Fragen zur neuen Datenschutzgrundverordnung

Du legst hier sehr spezifische Beispiele dar, ignorierst aber weitaus wahrscheinlichere und alltägliche Szenarien, bei denen die neuen Verordnungen zu Problemen führen oder sogar Missbraucht werden können.

Zum "Angriffsdruck"
Rein theoretisch und auch praktisch stehen viele Server und auch Internetseiten unter permanenten Dauerfeuer was Angriffe angeht. Besonders zu beachten ist die Tatsache, dass es sich bei "alltäglichen" Angriffen nicht etwa gezielte Attacken handelt, sondern maschinell Server und Seiten angegriffen werden. Da spielt es keine Rolle ob es sich um kommerzielle Seiten mit sensitiven Daten handelt oder um die Internetseite des örtlichen Dackel-Vereins. Mit so einem Zeug verdiene ich meinen Lohn und ohne die Server-Logs wäre ich massiv aufgeschmissen.

Zur Verarbeitung von Daten:
Ich möchte mich nicht rausreden. Ich habe dich aber etwas gefragt:

Zu deiner Frage. Aktuell ist mir kein einziger Anbieter bekannt, welcher die Daten nicht evtl. cached etc. Ich bin aber persönlich der Meinung, dass es Anbieter gibt die die Richtlinien der GDPR eher einhalten und welches die das weniger tuen werden.
Das Problem ist auch nicht die Vervielfältigung der Daten. Die ist vollkommen rechtens. Wenn Du die Erlaubnis hast darfst Du die Daten so oft kopieren wie du willst. Wenn aber jetzt der der Kunde die Löschung aller seiner Daten verlangt, musst du sicherstellen, dass diese auch z.B. bei Google weg müssen ;-) Das ist die simple Folge, dass jeder in seinen AGBs die weitergabe an dritte vermerkt.

Es gibt ein paar empfehlenswerte Vorgehensweisen. Mach dir ne Excel Liste oder sonst was wo Du Dir mal einträgst welche personenbezogenen Daten Du sammelst, besitzt, verwendest etc. Hierbei geht es nur um die Art. Dann schaust Du ob Du für diese Daten eine Erlaubnis hast. Sollte eigtl. bis auf bei der IP recht einfach sein.

Was passiert denn genau bei einem Angriff auf den Server? Werden bei diesem Daten abgegriffen oder nur die Bandbreite lahmgelegt? Dem Staat ist es egal ob der Dackelverein malk ne Woche offline ist. DA sind die persönlichen Daten wichtiger. Ist es aber technisch notwendig IP zu speichern um eventuelle auf dem Server befindliche persönliche Daten zu schützen kann dies ein Argument sein. Man muss hier jeden einzelnen Fall unterscheiden. Das ist wie mit unserem Notwehr Gesetz. Es muss angemessen sein
 
Nein, nein, nein. Boah... das ist ja grausam. Sorry, aber ich muss diesen Beitrag mal zerpflücken.
Das Problem ist auch nicht die Vervielfältigung der Daten. Die ist vollkommen rechtens. Wenn Du die Erlaubnis hast darfst Du die Daten so oft kopieren wie du willst.
Niemand gibt seinem Dienstanbieter die Erlaubnis, die Daten so oft zu kopieren "wie er will". Denn das würde gegen das Gebot der Datensparsamkeit verstoßen. Lies mal, was in den meisten Freigaben drin steht. Der Wortlaut müsste ungefähr sein "darf kopieren, wenn es technisch notwendig für die Erbringung der Leistung ist". Diese Formulierung ist so allgemein, dass auch Caching und Backups verargumentiert werden können, aber eben nicht "wie oft man will".
Wenn aber jetzt der der Kunde die Löschung aller seiner Daten verlangt, musst du sicherstellen, dass diese auch z.B. bei Google weg müssen
Auch das glaube ich nicht - also zumindest nicht, wenn man bei Google nur die Webfonts holt und somit bei Google nur die IP-Adresse im Log auftaucht (was ein sehr häufiger Fall sein dürfte).

Anderes extrem: Ich lege meine Kundendaten auf Google Drive ab. Ja, da gebe ich Dir völlig recht, dann bin ich dafür verantwortlich, dass die Kundendaten auch bei Google Drive gelöscht werden, wenn der Kunde das will.

