EU-Datenschutz-Grundverordnung
Moderator: Moderatoren
- HaPe
- 1000 working lines a day
- Beiträge: 996
- Registriert: So, 15. Nov 2015 17:44
- Wohnort: 71665 Vaihingen-Enz
- Hat sich bedankt: 17 Mal
- Danksagung erhalten: 15 Mal
EU-Datenschutz-Grundverordnung
Hallo Zusammen !
Der Titel ist sicher jedem ein Begriff, was es aber für Auswirkungen für uns als Software-Entwickler hat konnte ich bisher nur durch eine Nebelwand erkennen
Mir geht es dabei als Einzelkämpfer weniger um den eigenen Betrieb sondern darum welche Werkzeuge unsere Software dem Kunde zur Verfügung stellen muß damit der die EU-Datenschutz-Grundverordnung in seinem Betrieb vorschriftsgemäß anwenden kann. Folgendes (sehr weniges) habe ich bisher erfahren:
- Kundendaten ohne Umsatz nach 6 Monaten sind zu löschen, zb. keine Newsletter mehr an diese Kunden senden.
- Der Kunde/Lieferant unseres Software-Kunden muss schriftlich zustimmen das seine Adresse länger als 6 Monate gespeichert werden darf.
- Betriebe mit mehr als 9 oder doch 10 Mitarbeiter benötigen einen benannten Datenschutzbeauftragten. Es kann auch ein externer Berater sein.
Welche weiteren Funktionen/Optionen müssen wir für ein WWS noch zur Verfügung stellen?
Der Titel ist sicher jedem ein Begriff, was es aber für Auswirkungen für uns als Software-Entwickler hat konnte ich bisher nur durch eine Nebelwand erkennen
Mir geht es dabei als Einzelkämpfer weniger um den eigenen Betrieb sondern darum welche Werkzeuge unsere Software dem Kunde zur Verfügung stellen muß damit der die EU-Datenschutz-Grundverordnung in seinem Betrieb vorschriftsgemäß anwenden kann. Folgendes (sehr weniges) habe ich bisher erfahren:
- Kundendaten ohne Umsatz nach 6 Monaten sind zu löschen, zb. keine Newsletter mehr an diese Kunden senden.
- Der Kunde/Lieferant unseres Software-Kunden muss schriftlich zustimmen das seine Adresse länger als 6 Monate gespeichert werden darf.
- Betriebe mit mehr als 9 oder doch 10 Mitarbeiter benötigen einen benannten Datenschutzbeauftragten. Es kann auch ein externer Berater sein.
Welche weiteren Funktionen/Optionen müssen wir für ein WWS noch zur Verfügung stellen?
--
Hans-Peter
Hans-Peter
- Tom
- Der Entwickler von "Deep Thought"
- Beiträge: 9361
- Registriert: Do, 22. Sep 2005 23:11
- Wohnort: Berlin
- Hat sich bedankt: 101 Mal
- Danksagung erhalten: 361 Mal
- Kontaktdaten:
Re: EU-Datenschutz-Grundverordnung
Hallo, Hans-Peter.
Wo hast Du das erfahren, was Du da erfahren haben willst? Ich war auf Veranstaltungen des TÜV Nord zum Thema und habe da andere Informationen eingesammelt. Der DSB ist unbedingt erforderlich, wenn es um Behörden geht, ab bestimmten Betriebsgrößen (aber in weit größeren Größenordnungen, als Du sie beschreibst) und wenn die Kerntätigkeit eines Unternehmens bestimmte Vorgänge umfasst, grob gesagt in der Hauptsache die Verarbeitung personenbezogener Daten (das machen wir Softwarehersteller in der Regel nicht). Dadurch kann es sein, dass schon ein Ein-Mann-Betrieb einen DSB benötigt, während ein anderer Laden mit über 100 Mitarbeitern keinen braucht. Neu ist die Definition der Auftragsverarbeiter, mit der plötzlich Firmen, die im Auftrag anderer handeln, auch datenschutzrechtliche Verantwortung tragen (etwa Webhoster). Hier wird viel zu klären sein, wahrscheinlich durch Gerichte. Je nach Definition und Sichtweise gehen "Experten" (z.B. einige Verbraucherschutzanwälte) davon aus, dass sogar jede Arztpraxis einen DSB bräuchte, während andere meinen, dem sei nicht so.
Es gibt auch keine konkreten Fristen (vom Inkrafttreten abgesehen: 25. Mai), weder für die Speicherung von Kundendaten, noch für Newsletter oder ähnliches. Es gibt aber tatsächlich viele Vorschriften, die da zu beachten sind. Jeder hat ab Ende Mai das Recht auf Löschung seiner Daten, aber es gibt natürlich Ausnahmen, vor allem im Geschäftsverkehr. Wenn Du als Firma diese Daten Deiner Ex-Kunden noch benötigst, und das kann für 10 Jahre der Fall sein, darfst Du sie auch weiterhin speichern, selbst nach Vertragsende. Sehr wichtig ist das Auskunftsrecht, das in jedem Fall beachtet und auf das reagiert werden muss, selbst wenn Personen anfragen, mit denen man noch nie zu tun hatte. Und, und, und. Ich empfehle, sich die entsprechenden Veranstaltungen anzutun, das kann nicht schaden.
An den Softwaresystemen muss man grundsätzlich überhaupt nichts machen. Es geht nicht um Datensicherheit, sondern um Datenschutz. Dazu gehört die Datensicherheit zwar auch, aber nicht auf Verordnungsebene. Man muss keine Automatismen bereitstellen, die Daten löschen oder so. Diese Verantwortung haben die Leute, die die Software benutzen.
Relativ wichtig ist, eine sinnvolle Datenschutzerklärung auf der eigenen Website zu haben, insofern über diese Website datenschutzrelevante Prozesse ausgelöst werden können. Die Newsletter, die Du erwähnt hast, müssen ab Ende Mai ebenso leicht kündbar sein, wie man sie vorher abonnieren konnte. Bei solchen Systemen ist ab dann auch vom Opt-Out abzuraten, besser wäre ein doppeltes Opt-In.
Es gibt noch viele originelle Dinge, die sehr interessant werden können. Zum Beispiel das Verbot des Profilings bei Minderjährigen - ich bin sehr gespannt, wie Amazon & Co. das hinbekommen wollen. Oder das Recht auf komplette Datenmitnahme, wenn man einen Anbieter wechselt, der Daten verarbeitet - vom Fitnesstracker bis hin zum sozialen Netzwerk. Wie will mir Facebook meine kompletten Daten mitgeben, wenn ich zu Google+ gehe? Das wird noch sehr spannend. Und unterm Strich ist die neue Verordnung ein sehr, sehr guter Schritt hin zurück zum Datenschutz, der während der vergangenen zwei Jahrzehnte ziemlich ins Hintertreffen geraten ist.
