DSGVO und Datenbankanwendungen

Sonstiges (nicht kategorisierbar)

Moderator: Moderatoren

Benutzeravatar
nightcrawler
1000 working lines a day
1000 working lines a day
Beiträge: 650
Registriert: Di, 24. Apr 2012 16:33
Wohnort: 72184 Weitingen
Hat sich bedankt: 3 Mal
Danksagung erhalten: 96 Mal
Kontaktdaten:

DSGVO und Datenbankanwendungen

Beitrag von nightcrawler »

Hallo Mitstreiter,
wie ihr wisst, bin ich seit einiger Zeit in den Themen Informationssicherheit und Datenschutz unterwegs.
Ich bin momentan dabei, mich bei einer Zertifizierungsstelle als Datenschutz-Auditor registrieren zu lassen. Darüber werde ich dann in der Lage sein, ein Haus-Zertifikat über den umgesetzten Datenschutz erstellen lassen zu können. Hauszertifikat deshalb, weil es momentan keine Akkreditierung für die DSGVO gibt.
In der gleichen Weise möchten wir in naher Zukunft auch Datenbankapplikationen bescheinigen, welche Anforderungen der DSGVO darin umgesetzt sind.

Als Einstieg in das Thema habe ich eine Blog-Serie begonnen:
https://www.jd-engineering.de/dsgvo-reg ... anwendung/
https://www.jd-engineering.de/dsgvo-zug ... kontrolle/

Wie ist Euer Interesse? Soll ich das weiterverfolgen?
--
Joachim
Joachim Dürr Softwareengineering
https://www.jd-engineering.de
Benutzeravatar
Tom
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 9345
Registriert: Do, 22. Sep 2005 23:11
Wohnort: Berlin
Hat sich bedankt: 100 Mal
Danksagung erhalten: 359 Mal
Kontaktdaten:

Re: DSGVO und Datenbankanwendungen

Beitrag von Tom »

Hallo, Joachim.
Soll ich das weiterverfolgen?
Ja, bitte!
Herzlich,
Tom
Benutzeravatar
Martin Altmann
Foren-Administrator
Foren-Administrator
Beiträge: 16501
Registriert: Fr, 23. Sep 2005 4:58
Wohnort: Berlin
Hat sich bedankt: 111 Mal
Danksagung erhalten: 48 Mal
Kontaktdaten:

Re: DSGVO und Datenbankanwendungen

Beitrag von Martin Altmann »

Sehr gerne :!:

Viele Grüße,
Martin
:grommit:
Webseite mit XB2.NET und ausschließlich statischem Content in Form von HTML-Dateien: https://www.altem.de/
Webseite mit XB2.NET und ausschließlich dynamischem Content in Form von in-memory-HTML: https://meldungen.altem.de/

Mitglied der XUG Osnabrück
Vorsitzender des Deutschsprachige Xbase-Entwickler e. V.
Benutzeravatar
nightcrawler
1000 working lines a day
1000 working lines a day
Beiträge: 650
Registriert: Di, 24. Apr 2012 16:33
Wohnort: 72184 Weitingen
Hat sich bedankt: 3 Mal
Danksagung erhalten: 96 Mal
Kontaktdaten:

Re: DSGVO und Datenbankanwendungen

Beitrag von nightcrawler »

Hättet ihr auch Interesse, Eure Anwendungen dann zertifizieren zu lassen?
--
Joachim
Joachim Dürr Softwareengineering
https://www.jd-engineering.de
Benutzeravatar
Koverhage
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 2470
Registriert: Fr, 23. Dez 2005 8:00
Wohnort: Aalen
Hat sich bedankt: 102 Mal
Danksagung erhalten: 3 Mal
Kontaktdaten:

Re: DSGVO und Datenbankanwendungen

Beitrag von Koverhage »

Beides ja.
Gruß
Klaus
Benutzeravatar
Manfred
Foren-Administrator
Foren-Administrator
Beiträge: 21165
Registriert: Di, 29. Nov 2005 16:58
Wohnort: Kreis Wesel
Hat sich bedankt: 206 Mal
Danksagung erhalten: 67 Mal

