Seite 1 von 2

DSGVO und Datenbankanwendungen

Verfasst: Fr, 06. Jul 2018 15:22
von nightcrawler
Hallo Mitstreiter,
wie ihr wisst, bin ich seit einiger Zeit in den Themen Informationssicherheit und Datenschutz unterwegs.
Ich bin momentan dabei, mich bei einer Zertifizierungsstelle als Datenschutz-Auditor registrieren zu lassen. Darüber werde ich dann in der Lage sein, ein Haus-Zertifikat über den umgesetzten Datenschutz erstellen lassen zu können. Hauszertifikat deshalb, weil es momentan keine Akkreditierung für die DSGVO gibt.
In der gleichen Weise möchten wir in naher Zukunft auch Datenbankapplikationen bescheinigen, welche Anforderungen der DSGVO darin umgesetzt sind.

Als Einstieg in das Thema habe ich eine Blog-Serie begonnen:
https://www.jd-engineering.de/dsgvo-reg ... anwendung/
https://www.jd-engineering.de/dsgvo-zug ... kontrolle/

Wie ist Euer Interesse? Soll ich das weiterverfolgen?

Re: DSGVO und Datenbankanwendungen

Verfasst: Fr, 06. Jul 2018 15:26
von Tom
Hallo, Joachim.
Soll ich das weiterverfolgen?
Ja, bitte!

Re: DSGVO und Datenbankanwendungen

Verfasst: Fr, 06. Jul 2018 15:29
von Martin Altmann
Sehr gerne :!:

Viele Grüße,
Martin

Re: DSGVO und Datenbankanwendungen

Verfasst: Fr, 06. Jul 2018 15:43
von nightcrawler
Hättet ihr auch Interesse, Eure Anwendungen dann zertifizieren zu lassen?

Re: DSGVO und Datenbankanwendungen

Verfasst: Fr, 06. Jul 2018 17:08
von Koverhage
Beides ja.

Re: DSGVO und Datenbankanwendungen

Verfasst: Fr, 06. Jul 2018 17:15
von Manfred
ich habe auch Interesse.

Re: DSGVO und Datenbankanwendungen

Verfasst: Sa, 07. Jul 2018 17:17
von AUGE_OHR
Nach Artikel 43 Abs. 1 können Aufsichtsbehörden andere Stellen wie z.B. TÜV oder Dekra zertifizieren.
Nach Artikel 43 Abs. 1 lit. b kann das auch noch die (einzige) nationale Akkreditierungsstelle (DAkkS).

Da meiner Meinung nach bisher weder TÜV noch Dekra zertifiziert wurden und die DAkkS auch bisher
keine Verbände o.ä. zertifiziert haben, ist seine Idee nicht durchführbar-

Er könnte sich also im Moment nur bei der Datenschutzaufsichtsbehörde seines Landes zertifizieren lassen.
Die haben aber so viel zu tun, dass die bestimmt nicht einen EINZELNEN zertifizieren würden. Zuerst würden
Verbände zertifiziert werden. Die DAkkS ist auch nicht zur Zertifizierung eines EINZELNEN bestimmt.

Er kann sich also nur IRGENDWO als Datenschutz-Auditor registrieren lassen. Das Zertifikat hat aber keine Aussage.
Ein „Haus-Zertifikat“ wäre also dann so ein nichtssagendes Zertifikat.

Re: DSGVO und Datenbankanwendungen

Verfasst: Sa, 07. Jul 2018 17:19
von Jan
Jimmy,

von welcher qualifizierten Fachkraft stammt dieses Zitat?