Wo hast Du das erfahren, was Du da erfahren haben willst? Ich war auf Veranstaltungen des TÜV Nord zum Thema und habe da andere Informationen eingesammelt. Der DSB ist unbedingt erforderlich, wenn es um Behörden geht, ab bestimmten Betriebsgrößen (aber in weit größeren Größenordnungen, als Du sie beschreibst) und wenn die Kerntätigkeit eines Unternehmens bestimmte Vorgänge umfasst, grob gesagt in der Hauptsache die Verarbeitung personenbezogener Daten (das machen wir Softwarehersteller in der Regel nicht). Dadurch kann es sein, dass schon ein Ein-Mann-Betrieb einen DSB benötigt, während ein anderer Laden mit über 100 Mitarbeitern keinen braucht. Neu ist die Definition der Auftragsverarbeiter, mit der plötzlich Firmen, die im Auftrag anderer handeln, auch datenschutzrechtliche Verantwortung tragen (etwa Webhoster). Hier wird viel zu klären sein, wahrscheinlich durch Gerichte. Je nach Definition und Sichtweise gehen "Experten" (z.B. einige Verbraucherschutzanwälte) davon aus, dass sogar jede Arztpraxis einen DSB bräuchte, während andere meinen, dem sei nicht so.
Es gibt auch keine konkreten Fristen (vom Inkrafttreten abgesehen: 25. Mai), weder für die Speicherung von Kundendaten, noch für Newsletter oder ähnliches. Es gibt aber tatsächlich viele Vorschriften, die da zu beachten sind. Jeder hat ab Ende Mai das Recht auf Löschung seiner Daten, aber es gibt natürlich Ausnahmen, vor allem im Geschäftsverkehr. Wenn Du als Firma diese Daten Deiner Ex-Kunden noch benötigst, und das kann für 10 Jahre der Fall sein, darfst Du sie auch weiterhin speichern, selbst nach Vertragsende. Sehr wichtig ist das Auskunftsrecht, das in jedem Fall beachtet und auf das reagiert werden muss, selbst wenn Personen anfragen, mit denen man noch nie zu tun hatte. Und, und, und. Ich empfehle, sich die entsprechenden Veranstaltungen anzutun, das kann nicht schaden.
An den Softwaresystemen muss man grundsätzlich überhaupt nichts machen. Es geht nicht um Datensicherheit, sondern um Datenschutz. Dazu gehört die Datensicherheit zwar auch, aber nicht auf Verordnungsebene. Man muss keine Automatismen bereitstellen, die Daten löschen oder so. Diese Verantwortung haben die Leute, die die Software benutzen.
Relativ wichtig ist, eine sinnvolle Datenschutzerklärung auf der eigenen Website zu haben, insofern über diese Website datenschutzrelevante Prozesse ausgelöst werden können. Die Newsletter, die Du erwähnt hast, müssen ab Ende Mai ebenso leicht kündbar sein, wie man sie vorher abonnieren konnte. Bei solchen Systemen ist ab dann auch vom Opt-Out abzuraten, besser wäre ein doppeltes Opt-In.
Es gibt noch viele originelle Dinge, die sehr interessant werden können. Zum Beispiel das Verbot des Profilings bei Minderjährigen - ich bin sehr gespannt, wie Amazon & Co. das hinbekommen wollen. Oder das Recht auf komplette Datenmitnahme, wenn man einen Anbieter wechselt, der Daten verarbeitet - vom Fitnesstracker bis hin zum sozialen Netzwerk. Wie will mir Facebook meine kompletten Daten mitgeben, wenn ich zu Google+ gehe? Das wird noch sehr spannend. Und unterm Strich ist die neue Verordnung ein sehr, sehr guter Schritt hin zurück zum Datenschutz, der während der vergangenen zwei Jahrzehnte ziemlich ins Hintertreffen geraten ist.
Herzlich,
Tom
Tom
- HaPe
- 1000 working lines a day
- Beiträge: 996
- Registriert: So, 15. Nov 2015 17:44
- Wohnort: 71665 Vaihingen-Enz
- Hat sich bedankt: 17 Mal
- Danksagung erhalten: 15 Mal
Re: EU-Datenschutz-Grundverordnung
Hallo Tom !
Danke für dein Statement.
Ich hatte gehofft dass du einer ersten bist der antwortet.
Wenn ich bei der Umstellung auf eine neue Software bin kann ich dem Kunden Werkzeuge dafür zur Verfügung stellen.
Danke für dein Statement.
Ich hatte gehofft dass du einer ersten bist der antwortet.
Wo hast Du das erfahren, was Du da erfahren haben willst?
Auf dem XuG-Treffen Stuttgart am letzten Freitag.Kundendaten ohne Umsatz nach 6 Monaten sind zu löschen
Wirtschaftsteil in meiner Zeitungzb. keine Newsletter mehr an diese Kunden senden
Auf dem XuG-Treffen Stuttgart am letzten Freitag.Der Kunde/Lieferant unseres Software-Kunden muss schriftlich zustimmen das seine Adresse länger als 6 Monate gespeichert werden darf
Wirtschaftsteil in meiner Zeitung und Gespräch mit KollegenBetriebe mit mehr als 9 oder doch 10 Mitarbeiter benötigen einen benannten Datenschutzbeauftragten. Es kann auch ein externer Berater sein.
Das Letztere hatte ich bisher auch so verstanden.Man muss keine Automatismen bereitstellen, die Daten löschen oder so. Diese Verantwortung haben die Leute, die die Software benutzen.
Wenn ich bei der Umstellung auf eine neue Software bin kann ich dem Kunden Werkzeuge dafür zur Verfügung stellen.
--
Hans-Peter
Hans-Peter
- Tom
- Der Entwickler von "Deep Thought"
- Beiträge: 9361
- Registriert: Do, 22. Sep 2005 23:11
- Wohnort: Berlin
- Hat sich bedankt: 101 Mal
- Danksagung erhalten: 361 Mal
- Kontaktdaten:
Re: EU-Datenschutz-Grundverordnung
Hallo, Hans-Peter.
Es gibt eine Auslegung der Datenschutz-Grundverordnung, die besagt, dass ein Datenschutzbeauftragter eingestellt werden muss, wenn 10 Personen oder mehr im Betrieb ausschließlich mit der Verarbeitung personenbezogener Daten befasst sind (das wären beispielsweise Mitarbeiter in Callcentern, die Adresslisten abtelefonieren und die Erkenntnisse einsammeln). Kleinunternehmer und ähnliche müssen in aller Regel keinen DSB einstellen.
