- Thread Starter Thread Starter
- #21
Seitenaufrufe usw. ja... die IP ist dazu ohne anonymisierung nicht notwendig.
Rant: Warum die DSGVO eine Datenschutz-Karikatur ist
- Ersteller drfuture
- Erstellt am
sia
gesperrt
Bezieht sich das auf meinen Beitrag? Falls ja, habe ich dort niemals von der Notwendigkeit des Loggings der IP gesprochen, welche ich datenschutztechnisch bedenklich finde.
In Matomo, ehemals Piwik (rebranded), kann man die IP mit einem einfachen Klick automatisch anonymisieren lassen. Weitere Datenschutzeinstellungen kann man dort auch ohne Probleme vornehmen:
You do not have permission to view link please Anmelden or Registrieren
Gute Frage! Wenn die URLs von der eigenen Profilseite oder Ähnliches geloggt werden, lassen sich Sessions auch wieder zu Nutzern zurückverfolgen. Im Prinzip kannst du ja schauen, wohin der Webserver die User umgeleitet hat und anhand dessen herausfinden, wer wer ist. Wenn allerdings kein Login auf der Seite stattfindet, gibt es immer noch die Möglichkeit, Cookies zu setzen oder eine Browser-Fingerprinting-Library zu nutzen.
Ja, aber es ist zulässig.
Es geht nicht um alle Firmen, sondern um die, die electric.larry betreut. Und die machen das so:
Ist ja auch okay, dazu habe ich selbst an der Stelle nichts gesagt und damit habe ich auch kein Problem.
Korrekt, aber was die Backups umfassen ist in den meisten Firmen oft mehr, als es eigentlich sein müsste.
Ich konnte in einer Firma, die ich betreue, die Kosten für Backups um satte 20% senken, indem wir einfach mal geschaut haben, was wie lange gespeichert werden muss oder soll. Da kam dann beispielsweise raus, dass für die letzten 5 Jahre die Logs der Webserver gesichert wurden – das bezeichnete ich im Meeting dann als "datenschutztechnisch bedenklich" und "unnötig". Würdest Du mir da widersprechen?
Und genau hier liegt mein Argument, danke, dass du das noch mal prägnant ausgeführt hast. Anscheinend habe ich ab und an Probleme, meine Argumente klar verständlich vorzutragen. Ich werde daran arbeiten.
Das ist jetzt hoffentlich nicht dein Ernst. Welchen Grund dafür gibt es denn, personenbezogene Kundendaten auf privaten Smartphones zu verarbeiten? Laut dem Arbeitszeitgesetz §5 Abs. 1 dürfen viele Leute noch nicht mal zu Hause arbeiten, da sie dann nicht die ununterbrochene Ruhezeit von 11 Stunden einhalten…
electric.larry
\''; DROP TABLE user; --
Danke Phreak, deine Antwort erlaubt einen kleinen Einblick in die Köpfe derer, die sich diese Regelungen ausgedacht haben. Liest sich für mich so, als würdest du Firmen grundsätzlich als einen Feind wahrnehmen, der auf nichts Anderes aus ist, als die Rechte der armen Konsumenten mit Füßen zu treten.
Ich erlebe das halt komplett anders. Wir selbst und die meisten, die mir bei der Arbeit über den Weg laufen, sind keine gesichtslosen Konzerne, die ausschließlich von Gewinnmaximierung getrieben sind und die eigene Großmutter verkaufen würden, sondern machen ihren Job sehr gerne und haben nette, manchmal sogar fast freundschaftliche Beziehungen zu ihren Partnerunternehmen und Kunden.
Ich stimme dir auch vollkommen zu, wenn jemand mit sensiblen Daten hantiert, soll das mit Sorgfalt passieren. Aber jede belanglose Mail als hochsensibel einzuschätzen, nur weil in der Fußzeile Name, Adresse und Telefonnummer des Absenders steht, halte ich für überzogen. Vorallem, wenn mir jemand diese Mail unaufgefordert/freiwillig schickt.
Ich habe geschrieben, Kunden, die mit ihrer Seite kein Geld verdienen. Also, kein Webshop oder Online-Service, der monetarisiert wird, sondern eine Website die "nur" Teil des Marketings ist. Die wollen natürlich trotzdem wissen, wie dieses "Werbemittel" performt und verbessert werden kann.
Sehr kurzfristig gedacht. Wenn du die Kosten alleine auf die Installation beziehst, kommt das vielleicht sogar hin, aber ich kann einem Unternehmen keine Software ohne regelmäßige Wartung, zumindest security-relevante Upgrades, anbieten, auch das verursacht Kosten, die Google Analytics eben nicht verursacht.