Jan

Re: DSGVO und Datenbankanwendungen

Verfasst: Sa, 07. Jul 2018 17:20
von Muecke
Ja hört sich Prima an.
Gruss
Thomas

Re: DSGVO und Datenbankanwendungen

Verfasst: Sa, 07. Jul 2018 17:24
von AUGE_OHR
Jan hat geschrieben: Sa, 07. Jul 2018 17:19von welcher qualifizierten Fachkraft stammt dieses Zitat?
Falls du es noch nicht mitbekommen hast ist mein Bruder seit 3 Jahren Datenschutz-Beauftragter :!:

Re: DSGVO und Datenbankanwendungen

Verfasst: Sa, 07. Jul 2018 17:30
von Jan
Und ich soll jetzt raten, das ein Zitat von Dir zu dem Thema unbedingt von ihm stammt? Sorry, aber das werde ich nie machen. EIn Zitat braucht einen Namen, um das zuordnen und beurteilen zu können. Sowas lernt man schon in der Schule im Deutschunterricht.

Jan

Re: DSGVO und Datenbankanwendungen

Verfasst: Sa, 07. Jul 2018 17:55
von AUGE_OHR
willst du allen Leuten Forum anmachen :angry4:

Es geht um den Inhalt und wenn du den bezweifelst dann informiere dich doch wo anders ...

Re: DSGVO und Datenbankanwendungen

Verfasst: Sa, 07. Jul 2018 17:57
von nightcrawler
Jimmy,
da hast Du absolut recht. Deshalb schrieb ich Hauszertifikat. Es ist aber ein Hauszertifikat von einer Zertifizierungsstelle, welche in zig Verfahren bereits akkreditiert ist - und zwar wesentlich mehr als so mancher TÜV;)
Ich frage mal andersherum: Wenn bei Dir die Kunden anklopfen, weil sie Probleme mit der Aufsichtsbehörde haben, und von Dir wissen wollen inwieweit Du sie bei der Umsetzung der Verordnung unterstützen kannst - wäre es da nicht hilfreich, wenn Du von einer unabhängigen Stelle eine Bestätigung zeigen kannst, was alles umgesetzt ist und daher keine weitere Betrachtung braucht?

EDIT: Zudem ist genau diese Zertifizierungsstelle gerade dabei, über die DAkkS als eine der ersten Stellen überhaupt für die DSGVO akkreditiert zu werden.

Re: DSGVO und Datenbankanwendungen

Verfasst: Sa, 07. Jul 2018 18:10
von AUGE_OHR
Danke für deine Antwort das du es richtig gestellt hast.

das die DAkkS sich akkreditiert ist gut aber wie du ja sagt es erst in der Pipeline.
sobald es aktuell wird werde ich zusehen was genau dafür notwendig ist.
z.Z. kann ich nur das abarbeiten was mir mein Bruder vorschlägt.

Re: DSGVO und Datenbankanwendungen

Verfasst: Di, 24. Jul 2018 17:58
von nightcrawler

Re: DSGVO und Datenbankanwendungen

Verfasst: Mi, 25. Jul 2018 9:59
von Herbert
Danke für deine sehr wertvollen Informationen!

Re: DSGVO und Datenbankanwendungen

Verfasst: Mo, 06. Aug 2018 15:18
von nightcrawler
und weiter gehts: wie sieht es mit dem Löschen aus?
https://www.jd-engineering.de/dsgvo-datenloeschung/

Re: DSGVO und Datenbankanwendungen

Verfasst: Mo, 06. Aug 2018 18:57
von azzo
Hallo Joachim,
wie verfahrt man mit den Backups, die es im Betrieb und eventuell auch sonst wo gibt.
LG
Otto

Re: DSGVO und Datenbankanwendungen

Verfasst: Di, 07. Aug 2018 10:12
von nightcrawler
Die Backups sind für den Standard-User nicht einsehbar, sondern nur für den Admin. Damit sind sie zumindest mal geschützt. Streng genommen muss ich überall löschen, es gibt jedoch auch noch die Ausnahme der hohen technischen Hürde.
Wie lange geht Dein Backup zurück? Alles älter als 1 Jahr wird vermutlich nicht mehr benötigt (da die Daten der z.B. letzten 10 Jahre - Aufbewahrungsfrist Steuer - auch im aktuellsten Backup mit drin sind, also noch live Daten). Wenn Du nun aktuelle Tages-/Wochen-/Monats- und eine Jahressicherung hast, sind die Daten maximal 2 Jahre über der Löschfrist. Definiere in Deinem "Verzeichnis für Verarbeitungstätigkeiten" für dieses Verfahren eine Aufbewahrungsfrist (10 Jahre?) sowie eine Löschfrist (2 Jahre). Damit ist es transparent.