Niemand kann von Dir verlangen, dass Du nach 6 Monaten Kundendaten löschst. Ganz im Gegenteil wird Dir das Finanzamt ganz schön den Marsch blasen, wenn Du das machst. Das hat auch mit dem neuen Recht auf Vergessenwerden nichts zu tun. Im B2B-Verkehr ist das weitergehend irrelevant, im B2C hängt es von der konkreten Situation ab, wofür es Checklisten gibt (ich suche nachher mal nach den Links). Und von diesen eigenartigen Fristen für Newsletter an (ehemalige) Kunden und ähnliches habe ich bislang überhaupt nichts gehört. Neu ist aber zum Beispiel, dass eine schwebende Geschäftsverbindung, die rückwirkend z.B. von einem Gericht für unwirksam erklärt wird, das Recht auf vollständige Löschung mit sich bringt (ex tunc), während nach dem "normalen" Ende einer Geschäftsbeziehung gilt, dass die Daten, die Du aufgrund der sonstigen rechtlichen Gegebenheiten (Buchführung) weiterhin benötigst (ex nunc), auch behalten darfst.
Es gibt eine Auslegung der Datenschutz-Grundverordnung, die besagt, dass ein Datenschutzbeauftragter eingestellt werden muss, wenn 10 Personen oder mehr im Betrieb ausschließlich mit der Verarbeitung personenbezogener Daten befasst sind (das wären beispielsweise Mitarbeiter in Callcentern, die Adresslisten abtelefonieren und die Erkenntnisse einsammeln). Kleinunternehmer und ähnliche müssen in aller Regel keinen DSB einstellen.
Niemand kann von Dir verlangen, dass Du nach 6 Monaten Kundendaten löschst. Ganz im Gegenteil wird Dir das Finanzamt ganz schön den Marsch blasen, wenn Du das machst. Das hat auch mit dem neuen Recht auf Vergessenwerden nichts zu tun. Im B2B-Verkehr ist das weitergehend irrelevant, im B2C hängt es von der konkreten Situation ab, wofür es Checklisten gibt (ich suche nachher mal nach den Links). Und von diesen eigenartigen Fristen für Newsletter an (ehemalige) Kunden und ähnliches habe ich bislang überhaupt nichts gehört. Neu ist aber zum Beispiel, dass eine schwebende Geschäftsverbindung, die rückwirkend z.B. von einem Gericht für unwirksam erklärt wird, das Recht auf vollständige Löschung mit sich bringt (ex tunc), während nach dem "normalen" Ende einer Geschäftsbeziehung gilt, dass die Daten, die Du aufgrund der sonstigen rechtlichen Gegebenheiten (Buchführung) weiterhin benötigst (ex nunc), auch behalten darfst.
Herzlich,
Tom
Tom
Re: EU-Datenschutz-Grundverordnung
Hallo Hans-Peter
die demnächst verschärfte Datenschutz-Grundverordnung hat ja fürs Erste mit der/Deiner Software nichts zu tun. Den Datenschutz muss der jeweilige Nutzer - eher der Inhaber/Geschäftsführer - bezogen auf sein Business umsetzen/einhalten.
Ich hoffe nicht, dass Du Deine Software mit dem Anspruch anbietest den jeweils gültigen Datenschutz einzuhalten.
Individuelle Auftragsprogrammierung kann so ausgelegt werden, dass der Anwender an bestimmte Datenschutzaufgaben erinnert wird. Wenn das ein Entwickler (Verkäufer) zusichert steht er natürlich gegenüber dem Auftraggeber in der Pflicht - aber sicher nicht gegenüber der EU bzw. unseren BRD-Datenschützern.
Gibt es eine Zertifizierungsstelle für Software bezüglich Datenschutz (wie z.B. bei Buchhaltungsprogrammen)?
die demnächst verschärfte Datenschutz-Grundverordnung hat ja fürs Erste mit der/Deiner Software nichts zu tun. Den Datenschutz muss der jeweilige Nutzer - eher der Inhaber/Geschäftsführer - bezogen auf sein Business umsetzen/einhalten.
Ich hoffe nicht, dass Du Deine Software mit dem Anspruch anbietest den jeweils gültigen Datenschutz einzuhalten.
Individuelle Auftragsprogrammierung kann so ausgelegt werden, dass der Anwender an bestimmte Datenschutzaufgaben erinnert wird. Wenn das ein Entwickler (Verkäufer) zusichert steht er natürlich gegenüber dem Auftraggeber in der Pflicht - aber sicher nicht gegenüber der EU bzw. unseren BRD-Datenschützern.
Gibt es eine Zertifizierungsstelle für Software bezüglich Datenschutz (wie z.B. bei Buchhaltungsprogrammen)?
- Werner_Bayern
- Der Entwickler von "Deep Thought"
- Beiträge: 2126
- Registriert: Sa, 30. Jan 2010 22:58
- Wohnort: Niederbayern
- Hat sich bedankt: 30 Mal
- Danksagung erhalten: 75 Mal
Re: EU-Datenschutz-Grundverordnung
Servus Roland,
da solltest Du vielleicht doch mal eine Schulung besuchen. 2 MA waren bei der IHK und dort hieß es sehr wohl unter dem Punkt praktische Empfehlung zur Löschpflicht:
Dies geht sogar soweit:Einhaltung der Löschpflichten
•Prüfen und ggf. aktualisieren Sie jede Verarbeitungstätigkeit nach Angabe der Löschfristen!
•Passen Sie ggf. ihre eigens entwickelte Software und IT Systeme an, dass diese Löschfristen und Erfassungszeitpunkte etc. abbilden kann!
•Um den Prozess möglichst zu vereinfachen, empfehlen wir standardisierte Regellöschfristen (Vorhaltefrist + Löschfrist) zu definieren.
•Hierbei muss auch definiert werden, welche Start-Zeitpunkte für die Fristen gelten, d. h. ab wann die Vorhaltefrist zu laufen beginnt. Dies ist i. d. R. der Zeitpunkt, an dem die Daten erhoben werden.
•Alle Datenarten mit der gleichen Regellöschfrist und demselben Startzeitpunkt bilden eine sog. Löschklasse. Diese kann sich, z. B. nach dem Vorliegen der Datenschutz-Einwilligungserklärung richten.
Siehe vor allem den 2. Satz.Löschpflicht
Wie aktuell in §35 Abs. 2 BDSG-alt vorgesehen, bestimmt auch Art. 17 Abs. 1 DSGVO, dass personenbezogene Daten auf Verlangen der betroffenen Person und/oder unter bestimmten Voraussetzungen ohne Verlangen der betroffenen Person eigenständig durch den Verantwortlichen unverzüglich gelöscht werden müssen.
Art. 19 DSGVO verpflichtet den Verantwortlichen, allen Empfängern, denen personenbezogene Daten offengelegt wurden, jede Löschung der personenbezogenen mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden.