Solte man vielleicht, aber ich kenne keine Firmen, die gerne wissentlich Geld aus dem Fenster werfen.
"hätte man sie schön anschwärzen können" ... alleine schon deine Formulierung lässt auf das Mindset, mit dem du diese Situation betrachtest, schließen. "Alle Unternehmen sind furchtbar pöhse!", oder? Ich spreche hier nicht von Spam, der ungefragt verschickt wird. Hier geht es um solche, die z. B. gedruckte Listen bei Veranstaltungen aufgelegt haben, wo man seine E-Mail-Adresse eintragen konnte. Nach 10 Jahren existieren diese gedruckten Listen einfach nicht mehr, weil kein Hahn danach gekräht hat.
Das gebe ich gerne so an die Rechtsanwälte weiter, von denen die Änderungsvorschläge stammen. Die werden wohl nichts richtig gelesen haben.
Wenn das so stimmt, dann war das wirklich Panikmache. Ich habe selbst noch kein so ein Register gesehen, nur von einem Rechtsanwalt gehört, wie viel er für die Erstellung des Registers für einen gemeinsamen Kunden verlangt hat. Das hat nicht so geklungen, als würde man das in einer halben Stunde erledigen können.
"Geschlampt wo es nur möglich war", bezogen auf Anfragen, die in ein Kontaktformular auf einer Website geschrieben werden? Come on
Da kommt in neun von zehn Fällen etwas über Viagra und in einem Fall sowas wie: "Sehr geehrter Blabla, wir suchen jemanden der BliBli für uns entwickelt. Bitte um Rückruf unter BluBla." Und das geht dann per Mail an die drei Leute, die sich bei uns um "Papierkram" kümmern.
Aber ja, ist schon gut und wichtig, dass die Nutzer die Herrschaft über die eigenen Daten wieder bekommen. Ich finds halt dumm, mit riesen Kanonen auf Spatzen zu schießen und bin nicht davon überzeugt, dass Cookie Warnungen und standardisierte Datenschutzerklärungen wirklich viel zum verbesserten Datenschutz beitragen werden. Ich lasse mich aber gerne davon überraschen, wenn Datenkraken mit hoch spezialisierten KIs wegen der neuen Verordnung in Zukunft Menschen nicht mehr so einfach durchleuchten können.
Ich erlebe das halt komplett anders. Wir selbst und die meisten, die mir bei der Arbeit über den Weg laufen, sind keine gesichtslosen Konzerne, die ausschließlich von Gewinnmaximierung getrieben sind und die eigene Großmutter verkaufen würden, sondern machen ihren Job sehr gerne und haben nette, manchmal sogar fast freundschaftliche Beziehungen zu ihren Partnerunternehmen und Kunden.
Ich stimme dir auch vollkommen zu, wenn jemand mit sensiblen Daten hantiert, soll das mit Sorgfalt passieren. Aber jede belanglose Mail als hochsensibel einzuschätzen, nur weil in der Fußzeile Name, Adresse und Telefonnummer des Absenders steht, halte ich für überzogen. Vorallem, wenn mir jemand diese Mail unaufgefordert/freiwillig schickt.
Ich habe geschrieben, Kunden, die mit ihrer Seite kein Geld verdienen. Also, kein Webshop oder Online-Service, der monetarisiert wird, sondern eine Website die "nur" Teil des Marketings ist. Die wollen natürlich trotzdem wissen, wie dieses "Werbemittel" performt und verbessert werden kann.
Sehr kurzfristig gedacht. Wenn du die Kosten alleine auf die Installation beziehst, kommt das vielleicht sogar hin, aber ich kann einem Unternehmen keine Software ohne regelmäßige Wartung, zumindest security-relevante Upgrades, anbieten, auch das verursacht Kosten, die Google Analytics eben nicht verursacht.
Solte man vielleicht, aber ich kenne keine Firmen, die gerne wissentlich Geld aus dem Fenster werfen.
"hätte man sie schön anschwärzen können" ... alleine schon deine Formulierung lässt auf das Mindset, mit dem du diese Situation betrachtest, schließen. "Alle Unternehmen sind furchtbar pöhse!", oder? Ich spreche hier nicht von Spam, der ungefragt verschickt wird. Hier geht es um solche, die z. B. gedruckte Listen bei Veranstaltungen aufgelegt haben, wo man seine E-Mail-Adresse eintragen konnte. Nach 10 Jahren existieren diese gedruckten Listen einfach nicht mehr, weil kein Hahn danach gekräht hat.
Das gebe ich gerne so an die Rechtsanwälte weiter, von denen die Änderungsvorschläge stammen. Die werden wohl nichts richtig gelesen haben.
