EU-Datenschutz-Grundverordnung

Sonstiges (nicht kategorisierbar)

Moderator: Moderatoren

Benutzeravatar
HaPe
Foren-Moderator
Foren-Moderator
Beiträge: 459
Registriert: So, 15. Nov 2015 17:44
Wohnort: 71665 Vaihingen-Enz

EU-Datenschutz-Grundverordnung

Beitrag von HaPe » Mo, 19. Mär 2018 8:46

Hallo Zusammen !

Der Titel ist sicher jedem ein Begriff, was es aber für Auswirkungen für uns als Software-Entwickler hat konnte ich bisher nur durch eine Nebelwand erkennen :shock:
Mir geht es dabei als Einzelkämpfer weniger um den eigenen Betrieb sondern darum welche Werkzeuge unsere Software dem Kunde zur Verfügung stellen muß damit der die EU-Datenschutz-Grundverordnung in seinem Betrieb vorschriftsgemäß anwenden kann. Folgendes (sehr weniges) habe ich bisher erfahren:
- Kundendaten ohne Umsatz nach 6 Monaten sind zu löschen, zb. keine Newsletter mehr an diese Kunden senden.
- Der Kunde/Lieferant unseres Software-Kunden muss schriftlich zustimmen das seine Adresse länger als 6 Monate gespeichert werden darf.
- Betriebe mit mehr als 9 oder doch 10 Mitarbeiter benötigen einen benannten Datenschutzbeauftragten. Es kann auch ein externer Berater sein.

Welche weiteren Funktionen/Optionen müssen wir für ein WWS noch zur Verfügung stellen?
--
Hans-Peter

Organisator der XUG Stuttgart
Beisitzer des Deutschsprachige Xbase-Entwickler e. V.

Benutzeravatar
Tom
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 7142
Registriert: Do, 22. Sep 2005 23:11
Wohnort: Berlin
Kontaktdaten:

Re: EU-Datenschutz-Grundverordnung

Beitrag von Tom » Mo, 19. Mär 2018 9:15

Hallo, Hans-Peter.

Wo hast Du das erfahren, was Du da erfahren haben willst? Ich war auf Veranstaltungen des TÜV Nord zum Thema und habe da andere Informationen eingesammelt. Der DSB ist unbedingt erforderlich, wenn es um Behörden geht, ab bestimmten Betriebsgrößen (aber in weit größeren Größenordnungen, als Du sie beschreibst) und wenn die Kerntätigkeit eines Unternehmens bestimmte Vorgänge umfasst, grob gesagt in der Hauptsache die Verarbeitung personenbezogener Daten (das machen wir Softwarehersteller in der Regel nicht). Dadurch kann es sein, dass schon ein Ein-Mann-Betrieb einen DSB benötigt, während ein anderer Laden mit über 100 Mitarbeitern keinen braucht. Neu ist die Definition der Auftragsverarbeiter, mit der plötzlich Firmen, die im Auftrag anderer handeln, auch datenschutzrechtliche Verantwortung tragen (etwa Webhoster). Hier wird viel zu klären sein, wahrscheinlich durch Gerichte. Je nach Definition und Sichtweise gehen "Experten" (z.B. einige Verbraucherschutzanwälte) davon aus, dass sogar jede Arztpraxis einen DSB bräuchte, während andere meinen, dem sei nicht so.

Es gibt auch keine konkreten Fristen (vom Inkrafttreten abgesehen: 25. Mai), weder für die Speicherung von Kundendaten, noch für Newsletter oder ähnliches. Es gibt aber tatsächlich viele Vorschriften, die da zu beachten sind. Jeder hat ab Ende Mai das Recht auf Löschung seiner Daten, aber es gibt natürlich Ausnahmen, vor allem im Geschäftsverkehr. Wenn Du als Firma diese Daten Deiner Ex-Kunden noch benötigst, und das kann für 10 Jahre der Fall sein, darfst Du sie auch weiterhin speichern, selbst nach Vertragsende. Sehr wichtig ist das Auskunftsrecht, das in jedem Fall beachtet und auf das reagiert werden muss, selbst wenn Personen anfragen, mit denen man noch nie zu tun hatte. Und, und, und. Ich empfehle, sich die entsprechenden Veranstaltungen anzutun, das kann nicht schaden.

An den Softwaresystemen muss man grundsätzlich überhaupt nichts machen. Es geht nicht um Datensicherheit, sondern um Datenschutz. Dazu gehört die Datensicherheit zwar auch, aber nicht auf Verordnungsebene. Man muss keine Automatismen bereitstellen, die Daten löschen oder so. Diese Verantwortung haben die Leute, die die Software benutzen.