Re: DSGVO und Datenbankanwendungen

Beitrag von Manfred »

ich habe auch Interesse.
Gruß Manfred
Mitglied der XUG Osnabrück
Schatzmeister des Deutschsprachige Xbase-Entwickler e.V.
großer Fan des Xbaseentwicklerwiki https://wiki.xbaseentwickler.de/index.p ... Hauptseite
Doof kann man sein, man muß sich nur zu helfen wissen!!
Benutzeravatar
AUGE_OHR
Marvin
Marvin
Beiträge: 12903
Registriert: Do, 16. Mär 2006 7:55
Wohnort: Hamburg
Hat sich bedankt: 19 Mal
Danksagung erhalten: 44 Mal

Re: DSGVO und Datenbankanwendungen

Beitrag von AUGE_OHR »

Nach Artikel 43 Abs. 1 können Aufsichtsbehörden andere Stellen wie z.B. TÜV oder Dekra zertifizieren.
Nach Artikel 43 Abs. 1 lit. b kann das auch noch die (einzige) nationale Akkreditierungsstelle (DAkkS).

Da meiner Meinung nach bisher weder TÜV noch Dekra zertifiziert wurden und die DAkkS auch bisher
keine Verbände o.ä. zertifiziert haben, ist seine Idee nicht durchführbar-

Er könnte sich also im Moment nur bei der Datenschutzaufsichtsbehörde seines Landes zertifizieren lassen.
Die haben aber so viel zu tun, dass die bestimmt nicht einen EINZELNEN zertifizieren würden. Zuerst würden
Verbände zertifiziert werden. Die DAkkS ist auch nicht zur Zertifizierung eines EINZELNEN bestimmt.

Er kann sich also nur IRGENDWO als Datenschutz-Auditor registrieren lassen. Das Zertifikat hat aber keine Aussage.
Ein „Haus-Zertifikat“ wäre also dann so ein nichtssagendes Zertifikat.
gruss by OHR
Jimmy
Benutzeravatar
Jan
Marvin
Marvin
Beiträge: 14641
Registriert: Fr, 23. Sep 2005 18:23
Wohnort: 49328 Melle
Hat sich bedankt: 21 Mal
Danksagung erhalten: 87 Mal
Kontaktdaten:

Re: DSGVO und Datenbankanwendungen

Beitrag von Jan »

Jimmy,

von welcher qualifizierten Fachkraft stammt dieses Zitat?

Jan
Mitglied der XUG Osnabrück
Mitglied der XUG Berlin/Brandenburg
Mitglied des Deutschsprachige Xbase-Entwickler e. V.
Benutzeravatar
Muecke
1000 working lines a day
1000 working lines a day
Beiträge: 623
Registriert: Di, 24. Okt 2006 7:19
Wohnort: Samstagern CH
Hat sich bedankt: 3 Mal
Danksagung erhalten: 9 Mal
Kontaktdaten:

Re: DSGVO und Datenbankanwendungen

Beitrag von Muecke »

Ja hört sich Prima an.
Gruss
Thomas
Benutzeravatar
AUGE_OHR
Marvin
Marvin
Beiträge: 12903
Registriert: Do, 16. Mär 2006 7:55
Wohnort: Hamburg
Hat sich bedankt: 19 Mal
Danksagung erhalten: 44 Mal

Re: DSGVO und Datenbankanwendungen

Beitrag von AUGE_OHR »

Jan hat geschrieben: Sa, 07. Jul 2018 17:19von welcher qualifizierten Fachkraft stammt dieses Zitat?
Falls du es noch nicht mitbekommen hast ist mein Bruder seit 3 Jahren Datenschutz-Beauftragter :!:
gruss by OHR
Jimmy
Benutzeravatar
Jan
Marvin
Marvin
Beiträge: 14641
Registriert: Fr, 23. Sep 2005 18:23
Wohnort: 49328 Melle
Hat sich bedankt: 21 Mal
Danksagung erhalten: 87 Mal
Kontaktdaten:

Re: DSGVO und Datenbankanwendungen

Beitrag von Jan »

Und ich soll jetzt raten, das ein Zitat von Dir zu dem Thema unbedingt von ihm stammt? Sorry, aber das werde ich nie machen. EIn Zitat braucht einen Namen, um das zuordnen und beurteilen zu können. Sowas lernt man schon in der Schule im Deutschunterricht.