Desweiteren z. B. zum Thema Passwörter:
Dies ist nur ein Teil, der unsere Software betrifft. Wie kommst Du also zu Deiner oben zitierten Aussage?Bitte beachten Sie:
Wir empfehlen, z.B. eine Passwortrichtlinie zu definieren und konsequent umzusetzen. Folgende Kriterien können hierbei als Grundlage dienen:
Mindestlänge von 8 oder 10 Zeichen
Komplexitätsanforderungen wie „3 von 4 Zeichenklassen müssen enthalten sein“; als Zeichenklassen dienen [a-z], [A-Z], [0-9] sowie Sonderzeichen
Komplexitätsanforderungen wie „es darf nicht drei Mal hintereinander das gleiche Zeichen vorkommen“
Die letzten 10 Passwörter dürfen nicht wieder verwendet werden
Passworterneuerung alle 3-4 Monate
es grüßt
Werner
<when the music is over, turn off the lights!>
Werner
<when the music is over, turn off the lights!>
- Werner_Bayern
- Der Entwickler von "Deep Thought"
- Beiträge: 2126
- Registriert: Sa, 30. Jan 2010 22:58
- Wohnort: Niederbayern
- Hat sich bedankt: 30 Mal
- Danksagung erhalten: 75 Mal
Re: EU-Datenschutz-Grundverordnung
Servus Tom,Tom hat geschrieben: ↑Mo, 19. Mär 2018 9:15 Der DSB ist unbedingt erforderlich, wenn es um Behörden geht, ab bestimmten Betriebsgrößen (aber in weit größeren Größenordnungen, als Du sie beschreibst) und wenn die Kerntätigkeit eines Unternehmens bestimmte Vorgänge umfasst, grob gesagt in der Hauptsache die Verarbeitung personenbezogener Daten (das machen wir Softwarehersteller in der Regel nicht). Dadurch kann es sein, dass schon ein Ein-Mann-Betrieb einen DSB benötigt, während ein anderer Laden mit über 100 Mitarbeitern keinen braucht. Neu ist die Definition der Auftragsverarbeiter, mit der plötzlich Firmen, die im Auftrag anderer handeln, auch datenschutzrechtliche Verantwortung tragen (etwa Webhoster). Hier wird viel zu klären sein, wahrscheinlich durch Gerichte. Je nach Definition und Sichtweise gehen "Experten" (z.B. einige Verbraucherschutzanwälte) davon aus, dass sogar jede Arztpraxis einen DSB bräuchte, während andere meinen, dem sei nicht so.
bei der IHK wurde das gesagt und geschrieben:
Es gilt eine europaweite Pflicht zur Bestellung eines Datenschutzbeauftragten
Unternehmen mit mehr als 9 Mitarbeitern, die computergestützt mit personenbezogenen Daten (also insbesondere Mitarbeiter-und Kundendaten) arbeiten, benötigen gemäß §4 des BDSG einen internen ode rexternen Datenschutzbeauftragten.
Länderspezifische Regelungen der DSGVO differenzieren ab wann eine Bestellpflicht besteht.
In Deutschland gilt weiterhin:
Ab > 9 Mitarbeiter
es grüßt
Werner
<when the music is over, turn off the lights!>
Werner
<when the music is over, turn off the lights!>
Re: EU-Datenschutz-Grundverordnung
Hallo Werner
Du hast zu meinen Aussagen nichts gegenteiliges geschrieben.
Die jeweiligen Notwendigkeiten sind branchenspezifisch unterschiedlich und unterliegen vielen individuellen Einflüssen.
Was von meiner Software automatisch gelöscht werden soll legt mein Kunde fest, der muss auch dafür geradestehen. Der hämmert die Daten in den PC - und hat auch die passende Delete-Taste.
Dafür dass die jeweiligen Datenschutzgegebenheiten eingehalten werden gibt es ja zukünftig den Datenschutzbeauftragten. Wenn der in Absprache mit der Firmenleitung festlegt, dass in mein Programm eine Routine eingebaut werden muss welche regelmäßige Löschungen an bestimmten Stellen vornimmt dann baue ich das ein - aber vorher nicht.
Du hast zu meinen Aussagen nichts gegenteiliges geschrieben.
Die jeweiligen Notwendigkeiten sind branchenspezifisch unterschiedlich und unterliegen vielen individuellen Einflüssen.
Was von meiner Software automatisch gelöscht werden soll legt mein Kunde fest, der muss auch dafür geradestehen. Der hämmert die Daten in den PC - und hat auch die passende Delete-Taste.
Dafür dass die jeweiligen Datenschutzgegebenheiten eingehalten werden gibt es ja zukünftig den Datenschutzbeauftragten. Wenn der in Absprache mit der Firmenleitung festlegt, dass in mein Programm eine Routine eingebaut werden muss welche regelmäßige Löschungen an bestimmten Stellen vornimmt dann baue ich das ein - aber vorher nicht.
- Tom
- Der Entwickler von "Deep Thought"
- Beiträge: 9361
- Registriert: Do, 22. Sep 2005 23:11
- Wohnort: Berlin
- Hat sich bedankt: 101 Mal
- Danksagung erhalten: 361 Mal
- Kontaktdaten:
Re: EU-Datenschutz-Grundverordnung
Hallo, Werner.
Wenn mehr als 9 oder 10 Personen überwiegend damit befasst sind, personenbezogene Daten zu verarbeiten, dann ist ein DSB einzusetzen. Das sind 9 Mitarbeiter, die während ihrer Arbeitszeit Daten verarbeiten und sonst nicht viel anderes machen.
Die strengen Löschvorschriften und -fristen dürften im vertikalen Geschäftsverkehr weitgehend irrelevant sein. Da geht es im Kern um andere Vorgänge, etwa Dienstanbieter, Online-Shops und ähnliches, um Profilingservices und ähnliche Strukturen. Die Datenschutzverordnung darf sich nicht mit finanzrechtlichen Vorschriften beißen. Facebook - mit der Verordnung wird für alle Anbieter das Marktortprinzip eingeführt, weg vom Standortprinzip - muss mein Profil und meine Daten auf Wunsch vollständig löschen, wobei auch für Facebook Ausnahmen gelten*. Aber wenn ich über Facebook Werbung geschaltet habe, bin ich plötzlich deren Kunde, ggf. sogar ein gewerblicher. Die Daten, die diese Vorgänge betreffen, müssen weiterhin vorgehalten werden (können). Wie gesagt, die strikten Löschvorschriften und das Recht auf Vergessenwerden betreffen vor allem das Onlinegeschehen. Sie gelten natürlich in gewissen Konstellationen auch für die nach außen abgeschottete, gewerbliche Datenhaltung, aber der Geschäftsverkehr muss weiterhin gewährleistet sein.
*etwa, wenn es um die Dokumentations- und Datenhaltungspflichten geht, wenn zivil- oder strafrechtliche Auseinandersetzungen anstehen
Wenn mehr als 9 oder 10 Personen überwiegend damit befasst sind, personenbezogene Daten zu verarbeiten, dann ist ein DSB einzusetzen. Das sind 9 Mitarbeiter, die während ihrer Arbeitszeit Daten verarbeiten und sonst nicht viel anderes machen.