Wenn das so stimmt, dann war das wirklich Panikmache. Ich habe selbst noch kein so ein Register gesehen, nur von einem Rechtsanwalt gehört, wie viel er für die Erstellung des Registers für einen gemeinsamen Kunden verlangt hat. Das hat nicht so geklungen, als würde man das in einer halben Stunde erledigen können.
"Geschlampt wo es nur möglich war", bezogen auf Anfragen, die in ein Kontaktformular auf einer Website geschrieben werden? Come on
Da kommt in neun von zehn Fällen etwas über Viagra und in einem Fall sowas wie: "Sehr geehrter Blabla, wir suchen jemanden der BliBli für uns entwickelt. Bitte um Rückruf unter BluBla." Und das geht dann per Mail an die drei Leute, die sich bei uns um "Papierkram" kümmern.Aber ja, ist schon gut und wichtig, dass die Nutzer die Herrschaft über die eigenen Daten wieder bekommen. Ich finds halt dumm, mit riesen Kanonen auf Spatzen zu schießen und bin nicht davon überzeugt, dass Cookie Warnungen und standardisierte Datenschutzerklärungen wirklich viel zum verbesserten Datenschutz beitragen werden. Ich lasse mich aber gerne davon überraschen, wenn Datenkraken mit hoch spezialisierten KIs wegen der neuen Verordnung in Zukunft Menschen nicht mehr so einfach durchleuchten können.
- Thread Starter Thread Starter
- #24
Warum geht das bei 11h Unterbrechung nicht?
Was hat das damit zu tun? 7-8h arbeit + 11 = ~19h - währen immer noch 5h - also z.B. 2h vor und 2h nach der Offiziellen Arbeit.
Davon abgesehen sitzt ein Mitarbeiter ja nicht immer zwingend am PC? Selbst innerhalb eines Firmengebäudes kann es sehr von Vorteil sein E-Mails unterwegs dabei zu haben.
Dann ist es immer unpraktisch und zu meist unrealistisch das die Leute mit 2 Handys - einem Geschäftlichen und einem Privaten durch die Welt laufen?. BYOD steht ja auch immer weider im Raum.
Es steht ja auch nirgends ob die Firmen-Emails per imap im gleichen Postfach wie private liegen oder ob die E-Mails in einer verschlüsselten enklave z.B. der Outlook-App liegen und per policies auch ein kopieren der Inhalte in den privaten Bereich des Handys unterbunden wird.
Firmen-Daten liegen trotzdem auf dem privaten Handy.
Das Sollte aber eben denke ich auch lt. DSGVO nicht verboten sein - es muss nur offengelegt und beschrieben / begründet werden und ein löschen muss Sichergestellt sein was bei einem Sync mit dem Firmen-Mailserver ja auch passiert.
sia
gesperrt
Ach so, Gewinn ist für diese Unternehmen also nicht so wichtig. Das habe ich dann falsch verstanden, ich dachte, der Zweck der meisten Unternehmen sei, Gewinn zu erwirtschaften.
Habe ich das irgendwo behauptet?
Nur weil Dein Unternehmen zu inkompetent ist, einen
You do not have permission to view link please Anmelden or Registrieren
aufzusetzen und diesen beispielsweise mit
You do not have permission to view link please Anmelden or Registrieren
automatisch aktuell zu halten, solltest du daraus nicht schließen, dass dies bei anderen Unternehmen auch so läuft. Piwik lässt sich sicher auch bei einem spezialisierten Anbieter automatisiert aktuell halten. Die paar Euro im Monat sollte das den Kunden doch wert sein.Ach so. Ich dachte ihr
selbst und die meisten, die Dir bei der Arbeit über den Weg laufen, sind keine gesichtslosen Konzerne, die ausschließlich von Gewinnmaximierung getrieben sind.
Das ist sicherlich Definitionssache.
Warum heftet man solche Listen nicht einfach ab?
Die ursprüngliche Fassung des Bundesdatenschutzgesetzes ist am 27. Januar 1977 in Kraft getreten. Der Datenschutz ist also kein Konzept, das erst vorgestern plötzlich aufgetaucht ist.
Dass Apotheker und Rechtsanwälte generell recht hohe Preise von der unbedarften Kundschaft verlangen und teilweise für ein Schriftstück, welches von einem Anwaltsgehilfen in 20min aus einer Vorlage kopiert wurde, mehrere hundert Euro verlangen, ist Dir noch nicht bekannt? Interessant.
