Seite 5 von 5

Re: EU-Datenschutz-Grundverordnung

Verfasst: Mi, 23. Mai 2018 20:58
von Werner_Bayern
Mit für mich komischen Aussagen: 46 Mitarbeiter eines Software-Unternehmens und dann kein Datenschutzbeauftragter notwendig?
Alle 2 Jahre neue Hardware? Stand der Technik bedeutet nicht unbedingt die neueste Hard- und Software zu haben - so haben es mir meine 2 geschulten Mitarbeiter erklärt. Über diesen Punkt in unseren TOMs habe ich lange diskutiert - Beispiel dbu.exe.

Re: EU-Datenschutz-Grundverordnung

Verfasst: Mi, 23. Mai 2018 21:08
von Tom
Wenn davon keine zehn überwiegend mit der Verarbeitung personenbezogener Daten befasst sind, braucht er keinen DSB.

Re: EU-Datenschutz-Grundverordnung

Verfasst: Mi, 23. Mai 2018 21:18
von Werner_Bayern
Eben das bezweifle ich - gerade in dieser Branche. Egal, nicht unsere Baustelle. Wir haben genug zu tun, sind heute gerade so fertig geworden mit den Prio 1 und 2 Punkten.

Alleine der Punkt bezügl. Datenschutz und damit verbundener verschlüsselter Übertragung personenbezogener Daten...

Re: EU-Datenschutz-Grundverordnung

Verfasst: Do, 24. Mai 2018 8:06
von Herbert
Tom hat geschrieben: Mi, 23. Mai 2018 21:08 Wenn davon keine zehn überwiegend mit der Verarbeitung personenbezogener Daten befasst sind, braucht er keinen DSB.
Genau.
Die DSGVO verpflichtet alle Unternehmen mit mehr als 250 Mitarbeitern zwingend einen DSB. Firmen mit weniger als 250 Mitarbeitern sind von dieser Vorgabe befreit, wenn sie nur gelegentlich personenbezogene Daten bearbeiten, damit keine besonderen Risiken verbunden sind und die Bearbeitung sich nicht auf besonders sensible Personendaten – beispielsweise Gesundheitsdaten – bezieht.

Re: EU-Datenschutz-Grundverordnung

Verfasst: Do, 24. Mai 2018 10:24
von Tom
Herbert, das BDSG hat das konkretisiert (hier gilt nämlich eine der so genannten Öffnungsklauseln). Die Regelungen, die Du ansprichst, sind auf die DSGVO zurückzuführen, aber laut BDSG gilt in Deutschland, dass ab 10 Mitarbeitern, die überwiegend personenbezogene Daten be-/verarbeiten, ein DSB zu bestellen ist. Unabhängig von der Mitarbeiteranzahl gilt das ansonsten für alle Behörden und behördlichen Einrichtungen sowie für jedweden Betrieb, in dem besonders sensible personenbezogene Daten verarbeitet werden. Damit ist fast die gesamte Gesundheitsbranche betroffen, beispielsweise. Steuerbüros und viele Anwälte sind es aber auch.

Werner, in einem Software- oder Systemhaus verarbeitet man nach meinem Dafürhalten (und dem Dafürhalten beratender Anwälte, Datenschutzfachleute und TÜV-Beauftragter) nicht notwendigerweise in erheblichem Umfang personenbezogene Daten, selbst wenn man oft in seiner eigenen Kunden-Datenbank zugange ist. Schauen wir mal, wie sich das alles entwickelt. Wie habt Ihr konzeptionell an Eurem TOMs gearbeitet? Seid Ihr damit durch?

Re: EU-Datenschutz-Grundverordnung

Verfasst: Do, 24. Mai 2018 11:07
von DelUser01
Einfache Frag:

Wenn ich zu Personen-Kontaktdaten (Name, Telefon) auch den Geburtstag speichere um z.B. angezeigt zu bekommen wenn derjenige Geburtstag hat - fällt das auch schon darunter?

Re: EU-Datenschutz-Grundverordnung

Verfasst: Do, 24. Mai 2018 11:35
von HaPe
Hallo Roland !
Wenn ich zu Personen-Kontaktdaten (Name, Telefon) auch den Geburtstag speichere um z.B. angezeigt zu bekommen wenn derjenige Geburtstag hat - fällt das auch schon darunter?
Es reicht schon die Erfassung des Namens eines Ansprechpartners der Firma (nicht der Firmenname) und dessen Telefonnummer. Das alleine ist schon die Erfassung von persönlichen Daten.