Die strengen Löschvorschriften und -fristen dürften im vertikalen Geschäftsverkehr weitgehend irrelevant sein. Da geht es im Kern um andere Vorgänge, etwa Dienstanbieter, Online-Shops und ähnliches, um Profilingservices und ähnliche Strukturen. Die Datenschutzverordnung darf sich nicht mit finanzrechtlichen Vorschriften beißen. Facebook - mit der Verordnung wird für alle Anbieter das Marktortprinzip eingeführt, weg vom Standortprinzip - muss mein Profil und meine Daten auf Wunsch vollständig löschen, wobei auch für Facebook Ausnahmen gelten*. Aber wenn ich über Facebook Werbung geschaltet habe, bin ich plötzlich deren Kunde, ggf. sogar ein gewerblicher. Die Daten, die diese Vorgänge betreffen, müssen weiterhin vorgehalten werden (können). Wie gesagt, die strikten Löschvorschriften und das Recht auf Vergessenwerden betreffen vor allem das Onlinegeschehen. Sie gelten natürlich in gewissen Konstellationen auch für die nach außen abgeschottete, gewerbliche Datenhaltung, aber der Geschäftsverkehr muss weiterhin gewährleistet sein.
*etwa, wenn es um die Dokumentations- und Datenhaltungspflichten geht, wenn zivil- oder strafrechtliche Auseinandersetzungen anstehen
Herzlich,
Tom
Tom
- Werner_Bayern
- Der Entwickler von "Deep Thought"
- Beiträge: 2126
- Registriert: Sa, 30. Jan 2010 22:58
- Wohnort: Niederbayern
- Hat sich bedankt: 30 Mal
- Danksagung erhalten: 75 Mal
Re: EU-Datenschutz-Grundverordnung
Servus Roland,
Deine Kunden verarbeiten doch auch personenbezogene Daten mit Deiner Software? Jetzt verlangt - aus welchem Grund auch immer - ein Kunde Deines Kunden die Löschung all seiner Daten. Kannst Du gewährleisten, dass danach nichts Relevantes mehr über diesen einen Kunden gespeichert ist? In keiner DBF, keiner Logdatei, keiner Archivierung (die evtl. Dein Programm macht), nirgends mehr? Kann Dein Kunde jetzt schon mit Deiner Software entsprechende Mitteilungen automatisch oder halbautomatisch generieren um damit
Wie geschrieben, die Anforderungen gehen noch weiter, dazu hab ich aber aktuell nicht die nötigen Quellen vorliegen, nur handschriftliche Notizen meiner 2 MA. Das muss ich nächste Woche noch mit ihnen klären.
10500 Funktionen und Proceduren, Du kannst gewährleisten, dass Du nichts in Bezug auf DSV ändern musst?499 x PRG mit rd. 10500 Functions und Procedures,
64 x EXE mit rd. 164 MB (davon nur ca. 20 Haupt-Projekte, Rest = Tools),
29 x DLL mit rd. 44 MB,
Das größte Menü hat ca. 350 Einträge.
Deine Kunden verarbeiten doch auch personenbezogene Daten mit Deiner Software? Jetzt verlangt - aus welchem Grund auch immer - ein Kunde Deines Kunden die Löschung all seiner Daten. Kannst Du gewährleisten, dass danach nichts Relevantes mehr über diesen einen Kunden gespeichert ist? In keiner DBF, keiner Logdatei, keiner Archivierung (die evtl. Dein Programm macht), nirgends mehr? Kann Dein Kunde jetzt schon mit Deiner Software entsprechende Mitteilungen automatisch oder halbautomatisch generieren um damit
Hast Du jetzt schon die Passwortrichtlinien in Deinen Programmen, die ich zitiert habe?allen Empfängern, denen personenbezogene Daten offengelegt wurden, jede Löschung der personenbezogenen mitzuteilen
Wie geschrieben, die Anforderungen gehen noch weiter, dazu hab ich aber aktuell nicht die nötigen Quellen vorliegen, nur handschriftliche Notizen meiner 2 MA. Das muss ich nächste Woche noch mit ihnen klären.
es grüßt
Werner
<when the music is over, turn off the lights!>
Werner
<when the music is over, turn off the lights!>
- Werner_Bayern
- Der Entwickler von "Deep Thought"
- Beiträge: 2126
- Registriert: Sa, 30. Jan 2010 22:58
- Wohnort: Niederbayern
- Hat sich bedankt: 30 Mal
- Danksagung erhalten: 75 Mal
Re: EU-Datenschutz-Grundverordnung
Servus Tom,
in der Schulung wurde da offensichtlich nicht unterschieden, ob überwiegend oder nicht. Vermutlich, um sich die Diskussionen drüber zu sparen? Das gilt es zu klären, ist ein wichtiges Detail.
Löschvorschriften: Klar, da bin ich zu 100% bei Dir, das höhere Recht (z. B. gesetzl. Aufbewahrungsfristen) sticht. Aber, wie schon zu Roland geschrieben, die Leute können das Löschen verlangen, nicht nur von Dienstanbietern. Es könnte doch von mir ein Kunde / Interessent verlangen, dass ich all seine Daten lösche, weil er das so will. Dann muss ich dem nachkommen - im gesetzlichen Rahmen. Dann muss ich das z. B. auch meinen Web-Hoster (Shop- und HP-Betreuer) mitteilen, dass er den ehemaligen Kunden von meiner Referenzliste streicht, aus allen Sicherungen, Protokollen, Logs, Bewertungen von Artikeln und Beiträgen etc.? Was ist mit dem entsprechenden Mailverkehr?
Da wird noch vieles gerichtlich zu klären sein...
in der Schulung wurde da offensichtlich nicht unterschieden, ob überwiegend oder nicht. Vermutlich, um sich die Diskussionen drüber zu sparen? Das gilt es zu klären, ist ein wichtiges Detail.
Löschvorschriften: Klar, da bin ich zu 100% bei Dir, das höhere Recht (z. B. gesetzl. Aufbewahrungsfristen) sticht. Aber, wie schon zu Roland geschrieben, die Leute können das Löschen verlangen, nicht nur von Dienstanbietern. Es könnte doch von mir ein Kunde / Interessent verlangen, dass ich all seine Daten lösche, weil er das so will. Dann muss ich dem nachkommen - im gesetzlichen Rahmen. Dann muss ich das z. B. auch meinen Web-Hoster (Shop- und HP-Betreuer) mitteilen, dass er den ehemaligen Kunden von meiner Referenzliste streicht, aus allen Sicherungen, Protokollen, Logs, Bewertungen von Artikeln und Beiträgen etc.? Was ist mit dem entsprechenden Mailverkehr?
