Fragen zur neuen Datenschutzgrundverordnung

Diskutiere das Thema Fragen zur neuen Datenschutzgrundverordnung im Forum Digitalfotografie und Bildbearbeitung

Schlagworte:
  1. sDesign

    sDesign Mitglied

    Beiträge:
    1.248
    Zustimmungen:
    38
    Mitglied seit:
    21.05.2006
    Zu deiner Frage. Aktuell ist mir kein einziger Anbieter bekannt, welcher die Daten nicht evtl. cached etc. Ich bin aber persönlich der Meinung, dass es Anbieter gibt die die Richtlinien der GDPR eher einhalten und welches die das weniger tuen werden.
    Das Problem ist auch nicht die Vervielfältigung der Daten. Die ist vollkommen rechtens. Wenn Du die Erlaubnis hast darfst Du die Daten so oft kopieren wie du willst. Wenn aber jetzt der der Kunde die Löschung aller seiner Daten verlangt, musst du sicherstellen, dass diese auch z.B. bei Google weg müssen ;-) Das ist die simple Folge, dass jeder in seinen AGBs die weitergabe an dritte vermerkt.

    Es gibt ein paar empfehlenswerte Vorgehensweisen. Mach dir ne Excel Liste oder sonst was wo Du Dir mal einträgst welche personenbezogenen Daten Du sammelst, besitzt, verwendest etc. Hierbei geht es nur um die Art. Dann schaust Du ob Du für diese Daten eine Erlaubnis hast. Sollte eigtl. bis auf bei der IP recht einfach sein.

    Was passiert denn genau bei einem Angriff auf den Server? Werden bei diesem Daten abgegriffen oder nur die Bandbreite lahmgelegt? Dem Staat ist es egal ob der Dackelverein malk ne Woche offline ist. DA sind die persönlichen Daten wichtiger. Ist es aber technisch notwendig IP zu speichern um eventuelle auf dem Server befindliche persönliche Daten zu schützen kann dies ein Argument sein. Man muss hier jeden einzelnen Fall unterscheiden. Das ist wie mit unserem Notwehr Gesetz. Es muss angemessen sein
     
  2. thorstenhirsch

    thorstenhirsch Mitglied

    Beiträge:
    513
    Zustimmungen:
    182
    Mitglied seit:
    17.03.2015
    Nein, nein, nein. Boah... das ist ja grausam. Sorry, aber ich muss diesen Beitrag mal zerpflücken.
    Niemand gibt seinem Dienstanbieter die Erlaubnis, die Daten so oft zu kopieren "wie er will". Denn das würde gegen das Gebot der Datensparsamkeit verstoßen. Lies mal, was in den meisten Freigaben drin steht. Der Wortlaut müsste ungefähr sein "darf kopieren, wenn es technisch notwendig für die Erbringung der Leistung ist". Diese Formulierung ist so allgemein, dass auch Caching und Backups verargumentiert werden können, aber eben nicht "wie oft man will".
    Auch das glaube ich nicht - also zumindest nicht, wenn man bei Google nur die Webfonts holt und somit bei Google nur die IP-Adresse im Log auftaucht (was ein sehr häufiger Fall sein dürfte).

    Anderes extrem: Ich lege meine Kundendaten auf Google Drive ab. Ja, da gebe ich Dir völlig recht, dann bin ich dafür verantwortlich, dass die Kundendaten auch bei Google Drive gelöscht werden, wenn der Kunde das will.

    Wie sieht's mit der Microsoft/Google/Amazon Cloud aus, wenn man die als Infrastruktur-Service benutzt um z. B. seine WebApp zu hosten? Klar, ich muss dafür sorgen, dass die Kundendaten bspw. aus der Datenbank meiner WebApp gelöscht werden. Aber muss ich auch dafür sorgen, dass zum gleichen Zeitpunkt Microsoft/Google/Amazon den Kunden aus allen Backups meiner Datenbank löscht? Ich kenne die Backups wahrscheinlich nicht mal, da die pauschal und nicht spezifisch für mich angelegt werden, sondern für den Fall, dass ein Bagger bei Bauarbeiten ein Rechenzentrum vom Internet kappt - also das komplette Rechenzentrum woanders in der Welt gebackupt wird, damit "die Cloud" weiter läuft (technische Notwendigkeit zur Bereitstellung der Dienste mit der garantierten Verfügbarkeit).

