps gehen lassen, weil er mitunter seine Kommunikation falsch speichert und oft noch nicht einmal weiß, dass er gegen das Gesetz handelt.
 

tocotronaut

Aktives Mitglied
Registriert
14.01.2006
Beiträge
27.457
Unwissenheit schützt vor Strafe nicht... :noplan:

War schon immer so.

Es ist der Job eines Unternehmers, sich zu Informieren.
Und gerade an der DSGVO kam sicherlich kein Unternehmer vorbei.
Ich bin sicher, der Posteingang und die Faxablage war voll mit Beraterangeboten, die einen dafür fit machen wollen.
 
Zuletzt bearbeitet:

WollFuchs

Mitglied
Registriert
15.04.2019
Beiträge
148
Na jetzt mal keine Korinthen kacken, @WollFuchs ;)
Ich korrigiere mich: "... und ihre Mail-Adresse somit automatisch in Herrn Müllers Outlook gespeichert wurde, dessen Kontakte er regelmäßig mit seinem Google-Konto synchronisierte. Außerdem pflegte er die Angewohnheit, Angebotsanfragen per Mail auszudrucken und in einem Ordner abzuheften."

Müller und Klabuster kamen mir einfach so aus den Fingern geflossen, ist doch latte.
Fakt ist: Wir alle so "Daten streu" und 'nen Unternehmer kannst du hopps gehen lassen, weil er mitunter seine Kommunikation falsch speichert und oft noch nicht einmal weiß, dass er gegen das Gesetz handelt.

Also spaetestens hier bin ich dann doch raus.
Korinthen kacken weil ploetzlich "auto fahren" und "besoffen fahren" das gleich sein soll. Bravo.
Und Mueller darf natuerlich eine Mails ausdrucken, darf sie abheften, darf daraus ein Mosaik
basteln, abends darin baden, sich damit ein Lagerfeuer entzuenden. Und darueber muss er
noch nicht mal irgendjemanden, jemals, Auskunft erteilen.

Und es ist absolut unerheblich ob "alle so" ihren Daten verteilen wie Kamellen an Fasching, das ist deren Sache
und soll nur einen Nebenkriegsschauplatz eroeffnen. Ein Unternehmer der sich einen Scheiss um die DSGVO
kuemmert, es aber muesste, kann gerne untergehen, habe ich kein Problem mit. Eine KFZ Werkstatt kann auch
nicht das Altoel in den Wald kippen, nur weil es von Umweltschutz keine Ahnung hat.

An einer echten Loesung bist Du nicht interessiert, kein Ding. Aber ich fuerchte in Dein "an allem sind nur die
vielen Gesetze schuld, die kann doch kein Mensch kennen" wird man eventuell nicht einstimmen.
 

Pfffh

Mitglied
Registriert
04.02.2021
Beiträge
94
Ich komme gedanklich von der Idee des Staates her. Nach dem Spruch eines alten Verwaltungsbullen sieht die Welt so aus:
Die Gesetze müssen eng sein und die Auslegung weit.
Und genau da ist die eigene Entscheidungsfindung: Wieviel kann ich mir erlauben, ohne Gesetz oder neben dem Gesetz, um nicht illegal erlauben zu sagen.
Es gehört Erfahrung dazu, sonst wird man wissentlich oder unwissentlich Hochstapler mit gehörigem Fallrisiko.
Aber wo kein Kläger ist kein Richter.
 

borland

Mitglied
Registriert
31.01.2009
Beiträge
651
Irgendjemand sollte den Threadtitel ändern in "Ich finde die DSGVO total doof über möchte darüber lamentieren"
An einer NAS Lösung scheint kein Interesse zu bestehen.
Nicht das jemand danach sucht und den Driss hier findet...
 

yellowduck

Mitglied
Thread Starter
Registriert
27.03.2021
Beiträge
51
Gute Idee! Vielleicht kann man zwei Threads draus machen.
 
Oben