Da wird noch vieles gerichtlich zu klären sein...
es grüßt
Werner
<when the music is over, turn off the lights!>
Werner
<when the music is over, turn off the lights!>
Re: EU-Datenschutz-Grundverordnung
Weiß ich nicht - geht mich als Softwareentwickler nichts an was die Anwender speichern. Das unterliegt dem Datenschutz. Wenn einer den Überblick hat ist das er entsprechende Admin.Werner_Bayern hat geschrieben: ↑Fr, 23. Mär 2018 18:43Deine Kunden verarbeiten doch auch personenbezogene Daten mit Deiner Software?
JA - wenn MEIN Kunde das wünscht.Werner_Bayern hat geschrieben: ↑Fr, 23. Mär 2018 18:43Jetzt verlangt - aus welchem Grund auch immer - ein Kunde Deines Kunden die Löschung all seiner Daten. Kannst Du gewährleisten, dass danach nichts Relevantes mehr über diesen einen Kunden gespeichert ist? In keiner DBF, keiner Logdatei, keiner Archivierung (die evtl. Dein Programm macht), nirgends mehr?
JA - wenn MEIN Kunde das wünscht.Werner_Bayern hat geschrieben: ↑Fr, 23. Mär 2018 18:43Kann Dein Kunde jetzt schon mit Deiner Software entsprechende Mitteilungen automatisch oder halbautomatisch generieren...
Ich glaube, dass keiner der Anwender meiner Software jemals irgendwelche in meiner Software gespeicherten kundenbezogene Daten mit meiner Software irgendwie offengelegt hat. Das ist doch aus Datenschutzgründen schon lange verboten.Werner_Bayern hat geschrieben: ↑Fr, 23. Mär 2018 18:43...um damit allen Empfängern, denen personenbezogene Daten offengelegt wurden, jede Löschung der personenbezogenen mitzuteilen
JA - das kann man aber - wie bei Microsoft - per Richtlinie abschalten.Werner_Bayern hat geschrieben: ↑Fr, 23. Mär 2018 18:43Hast Du jetzt schon die Passwortrichtlinien in Deinen Programmen, die ich zitiert habe?
Gegenfrage:
Willst DU als Softwareentwickler EU-Vorschriften mit Deinem Programm Deinen Kunden aufs Auge drücken und riskieren, dass der eine oder andere Kunde sich ein Neues Programm sucht welches so arbeitet wie er es will?
Re: EU-Datenschutz-Grundverordnung
Seit einigen Monaten kommen immer mehr verunsicherte Klein-/Einzelunternehmer auf mich zu bezüglich der neuen EU-Verordnungen. Je kleiner die Firma um so unsicherer die Vorstellungen über die Vorschriften.
In mittelständischen und größeren Firmen scheint das nebensächlich.
IHK/Handwerkskammern/Steuerberater/Rechtsanwälte hatten bisher vernünftige Antworten - seid kurzem steigen alle auf das Thema ein und bieten Schulungen, Fortbildungen usw. - auf einmal scheint ein "Geschäft" daraus zu werden.
Mir erklärte vor kurzem einer der schon länger mit der Materie zu tun hat "die neuen Vorschriften" ungefähr so: "...die Vorschriften gibt es schon länger - nur wenn DIE jetzt einen packen dann wird es um ein vielfaches teurer..."
Es ist sehr ärgerlich, dass Hinz und Kunz auf das Thema anspringt und Geschäftemacher auf den Plan ruft.
Eigentlich sollte uns das erst persönlich betreffen wenn eine Entscheidung unserer Bundes-/Landesregierung vorliegt welche für den Einzelnen klarheit schafft. Ich denke, dass wir darauf lange drauf warten können/müssen...
In mittelständischen und größeren Firmen scheint das nebensächlich.
IHK/Handwerkskammern/Steuerberater/Rechtsanwälte hatten bisher vernünftige Antworten - seid kurzem steigen alle auf das Thema ein und bieten Schulungen, Fortbildungen usw. - auf einmal scheint ein "Geschäft" daraus zu werden.
Mir erklärte vor kurzem einer der schon länger mit der Materie zu tun hat "die neuen Vorschriften" ungefähr so: "...die Vorschriften gibt es schon länger - nur wenn DIE jetzt einen packen dann wird es um ein vielfaches teurer..."
Es ist sehr ärgerlich, dass Hinz und Kunz auf das Thema anspringt und Geschäftemacher auf den Plan ruft.
Eigentlich sollte uns das erst persönlich betreffen wenn eine Entscheidung unserer Bundes-/Landesregierung vorliegt welche für den Einzelnen klarheit schafft. Ich denke, dass wir darauf lange drauf warten können/müssen...
- Werner_Bayern
- Der Entwickler von "Deep Thought"
- Beiträge: 2126
- Registriert: Sa, 30. Jan 2010 22:58
- Wohnort: Niederbayern
- Hat sich bedankt: 30 Mal
- Danksagung erhalten: 75 Mal
Re: EU-Datenschutz-Grundverordnung
Servus Roland,
Deine 1. Antwort - warum so sarkastisch?
Ansonsten, bin echt beeindruckt, dass Du das alles gewährleisten kannst. Du speicherst also jetzt schon mind. die letzten 10 Passwörter Deiner Benutzer, lässt diese nicht mehr zu, verlangst regelmäßig neue Passwörter und hast die beschriebenen Komplexitätsanforderungen.
Welche Art von Software machst Du - außer Fibu? Es werden also keinerlei personenbezogene Daten weitergegeben, keine Schnittstellen, keine Kommunikation?
Zu Deiner Gegenfrage: Selbstverständlich! Selbstverständlich werden wir weiterhin mindestens das Nötige umsetzen, damit unsere Kunden der geforderten DSV gerecht werden können. Was sie davon umsetzen, bleibt ihnen überlassen. Es gibt z. B. jetzt schon die Möglichkeit, das Löschprotokoll (wer hat was wann gelöscht) abzuschalten. Der Kunde bekommt dann einen protokollierten deutlichen Hinweis, welche Konsequenzen das hat. Die Entscheidung liegt immer beim Kunden - die Werkzeuge kommen von uns.
Folgende Punkte daraus betreffen uns Softwareentwickler mehr oder weniger:
Deine 1. Antwort - warum so sarkastisch?
Ansonsten, bin echt beeindruckt, dass Du das alles gewährleisten kannst. Du speicherst also jetzt schon mind. die letzten 10 Passwörter Deiner Benutzer, lässt diese nicht mehr zu, verlangst regelmäßig neue Passwörter und hast die beschriebenen Komplexitätsanforderungen.
Welche Art von Software machst Du - außer Fibu? Es werden also keinerlei personenbezogene Daten weitergegeben, keine Schnittstellen, keine Kommunikation?