Jan
Mitglied der XUG Osnabrück
Mitglied der XUG Berlin/Brandenburg
Mitglied des Deutschsprachige Xbase-Entwickler e. V.
Benutzeravatar
AUGE_OHR
Marvin
Marvin
Beiträge: 12903
Registriert: Do, 16. Mär 2006 7:55
Wohnort: Hamburg
Hat sich bedankt: 19 Mal
Danksagung erhalten: 44 Mal

Re: DSGVO und Datenbankanwendungen

Beitrag von AUGE_OHR »

willst du allen Leuten Forum anmachen :angry4:

Es geht um den Inhalt und wenn du den bezweifelst dann informiere dich doch wo anders ...
gruss by OHR
Jimmy
Benutzeravatar
nightcrawler
1000 working lines a day
1000 working lines a day
Beiträge: 650
Registriert: Di, 24. Apr 2012 16:33
Wohnort: 72184 Weitingen
Hat sich bedankt: 3 Mal
Danksagung erhalten: 96 Mal
Kontaktdaten:

Re: DSGVO und Datenbankanwendungen

Beitrag von nightcrawler »

Jimmy,
da hast Du absolut recht. Deshalb schrieb ich Hauszertifikat. Es ist aber ein Hauszertifikat von einer Zertifizierungsstelle, welche in zig Verfahren bereits akkreditiert ist - und zwar wesentlich mehr als so mancher TÜV;)
Ich frage mal andersherum: Wenn bei Dir die Kunden anklopfen, weil sie Probleme mit der Aufsichtsbehörde haben, und von Dir wissen wollen inwieweit Du sie bei der Umsetzung der Verordnung unterstützen kannst - wäre es da nicht hilfreich, wenn Du von einer unabhängigen Stelle eine Bestätigung zeigen kannst, was alles umgesetzt ist und daher keine weitere Betrachtung braucht?

EDIT: Zudem ist genau diese Zertifizierungsstelle gerade dabei, über die DAkkS als eine der ersten Stellen überhaupt für die DSGVO akkreditiert zu werden.
--
Joachim
Joachim Dürr Softwareengineering
https://www.jd-engineering.de
Benutzeravatar
AUGE_OHR
Marvin
Marvin
Beiträge: 12903
Registriert: Do, 16. Mär 2006 7:55
Wohnort: Hamburg
Hat sich bedankt: 19 Mal
Danksagung erhalten: 44 Mal

Re: DSGVO und Datenbankanwendungen

Beitrag von AUGE_OHR »

Danke für deine Antwort das du es richtig gestellt hast.

das die DAkkS sich akkreditiert ist gut aber wie du ja sagt es erst in der Pipeline.
sobald es aktuell wird werde ich zusehen was genau dafür notwendig ist.
z.Z. kann ich nur das abarbeiten was mir mein Bruder vorschlägt.
gruss by OHR
Jimmy
Benutzeravatar
nightcrawler
1000 working lines a day
1000 working lines a day
Beiträge: 650
Registriert: Di, 24. Apr 2012 16:33
Wohnort: 72184 Weitingen
Hat sich bedankt: 3 Mal
Danksagung erhalten: 96 Mal
Kontaktdaten:

Re: DSGVO und Datenbankanwendungen

Beitrag von nightcrawler »

--
Joachim
Joachim Dürr Softwareengineering
https://www.jd-engineering.de
Benutzeravatar
Herbert
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 1991
Registriert: Do, 14. Aug 2008 0:22
Wohnort: Gmunden am Traunsee, Österreich
Danksagung erhalten: 3 Mal
Kontaktdaten:

Re: DSGVO und Datenbankanwendungen

Beitrag von Herbert »