Selbstverständlich kann man das nicht in einer halben Stunde erledigen, wenn das gesamte Unternehmen in der Vergangenheit auf den Datenschutz geschissen hat und erst neue Prozesse etabliert werden müssen.
Mit welcher Kanone wurde auf welchen Spatzen geschossen? Ist bereits ein Unternehmen verurteilt worden? Wurden schon rechtliche Schritte gegen einen deiner Kunden angestrengt?
Da stimme ich Dir vollkommen zu. Um mal den Ratgeber "Erste Hilfe zur Datenschutzgrundverordnung" zu zitieren: "Machen Sie sich als Geschäftsleitung oder Vorstand oder machen Sie der Geschäftsleitung oder dem Vorstand bewusst, dass Datenschutz Chefsache und nicht für umsonst zu haben ist."
Das wird nach wie vor nicht passieren.
Nicht nur Datenkraken mit spezialisierten KIs, nein, auch normale mittelständische und Kleinunternehmen können wegen der DSGVO jetzt nicht mehr so einfach Menschen durchleuchten.
Vielleicht fehlt dir und vielen anderen einfach immer noch das Verständnis für die Daten von anderen Menschen.
electric.larry
\''; DROP TABLE user; --
Du hast gewonnen! Die Dsgvo ist voll super durchdacht und ich einfach zu dumm das zu begreifen. Schönen Tag noch!
sia
gesperrt
Danke, dass du das erkennst und nicht versuchst, mit sinnlosen Argumenten gegen meine überlegene Darlegung anzugehen.
electric.larry
\''; DROP TABLE user; --
Mach ich nicht mehr 
Aber aus Interesse, hast du Watchtower selbst im Einsatz? Funktioniert das zuverlässig?
Aber aus Interesse, hast du Watchtower selbst im Einsatz? Funktioniert das zuverlässig?
Fhynn
Wird jetzt vernünftig.
- Registriert
- 13 Juli 2013
- Beiträge
- 10.166
Hach. Die DSGVO ... ich habe mich nicht wirklich darum kümmert. Haben andere Kollegen erledigt mit Tagelangen Schulungen etc. - aber in meinem Tätigkeitsfeld fällt auf: Nicht oder nur bedingt umsetzbar. Kurz: Wir betreuen Arztpraxen Deutschlandweit, welche ein bestimmtes PVS nutzen. Gerade im medizinischen Bereich ist Datenschutz ja schon immer ein Thema, im Grunde hätte man den ganzen Kram vorher auch schon machen sollen, müssen, war aber eben nicht. Wir betreuen, dh. wir kümmern uns um Schulungen zu der verwendeten Software, analoge -> digitale Faxe, Virenschutz, VPN-Tunnel, neue Hardware, Anbindung von Geräten ans Netzwerk, Datensicherungen, Notfallserver und so weiter. Alles was so eine Praxis halt brauchen könnte. Wir haben kleine Praxen mit ein Server + ein Arbeitsplatz als Kunden, wir haben aber auch Kliniken mit mehreren Nebenstellen.
So - es gibt nichts einheitliches für Arztpraxen. Jede Praxis entwirft aktuell ihren eigenen Wisch den die Patienten unterschreiben sollen. Theoretisch müsste ich bzw. wir als Supporter auch so Kram unterschreiben weil wir nun mal Zugriff auf alle Daten haben bei der Fernwartung oder auch vor Ort - ich musste bisher 1x was unterschreiben (und ich habe seit dem 25. sehr viele Praxen besucht). Kümmert kaum einen.
Dann sollen die Patienten was unterschreiben. War vor ca. eineinhalb Wochen in einer größeren Augenarztpraxis, die ihren Anamnesebogen direkt mit der DSGVO-Einverständnis gekoppelt hatten. Wie das beim Augenarzt so ist, sind da nicht alle Patienten mit einem guten Augenlicht ausgestattet - während wir also vorne rumhampelten um ein Problem an einem der PCs der Anmeldung zu fixen, kam halt eine ältere Patienten und meinte sie könne das nicht lesen, sie hätte Krankheit XY. Da zeigt die MFA ihr halt mit dem Finger wo ihr Name hin muss und wo ihre Unterschrift und das war's. Theoretisch hätte man mit ihr in einen gesonderten, abgeschotteten Raum gehen müssen und ihr helfen müssen das auszufüllen - sie hat im Grunde jetzt die berühmte Waschmaschine nach Zustimmung der AGB gekauft.
Auch ist es so das man den Kram eigentlich BEVOR die Karte überhaupt eingelesen wird ausfüllen muss. Wer stellt sich den da hin und weigert sich das zu unterschreiben? Niemand. Die Leute unterschreiben alles. Wer 4-6 Monate auf einen Termin beim Augenarzt (normale Wartezeit hier) wartet, wird dann nicht sagen "ne, unterschreibe ich nicht".