Re: EU-Datenschutz-Grundverordnung

Verfasst: Do, 24. Mai 2018 11:55
von Tom
Die aber zulässig ist, wenn die Erfassung dieser Daten im Rahmen der Auftragserfüllung oder sonstiger Verpflichtungen nötig ist. Das dürfte allerdings für das Geburtsdatum regelmäßig nicht gelten.

Re: EU-Datenschutz-Grundverordnung

Verfasst: Do, 24. Mai 2018 15:01
von Werner_Bayern
Tom hat geschrieben: Do, 24. Mai 2018 10:24 ... aber laut BDSG gilt in Deutschland, dass ab 10 Mitarbeitern, die überwiegend personenbezogene Daten be-/verarbeiten, ein DSB zu bestellen ist.
Das sehen wir anders: Jeder Betrieb, der überwiegend personenbezogene Daten verarbeitet, braucht einen DSB! Bis 10 MA kann das der Chef sein, ein Mitarbeiter oder ein externer. Ab 9 MA, die überwiegend personenbezogene Daten verarbeiten, muss ein DSB bestellt und öffentlich genannt werden. Das kann ein MA sein - nicht aber der Chef oder ein Geschäftsführer (Interessenkonflikt) - oder ein externer Dienstleister.
Hier wird oft der externe DSB im Zusammenhang ab 9 MA genannt, das ist so nicht korrekt.
Tom hat geschrieben: Do, 24. Mai 2018 10:24Unabhängig von der Mitarbeiteranzahl gilt das ansonsten für alle Behörden und behördlichen Einrichtungen sowie für jedweden Betrieb, in dem besonders sensible personenbezogene Daten verarbeitet werden. Damit ist fast die gesamte Gesundheitsbranche betroffen, beispielsweise. Steuerbüros und viele Anwälte sind es aber auch.
Das sehen wir auch anders: Hier geht es nicht um den DSB, sondern um die Risikoanalyse in Bezug auf den Datenschutz - um die Klassifizierung der 3 Datenschutzklassen.

Nochmal zurück auf die 45 MA: In dem Seminar wurde uns gesagt, dass auch eine Putzfrau unter die Anzahl der MA fallen kann, also personenbezogene Daten verarbeitet - nämlich wenn zu ihren Aufgaben das Entleeren der Papierkörbe und das Schreddern des Papiers gehört. Das fällt offensichtlich unter die Verarbeitung von personenbezogenen Daten. Ist nicht auf meinem Mist gewachsen.

Zum NTV-Interview: Dazu muss man ganz deutlich sagen, dass dies die Meinung des Kollegen ist, nicht aber unbedingt die momentane Gesetzeslage. Beispiel: Alle 2 Jahre neue Hardware. Aus unserer Sicht ist das nicht nötig, da auch ein Windows 7 Gerät, das aktuell gepachted ist, dem aktuellen Stand der Technik entsprechen kann. Ein Vista fällt selbstverständlich nicht mehr darunter, da es von MS nicht mehr gepachted wird.
Tom hat geschrieben: Do, 24. Mai 2018 10:24Werner, in einem Software- oder Systemhaus verarbeitet man nach meinem Dafürhalten (und dem Dafürhalten beratender Anwälte, Datenschutzfachleute und TÜV-Beauftragter) nicht notwendigerweise in erheblichem Umfang personenbezogene Daten, selbst wenn man oft in seiner eigenen Kunden-Datenbank zugange ist. Schauen wir mal, wie sich das alles entwickelt.
Nehmen wir das Systemhaus: Wer für den Kunden ein Benutzerkonto anlegt, einen Cloud-Zugang einrichtet, Office 365 einrichtet / installiert, sich per TeamViewer auf den Kundenrechner schaltet - damit also dieselben Benutzerrechte wie der Kunde an seinem PC hat - der hat die Möglichkeit des Zugriffes auf die Daten und das bedeutet lt. unserem Seminar eindeutig, dass der MA unter die zu berücksichtigende Anzahl bezügl. Datenverarbeitung fällt. Ein Vertrag mit dem Kunden ist nötig.