    Kann man drüber diskutieren, aber ich denke nicht, dass der Cloud-Anbieter sofort löschen muss.
    Nein, schreib es direkt auf Deiner Seite als HTML, damit der Kunde es einfach abrufen kann.
    Meinst Du die aktuelle IP, mit der er gerade auf Deiner Seite ist? Nee, die musst Du dem Kunde nicht sagen (obwohl das auch nicht schwer wäre). Es reicht, wenn Du schreibst "wir speichern Deine IP-Adresse".
    Es gibt beide Angriffe. Den Server lahmlegen hat aber nichts mit der DSGVO zu tun.
    Nein, die IP wird nicht gespeichert um die Daten zu schützen, sondern die IP wird gespeichert um z.B. jemanden sperren und/oder verfolgen zu können, der Kinderpornos in die Kommentare vom Dackelverein postet. Oder ihn versucht lahm zu legen. Das gehört alles zur technischen Notwendigkeit der Erbringung der Dienste.
    Äh... ja! Zustimmung. :)
    Du meinst Gewalt ist dann angemessen, wenn sie aus Notwehr geschieht? Dieser Vergleich ist hier vollkommen falsch - Du hast keinerlei Notwehrrechte an den persönlichen Daten eines Angreifers, der versucht, Deine persönlichen Daten abzugreifen.
     
  3. iPhill

    iPhill Mitglied

    Beiträge:
    7.230
    Zustimmungen:
    1.838
    Mitglied seit:
    26.02.2011
    Nein. Natürlich nicht.
     
  4. sDesign

    sDesign Mitglied

    Beiträge:
    1.248
    Zustimmungen:
    38
    Mitglied seit:
    21.05.2006
    Sorry aber dazu ein paar Ergänzungen, da du hier Teile Zerpflückt hast die zusammengehören. ;-)
    Das kommt immer auf deine AGBs an, deswegen habe ich ja geschrieben wenn Du die Erlaubnis dafür hast. Es ist egal ob Du mit den Daten sparsam umgehst das interessiert nimanden. Du brauchst nur für alles was in irgendeiner Art gespeichert wird eine Erlaubnis. In welcher Art Du Dir die ranholst ist egal.

    Theoretisch müsste die IP weg, pracktisch wird das nicht handlebar sein und GOOGLE wird hiermit einem besonderes Interesse am Schutz argumentieren können.

    Eben

    Die Daten müssen jetzt nicht umgehend weg, aber Sie müssen weg. Ganz einfach. Das Recht auf Vergessen gibt es schon länger und wird hier in seiner Form nur ausgeweitet. Theoretisch müssen diese dann auch aus jedem Backup weltweit etc. raus. Da das Gesetz keine Grenzen kennt. Solange es um Daten von EU Bürgern geht gilt hier das EU Recht. Was hier in der Praxis gelebt wird und praktikabel ist steht aber definitiv auf einem anderen Blatt. Auch die großen haben zu kämpfen und können das Gesetz im Moment nicht voll umfänglich umsetzen.


    Damit meinte ich, damit Du bzw. der Betreiber einen Überblick bekommt was er alles sammelt. Viele wissen das nicht. Der Endkunde muss das natürlich in irgendeiner Form unterschreiben bzw. wissen.

    Wenn der Kunde dich nach SEINEN persönlichen Daten fragt musst Du Ihm alle nennen. Auch seine IP Adresse und auf Verlangen löschen. keine Ausnahmen. Da IPs (ja auch die dynamischen) zu den persönlichen Daten gehören ist Sie in diesem Fall zu behandeln wie eine E-Mail Adresse.

    Es ging hier darum ob du die IP speichern darfst und dies ist nicht generell erlaubt. Das wurde erst vor einem Jahr vom BGH entschieden. Wenn wir von speichern sprechen, sprechen wir immer von dauerhaft. Hier müsste man den Fall leider sehr genau untersuchen. Du bist als Betreiber hier in der Pflicht im Extremfall einen ausreichenden "Gefahrendruck" nachzuweisen. Un nein da genügt es unter Umständen nicht zu sagen ich musste das machen um meine Leistung zu erbringen. Dem Gesetz genügt übrigens schon die theoretische Bestimmbarkeit der Adresse ;-)
    Auch hier gilt, dass in der Praxis evtl. etwas anderes gelebt wird.

    Danke :)

    1. Sagt das Notwehr Gesetz nicht aus, dass Gewalt angemessen ist wenn Sie aus Notwehr geschieht. Das nur mal dazu. Da fehlt ein entscheidendes Wort. Sie kann angemessen sein.
    2. Wollte ich damit nur sagen, dass eine dauerhafte Speicherung der IP Adresse, selbst wenn der Website Besucher etc. die Löschung verlangt hat notwendig sein kann und auch rechtens sein kann. Ich würde mich hier aber nicht darauf verlassen. Im zweifel haftet man mit 4% des weltweiten Umsatzes des Unternehmens.