Vor paar Tagen kam eine Praxis an, sie hätten bei so einer Veranstaltung/Schulung/Fortbildung/Whatever gesagt bekommen sie dürfen keine Patienten mehr mit Namen aufrufen
wie unsinnig ist das bitte.
Ebenfalls nett: Jetzt kommen alle an und möchten verschlüsselte eMails. Es gibt aber Stand heute keinen kompletten Standard und allgemein ist das ganze auch für Arztpraxen mit MFAs, die nicht mal in der Lage sind einen PC neuzustarten oder ausgeblendete Desktop-Icons wieder einzublenden, einfach nicht praktikabel. Laborberichte laufen meist über spezielle Clients die eine Verschlüsselung bieten, aber unfassbar viele Informationen kommen von diversen Stellen (andere Ärzte, Krankenhäuser etc.) halt per Fax oder Mail rein. Auch die Verschlüsselung der Backupmedien ist so ein Thema. Die sind nicht in der Lage, die Kassetten täglich zu wechseln oder ignorieren halt die Meldung das bei der Datensicherung (das Log ploppt leuchtend rot auf bei einem Fehler, man KANN es nicht übersehen) etwas schiefgelaufen ist. Die können Patienten anlegen, Karten auslesen, Termine vergeben etc. aber alles was darüber hinaus geht ist anscheinend für locker 90% eine wahnsinnige Hürde.
Der Grundgedanke ist ja total okay aber die Umsetzung ist halt Scheisse. Jetzt heißt es warten auf Urteile und gucken was so Sache ist - und das kann u.U. Jahre dauern. Ja, jeder sollte seine Datenträger verschlüsseln und sichere Kommunikationswege nutzen aber das ist hier, in diesem Kreis, so schnell gesagt, weil für den Großteil hier dürfte es kein Problem sein sich eben einzulesen und das umzusetzen. Ich experimentiere gerade mit unserem Standardclient den wir für Fax/Mail verwenden und S/MIME. Die Theorie ist simpel und der Kram ist auch innerhalb weniger Minuten eingerichtet. Einer MFA das zu verklickern, wie sie die Mail verschlüsselt (und das der Empfänger das auch nutzen muss! Wo wir keinen Einfluss drauf haben), dauert in Relation betrachtet ewig Zeit die btw. nicht wirklich da ist: Danke Telematik.
LG,
PS: Spahn, wenn du das liest, kipp die TI. Danke. Die Praxen, die es bisher im Einsatz haben, sind nur am kotzen
So - es gibt nichts einheitliches für Arztpraxen. Jede Praxis entwirft aktuell ihren eigenen Wisch den die Patienten unterschreiben sollen. Theoretisch müsste ich bzw. wir als Supporter auch so Kram unterschreiben weil wir nun mal Zugriff auf alle Daten haben bei der Fernwartung oder auch vor Ort - ich musste bisher 1x was unterschreiben (und ich habe seit dem 25. sehr viele Praxen besucht). Kümmert kaum einen.
Dann sollen die Patienten was unterschreiben. War vor ca. eineinhalb Wochen in einer größeren Augenarztpraxis, die ihren Anamnesebogen direkt mit der DSGVO-Einverständnis gekoppelt hatten. Wie das beim Augenarzt so ist, sind da nicht alle Patienten mit einem guten Augenlicht ausgestattet - während wir also vorne rumhampelten um ein Problem an einem der PCs der Anmeldung zu fixen, kam halt eine ältere Patienten und meinte sie könne das nicht lesen, sie hätte Krankheit XY. Da zeigt die MFA ihr halt mit dem Finger wo ihr Name hin muss und wo ihre Unterschrift und das war's. Theoretisch hätte man mit ihr in einen gesonderten, abgeschotteten Raum gehen müssen und ihr helfen müssen das auszufüllen - sie hat im Grunde jetzt die berühmte Waschmaschine nach Zustimmung der AGB gekauft.
Auch ist es so das man den Kram eigentlich BEVOR die Karte überhaupt eingelesen wird ausfüllen muss. Wer stellt sich den da hin und weigert sich das zu unterschreiben? Niemand. Die Leute unterschreiben alles. Wer 4-6 Monate auf einen Termin beim Augenarzt (normale Wartezeit hier) wartet, wird dann nicht sagen "ne, unterschreibe ich nicht".