Relativ wichtig ist, eine sinnvolle Datenschutzerklärung auf der eigenen Website zu haben, insofern über diese Website datenschutzrelevante Prozesse ausgelöst werden können. Die Newsletter, die Du erwähnt hast, müssen ab Ende Mai ebenso leicht kündbar sein, wie man sie vorher abonnieren konnte. Bei solchen Systemen ist ab dann auch vom Opt-Out abzuraten, besser wäre ein doppeltes Opt-In.

Es gibt noch viele originelle Dinge, die sehr interessant werden können. Zum Beispiel das Verbot des Profilings bei Minderjährigen - ich bin sehr gespannt, wie Amazon & Co. das hinbekommen wollen. Oder das Recht auf komplette Datenmitnahme, wenn man einen Anbieter wechselt, der Daten verarbeitet - vom Fitnesstracker bis hin zum sozialen Netzwerk. Wie will mir Facebook meine kompletten Daten mitgeben, wenn ich zu Google+ gehe? Das wird noch sehr spannend. Und unterm Strich ist die neue Verordnung ein sehr, sehr guter Schritt hin zurück zum Datenschutz, der während der vergangenen zwei Jahrzehnte ziemlich ins Hintertreffen geraten ist.
Herzlich,
Tom

Benutzeravatar
HaPe
Foren-Moderator
Foren-Moderator
Beiträge: 459
Registriert: So, 15. Nov 2015 17:44
Wohnort: 71665 Vaihingen-Enz

Re: EU-Datenschutz-Grundverordnung

Beitrag von HaPe » Mo, 19. Mär 2018 9:37

Hallo Tom !

Danke für dein Statement.

Ich hatte gehofft dass du einer ersten bist der antwortet.
Wo hast Du das erfahren, was Du da erfahren haben willst?
Kundendaten ohne Umsatz nach 6 Monaten sind zu löschen
Auf dem XuG-Treffen Stuttgart am letzten Freitag.
zb. keine Newsletter mehr an diese Kunden senden
Wirtschaftsteil in meiner Zeitung
Der Kunde/Lieferant unseres Software-Kunden muss schriftlich zustimmen das seine Adresse länger als 6 Monate gespeichert werden darf
Auf dem XuG-Treffen Stuttgart am letzten Freitag.
Betriebe mit mehr als 9 oder doch 10 Mitarbeiter benötigen einen benannten Datenschutzbeauftragten. Es kann auch ein externer Berater sein.
Wirtschaftsteil in meiner Zeitung und Gespräch mit Kollegen
Man muss keine Automatismen bereitstellen, die Daten löschen oder so. Diese Verantwortung haben die Leute, die die Software benutzen.
Das Letztere hatte ich bisher auch so verstanden.
Wenn ich bei der Umstellung auf eine neue Software bin kann ich dem Kunden Werkzeuge dafür zur Verfügung stellen.
--
Hans-Peter

Organisator der XUG Stuttgart
Beisitzer des Deutschsprachige Xbase-Entwickler e. V.

Benutzeravatar
Tom
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 7142
Registriert: Do, 22. Sep 2005 23:11
Wohnort: Berlin
Kontaktdaten:

Re: EU-Datenschutz-Grundverordnung

Beitrag von Tom » Mo, 19. Mär 2018 9:54

Hallo, Hans-Peter.

Es gibt eine Auslegung der Datenschutz-Grundverordnung, die besagt, dass ein Datenschutzbeauftragter eingestellt werden muss, wenn 10 Personen oder mehr im Betrieb ausschließlich mit der Verarbeitung personenbezogener Daten befasst sind (das wären beispielsweise Mitarbeiter in Callcentern, die Adresslisten abtelefonieren und die Erkenntnisse einsammeln). Kleinunternehmer und ähnliche müssen in aller Regel keinen DSB einstellen.

Niemand kann von Dir verlangen, dass Du nach 6 Monaten Kundendaten löschst. Ganz im Gegenteil wird Dir das Finanzamt ganz schön den Marsch blasen, wenn Du das machst. Das hat auch mit dem neuen Recht auf Vergessenwerden nichts zu tun. Im B2B-Verkehr ist das weitergehend irrelevant, im B2C hängt es von der konkreten Situation ab, wofür es Checklisten gibt (ich suche nachher mal nach den Links). Und von diesen eigenartigen Fristen für Newsletter an (ehemalige) Kunden und ähnliches habe ich bislang überhaupt nichts gehört. Neu ist aber zum Beispiel, dass eine schwebende Geschäftsverbindung, die rückwirkend z.B. von einem Gericht für unwirksam erklärt wird, das Recht auf vollständige Löschung mit sich bringt (ex tunc), während nach dem "normalen" Ende einer Geschäftsbeziehung gilt, dass die Daten, die Du aufgrund der sonstigen rechtlichen Gegebenheiten (Buchführung) weiterhin benötigst (ex nunc), auch behalten darfst.
Herzlich,
Tom

DelUser01

Re: EU-Datenschutz-Grundverordnung

Beitrag von DelUser01 » Di, 20. Mär 2018 19:21

Hallo Hans-Peter

die demnächst verschärfte Datenschutz-Grundverordnung hat ja fürs Erste mit der/Deiner Software nichts zu tun. Den Datenschutz muss der jeweilige Nutzer - eher der Inhaber/Geschäftsführer - bezogen auf sein Business umsetzen/einhalten.