Zu Deiner Gegenfrage: Selbstverständlich! Selbstverständlich werden wir weiterhin mindestens das Nötige umsetzen, damit unsere Kunden der geforderten DSV gerecht werden können. Was sie davon umsetzen, bleibt ihnen überlassen. Es gibt z. B. jetzt schon die Möglichkeit, das Löschprotokoll (wer hat was wann gelöscht) abzuschalten. Der Kunde bekommt dann einen protokollierten deutlichen Hinweis, welche Konsequenzen das hat. Die Entscheidung liegt immer beim Kunden - die Werkzeuge kommen von uns.
Die, die ich kenne, haben das längst umgesetzt.In mittelständischen und größeren Firmen scheint das nebensächlich.
Am 25.05.2018 tritt das neue BDSG in Kraft.Eigentlich sollte uns das erst persönlich betreffen wenn eine Entscheidung unserer Bundes-/Landesregierung vorliegt welche für den Einzelnen klarheit schafft. Ich denke, dass wir darauf lange drauf warten können/müssen...
Folgende Punkte daraus betreffen uns Softwareentwickler mehr oder weniger:
Bei uns gibt es diesbezüglich noch viel zu tun.TOM´s nach §4 BDSG (neu)
Datenträgerkontrolle
Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern.
Speicherkontrolle
Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten.
Benutzerkontrolle
Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte.
Zugriffskontrolle
Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben.
Übertragungskontrolle
Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können
Eingabekontrolle
Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind.
Transportkontrolle
Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden.
Wiederherstellbarkeit
Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können.
Zuverlässigkeit
Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden
Datenintegrität
Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können
Auftragskontrolle
Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können
Verfügbarkeitskontrolle
Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind
Trennbarkeit
Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können
es grüßt
Werner
<when the music is over, turn off the lights!>
Werner
<when the music is over, turn off the lights!>
Re: EU-Datenschutz-Grundverordnung
Werner - warum gehst Du davon aus, dass Ich/Du das alles hebeln musst?
Wie ich das schon X-Mal geschrieben habe - da ist jede Firma selbst dafür verantwortlich - nicht der Softwareentwickler. Es sei denn es wird vom Kunden gefordert!
Ich mache alles was der Kunde will.
Wenn der will dass die Software so arbeitet wie das Finanzamt das will mache ich das,
wenn der will dass die Software so arbeitet wie die EU das will mache ich das,
wenn der eigene Vorstellungen hat mache ich das so...
Wo liegt das Problem?
UND alle anderen Einwände Deinerseits bezüglich Daten beim Kunden sind selbstverständlich.
Egal ob es Verarbeitungsbetriebe, Banken, Krankenkassen usw. sind.
Seriöse Firmen arbeiten schon lange mehr als verantwortlich mit persönlichen Kundendaten.
Alte Traditionsbetriebe sind mit erfassten Informationen schon behutsam umgegangen da wurden die noch auf Papier erfasst und nicht auf HDDs.
Man könnte meine, dass mit den "neuen" EU-Verordnungen jeder der einen Computer verwendet unter Generalverdacht gestellt wird - und wir machen mit. Aber ohne mich!
Wie ich das schon X-Mal geschrieben habe - da ist jede Firma selbst dafür verantwortlich - nicht der Softwareentwickler. Es sei denn es wird vom Kunden gefordert!
Ich mache alles was der Kunde will.
Wenn der will dass die Software so arbeitet wie das Finanzamt das will mache ich das,
wenn der will dass die Software so arbeitet wie die EU das will mache ich das,
wenn der eigene Vorstellungen hat mache ich das so...
Wo liegt das Problem?
UND alle anderen Einwände Deinerseits bezüglich Daten beim Kunden sind selbstverständlich.
Egal ob es Verarbeitungsbetriebe, Banken, Krankenkassen usw. sind.
Seriöse Firmen arbeiten schon lange mehr als verantwortlich mit persönlichen Kundendaten.
Alte Traditionsbetriebe sind mit erfassten Informationen schon behutsam umgegangen da wurden die noch auf Papier erfasst und nicht auf HDDs.
Man könnte meine, dass mit den "neuen" EU-Verordnungen jeder der einen Computer verwendet unter Generalverdacht gestellt wird - und wir machen mit. Aber ohne mich!
- Manfred
- Foren-Administrator
- Beiträge: 21192
- Registriert: Di, 29. Nov 2005 16:58
- Wohnort: Kreis Wesel
- Hat sich bedankt: 210 Mal
- Danksagung erhalten: 67 Mal
Re: EU-Datenschutz-Grundverordnung
Also Roland, ich muß doch sehr bitten......
Gruß Manfred
Mitglied der XUG Osnabrück
Schatzmeister des Deutschsprachige Xbase-Entwickler e.V.
großer Fan des Xbaseentwicklerwiki https://wiki.xbaseentwickler.de/index.p ... Hauptseite
Doof kann man sein, man muß sich nur zu helfen wissen!!
Mitglied der XUG Osnabrück
Schatzmeister des Deutschsprachige Xbase-Entwickler e.V.
großer Fan des Xbaseentwicklerwiki https://wiki.xbaseentwickler.de/index.p ... Hauptseite
Doof kann man sein, man muß sich nur zu helfen wissen!!
Re: EU-Datenschutz-Grundverordnung
@Manfred
Hast Recht, habe vergessen dass das ja bei den meisten Dingen so ist...
Hast Recht, habe vergessen dass das ja bei den meisten Dingen so ist...
- Klaus Schuster
- Foren-Administrator
- Beiträge: 367
- Registriert: Do, 24. Jan 2008 10:01
- Wohnort: 90762 Fürth
- Hat sich bedankt: 9 Mal
- Danksagung erhalten: 9 Mal
Re: EU-Datenschutz-Grundverordnung
Die erste Abmahnwelle wird imho fehlerhafte Webseiten betreffen. Dies betrifft zum einen den Einsatz von Cookies, zum anderen die erforderlichen Informationen, die dem Kunden/der Kundin mitgeteilt werden müssen.
Bisher war es ausreichend den Besucher darüber zu informieren, dass Cookies genutzt werden (wie es das Forum tut). In Zukunft muss der Kunde gefragt werden, ob diese eingesetzt werden dürfen. Verneint er dies, muss er dennoch die Seite besuchen können, ohne das Cookies angelegt werden dürfen. Im Moment geht die Diskussion wohl noch über eine Differenzierung von rein technisch notwendigen Session-Cookies (die dann keinerlei verfolgbare Daten sammeln dürften) und den restlichen. Ob reine Session-Cookies ohne Zustimmung eingesetzt werden können, oder nicht, werden wohl erst die Gerichte klären.
Bisher war es ausreichend den Besucher darüber zu informieren, dass Cookies genutzt werden (wie es das Forum tut). In Zukunft muss der Kunde gefragt werden, ob diese eingesetzt werden dürfen. Verneint er dies, muss er dennoch die Seite besuchen können, ohne das Cookies angelegt werden dürfen. Im Moment geht die Diskussion wohl noch über eine Differenzierung von rein technisch notwendigen Session-Cookies (die dann keinerlei verfolgbare Daten sammeln dürften) und den restlichen. Ob reine Session-Cookies ohne Zustimmung eingesetzt werden können, oder nicht, werden wohl erst die Gerichte klären.