Vor paar Tagen kam eine Praxis an, sie hätten bei so einer Veranstaltung/Schulung/Fortbildung/Whatever gesagt bekommen sie dürfen keine Patienten mehr mit Namen aufrufen
wie unsinnig ist das bitte. Ebenfalls nett: Jetzt kommen alle an und möchten verschlüsselte eMails. Es gibt aber Stand heute keinen kompletten Standard und allgemein ist das ganze auch für Arztpraxen mit MFAs, die nicht mal in der Lage sind einen PC neuzustarten oder ausgeblendete Desktop-Icons wieder einzublenden, einfach nicht praktikabel. Laborberichte laufen meist über spezielle Clients die eine Verschlüsselung bieten, aber unfassbar viele Informationen kommen von diversen Stellen (andere Ärzte, Krankenhäuser etc.) halt per Fax oder Mail rein. Auch die Verschlüsselung der Backupmedien ist so ein Thema. Die sind nicht in der Lage, die Kassetten täglich zu wechseln oder ignorieren halt die Meldung das bei der Datensicherung (das Log ploppt leuchtend rot auf bei einem Fehler, man KANN es nicht übersehen) etwas schiefgelaufen ist. Die können Patienten anlegen, Karten auslesen, Termine vergeben etc. aber alles was darüber hinaus geht ist anscheinend für locker 90% eine wahnsinnige Hürde.
Der Grundgedanke ist ja total okay aber die Umsetzung ist halt Scheisse. Jetzt heißt es warten auf Urteile und gucken was so Sache ist - und das kann u.U. Jahre dauern. Ja, jeder sollte seine Datenträger verschlüsseln und sichere Kommunikationswege nutzen aber das ist hier, in diesem Kreis, so schnell gesagt, weil für den Großteil hier dürfte es kein Problem sein sich eben einzulesen und das umzusetzen. Ich experimentiere gerade mit unserem Standardclient den wir für Fax/Mail verwenden und S/MIME. Die Theorie ist simpel und der Kram ist auch innerhalb weniger Minuten eingerichtet. Einer MFA das zu verklickern, wie sie die Mail verschlüsselt (und das der Empfänger das auch nutzen muss! Wo wir keinen Einfluss drauf haben), dauert in Relation betrachtet ewig
Zeit die btw. nicht wirklich da ist: Danke Telematik. LG,
PS: Spahn, wenn du das liest, kipp die TI. Danke. Die Praxen, die es bisher im Einsatz haben, sind nur am kotzen
KaPiTN
Boomer ♪♪♫♪♫♫♪
- Registriert
- 14 Juli 2013
- Beiträge
- 22.329
You do not have permission to view link please Anmelden or Registrieren
Arztpraxen sind ein interessanter Punkt. Wie erfahren die von der DSGVO.
Daß die sich von selber für Datenschutz interessieren, bezweifle ich, wo ich jetzt schon häufiger gesehen habe, daß die Terminabsprache präferiert über Whatsapp abgewickelt wird.
Hierzu fällt mir der Inhalt einer 5-Tages Deviation und Complaint Management Schulung in unsrem Konzern (Pharma) ein.
Wenn wir eine Prozessabweichung haben sind wir gesetzlich dazu gezwungen einen entsprechenden CAPA (Corrective Action / Preventive Action) Plan zu erstellen und diesen umzusetzen.
Dabei gibt es eine Hackordnung: Technisch vor Administrativ.
Einfaches Beispiel (auch wenn nicht aus dem Pharma-Bereich, aber doch sehr einleuchtend):
Bei den Smarts der ersten Jahre(die Autos), kam es immer wieder vor, dass Leute beim Tanken den falschen "Stutzen" erwischten, und den Innenraum mit Sprit fluteten.
(Beispiel:
You do not have permission to view link please Anmelden or Registrieren
).Das galt es zu unterbinden.
Nun könnte man jedem Smart-Fahrer eine Unterweisung geben, dass der Lufteinlass eben kein Tankstutzen ist (CA), oder aber man macht es richtig und sorgt dafür, dass die Verwechslung nicht mehr geschehen kann (PA).
Der Aufdruck, dass man "hier" kein Benzin einfüllen soll, war offensichtlich nicht ausreichend. Also wurde umdesignt und bei den neueren Modellen damit Abhilfe geschaffen.
Auch wenn das Beispiel sehr weit hergeholt zu sein scheint, gibt es doch Parallelen.