Re: DSGVO und Datenbankanwendungen

Verfasst: Mo, 24. Jan 2022 13:23
von Koverhage
Hallo Joachim,

eine Frage an den Fachmann,
unsere Kunden können ausfüllbare PDF erstellen, die sie ihren Kunden per Mail schicken. Diese PDF Dateien können Bankdaten enthalten und sind mit einem Passwort verschlüsselt.

Jetzt schreibt ein Kunde
Uns hat die untere Datenschutzbeauftrage angeschrieben und mahnt an,
dass der Versand des pdf (mit Bankdaten) nicht ausreichend bei uns geschützt sei.

Was soll/muss man machen ?

Re: DSGVO und Datenbankanwendungen

Verfasst: Mo, 24. Jan 2022 13:54
von HaPe
Hallo Klaus !
Uns hat die untere Datenschutzbeauftrage angeschrieben und mahnt an, dass der Versand des pdf (mit Bankdaten) nicht ausreichend bei uns geschützt sei.
Ich würde den Spieß umdrehen.
Wenn die Datenschutzbeauftrage meint, das PDF sei nicht ausreichend, dann muss Sie auch wissen, wie man dieses ausreichend schützt um der DSVGO zu genügen.
Es kann nicht sein, dass es gesetztliche Vorgaben gibt und die Prüfbehörde den Kunden/Anfrager im Unklaren läßt, wie dies technisch ausreichend umzusetzen ist.

Re: DSGVO und Datenbankanwendungen

Verfasst: Mo, 24. Jan 2022 14:37
von Tom
Selbst im Lohndatenverkehr sind Dokumente, die sensible Daten enthalten, als PDF per Mailversand in Ordnung, wenn das Passwort in einer gesonderten Mail verschickt oder irgendwo abrufbar ist. Außerdem stellt sich die Frage, ob das überhaupt etwas mit Datenschutz zu tun hat - und nicht viel mehr mit Datensicherheit. Der Datenschutz ist dafür da, zu verhindern, dass Menschen an Daten kommen, von denen diejenigen, zu denen diese Daten gehören, das nicht möchten. Datensicherheit ist ein anderes Thema (hat aber, zugegeben, Überschneidungen). Wenn also die Empfänger der PDFs berechtigt und autorisiert sind, die Bankdaten zu sehen und zu erhalten, weil das freigegeben wurde oder sich aus der Vertragssituation als notwendig ergibt, und es ist sichergestellt, dass nur solche Leute auch diese PDFs erhalten, ist das Argument der Datenschützerin nicht nachvollziehbar.

Re: DSGVO und Datenbankanwendungen

Verfasst: Mo, 24. Jan 2022 15:17
von Manfred
Klaus,
ich würde erstmal in Erfahrung bringen, ob die "interne" Datenschutzbeauftragte überhaupt weiß wovon sie spricht. Ich denke mal, seiner Zeit wurde in den Firmen oft irgendwer bestimmt den Datenschutzbeauftragten zu mimen. Ob die Person dann auch weiß wovon die Rede ist.....

Re: DSGVO und Datenbankanwendungen

Verfasst: Mo, 24. Jan 2022 15:36
von Werner_Bayern
Servus,

m. M. n. ist sogar der Versand per Mail einer unverschlüsselten PDF mit Lohndaten an den Mitarbeiter DSGVO-konform, weil SSL o. ä. verwendet wird - was ja längst überall Standard und verpflichtend ist.

Re: DSGVO und Datenbankanwendungen

Verfasst: Di, 25. Jan 2022 10:09
von nightcrawler
Email-Versand ist bei fast keinem verschlüsselt!
Passwort in der Email danach ist genauso blöd. Wenn ich die Email mit den ZIP abfange, so kann ich das auch mit dem Passwort machen.
Datenschutz ohne Datensicherheit geht nicht. DSGVO hat dafür die TOMs.