Ich hoffe nicht, dass Du Deine Software mit dem Anspruch anbietest den jeweils gültigen Datenschutz einzuhalten.

Individuelle Auftragsprogrammierung kann so ausgelegt werden, dass der Anwender an bestimmte Datenschutzaufgaben erinnert wird. Wenn das ein Entwickler (Verkäufer) zusichert steht er natürlich gegenüber dem Auftraggeber in der Pflicht - aber sicher nicht gegenüber der EU bzw. unseren BRD-Datenschützern.

Gibt es eine Zertifizierungsstelle für Software bezüglich Datenschutz (wie z.B. bei Buchhaltungsprogrammen)?

Benutzeravatar
Werner_Bayern
Programmier-Gott
Programmier-Gott
Beiträge: 1466
Registriert: Sa, 30. Jan 2010 22:58
Wohnort: Niederbayern

Re: EU-Datenschutz-Grundverordnung

Beitrag von Werner_Bayern » Fr, 23. Mär 2018 16:28

DelUser01 hat geschrieben:
Di, 20. Mär 2018 19:21
die demnächst verschärfte Datenschutz-Grundverordnung hat ja fürs Erste mit der/Deiner Software nichts zu tun. Den Datenschutz muss der jeweilige Nutzer - eher der Inhaber/Geschäftsführer - bezogen auf sein Business umsetzen/einhalten.
Servus Roland,

da solltest Du vielleicht doch mal eine Schulung besuchen. 2 MA waren bei der IHK und dort hieß es sehr wohl unter dem Punkt praktische Empfehlung zur Löschpflicht:
Einhaltung der Löschpflichten
•Prüfen und ggf. aktualisieren Sie jede Verarbeitungstätigkeit nach Angabe der Löschfristen!
•Passen Sie ggf. ihre eigens entwickelte Software und IT Systeme an, dass diese Löschfristen und Erfassungszeitpunkte etc. abbilden kann!
•Um den Prozess möglichst zu vereinfachen, empfehlen wir standardisierte Regellöschfristen (Vorhaltefrist + Löschfrist) zu definieren.
•Hierbei muss auch definiert werden, welche Start-Zeitpunkte für die Fristen gelten, d. h. ab wann die Vorhaltefrist zu laufen beginnt. Dies ist i. d. R. der Zeitpunkt, an dem die Daten erhoben werden.
•Alle Datenarten mit der gleichen Regellöschfrist und demselben Startzeitpunkt bilden eine sog. Löschklasse. Diese kann sich, z. B. nach dem Vorliegen der Datenschutz-Einwilligungserklärung richten.
Dies geht sogar soweit:
Löschpflicht
Wie aktuell in §35 Abs. 2 BDSG-alt vorgesehen, bestimmt auch Art. 17 Abs. 1 DSGVO, dass personenbezogene Daten auf Verlangen der betroffenen Person und/oder unter bestimmten Voraussetzungen ohne Verlangen der betroffenen Person eigenständig durch den Verantwortlichen unverzüglich gelöscht werden müssen.
Art. 19 DSGVO verpflichtet den Verantwortlichen, allen Empfängern, denen personenbezogene Daten offengelegt wurden, jede Löschung der personenbezogenen mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden.
Siehe vor allem den 2. Satz.

Desweiteren z. B. zum Thema Passwörter:
Bitte beachten Sie:
Wir empfehlen, z.B. eine Passwortrichtlinie zu definieren und konsequent umzusetzen. Folgende Kriterien können hierbei als Grundlage dienen:
Mindestlänge von 8 oder 10 Zeichen
Komplexitätsanforderungen wie „3 von 4 Zeichenklassen müssen enthalten sein“; als Zeichenklassen dienen [a-z], [A-Z], [0-9] sowie Sonderzeichen
Komplexitätsanforderungen wie „es darf nicht drei Mal hintereinander das gleiche Zeichen vorkommen“
Die letzten 10 Passwörter dürfen nicht wieder verwendet werden
Passworterneuerung alle 3-4 Monate
Dies ist nur ein Teil, der unsere Software betrifft. Wie kommst Du also zu Deiner oben zitierten Aussage?
es grüßt euch

Werner

Benutzeravatar
Werner_Bayern
Programmier-Gott
Programmier-Gott
Beiträge: 1466
Registriert: Sa, 30. Jan 2010 22:58
Wohnort: Niederbayern