Problemstellung: Sprit im Innenraum | Versand von zu schützenden Daten im Klartext
Root-Cause: Verwechlungsmöglichkeit | Verschlüsselter Versand ist "schwieriger"
Was hilft nicht nachhaltig: Aufdruck "No fuel" | Schulungen, wie der schwierige Weg zu begehen ist
Was hilft: Dafür sorgen, dass der Zapfhahn nicht in den Lufteinlass passt und optisch auch nicht verwechselt werden kann | Der Klick auf "senden" sorgt für Verschlüsselung
Wenn Du Deine Problemstellung ähnlich angehst wirst Du wahrscheinlich einfacher zum Erfolg kommen:
Deine Lösung muss eigentlich technisch sein um eine gewisse Nachhaltigkeit zu erreichen. Schulungen sind immer nur der letzte greifbare Strohhalm (wie stellt man sicher, dass ein neuer Arzthelfer VOR Versand der ersten Mail entsprechend geschult ist?).
Ergo: Der Standard-Versand ist verschlüsselt, Klartext-Versand gibt es nur über einen Umweg.
Damit kann man den Schulungsbedarf minimieren und hat durch technische Massnahmen sichergestellt, dass auch neue MA verschlüsselt versenden.
Edith:
Die Ärzte sollten eigentlich von der BÄK informiert worden sein. Die hat im Deutschen Ärzteblatt auch darauf hingewiesen, was zu beachten ist:
You do not have permission to view link please Anmelden or Registrieren
Zuletzt bearbeitet:
Fhynn
Wird jetzt vernünftig.
- Registriert
- 13 Juli 2013
- Beiträge
- 10.166
You do not have permission to view link please Anmelden or Registrieren
Standartisiert verschlüsselte eMails bieten aber bei den aktuell gängigen Verfahren PGP oder S/MIME ein Problem: Der Empfänger kann damit nichts anfangen, wenn er halt nicht gerade zufällig das gleiche Verfahren nutzt und die Keys auch public sind bzw. ausgetauscht worden sind
- Thread Starter Thread Starter
- #33
Smtps zu erzwingen würde meiner Meinung nach auch erst einmal helfen und dürfte oft funktionieren, wenn nicht - die gegenstelle anschreiben.
Das stellt zwar nicht den kompletten transportweg sicher - aber DU verschlüsselt von deiner Seite.
Das stellt zwar nicht den kompletten transportweg sicher - aber DU verschlüsselt von deiner Seite.
nik
肉まん
You do not have permission to view link please Anmelden or Registrieren
Standartisiert verschlüsselte eMails bieten aber bei den aktuell gängigen Verfahren PGP oder S/MIME ein Problem: Der Empfänger kann damit nichts anfangen, wenn er halt nicht gerade zufällig das gleiche Verfahren nutzt und die Keys auch public sind bzw. ausgetauscht worden sind
Wenn der Schlüssel des Empfängers nicht bekannt ist, kann die E-Mail gar nicht erst verschlüsselt werden.
You do not have permission to view link please Anmelden or Registrieren
Und wenn der Empfänger seine E-Mails mittels POP3S abruft, ist der Transportweg dann komplett gesichert? 
Das eigentlich Blöde ist dabei doch jedes mal, dass sich kaum einer vorbereitet und dann beim Inkrafttreten vollkommen "überrascht" wird. War bei der Einführung von IPv6 genauso und wird sich wohl nie ändern.
Am Anfang muss es eben erst mal wehtun, bevor es besser wird. Da muss man eben durch.
- Thread Starter Thread Starter
- #35
nein @nik - wie gesagt das stellt nicht den kompletten Transportweg sicher.
Aber "jeder" teilnehmende hat seinen Teil beizutragen und so kann man meiner Meinung nach keiner Praxis fahrlässigkeit vorwerfen.
Die angedrohten Strafen sind ja auch alle Maximalstrafen. Es gibt mehr als genug Ermessensspielraum.
Wenn sich Praxis a) darum kümmert und z.B. die E-Mail nur per smtps versendet und smtp verbietet sorgt Praxis a) für verschlüsselung und Sicherung.
Wenn nun Praxis b) auf der anderen Seite per pop3 oder imap abholt handelt Praxis b) eher fahrlässig und Praxis a) kann b) das nicht vorschreiben.
Das ist definitiv nichts felsenfestes und es ist ein unterschied ob man "selber" verschlüsselt oder ob man sagt der versendende muss sicherstellen das der gesamte Weg verschlüsselt ist.
Aber da man sich bei meinem Vorschlag zumindest darüber Gedanken macht und das eine praktikable Lösung sein könnte und die Praxis a) so viel macht wie ihr ohne den Betrieb lahm zu legen möglich ist.
Dürfte das bei einer Prüfung vermutlich eher eine Verwarnung wenn überhaupt etwas werden würde ich schätzen.
Es einfach so zu lassen wie es ist finde ich da definitiv schlimmer.