Was von Dir sehr interessant für uns ist:
Sehr viele Kunden reagieren darauf positiv und wollen diese neuen Verträge abschließen. Diejenigen, die das nicht tun, haben im Zweifelsfall Erklärungsbedarf. Für uns ist die Pflicht getan. Der Datenschutz obliegt dem Eigner der Daten, und das sind die Kunden, nicht wir (jedenfalls in Bezug auf die Daten der Kunden).
Das war uns bisher nicht bewußt, ist aber korrekt. Wir haben in der Mail an unsere Kunden bezügl. Vertrag geschrieben, dass wir dann ab 25.05. bis auf Weiteres nicht mehr für sie tätig werden dürfen... Das war falsch, wir müssen sie nur darauf hinweisen, dass sie das dann rechtlich nicht mehr abgesichert haben, wenn wir für sie tätig werden. Wir haben unsere Pflicht getan, dürfen also grundsätzlich schon weiterhin für sie tätig werden.
Tom hat geschrieben: Do, 24. Mai 2018 10:24Wie habt Ihr konzeptionell an Eurem TOMs gearbeitet? Seid Ihr damit durch?
Ja, wir sind durch, müssen wir ja auch, da wir diese zusammen mit den Auftragsverarbeitungsverträgen verschicken mussten. Wir sind alle Punkte aus dem Seminar durchgegangen und alles, was nicht von sich aus schon dem Datenschutz entsprach, wurde in entsprechenden TOMs niedergeschrieben. Diese wurden an alle Mitarbeiter verpflichtend weitergegeben und umgesetzt. TOMs sind keine statische Sache, sondern müssen ja regelmäßig überarbeitet und angepasst werden. Insofern gibt es auch weiterhin diesbezüglich einiges zu tun.

Re: EU-Datenschutz-Grundverordnung

Verfasst: Do, 24. Mai 2018 15:15
von DelUser01
Ich hoffe, Ihr habt auch daran gedacht, dass ab 25.05.2018 auf jeder Internetpräsenz eine Datenschutzerklärung (so wie das Impressum) drauf sein muss. Auch bei Privaten, Vereinen usw.

Ein von Web-Designern empfohlener "Generator" für die Datenschutzerklärung:
https://datenschutz-generator.de/

Re: EU-Datenschutz-Grundverordnung

Verfasst: Do, 24. Mai 2018 16:36
von brandelh
Ich hab das mal durchgespielt für meine "private" Homepage ...
Auf der ich weder ein Kontaktformular habe noch eine Daten Eingabe Maske.
Wer mich erreichen will schickt mir eine eMail oder ruft mich an ...

Wenn ich nun lese was für mich im weitesten Sinne möglich wäre (Website, Log-Dateien (was weiß ich was der Provider logged, eMail)
- privat, kein shop
- keine Werbung
- kein ADD-nochwas-Banner

Komme ich dennoch auf gut eine DIN A4 Seite ... dafür um zu sagen, dass ich privat KEINE Daten erhebe und verarbeite, sorry das kann nicht nötig sein.

Re: EU-Datenschutz-Grundverordnung

Verfasst: Fr, 25. Mai 2018 0:33
von DelUser01
und? ... habt Ihr Eure Datenschutzerklärung inzwischen hoffentlich On-Line :blob8:

Re: EU-Datenschutz-Grundverordnung

Verfasst: Fr, 25. Mai 2018 9:49
von Herbert
DelUser01 hat geschrieben: Do, 24. Mai 2018 15:15 Ich hoffe, Ihr habt auch daran gedacht, dass ab 25.05.2018 auf jeder Internetpräsenz eine Datenschutzerklärung (so wie das Impressum) drauf sein muss. Auch bei Privaten, Vereinen usw.

Ein von Web-Designern empfohlener "Generator" für die Datenschutzerklärung:
https://datenschutz-generator.de/
Super, danke! Ziert ab sofort unsere Webseite.
Eigentlich ein Wahnsinn, wie viele neue (wohl meist identische) Texte nun das WWW zieren.

Re: EU-Datenschutz-Grundverordnung

Verfasst: Fr, 25. Mai 2018 11:12
von Tom
Während wir uns die Köpfe heißreden und besorgt auf Briefkästen und Mailprogramme starren, wo hoffentlich keine Abmahnungen landen (nein, werden sie auch nicht), verschickt die Amazon-Wanze Gesprächsmitschnitte durch die Weltgeschichte, weil sie meinte, das herausgehört zu haben. "Sehr unwahrscheinlich" nennt Amazon den Vorfall - und will derlei "in Zukunft noch unwahrscheinlicher" machen. Dass die DSGVO auch für Amazon gilt, weil das Marktortprinzip eingeführt wurde, wissen die hoffentlich. :wink:

http://www.spiegel.de/netzwelt/gadgets/ ... 09462.html

Re: EU-Datenschutz-Grundverordnung

Verfasst: Fr, 25. Mai 2018 11:17
von brandelh
Wenn ICH ein Gespräch mit geschnitten und im Internet versandt hätte, wäre ich bestimmt schon im Knast, aber Amazon kann man schwer greifen ;-)