Wie sieht's mit der Microsoft/Google/Amazon Cloud aus, wenn man die als Infrastruktur-Service benutzt um z. B. seine WebApp zu hosten? Klar, ich muss dafür sorgen, dass die Kundendaten bspw. aus der Datenbank meiner WebApp gelöscht werden. Aber muss ich auch dafür sorgen, dass zum gleichen Zeitpunkt Microsoft/Google/Amazon den Kunden aus allen Backups meiner Datenbank löscht? Ich kenne die Backups wahrscheinlich nicht mal, da die pauschal und nicht spezifisch für mich angelegt werden, sondern für den Fall, dass ein Bagger bei Bauarbeiten ein Rechenzentrum vom Internet kappt - also das komplette Rechenzentrum woanders in der Welt gebackupt wird, damit "die Cloud" weiter läuft (technische Notwendigkeit zur Bereitstellung der Dienste mit der garantierten Verfügbarkeit).

Kann man drüber diskutieren, aber ich denke nicht, dass der Cloud-Anbieter sofort löschen muss.
Mach dir ne Excel Liste...
Nein, schreib es direkt auf Deiner Seite als HTML, damit der Kunde es einfach abrufen kann.
Sollte eigtl. bis auf bei der IP recht einfach sein.
Meinst Du die aktuelle IP, mit der er gerade auf Deiner Seite ist? Nee, die musst Du dem Kunde nicht sagen (obwohl das auch nicht schwer wäre). Es reicht, wenn Du schreibst "wir speichern Deine IP-Adresse".
Was passiert denn genau bei einem Angriff auf den Server? Werden bei diesem Daten abgegriffen oder nur die Bandbreite lahmgelegt?
Es gibt beide Angriffe. Den Server lahmlegen hat aber nichts mit der DSGVO zu tun.
Ist es aber technisch notwendig IP zu speichern um eventuelle auf dem Server befindliche persönliche Daten zu schützen kann dies ein Argument sein.
Nein, die IP wird nicht gespeichert um die Daten zu schützen, sondern die IP wird gespeichert um z.B. jemanden sperren und/oder verfolgen zu können, der Kinderpornos in die Kommentare vom Dackelverein postet. Oder ihn versucht lahm zu legen. Das gehört alles zur technischen Notwendigkeit der Erbringung der Dienste.
Man muss hier jeden einzelnen Fall unterscheiden.
Äh... ja! Zustimmung. :)
Das ist wie mit unserem Notwehr Gesetz. Es muss angemessen sein
Du meinst Gewalt ist dann angemessen, wenn sie aus Notwehr geschieht? Dieser Vergleich ist hier vollkommen falsch - Du hast keinerlei Notwehrrechte an den persönlichen Daten eines Angreifers, der versucht, Deine persönlichen Daten abzugreifen.
 
Sehe ich das richtig? Ich habe letzte Woche die Abschlussfeier meiner Tochter fotografiert. Logischerweise waren dabei auch andere Personen anwesend. Ist das bereits illegal?
Nein. Natürlich nicht.
 
  • Gefällt mir
Reaktionen: Samson76
Sorry aber dazu ein paar Ergänzungen, da du hier Teile Zerpflückt hast die zusammengehören. ;-)
Nein, nein, nein. Boah... das ist ja grausam. Sorry, aber ich muss diesen Beitrag mal zerpflücken.

Das Problem ist auch nicht die Vervielfältigung der Daten. Die ist vollkommen rechtens. Wenn Du die Erlaubnis hast darfst Du die Daten so oft kopieren wie du willst.

Niemand gibt seinem Dienstanbieter die Erlaubnis, die Daten so oft zu kopieren "wie er will". Denn das würde gegen das Gebot der Datensparsamkeit verstoßen. Lies mal, was in den meisten Freigaben drin steht. Der Wortlaut müsste ungefähr sein "darf kopieren, wenn es technisch notwendig für die Erbringung der Leistung ist". Diese Formulierung ist so allgemein, dass auch Caching und Backups verargumentiert werden können, aber eben nicht "wie oft man will".
Das kommt immer auf deine AGBs an, deswegen habe ich ja geschrieben wenn Du die Erlaubnis dafür hast. Es ist egal ob Du mit den Daten sparsam umgehst das interessiert nimanden. Du brauchst nur für alles was in irgendeiner Art gespeichert wird eine Erlaubnis. In welcher Art Du Dir die ranholst ist egal.