Re: EU-Datenschutz-Grundverordnung

Beitrag von Werner_Bayern » Fr, 23. Mär 2018 16:32

Tom hat geschrieben:
Mo, 19. Mär 2018 9:15
Der DSB ist unbedingt erforderlich, wenn es um Behörden geht, ab bestimmten Betriebsgrößen (aber in weit größeren Größenordnungen, als Du sie beschreibst) und wenn die Kerntätigkeit eines Unternehmens bestimmte Vorgänge umfasst, grob gesagt in der Hauptsache die Verarbeitung personenbezogener Daten (das machen wir Softwarehersteller in der Regel nicht). Dadurch kann es sein, dass schon ein Ein-Mann-Betrieb einen DSB benötigt, während ein anderer Laden mit über 100 Mitarbeitern keinen braucht. Neu ist die Definition der Auftragsverarbeiter, mit der plötzlich Firmen, die im Auftrag anderer handeln, auch datenschutzrechtliche Verantwortung tragen (etwa Webhoster). Hier wird viel zu klären sein, wahrscheinlich durch Gerichte. Je nach Definition und Sichtweise gehen "Experten" (z.B. einige Verbraucherschutzanwälte) davon aus, dass sogar jede Arztpraxis einen DSB bräuchte, während andere meinen, dem sei nicht so.
Servus Tom,

bei der IHK wurde das gesagt und geschrieben:
Es gilt eine europaweite Pflicht zur Bestellung eines Datenschutzbeauftragten
Unternehmen mit mehr als 9 Mitarbeitern, die computergestützt mit personenbezogenen Daten (also insbesondere Mitarbeiter-und Kundendaten) arbeiten, benötigen gemäß §4 des BDSG einen internen ode rexternen Datenschutzbeauftragten.
Länderspezifische Regelungen der DSGVO differenzieren ab wann eine Bestellpflicht besteht.
In Deutschland gilt weiterhin:
Ab > 9 Mitarbeiter
es grüßt euch

Werner

DelUser01

Re: EU-Datenschutz-Grundverordnung

Beitrag von DelUser01 » Fr, 23. Mär 2018 16:49

Hallo Werner

Du hast zu meinen Aussagen nichts gegenteiliges geschrieben.
Die jeweiligen Notwendigkeiten sind branchenspezifisch unterschiedlich und unterliegen vielen individuellen Einflüssen.

Was von meiner Software automatisch gelöscht werden soll legt mein Kunde fest, der muss auch dafür geradestehen. Der hämmert die Daten in den PC - und hat auch die passende Delete-Taste.

Dafür dass die jeweiligen Datenschutzgegebenheiten eingehalten werden gibt es ja zukünftig den Datenschutzbeauftragten. Wenn der in Absprache mit der Firmenleitung festlegt, dass in mein Programm eine Routine eingebaut werden muss welche regelmäßige Löschungen an bestimmten Stellen vornimmt dann baue ich das ein - aber vorher nicht.

Benutzeravatar
Tom
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 7142
Registriert: Do, 22. Sep 2005 23:11
Wohnort: Berlin
Kontaktdaten:

Re: EU-Datenschutz-Grundverordnung

Beitrag von Tom » Fr, 23. Mär 2018 17:08

Hallo, Werner.

Wenn mehr als 9 oder 10 Personen überwiegend damit befasst sind, personenbezogene Daten zu verarbeiten, dann ist ein DSB einzusetzen. Das sind 9 Mitarbeiter, die während ihrer Arbeitszeit Daten verarbeiten und sonst nicht viel anderes machen.

Die strengen Löschvorschriften und -fristen dürften im vertikalen Geschäftsverkehr weitgehend irrelevant sein. Da geht es im Kern um andere Vorgänge, etwa Dienstanbieter, Online-Shops und ähnliches, um Profilingservices und ähnliche Strukturen. Die Datenschutzverordnung darf sich nicht mit finanzrechtlichen Vorschriften beißen. Facebook - mit der Verordnung wird für alle Anbieter das Marktortprinzip eingeführt, weg vom Standortprinzip - muss mein Profil und meine Daten auf Wunsch vollständig löschen, wobei auch für Facebook Ausnahmen gelten*. Aber wenn ich über Facebook Werbung geschaltet habe, bin ich plötzlich deren Kunde, ggf. sogar ein gewerblicher. Die Daten, die diese Vorgänge betreffen, müssen weiterhin vorgehalten werden (können). Wie gesagt, die strikten Löschvorschriften und das Recht auf Vergessenwerden betreffen vor allem das Onlinegeschehen. Sie gelten natürlich in gewissen Konstellationen auch für die nach außen abgeschottete, gewerbliche Datenhaltung, aber der Geschäftsverkehr muss weiterhin gewährleistet sein.