Aber "jeder" teilnehmende hat seinen Teil beizutragen und so kann man meiner Meinung nach keiner Praxis fahrlässigkeit vorwerfen.
Die angedrohten Strafen sind ja auch alle Maximalstrafen. Es gibt mehr als genug Ermessensspielraum.
Wenn sich Praxis a) darum kümmert und z.B. die E-Mail nur per smtps versendet und smtp verbietet sorgt Praxis a) für verschlüsselung und Sicherung.
Wenn nun Praxis b) auf der anderen Seite per pop3 oder imap abholt handelt Praxis b) eher fahrlässig und Praxis a) kann b) das nicht vorschreiben.
Das ist definitiv nichts felsenfestes und es ist ein unterschied ob man "selber" verschlüsselt oder ob man sagt der versendende muss sicherstellen das der gesamte Weg verschlüsselt ist.
Aber da man sich bei meinem Vorschlag zumindest darüber Gedanken macht und das eine praktikable Lösung sein könnte und die Praxis a) so viel macht wie ihr ohne den Betrieb lahm zu legen möglich ist.
Dürfte das bei einer Prüfung vermutlich eher eine Verwarnung wenn überhaupt etwas werden würde ich schätzen.
Es einfach so zu lassen wie es ist finde ich da definitiv schlimmer.
nik
肉まん
Na super, dann können sie auch S/Mime und PGP einrichten. Bringt auch nur was, wenn der Gegenüber das unterstützt.
Im Gegensatz zu deinem Vorschlag sind die Daten dann aber wirklich geschützt und man betreibt nicht nur den Versuch der Augenwischerei, um einer Strafe zu entgehen.
Im Gegensatz zu deinem Vorschlag sind die Daten dann aber wirklich geschützt und man betreibt nicht nur den Versuch der Augenwischerei, um einer Strafe zu entgehen.
- Thread Starter Thread Starter
- #37
smtps wird aber von den aller meisten größeren Hostern bereits unterstützt.
PGP wirst du quasie nirgends finden im geschäftlichen oder Privaten nicht-IT Umfeld und S/Mime ist mit kosten für ein vernünftiges Zertifikat verbunden + jeder Kunde benötigt ein Zertifikat. Man muss jemand finden der es korrekt konfiguriert, der Anwender muss noch sehen können welche Gegenstelle s/mime kann und welche nicht usw.
Der Aufwand für smtps ist weitaus geringer - da reicht vielleicht ein Anruf beim Webhoster über den die E-Mails laufen - oder ein haken im eigenen Mail-Server falls die Praxis größer ist.
PGP wirst du quasie nirgends finden im geschäftlichen oder Privaten nicht-IT Umfeld und S/Mime ist mit kosten für ein vernünftiges Zertifikat verbunden + jeder Kunde benötigt ein Zertifikat. Man muss jemand finden der es korrekt konfiguriert, der Anwender muss noch sehen können welche Gegenstelle s/mime kann und welche nicht usw.
Der Aufwand für smtps ist weitaus geringer - da reicht vielleicht ein Anruf beim Webhoster über den die E-Mails laufen - oder ein haken im eigenen Mail-Server falls die Praxis größer ist.
Man könnte das System ggf. auch so aufsetzen, dass der Text als PDF mit PW-Schutz fürs Lesen gesendet wird.
Sollten irgendwelche Dateien ausgetauscht werden müssen, diese mit PW-Schutz zippen und verschicken.
Das Password kann dann über einen 2. Kanal ausgetauscht werden (beim Arztbesuch etc.)
Sollten irgendwelche Dateien ausgetauscht werden müssen, diese mit PW-Schutz zippen und verschicken.
Das Password kann dann über einen 2. Kanal ausgetauscht werden (beim Arztbesuch etc.)
- Thread Starter Thread Starter
- #39
Ja, dafür gäbe es auch frohe Plugins / Dienste
sia
gesperrt
You do not have permission to view link please Anmelden or Registrieren
warum ist das Argument gegen optionale Verschlüsselung, dass sie optional ist? Man kann sowohl PGP als auch S/MIME gleichzeitig einrichten. Man muss es dann dennoch nicht verwenden. Und wenn das richtig eingestellt ist, ist es transparent für den User. Enigmail beispielsweise hat dafür.satte 2 Buttons. Wer das nicht hinbekommt, sollte sich bitte einen anderen Job suchen und nicht mit meinen Daten hantieren.SMTPS/IMAPS oder STARTTLS sind imho absolute Pflicht und wer das nicht eingerichtet hat, sollte doppelt und dreifach verklagt werden können. Wenn jetzt wieder das Argument kommt, dass das knowhow nicht da ist: man kann es sich einkaufen.