Wenn aber jetzt der der Kunde die Löschung aller seiner Daten verlangt, musst du sicherstellen, dass diese auch z.B. bei Google weg müssen
Auch das glaube ich nicht - also zumindest nicht, wenn man bei Google nur die Webfonts holt und somit bei Google nur die IP-Adresse im Log auftaucht (was ein sehr häufiger Fall sein dürfte).
Theoretisch müsste die IP weg, pracktisch wird das nicht handlebar sein und GOOGLE wird hiermit einem besonderes Interesse am Schutz argumentieren können.

Anderes extrem: Ich lege meine Kundendaten auf Google Drive ab. Ja, da gebe ich Dir völlig recht, dann bin ich dafür verantwortlich, dass die Kundendaten auch bei Google Drive gelöscht werden, wenn der Kunde das will.
Eben

Wie sieht's mit der Microsoft/Google/Amazon Cloud aus, wenn man die als Infrastruktur-Service benutzt um z. B. seine WebApp zu hosten? Klar, ich muss dafür sorgen, dass die Kundendaten bspw. aus der Datenbank meiner WebApp gelöscht werden. Aber muss ich auch dafür sorgen, dass zum gleichen Zeitpunkt Microsoft/Google/Amazon den Kunden aus allen Backups meiner Datenbank löscht? Ich kenne die Backups wahrscheinlich nicht mal, da die pauschal und nicht spezifisch für mich angelegt werden, sondern für den Fall, dass ein Bagger bei Bauarbeiten ein Rechenzentrum vom Internet kappt - also das komplette Rechenzentrum woanders in der Welt gebackupt wird, damit "die Cloud" weiter läuft (technische Notwendigkeit zur Bereitstellung der Dienste mit der garantierten Verfügbarkeit).

Kann man drüber diskutieren, aber ich denke nicht, dass der Cloud-Anbieter sofort löschen muss.
Die Daten müssen jetzt nicht umgehend weg, aber Sie müssen weg. Ganz einfach. Das Recht auf Vergessen gibt es schon länger und wird hier in seiner Form nur ausgeweitet. Theoretisch müssen diese dann auch aus jedem Backup weltweit etc. raus. Da das Gesetz keine Grenzen kennt. Solange es um Daten von EU Bürgern geht gilt hier das EU Recht. Was hier in der Praxis gelebt wird und praktikabel ist steht aber definitiv auf einem anderen Blatt. Auch die großen haben zu kämpfen und können das Gesetz im Moment nicht voll umfänglich umsetzen.


Mach dir ne Excel Liste...
Nein, schreib es direkt auf Deiner Seite als HTML, damit der Kunde es einfach abrufen kann.

Damit meinte ich, damit Du bzw. der Betreiber einen Überblick bekommt was er alles sammelt. Viele wissen das nicht. Der Endkunde muss das natürlich in irgendeiner Form unterschreiben bzw. wissen.

Sollte eigtl. bis auf bei der IP recht einfach sein.
Meinst Du die aktuelle IP, mit der er gerade auf Deiner Seite ist? Nee, die musst Du dem Kunde nicht sagen (obwohl das auch nicht schwer wäre). Es reicht, wenn Du schreibst "wir speichern Deine IP-Adresse".
Wenn der Kunde dich nach SEINEN persönlichen Daten fragt musst Du Ihm alle nennen. Auch seine IP Adresse und auf Verlangen löschen. keine Ausnahmen. Da IPs (ja auch die dynamischen) zu den persönlichen Daten gehören ist Sie in diesem Fall zu behandeln wie eine E-Mail Adresse.

Was passiert denn genau bei einem Angriff auf den Server? Werden bei diesem Daten abgegriffen oder nur die Bandbreite lahmgelegt?
Es gibt beide Angriffe. Den Server lahmlegen hat aber nichts mit der DSGVO zu tun.
Ist es aber technisch notwendig IP zu speichern um eventuelle auf dem Server befindliche persönliche Daten zu schützen kann dies ein Argument sein.
Nein, die IP wird nicht gespeichert um die Daten zu schützen, sondern die IP wird gespeichert um z.B. jemanden sperren und/oder verfolgen zu können, der Kinderpornos in die Kommentare vom Dackelverein postet. Oder ihn versucht lahm zu legen. Das gehört alles zur technischen Notwendigkeit der Erbringung der Dienste.