*etwa, wenn es um die Dokumentations- und Datenhaltungspflichten geht, wenn zivil- oder strafrechtliche Auseinandersetzungen anstehen
Herzlich,
Tom

Benutzeravatar
Werner_Bayern
Programmier-Gott
Programmier-Gott
Beiträge: 1466
Registriert: Sa, 30. Jan 2010 22:58
Wohnort: Niederbayern

Re: EU-Datenschutz-Grundverordnung

Beitrag von Werner_Bayern » Fr, 23. Mär 2018 18:43

Servus Roland,
499 x PRG mit rd. 10500 Functions und Procedures,
64 x EXE mit rd. 164 MB (davon nur ca. 20 Haupt-Projekte, Rest = Tools),
29 x DLL mit rd. 44 MB,
Das größte Menü hat ca. 350 Einträge.
10500 Funktionen und Proceduren, Du kannst gewährleisten, dass Du nichts in Bezug auf DSV ändern musst?

Deine Kunden verarbeiten doch auch personenbezogene Daten mit Deiner Software? Jetzt verlangt - aus welchem Grund auch immer - ein Kunde Deines Kunden die Löschung all seiner Daten. Kannst Du gewährleisten, dass danach nichts Relevantes mehr über diesen einen Kunden gespeichert ist? In keiner DBF, keiner Logdatei, keiner Archivierung (die evtl. Dein Programm macht), nirgends mehr? Kann Dein Kunde jetzt schon mit Deiner Software entsprechende Mitteilungen automatisch oder halbautomatisch generieren um damit
allen Empfängern, denen personenbezogene Daten offengelegt wurden, jede Löschung der personenbezogenen mitzuteilen
Hast Du jetzt schon die Passwortrichtlinien in Deinen Programmen, die ich zitiert habe?

Wie geschrieben, die Anforderungen gehen noch weiter, dazu hab ich aber aktuell nicht die nötigen Quellen vorliegen, nur handschriftliche Notizen meiner 2 MA. Das muss ich nächste Woche noch mit ihnen klären.
es grüßt euch

Werner

Benutzeravatar
Werner_Bayern
Programmier-Gott
Programmier-Gott
Beiträge: 1466
Registriert: Sa, 30. Jan 2010 22:58
Wohnort: Niederbayern

Re: EU-Datenschutz-Grundverordnung

Beitrag von Werner_Bayern » Fr, 23. Mär 2018 18:56

Servus Tom,

in der Schulung wurde da offensichtlich nicht unterschieden, ob überwiegend oder nicht. Vermutlich, um sich die Diskussionen drüber zu sparen? Das gilt es zu klären, ist ein wichtiges Detail.

Löschvorschriften: Klar, da bin ich zu 100% bei Dir, das höhere Recht (z. B. gesetzl. Aufbewahrungsfristen) sticht. Aber, wie schon zu Roland geschrieben, die Leute können das Löschen verlangen, nicht nur von Dienstanbietern. Es könnte doch von mir ein Kunde / Interessent verlangen, dass ich all seine Daten lösche, weil er das so will. Dann muss ich dem nachkommen - im gesetzlichen Rahmen. Dann muss ich das z. B. auch meinen Web-Hoster (Shop- und HP-Betreuer) mitteilen, dass er den ehemaligen Kunden von meiner Referenzliste streicht, aus allen Sicherungen, Protokollen, Logs, Bewertungen von Artikeln und Beiträgen etc.? Was ist mit dem entsprechenden Mailverkehr?

Da wird noch vieles gerichtlich zu klären sein...
es grüßt euch

Werner

DelUser01

Re: EU-Datenschutz-Grundverordnung

Beitrag von DelUser01 » Fr, 23. Mär 2018 20:57

Werner_Bayern hat geschrieben:
Fr, 23. Mär 2018 18:43
Deine Kunden verarbeiten doch auch personenbezogene Daten mit Deiner Software?
Weiß ich nicht - geht mich als Softwareentwickler nichts an was die Anwender speichern. Das unterliegt dem Datenschutz. Wenn einer den Überblick hat ist das er entsprechende Admin.
Werner_Bayern hat geschrieben:
Fr, 23. Mär 2018 18:43
Jetzt verlangt - aus welchem Grund auch immer - ein Kunde Deines Kunden die Löschung all seiner Daten. Kannst Du gewährleisten, dass danach nichts Relevantes mehr über diesen einen Kunden gespeichert ist? In keiner DBF, keiner Logdatei, keiner Archivierung (die evtl. Dein Programm macht), nirgends mehr?
JA - wenn MEIN Kunde das wünscht.
Werner_Bayern hat geschrieben:
Fr, 23. Mär 2018 18:43
Kann Dein Kunde jetzt schon mit Deiner Software entsprechende Mitteilungen automatisch oder halbautomatisch generieren...
JA - wenn MEIN Kunde das wünscht.
Werner_Bayern hat geschrieben:
Fr, 23. Mär 2018 18:43
...um damit allen Empfängern, denen personenbezogene Daten offengelegt wurden, jede Löschung der personenbezogenen mitzuteilen
Ich glaube, dass keiner der Anwender meiner Software jemals irgendwelche in meiner Software gespeicherten kundenbezogene Daten mit meiner Software irgendwie offengelegt hat. Das ist doch aus Datenschutzgründen schon lange verboten.
Werner_Bayern hat geschrieben:
Fr, 23. Mär 2018 18:43
Hast Du jetzt schon die Passwortrichtlinien in Deinen Programmen, die ich zitiert habe?
JA - das kann man aber - wie bei Microsoft - per Richtlinie abschalten.