Re: EU-Datenschutz-Grundverordnung

Verfasst: Fr, 25. Mai 2018 11:25
von Manfred
entschuldigt bitte, wenn ich laut lachen muß. Wer glaubt denn an so viele Zufälle auf einmal? Wenn das stimmt, dann ist das Teil einfach nur der größte Sch.... der vermarktet wird derzeit. Zeigt aber auch, wie gefährlich es ist sowas zu haben.

Re: EU-Datenschutz-Grundverordnung

Verfasst: Mo, 28. Mai 2018 17:12
von Herbert
Ö3-Comedy:
DSGVO: Der Schas geht vorbei, oder?

Re: EU-Datenschutz-Grundverordnung

Verfasst: Mo, 28. Mai 2018 22:26
von AUGE_OHR

Re: EU-Datenschutz-Grundverordnung

Verfasst: Di, 29. Mai 2018 5:17
von Martin Altmann
Davon hat Österreich jedoch nichts - die EU-Komission geht dagegen jetzt entsprechend vor.
https://www.heise.de/newsticker/meldung ... 59082.html

Viele Grüße,
Martin

Re: EU-Datenschutz-Grundverordnung

Verfasst: Mi, 30. Mai 2018 1:03
von AUGE_OHR
Zu abweichenden nationalen Umsetzungsgesetzen sagte er, dass diese schlicht ungültig seien, wenn sie direkt gegen die EU-Vorgaben verstießen.
und genau da wird es "Lücken" geben denn die DSVGO geht auch in Bereiche wo es schon nationale Gesetze gibt z.b. KUG/BDSG
... welche Erfahrungen Verbraucher, Unternehmen, Vereine "und unsere Behörden" mit dem neuen Recht sammeln. Sollten sich Änderungen als nötig erweisen, müssten diese zügig umgesetzt werden.
hm ... im DSGVO PDF steht
§ 2.8.2 Sanktionen (18/259)

...
Bezogen auf die öffentlichen Stellen enthält die Datenschutz-Grundverordnung in Art. 83 Abs. 7 eine Öffnungsklausel für den nationalen Gesetzgeber, wonach festgelegt werden kann, ob und in welcher Höhe auch in diesem Bereich Bußgelder verhängt werden können.
§ 43 Abs. 3 BDSG-neu macht davon Gebrauch und legt fest, dass gegen Behörden und sonstige öffentliche Stellen des Bundes auch in Zukunft keine Geldbußen verhängt werden können.


Re: EU-Datenschutz-Grundverordnung

Verfasst: Mi, 30. Mai 2018 12:35
von Herbert
Jimmy, die DSVGO ist neues übergeordnetes Recht. Alle nationalen Gesetze müssen darauf angepasst und synchronisiert werden.

Re: EU-Datenschutz-Grundverordnung

Verfasst: Mi, 30. Mai 2018 12:42
von Tom
Herbert, aber die DSGVO enthält eine Menge Öffnungsklauseln, die es nationalen und regionalen Gesetzgebern erlauben, die Bestimmungen mit eigenen Regelungen zu ergänzen oder zu verfeinern. Nicht wenige Bereiche enthalten Handlungsspielräume, die jetzt genutzt werden. Und es ist durchaus möglich, andere nationale Gesetze über der DSGVO anzusiedlen, zum Beispiel die Landespressegesetze, die allesamt dafür zu sorgen haben, dass die Pressefreiheit gewahrt bleibt - und die widerspricht nicht selten den Regelungen der DSGVO. Also ist es auch zulässig, diese Regelungen zu negieren. Da, wo nicht geregelt wurde, gilt allerdings direkt und übergreifend die DSGVO.

Auch die kirchlichen Verbände nutzen übrigens die Öffnungsklauseln. Sie beanspruchen für sich eigene Datenschutzregelungen, und sie dürfen das. Mit unseren kirchengebundenen Kunden müssen wir abweichende AVV vereinbaren.

Re: EU-Datenschutz-Grundverordnung

Verfasst: Mi, 30. Mai 2018 19:51
von Herbert
Ja,Tom, einverstanden.
Aber all die Gesetze können erst jetzt darauf Bezug nehmen. Daher habe ich auf die Aeusserung von Jimmy reagiert.