Es ging hier darum ob du die IP speichern darfst und dies ist nicht generell erlaubt. Das wurde erst vor einem Jahr vom BGH entschieden. Wenn wir von speichern sprechen, sprechen wir immer von dauerhaft. Hier müsste man den Fall leider sehr genau untersuchen. Du bist als Betreiber hier in der Pflicht im Extremfall einen ausreichenden "Gefahrendruck" nachzuweisen. Un nein da genügt es unter Umständen nicht zu sagen ich musste das machen um meine Leistung zu erbringen. Dem Gesetz genügt übrigens schon die theoretische Bestimmbarkeit der Adresse ;-)
Auch hier gilt, dass in der Praxis evtl. etwas anderes gelebt wird.

Man muss hier jeden einzelnen Fall unterscheiden.
Äh... ja! Zustimmung. :)
Danke :)

Das ist wie mit unserem Notwehr Gesetz. Es muss angemessen sein
Du meinst Gewalt ist dann angemessen, wenn sie aus Notwehr geschieht? Dieser Vergleich ist hier vollkommen falsch - Du hast keinerlei Notwehrrechte an den persönlichen Daten eines Angreifers, der versucht, Deine persönlichen Daten abzugreifen.
1. Sagt das Notwehr Gesetz nicht aus, dass Gewalt angemessen ist wenn Sie aus Notwehr geschieht. Das nur mal dazu. Da fehlt ein entscheidendes Wort. Sie kann angemessen sein.
2. Wollte ich damit nur sagen, dass eine dauerhafte Speicherung der IP Adresse, selbst wenn der Website Besucher etc. die Löschung verlangt hat notwendig sein kann und auch rechtens sein kann. Ich würde mich hier aber nicht darauf verlassen. Im zweifel haftet man mit 4% des weltweiten Umsatzes des Unternehmens.


Ich für meinen Teil würde jedem Empfehlen die Gefahrenpotentiale zu minimieren. Bereits gespeicherte Daten wofür mir die Einwilligung fehlt werden gelöscht. Das heißt im Klartext auch, was nicht gespeichert werden muss, wird auf Anfrage gelöscht. Natürlich immer nur wenn es geht und mich nicht zu sehr als Unternehmen einschränkt. Und mal ganz ehrlich. Am Ende sind die Fälle die wir hier besprechen Kindergarten. Du musst sicherstellen, dass alle Daten von Herrn Müller auf Anfrage im gesamten Unternehmen gelöscht werden. Auf jedem Rechner in jeder Datei etc. Viel Spass ;-)
Das hier solange nichts passiert, solange niemand klagt is auch klar, aber lass nur mal einen Sales Mitarbeiter auf die Idee kommen und den Herrn Müller wieder beim nächsten Newsletter anzuschreiben. Dann kann jeder kleine Datensatz zu einem riesigen Problem werden. Aber nochmal zum Verständnis bei all dieser Panikmache, Leichen hat hier jeder im Keller, man muss nur schauen, dass die Anzahl so gering wie möglich bleibt, denn alle Folgen des Gesetzes kann im Moment niemand überblicken.
 
Wenn ich Herrn Müller was verkauft habe, muss sich die Daten dazu steuerrechtlich erstmal 10 Jahre oder 6 Jahre nach HGB aufheben, da kann Müller keine Löschung verlangen. Aber natürlich eine Einschränkung der Nutzung und eben keine Verwendung für Werbung. Aber das ist jetzt auch schon so.
 
  • Gefällt mir
Reaktionen: wegus
Da es in diesem Thread IMHO viel Hörensagen gibt, möchte ich mal diese informativen Links des Gesetzgebers in den Raum werfen:
https://ec.europa.eu/commission/pri...ction/2018-reform-eu-data-protection-rules_de
https://ec.europa.eu/info/law/law-topic/data-protection/reform_de
http://ec.europa.eu/justice/smedataprotect/index_de.htm

Weitere Informationen hat u.a. bitkom zusammengestellt:
https://www.bitkom.org/Themen/Datenschutz-Sicherheit/Datenschutz/index.jsp