Gegenfrage:
Willst DU als Softwareentwickler EU-Vorschriften mit Deinem Programm Deinen Kunden aufs Auge drücken und riskieren, dass der eine oder andere Kunde sich ein Neues Programm sucht welches so arbeitet wie er es will?

DelUser01

Re: EU-Datenschutz-Grundverordnung

Beitrag von DelUser01 » Fr, 23. Mär 2018 21:42

Seit einigen Monaten kommen immer mehr verunsicherte Klein-/Einzelunternehmer auf mich zu bezüglich der neuen EU-Verordnungen. Je kleiner die Firma um so unsicherer die Vorstellungen über die Vorschriften.
In mittelständischen und größeren Firmen scheint das nebensächlich.
IHK/Handwerkskammern/Steuerberater/Rechtsanwälte hatten bisher vernünftige Antworten - seid kurzem steigen alle auf das Thema ein und bieten Schulungen, Fortbildungen usw. - auf einmal scheint ein "Geschäft" daraus zu werden.

Mir erklärte vor kurzem einer der schon länger mit der Materie zu tun hat "die neuen Vorschriften" ungefähr so: "...die Vorschriften gibt es schon länger - nur wenn DIE jetzt einen packen dann wird es um ein vielfaches teurer..."

Es ist sehr ärgerlich, dass Hinz und Kunz auf das Thema anspringt und Geschäftemacher auf den Plan ruft.
Eigentlich sollte uns das erst persönlich betreffen wenn eine Entscheidung unserer Bundes-/Landesregierung vorliegt welche für den Einzelnen klarheit schafft. Ich denke, dass wir darauf lange drauf warten können/müssen...

Benutzeravatar
Werner_Bayern
Programmier-Gott
Programmier-Gott
Beiträge: 1466
Registriert: Sa, 30. Jan 2010 22:58
Wohnort: Niederbayern

Re: EU-Datenschutz-Grundverordnung

Beitrag von Werner_Bayern » Fr, 23. Mär 2018 23:01

Servus Roland,

Deine 1. Antwort - warum so sarkastisch?

Ansonsten, bin echt beeindruckt, dass Du das alles gewährleisten kannst. Du speicherst also jetzt schon mind. die letzten 10 Passwörter Deiner Benutzer, lässt diese nicht mehr zu, verlangst regelmäßig neue Passwörter und hast die beschriebenen Komplexitätsanforderungen.

Welche Art von Software machst Du - außer Fibu? Es werden also keinerlei personenbezogene Daten weitergegeben, keine Schnittstellen, keine Kommunikation?

Zu Deiner Gegenfrage: Selbstverständlich! Selbstverständlich werden wir weiterhin mindestens das Nötige umsetzen, damit unsere Kunden der geforderten DSV gerecht werden können. Was sie davon umsetzen, bleibt ihnen überlassen. Es gibt z. B. jetzt schon die Möglichkeit, das Löschprotokoll (wer hat was wann gelöscht) abzuschalten. Der Kunde bekommt dann einen protokollierten deutlichen Hinweis, welche Konsequenzen das hat. Die Entscheidung liegt immer beim Kunden - die Werkzeuge kommen von uns.
In mittelständischen und größeren Firmen scheint das nebensächlich.
Die, die ich kenne, haben das längst umgesetzt.
Eigentlich sollte uns das erst persönlich betreffen wenn eine Entscheidung unserer Bundes-/Landesregierung vorliegt welche für den Einzelnen klarheit schafft. Ich denke, dass wir darauf lange drauf warten können/müssen...
Am 25.05.2018 tritt das neue BDSG in Kraft.

Folgende Punkte daraus betreffen uns Softwareentwickler mehr oder weniger:
TOM´s nach §4 BDSG (neu)
Datenträgerkontrolle
Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern.

Speicherkontrolle
Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten.

Benutzerkontrolle
Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte.

Zugriffskontrolle
Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben.

Übertragungskontrolle
Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können

Eingabekontrolle
Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind.

Transportkontrolle
Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden.

Wiederherstellbarkeit
Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können.

Zuverlässigkeit
Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden

Datenintegrität
Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können

Auftragskontrolle
Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können

Verfügbarkeitskontrolle
Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind

Trennbarkeit
Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können
Bei uns gibt es diesbezüglich noch viel zu tun.
es grüßt euch

Werner

DelUser01

Re: EU-Datenschutz-Grundverordnung

Beitrag von DelUser01 » Fr, 23. Mär 2018 23:24

Werner - warum gehst Du davon aus, dass Ich/Du das alles hebeln musst?