    Ich für meinen Teil würde jedem Empfehlen die Gefahrenpotentiale zu minimieren. Bereits gespeicherte Daten wofür mir die Einwilligung fehlt werden gelöscht. Das heißt im Klartext auch, was nicht gespeichert werden muss, wird auf Anfrage gelöscht. Natürlich immer nur wenn es geht und mich nicht zu sehr als Unternehmen einschränkt. Und mal ganz ehrlich. Am Ende sind die Fälle die wir hier besprechen Kindergarten. Du musst sicherstellen, dass alle Daten von Herrn Müller auf Anfrage im gesamten Unternehmen gelöscht werden. Auf jedem Rechner in jeder Datei etc. Viel Spass ;-)
    Das hier solange nichts passiert, solange niemand klagt is auch klar, aber lass nur mal einen Sales Mitarbeiter auf die Idee kommen und den Herrn Müller wieder beim nächsten Newsletter anzuschreiben. Dann kann jeder kleine Datensatz zu einem riesigen Problem werden. Aber nochmal zum Verständnis bei all dieser Panikmache, Leichen hat hier jeder im Keller, man muss nur schauen, dass die Anzahl so gering wie möglich bleibt, denn alle Folgen des Gesetzes kann im Moment niemand überblicken.
     
  5. chris25

    chris25 Mitglied

    Beiträge:
    3.732
    Zustimmungen:
    964
    Mitglied seit:
    10.08.2005
    Wenn ich Herrn Müller was verkauft habe, muss sich die Daten dazu steuerrechtlich erstmal 10 Jahre oder 6 Jahre nach HGB aufheben, da kann Müller keine Löschung verlangen. Aber natürlich eine Einschränkung der Nutzung und eben keine Verwendung für Werbung. Aber das ist jetzt auch schon so.
     
  6. Olivetti

    Olivetti Mitglied

    Beiträge:
    8.993
    Zustimmungen:
    2.317
    Mitglied seit:
    09.12.2005
    wie lange gehören die dynamischen denn dazu?
     
  7. fox78

    fox78 Mitglied

    Beiträge:
    2.555
    Zustimmungen:
    216
    Mitglied seit:
    02.02.2004
    Da es in diesem Thread IMHO viel Hörensagen gibt, möchte ich mal diese informativen Links des Gesetzgebers in den Raum werfen:
    https://ec.europa.eu/commission/pri...ction/2018-reform-eu-data-protection-rules_de
    https://ec.europa.eu/info/law/law-topic/data-protection/reform_de
    http://ec.europa.eu/justice/smedataprotect/index_de.htm

    Weitere Informationen hat u.a. bitkom zusammengestellt:
    https://www.bitkom.org/Themen/Datenschutz-Sicherheit/Datenschutz/index.jsp

    Und die GDD hat auch einige Leitfäden im Angebot:
    https://www.gdd.de/gdd-arbeitshilfen/praxishilfen-ds-gvo/praxishilfen-ds-gvo
     
  8. sDesign

    sDesign Mitglied

    Beiträge:
    1.248
    Zustimmungen:
    38
    Mitglied seit:
    21.05.2006
  9. sDesign

    sDesign Mitglied

    Beiträge:
    1.248
    Zustimmungen:
    38
    Mitglied seit:
    21.05.2006
    Und wer etwas schriftliches in Form eines Buches haben kann, dem kann ich den Kommentar zum Gesetz empfehlen. Dieser Kommentar wird übrigens offiziell von unserer Judikative benutzt.
    http://www.beck-shop.de/gola-datens..._679-ds-gvo/productview.aspx?product=22397296
     
  10. Olivetti

    Olivetti Mitglied

    Beiträge:
    8.993
    Zustimmungen:
    2.317
    Mitglied seit:
    09.12.2005
    ich meinte damit nicht, wie lange es ein urteil dazu gibt, sondern wie lange gehören dynamische IPs zu den persönlichen daten.
    wenn die selbe IP ein anderer bekommt, zu wessen daten gehört sie dann und vor allem, wann ist der übergang?

    zum beck-link: leider offenbart auch schon der erste kommentar die völlige abwesenheit von "technischem sachverstand" (1. eingerückter absatz), den er aber gleich anfänglich einbringt. ein juristenforum bringt's also auch nicht. :p
     
Die Seite wird geladen...
  1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Akzeptieren Weitere Informationen...