Und die GDD hat auch einige Leitfäden im Angebot:
https://www.gdd.de/gdd-arbeitshilfen/praxishilfen-ds-gvo/praxishilfen-ds-gvo
 
  • Gefällt mir
Reaktionen: sDesign

Und wer etwas schriftliches in Form eines Buches haben kann, dem kann ich den Kommentar zum Gesetz empfehlen. Dieser Kommentar wird übrigens offiziell von unserer Judikative benutzt.
http://www.beck-shop.de/gola-datens..._679-ds-gvo/productview.aspx?product=22397296
 
ich meinte damit nicht, wie lange es ein urteil dazu gibt, sondern wie lange gehören dynamische IPs zu den persönlichen daten.
wenn die selbe IP ein anderer bekommt, zu wessen daten gehört sie dann und vor allem, wann ist der übergang?

zum beck-link: leider offenbart auch schon der erste kommentar die völlige abwesenheit von "technischem sachverstand" (1. eingerückter absatz), den er aber gleich anfänglich einbringt. ein juristenforum bringt's also auch nicht. :p
 
ich meinte damit nicht, wie lange es ein urteil dazu gibt, sondern wie lange gehören dynamische IPs zu den persönlichen daten.
wenn die selbe IP ein anderer bekommt, zu wessen daten gehört sie dann und vor allem, wann ist der übergang?

zum beck-link: leider offenbart auch schon der erste kommentar die völlige abwesenheit von "technischem sachverstand" (1. eingerückter absatz), den er aber gleich anfänglich einbringt. ein juristenforum bringt's also auch nicht. :p

Natürlich fehlt bei Beck der technische Sachverstand, da dies eine reine juristische Plattform ist. Ich gebe aber zu bedenken, dass wir uns alle an Gesetze halten müssen. Gesetze müssen nicht der Technik folgen, sondern im Zweifel muss die technische Umsetzung den Gesetzen folgen ;-).

Ich würde sagen, solange die dynamische IP eindeutig dem ersten Besitzer zuzuordnen ist, gehört diese zu diesem Datensatz. in dem Moment in dem Sie eindeutig einer anderen person zugeordnet wird ist sie ein neuer Datensatz. Ich vermute technisch wird dann auch die IP nicht mehr für den alten Datensatz benötigt?

Ich würde auch empfehlen findet einfach einen Weg die GDPR voll-umfänglich umzusetzen, egal ob es Sinn macht oder nicht. Denn wenn Ihr den goldenen Weg gefunden habt, der rechtssicher ist, dann könnt IHr beginnen Geld zu drucken ;-) In Europa sind nichtmal 50% der Unternehmen darauf vorbereitet.
 
Ich würde auch empfehlen findet einfach einen Weg die GDPR voll-umfänglich umzusetzen, egal ob es Sinn macht oder nicht. Denn wenn Ihr den goldenen Weg gefunden habt, der rechtssicher ist, dann könnt IHr beginnen Geld zu drucken
das sagt schon alles über das gesetz. ich habe aber durchaus größere ansprüche an die gesetzgeber. wir können schon verlangen, dass hier *vorher* entsprechende expertise eingeholt und unklarheiten beseitigt werden.
 
Ich würde auch empfehlen findet einfach einen Weg die GDPR voll-umfänglich umzusetzen, egal ob es Sinn macht oder nicht. Denn wenn Ihr den goldenen Weg gefunden habt, der rechtssicher ist, dann könnt IHr beginnen Geld zu drucken ;-) In Europa sind nichtmal 50% der Unternehmen darauf vorbereitet.

Diese Aussage drückt schon alles aus...
 
Und in diesem Blog steht auch eine praktikable Lösung:

So verschicken Sie Ihre Dateien per WeTransfer verschlüsselt und sicher.
Der Ausweg aus dem Dilemma: Verpacken Sie Ihre Dateien, die Sie per WeTransfer verschicken, in ein passwortgeschütztes, verschlüsseltes Dateiarchiv.

Also nix mit »Finger weg!«, sondern immer noch ein praktischer Dienst, um Dateien bis 2GB zu versenden.
 
Gibt halt kostenfreie Dienste welche deine Daten mehr schützen...

send.firefox.com z.B.

Aber ich hindere ja keinen weiter wetransfer zu nutzen. Ist halt nur nicht so sicher. That’s it.
 
Zurück
Oben Unten