Wie ich das schon X-Mal geschrieben habe - da ist jede Firma selbst dafür verantwortlich - nicht der Softwareentwickler. Es sei denn es wird vom Kunden gefordert!

Ich mache alles was der Kunde will.
Wenn der will dass die Software so arbeitet wie das Finanzamt das will mache ich das,
wenn der will dass die Software so arbeitet wie die EU das will mache ich das,
wenn der eigene Vorstellungen hat mache ich das so...
Wo liegt das Problem?

UND alle anderen Einwände Deinerseits bezüglich Daten beim Kunden sind selbstverständlich.
Egal ob es Verarbeitungsbetriebe, Banken, Krankenkassen usw. sind.
Seriöse Firmen arbeiten schon lange mehr als verantwortlich mit persönlichen Kundendaten.
Alte Traditionsbetriebe sind mit erfassten Informationen schon behutsam umgegangen da wurden die noch auf Papier erfasst und nicht auf HDDs.

Man könnte meine, dass mit den "neuen" EU-Verordnungen jeder der einen Computer verwendet unter Generalverdacht gestellt wird - und wir machen mit. Aber ohne mich!

Benutzeravatar
Manfred
Foren-Administrator
Foren-Administrator
Beiträge: 17809
Registriert: Di, 29. Nov 2005 16:58
Wohnort: Kreis Wesel

Re: EU-Datenschutz-Grundverordnung

Beitrag von Manfred » Sa, 24. Mär 2018 7:06

DelUser01 hat geschrieben:
Fr, 23. Mär 2018 21:42
Es ist sehr ärgerlich, dass Hinz und Kunz auf das Thema anspringt und Geschäftemacher auf den Plan ruft.
Also Roland, ich muß doch sehr bitten...... :lol:
Gruß Manfred
Mitglied der XUG Leverkusen
Mitglied der XUG Osnabrück
Schatzmeister des Deutschsprachige Xbase-Entwickler e.V.
großer Fan des Xbaseentwicklerwiki https://wiki.xbaseentwickler.de/index.p ... Hauptseite

DelUser01

Re: EU-Datenschutz-Grundverordnung

Beitrag von DelUser01 » Sa, 24. Mär 2018 10:25

@Manfred

Hast Recht, habe vergessen dass das ja bei den meisten Dingen so ist... :blob8:

Benutzeravatar
Klaus Schuster
Rekursionen-Architekt
Rekursionen-Architekt
Beiträge: 189
Registriert: Do, 24. Jan 2008 10:01
Wohnort: 90762 Fürth

Re: EU-Datenschutz-Grundverordnung

Beitrag von Klaus Schuster » Sa, 24. Mär 2018 13:48

Die erste Abmahnwelle wird imho fehlerhafte Webseiten betreffen. Dies betrifft zum einen den Einsatz von Cookies, zum anderen die erforderlichen Informationen, die dem Kunden/der Kundin mitgeteilt werden müssen.
Bisher war es ausreichend den Besucher darüber zu informieren, dass Cookies genutzt werden (wie es das Forum tut). In Zukunft muss der Kunde gefragt werden, ob diese eingesetzt werden dürfen. Verneint er dies, muss er dennoch die Seite besuchen können, ohne das Cookies angelegt werden dürfen. Im Moment geht die Diskussion wohl noch über eine Differenzierung von rein technisch notwendigen Session-Cookies (die dann keinerlei verfolgbare Daten sammeln dürften) und den restlichen. Ob reine Session-Cookies ohne Zustimmung eingesetzt werden können, oder nicht, werden wohl erst die Gerichte klären.
Gruß Klaus

Benutzeravatar
nightcrawler
Rekursionen-Architekt
Rekursionen-Architekt
Beiträge: 299
Registriert: Di, 24. Apr 2012 16:33
Wohnort: 72181 Starzach
Kontaktdaten:

Re: EU-Datenschutz-Grundverordnung

Beitrag von nightcrawler » Mo, 26. Mär 2018 15:35

Werner_Bayern hat geschrieben:
Fr, 23. Mär 2018 16:32
In Deutschland gilt weiterhin:
Ab > 9 Mitarbeiter
Sofern Du keine besonderen personenbezogene Daten hast ... ab dem 1. Mitarbeiter hast Du schon Religion und Gesundheit drauf (insofern Du die Lohnabrechnung selbst machst und dabei eben Krankheitstage und Kirchensteuer verwaltest).
--
Joachim
Joachim Dürr Softwareengineering
https://www.jd-engineering.de

Benutzeravatar
Werner_Bayern
Programmier-Gott
Programmier-Gott
Beiträge: 1466
Registriert: Sa, 30. Jan 2010 22:58
Wohnort: Niederbayern