Danke für deine sehr wertvollen Informationen!
Grüsse Herbert
Immer in Bewegung...
Benutzeravatar
nightcrawler
1000 working lines a day
1000 working lines a day
Beiträge: 650
Registriert: Di, 24. Apr 2012 16:33
Wohnort: 72184 Weitingen
Hat sich bedankt: 3 Mal
Danksagung erhalten: 96 Mal
Kontaktdaten:

Re: DSGVO und Datenbankanwendungen

Beitrag von nightcrawler »

und weiter gehts: wie sieht es mit dem Löschen aus?
https://www.jd-engineering.de/dsgvo-datenloeschung/
--
Joachim
Joachim Dürr Softwareengineering
https://www.jd-engineering.de
Benutzeravatar
azzo
Rekursionen-Architekt
Rekursionen-Architekt
Beiträge: 483
Registriert: So, 28. Mär 2010 19:21
Danksagung erhalten: 11 Mal

Re: DSGVO und Datenbankanwendungen

Beitrag von azzo »

Hallo Joachim,
wie verfahrt man mit den Backups, die es im Betrieb und eventuell auch sonst wo gibt.
LG
Otto
Benutzeravatar
nightcrawler
1000 working lines a day
1000 working lines a day
Beiträge: 650
Registriert: Di, 24. Apr 2012 16:33
Wohnort: 72184 Weitingen
Hat sich bedankt: 3 Mal
Danksagung erhalten: 96 Mal
Kontaktdaten:

Re: DSGVO und Datenbankanwendungen

Beitrag von nightcrawler »

Die Backups sind für den Standard-User nicht einsehbar, sondern nur für den Admin. Damit sind sie zumindest mal geschützt. Streng genommen muss ich überall löschen, es gibt jedoch auch noch die Ausnahme der hohen technischen Hürde.
Wie lange geht Dein Backup zurück? Alles älter als 1 Jahr wird vermutlich nicht mehr benötigt (da die Daten der z.B. letzten 10 Jahre - Aufbewahrungsfrist Steuer - auch im aktuellsten Backup mit drin sind, also noch live Daten). Wenn Du nun aktuelle Tages-/Wochen-/Monats- und eine Jahressicherung hast, sind die Daten maximal 2 Jahre über der Löschfrist. Definiere in Deinem "Verzeichnis für Verarbeitungstätigkeiten" für dieses Verfahren eine Aufbewahrungsfrist (10 Jahre?) sowie eine Löschfrist (2 Jahre). Damit ist es transparent.
--
Joachim
Joachim Dürr Softwareengineering
https://www.jd-engineering.de
Benutzeravatar
Koverhage
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 2470
Registriert: Fr, 23. Dez 2005 8:00
Wohnort: Aalen
Hat sich bedankt: 102 Mal
Danksagung erhalten: 3 Mal
Kontaktdaten:

Re: DSGVO und Datenbankanwendungen

Beitrag von Koverhage »

Hallo Joachim,

eine Frage an den Fachmann,
unsere Kunden können ausfüllbare PDF erstellen, die sie ihren Kunden per Mail schicken. Diese PDF Dateien können Bankdaten enthalten und sind mit einem Passwort verschlüsselt.

Jetzt schreibt ein Kunde
Uns hat die untere Datenschutzbeauftrage angeschrieben und mahnt an,
dass der Versand des pdf (mit Bankdaten) nicht ausreichend bei uns geschützt sei.

Was soll/muss man machen ?
Gruß
Klaus
Benutzeravatar
HaPe
1000 working lines a day
1000 working lines a day
Beiträge: 995
Registriert: So, 15. Nov 2015 17:44
Wohnort: 71665 Vaihingen-Enz
Hat sich bedankt: 17 Mal
Danksagung erhalten: 15 Mal

Re: DSGVO und Datenbankanwendungen

Beitrag von HaPe »