Gruß Klaus
- nightcrawler
- 1000 working lines a day
- Beiträge: 651
- Registriert: Di, 24. Apr 2012 16:33
- Wohnort: 72184 Weitingen
- Hat sich bedankt: 3 Mal
- Danksagung erhalten: 96 Mal
- Kontaktdaten:
Re: EU-Datenschutz-Grundverordnung
Sofern Du keine besonderen personenbezogene Daten hast ... ab dem 1. Mitarbeiter hast Du schon Religion und Gesundheit drauf (insofern Du die Lohnabrechnung selbst machst und dabei eben Krankheitstage und Kirchensteuer verwaltest).Werner_Bayern hat geschrieben: ↑Fr, 23. Mär 2018 16:32 In Deutschland gilt weiterhin:
Ab > 9 Mitarbeiter
- Werner_Bayern
- Der Entwickler von "Deep Thought"
- Beiträge: 2126
- Registriert: Sa, 30. Jan 2010 22:58
- Wohnort: Niederbayern
- Hat sich bedankt: 30 Mal
- Danksagung erhalten: 75 Mal
Re: EU-Datenschutz-Grundverordnung
Servus Joachim,
hab grad bei meinen 2 MA nochmal nachgefragt: In der EU-Verordnung steht nichts über > 9 Personen. Aber im BDSG (neu), § 38:
hab grad bei meinen 2 MA nochmal nachgefragt: In der EU-Verordnung steht nichts über > 9 Personen. Aber im BDSG (neu), § 38:
Das ist genau das, was Tom weiter oben geschrieben hat. Gilt also so nur in Deutschland. Was genau jetzt in der EU-Verordnung diesbezüglich drin steht, kann ich nicht sagen. Lt. BDSG würde das also nicht zutreffen, was Du geschrieben hast - wenn ich Dich richtig verstanden habe.(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.
es grüßt
Werner
<when the music is over, turn off the lights!>
Werner
<when the music is over, turn off the lights!>
- Tom
- Der Entwickler von "Deep Thought"
- Beiträge: 9361
- Registriert: Do, 22. Sep 2005 23:11
- Wohnort: Berlin
- Hat sich bedankt: 101 Mal
- Danksagung erhalten: 361 Mal
- Kontaktdaten:
Re: EU-Datenschutz-Grundverordnung
Nationales Recht darf hier weitergehend sein. Die Verordnung legt keine genaue Mitarbeiterzahl fest, aber in Deutschland und Österreich (sonst übrigens bislang nirgends) haben die Gesetzgeber nachgezogen. Das neue BDSG füllt die Lücken, die die Grundverordnung absichtlich lässt, und es tritt gleichzeitig mit der Grundverordnung in Kraft. Damit ist ein DSB verbindlich bei Behörden und bei Firmen und Firmengruppen mit mehr als 9 Mitarbeitern, die überwiegend mit der Verarbeitung personenbezogener Daten befasst sind.
Das ist so nicht richtig. Nicht die Entwickler, sondern die Anwender von Software sind für den Datenschutz zuständig. Im Prinzip fasst das BDSG da auch nicht viel Neues zusammen. Wenn unsere Kunden Hilfe dabei brauchen, für bestimmte Abläufe zu sorgen, können wir diese Hilfe gewähren, aber wir sind nicht qua Gesetz dazu verpflichtet, die Software vorauseilend so zu gestalten.
Code: Alles auswählen
Folgende Punkte daraus betreffen uns Softwareentwickler mehr oder weniger:
Herzlich,
Tom
Tom
- HaPe
- 1000 working lines a day
- Beiträge: 996
- Registriert: So, 15. Nov 2015 17:44
- Wohnort: 71665 Vaihingen-Enz
- Hat sich bedankt: 17 Mal
- Danksagung erhalten: 15 Mal
Re: EU-Datenschutz-Grundverordnung
Hallo Zusammen !
Als Ersteller dieses Threads freue ich mich über die rege Diskussion und die Infos die bisher hier gegeben wurden
Mir hilft diese Information da ich gerade für einen Kunden eine komplett neue Version meiner Software seinen Bedürfnissen anpasse.
Der Kunde hat maximal 2 oder 3 Mitarbeiter die (bisher "unempfindliche") Kundendaten neu anlegen und pflegen.
Bisher wurden Adressen, Ansprechpartner und Kommunikationsdaten hinterlegt; seine Kunden sind nur Firmen-Kunden.
Persönliche Daten wie Geburtstag, Konfession, usw. aber auch Firmendaten wie Bankverbindungen, Umsatzsteuer-ID hat er nicht erfasst.
Private Kunden oder einen Webshop betreibt er nicht.
Es scheint ich muss jetzt nichts wichtiges bei meiner Software berücksichtigen.
Als Ersteller dieses Threads freue ich mich über die rege Diskussion und die Infos die bisher hier gegeben wurden
Mir hilft diese Information da ich gerade für einen Kunden eine komplett neue Version meiner Software seinen Bedürfnissen anpasse.
Der Kunde hat maximal 2 oder 3 Mitarbeiter die (bisher "unempfindliche") Kundendaten neu anlegen und pflegen.
Bisher wurden Adressen, Ansprechpartner und Kommunikationsdaten hinterlegt; seine Kunden sind nur Firmen-Kunden.
Persönliche Daten wie Geburtstag, Konfession, usw. aber auch Firmendaten wie Bankverbindungen, Umsatzsteuer-ID hat er nicht erfasst.
Private Kunden oder einen Webshop betreibt er nicht.
Es scheint ich muss jetzt nichts wichtiges bei meiner Software berücksichtigen.
--
Hans-Peter
Hans-Peter
-
- UDF-Programmierer
- Beiträge: 63
- Registriert: Mi, 23. Dez 2015 22:46
- Hat sich bedankt: 21 Mal
- Danksagung erhalten: 4 Mal
Re: EU-Datenschutz-Grundverordnung
Dazu mal eine Frage in die Runde. Ist der Ansprechpartner einer Firma eine natürliche Person deren Daten schützenswert sind? Es ist ja im Endeffekt nichts zu dieser Person gespeichert, sondern zum Betrieb. So wie ich es verstanden habe, ist die dsgvo ja zum Schutz natürlicher Personen...
Grüße von Philipp
Re: EU-Datenschutz-Grundverordnung
Hallo SAMMLER (...Name?)
der Sachbearbeiter in einer Firma ist eine natürliche Person.
Wenn Du von dem Geburtsdatum, Krankenkasse usw. speicherst ist das problematisch.
der Sachbearbeiter in einer Firma ist eine natürliche Person.
Wenn Du von dem Geburtsdatum, Krankenkasse usw. speicherst ist das problematisch.