Re: EU-Datenschutz-Grundverordnung

Beitrag von Werner_Bayern » Mo, 26. Mär 2018 17:32

Servus Joachim,

hab grad bei meinen 2 MA nochmal nachgefragt: In der EU-Verordnung steht nichts über > 9 Personen. Aber im BDSG (neu), § 38:
(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.
Das ist genau das, was Tom weiter oben geschrieben hat. Gilt also so nur in Deutschland. Was genau jetzt in der EU-Verordnung diesbezüglich drin steht, kann ich nicht sagen. Lt. BDSG würde das also nicht zutreffen, was Du geschrieben hast - wenn ich Dich richtig verstanden habe.
es grüßt euch

Werner

Benutzeravatar
Tom
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 7142
Registriert: Do, 22. Sep 2005 23:11
Wohnort: Berlin
Kontaktdaten:

Re: EU-Datenschutz-Grundverordnung

Beitrag von Tom » Mo, 26. Mär 2018 17:43

Nationales Recht darf hier weitergehend sein. Die Verordnung legt keine genaue Mitarbeiterzahl fest, aber in Deutschland und Österreich (sonst übrigens bislang nirgends) haben die Gesetzgeber nachgezogen. Das neue BDSG füllt die Lücken, die die Grundverordnung absichtlich lässt, und es tritt gleichzeitig mit der Grundverordnung in Kraft. Damit ist ein DSB verbindlich bei Behörden und bei Firmen und Firmengruppen mit mehr als 9 Mitarbeitern, die überwiegend mit der Verarbeitung personenbezogener Daten befasst sind.

Code: Alles auswählen

Folgende Punkte daraus betreffen uns Softwareentwickler mehr oder weniger:
Das ist so nicht richtig. Nicht die Entwickler, sondern die Anwender von Software sind für den Datenschutz zuständig. Im Prinzip fasst das BDSG da auch nicht viel Neues zusammen. Wenn unsere Kunden Hilfe dabei brauchen, für bestimmte Abläufe zu sorgen, können wir diese Hilfe gewähren, aber wir sind nicht qua Gesetz dazu verpflichtet, die Software vorauseilend so zu gestalten.
Herzlich,
Tom

DelUser01

Re: EU-Datenschutz-Grundverordnung

Beitrag von DelUser01 » Mo, 26. Mär 2018 18:41

@Tom

:thumbup: genau so sehe ich das auch...

Benutzeravatar
HaPe
Foren-Moderator
Foren-Moderator
Beiträge: 459
Registriert: So, 15. Nov 2015 17:44
Wohnort: 71665 Vaihingen-Enz

Re: EU-Datenschutz-Grundverordnung

Beitrag von HaPe » Mo, 26. Mär 2018 19:03

Hallo Zusammen !

Als Ersteller dieses Threads freue ich mich über die rege Diskussion und die Infos die bisher hier gegeben wurden =D>

Mir hilft diese Information da ich gerade für einen Kunden eine komplett neue Version meiner Software seinen Bedürfnissen anpasse.
Der Kunde hat maximal 2 oder 3 Mitarbeiter die (bisher "unempfindliche") Kundendaten neu anlegen und pflegen.
Bisher wurden Adressen, Ansprechpartner und Kommunikationsdaten hinterlegt; seine Kunden sind nur Firmen-Kunden.
Persönliche Daten wie Geburtstag, Konfession, usw. aber auch Firmendaten wie Bankverbindungen, Umsatzsteuer-ID hat er nicht erfasst.

Private Kunden oder einen Webshop betreibt er nicht.

Es scheint ich muss jetzt nichts wichtiges bei meiner Software berücksichtigen.
--
Hans-Peter

Organisator der XUG Stuttgart
Beisitzer des Deutschsprachige Xbase-Entwickler e. V.

sammler0002
Rookie
Rookie
Beiträge: 15
Registriert: Mi, 23. Dez 2015 22:46

Re: EU-Datenschutz-Grundverordnung

Beitrag von sammler0002 » Mo, 26. Mär 2018 20:32

HaPe hat geschrieben:
Mo, 26. Mär 2018 19:03
Bisher wurden Adressen, Ansprechpartner und Kommunikationsdaten hinterlegt; seine Kunden sind nur Firmen-Kunden.
Dazu mal eine Frage in die Runde. Ist der Ansprechpartner einer Firma eine natürliche Person deren Daten schützenswert sind? Es ist ja im Endeffekt nichts zu dieser Person gespeichert, sondern zum Betrieb. So wie ich es verstanden habe, ist die dsgvo ja zum Schutz natürlicher Personen...
Grüße von Philipp

DelUser01

Re: EU-Datenschutz-Grundverordnung

Beitrag von DelUser01 » Mo, 26. Mär 2018 21:08

Hallo SAMMLER (...Name?)

der Sachbearbeiter in einer Firma ist eine natürliche Person.
Wenn Du von dem Geburtsdatum, Krankenkasse usw. speicherst ist das problematisch.

Antworten