Hallo Klaus !
Uns hat die untere Datenschutzbeauftrage angeschrieben und mahnt an, dass der Versand des pdf (mit Bankdaten) nicht ausreichend bei uns geschützt sei.
Ich würde den Spieß umdrehen.
Wenn die Datenschutzbeauftrage meint, das PDF sei nicht ausreichend, dann muss Sie auch wissen, wie man dieses ausreichend schützt um der DSVGO zu genügen.
Es kann nicht sein, dass es gesetztliche Vorgaben gibt und die Prüfbehörde den Kunden/Anfrager im Unklaren läßt, wie dies technisch ausreichend umzusetzen ist.
--
Hans-Peter
Benutzeravatar
Tom
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 9345
Registriert: Do, 22. Sep 2005 23:11
Wohnort: Berlin
Hat sich bedankt: 100 Mal
Danksagung erhalten: 359 Mal
Kontaktdaten:

Re: DSGVO und Datenbankanwendungen

Beitrag von Tom »

Selbst im Lohndatenverkehr sind Dokumente, die sensible Daten enthalten, als PDF per Mailversand in Ordnung, wenn das Passwort in einer gesonderten Mail verschickt oder irgendwo abrufbar ist. Außerdem stellt sich die Frage, ob das überhaupt etwas mit Datenschutz zu tun hat - und nicht viel mehr mit Datensicherheit. Der Datenschutz ist dafür da, zu verhindern, dass Menschen an Daten kommen, von denen diejenigen, zu denen diese Daten gehören, das nicht möchten. Datensicherheit ist ein anderes Thema (hat aber, zugegeben, Überschneidungen). Wenn also die Empfänger der PDFs berechtigt und autorisiert sind, die Bankdaten zu sehen und zu erhalten, weil das freigegeben wurde oder sich aus der Vertragssituation als notwendig ergibt, und es ist sichergestellt, dass nur solche Leute auch diese PDFs erhalten, ist das Argument der Datenschützerin nicht nachvollziehbar.
Herzlich,
Tom
Benutzeravatar
Manfred
Foren-Administrator
Foren-Administrator
Beiträge: 21165
Registriert: Di, 29. Nov 2005 16:58
Wohnort: Kreis Wesel
Hat sich bedankt: 206 Mal
Danksagung erhalten: 67 Mal

Re: DSGVO und Datenbankanwendungen

Beitrag von Manfred »

Klaus,
ich würde erstmal in Erfahrung bringen, ob die "interne" Datenschutzbeauftragte überhaupt weiß wovon sie spricht. Ich denke mal, seiner Zeit wurde in den Firmen oft irgendwer bestimmt den Datenschutzbeauftragten zu mimen. Ob die Person dann auch weiß wovon die Rede ist.....
Gruß Manfred
Mitglied der XUG Osnabrück
Schatzmeister des Deutschsprachige Xbase-Entwickler e.V.
großer Fan des Xbaseentwicklerwiki https://wiki.xbaseentwickler.de/index.p ... Hauptseite
Doof kann man sein, man muß sich nur zu helfen wissen!!
Benutzeravatar
Werner_Bayern
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 2120
Registriert: Sa, 30. Jan 2010 22:58
Wohnort: Niederbayern
Hat sich bedankt: 29 Mal
Danksagung erhalten: 70 Mal

Re: DSGVO und Datenbankanwendungen

Beitrag von Werner_Bayern »

Servus,

m. M. n. ist sogar der Versand per Mail einer unverschlüsselten PDF mit Lohndaten an den Mitarbeiter DSGVO-konform, weil SSL o. ä. verwendet wird - was ja längst überall Standard und verpflichtend ist.
es grüßt

Werner

<when the music is over, turn off the lights!>
Benutzeravatar
nightcrawler
1000 working lines a day
1000 working lines a day
Beiträge: 650
Registriert: Di, 24. Apr 2012 16:33
Wohnort: 72184 Weitingen
Hat sich bedankt: 3 Mal
Danksagung erhalten: 96 Mal
Kontaktdaten:

Re: DSGVO und Datenbankanwendungen

Beitrag von nightcrawler »

Email-Versand ist bei fast keinem verschlüsselt!
Passwort in der Email danach ist genauso blöd. Wenn ich die Email mit den ZIP abfange, so kann ich das auch mit dem Passwort machen.
Datenschutz ohne Datensicherheit geht nicht. DSGVO hat dafür die TOMs.
--
Joachim
Joachim Dürr Softwareengineering
https://www.jd-engineering.de
Antworten