Seite 1 von 3 123 LetzteLetzte
Ergebnis 1 bis 25 von 51

Thema: Rant: Warum die DSGVO eine Datenschutz-Karikatur ist

  1. #1
    Zeitreisender

    Administrator

    Avatar von drfuture
    Registriert seit
    Jul 2013
    Ort
    in der Zukunft
    Beiträge
    5.576
    ngb:news Artikel
    16

    Rant: Warum die DSGVO eine Datenschutz-Karikatur ist

    Die DSGVO bürdet zahllosen Menschen umfangreiche bürokratische Pflichten auf und schafft Rechtsunsicherheit. Doch vor was schützt sie uns eigentlich?

    ... Ich habe mich am Wochenende noch einmal sehr im Detail mit dem Thema beschäftigt - da ich selber keinen akuten Grund habe agieren zu müssen, hat mich das vorher nur Oberflächlich interessiert.
    Außerdem gibt es kurz vor knapp besseres Material. ;D

    Allgemein finde ich die Idee sehr gut, dass man als Bürger bei Firmen das Recht hat, Auskunft über seine Daten zu bekommen und eine Löschung erwirken kann und das im Internet veröffentlicht werden muss, wozu die Daten gespeichert werden. Das macht es der Werbeindustrie deutlich schwerer Placebo-Produkte zu präsentieren, nur um an Daten zu kommen.

    Aber im Detail ist die Umsetzung wohl wieder einmal "Deutsch".

    Die Überschrift gehört zu einem Artikel, den ich dazu am Montag gelesen habe und der es, finde ich, super gut (und mit einem lachenden und weinenden Auge) zusammenfasst.


    Daher möchte ich den Artike zum Thema einfach mal für euch verlinken:
    https://t3n.de/news/rant-dsgvo-daten...katur-1078247/
    Für diesen Beitrag bedanken sich phre4k, theSplit
    Geändert von drfuture (15.05.18 um 09:52 Uhr)
    |_|D *`~{ Ich kenne deine Zukunft }~´* |_|D

  2. #2
    in Schwarz

    Moderator

    Avatar von LadyRavenous
    Registriert seit
    Dec 2016
    Ort
    hello world
    Beiträge
    1.746
    ngb:news Artikel
    12

    Re: Rant: Warum die DSGVO eine Datenschutz-Karikatur ist

    Wer Popcorn daheim hat, kann gerne in die Facebookgruppe zu DSGVO und Wordpress reinschauen.
    Dass die DSGVO kommt, ist schon länger bekannt. Ich habe mich vor über 2 Jahren zum ersten Mal damit befasst, damals noch mit lustigen englischen Draftversionen. Eigentlich ändert sich nicht so viel, nur gibt es jetzt Strafen. Das meiste hätte man eigentlich schon vorher haben sollen.
    Ich habe die DSGVO genutzt, um nochmals über meine Seiten zu gehen und paar Sachen zu optimieren.
    "Das Internet? Gibts diesen Blödsinn immer noch?"
    Homer Simpson, Sicherheitsinspektor im Kernkraftwerk Springfield

    Hasenbraten-Rezepte

  3. #3
    Zeitreisender

    Administrator

    (Threadstarter)

    Avatar von drfuture
    Registriert seit
    Jul 2013
    Ort
    in der Zukunft
    Beiträge
    5.576
    ngb:news Artikel
    16

    Re: Rant: Warum die DSGVO eine Datenschutz-Karikatur ist

    ja und nein - das es das Thema seit 2 Jahren gibt ist korrekt - aber gab es früher wirklich eine Informations + Opt-in pflicht für jegliche Datenübersendung?
    Also eigentlich jedes Formular auf einer Website auf dem ich informieren muss das ich die Daten speichere, verarbeite usw.. und eine info zur genauen Richtlinie + eine Bestätigung das der Besucher sich dessen bewusst ist?

    Oder das der gesamte Verarbeitungsweg verschlüsselt sein muss - z.B. auch die Info-Mail die versendet wird mit Infos aus dem Formular (wenn dem so ist) per smtps übertragen werden müsste - oder s/mime oder ähnliches.

    Oder das Bei Photos - insofern sie entweder veröffentlicht werden oder gewerblich ist (und das ist es schnell) eine explizite Einverständnis vorhanden sein muss auf der die Verwendung der Photos beschrieben wird (Schild oder so mit der Info "es wird Photografiert" reicht nicht) von jeder Person die auf irgend einem Photo drauf ist.
    Viel Spaß bei jeglicher Veranstaltung.

    Wenn es das alles schon früher gab dann wurde die Bevölkerung darüber echt schlecht informiert... auch wenn man aktiv Sucht was man zur Rechtssicherheit seines hobbies oder jobs benötigt.
    |_|D *`~{ Ich kenne deine Zukunft }~´* |_|D

  4. #4
    in Schwarz

    Moderator

    Avatar von LadyRavenous
    Registriert seit
    Dec 2016
    Ort
    hello world
    Beiträge
    1.746
    ngb:news Artikel
    12

    Re: Rant: Warum die DSGVO eine Datenschutz-Karikatur ist

    Ich habe nicht gesagt alles, sondern vieles.

    Einiges war bisher nur empfohlen. Fotos hat uns damals im Studium vor zig Jahren schon der Rechtsprof die explizite Einverständniserklärung empfohlen. Ich weiß aber auch, dass es üblich war bzw. noch ist bei der Anmeldung eine Einverständnis mit Opt-Out zu machen.

    Ersteres hatte ich bereits vorher schon teilweise. Verschlüsselt war vorher auch schon empfohlen.
    "Das Internet? Gibts diesen Blödsinn immer noch?"
    Homer Simpson, Sicherheitsinspektor im Kernkraftwerk Springfield

    Hasenbraten-Rezepte

  5. #5
    ♪♪♫♪♫♫♪ Avatar von KaPiTN
    Registriert seit
    Jul 2013
    Beiträge
    8.661
    ngb:news Artikel
    9

    Re: Rant: Warum die DSGVO eine Datenschutz-Karikatur ist

    Folgt man der Argumentation hinter einem der weiterführenden Links, dann ergibt sich bereits bei der Erstellung, also ohne Veröffentlichungsabsicht, bei digitalen Photographien ein Problem.
    Durch mit dem Bild gespeicherte Informationen wie Zeit und GPS handelt es sich demnach um erlaubnispflichtige Datenerhebung.

    Also Obacht, daß beim Selfie keiner hinter einem steht.
    J'irai pisser sur votre bombes
    You can educate a fool, but you cannot make him think

  6. #6
    Zeitreisender

    Administrator

    (Threadstarter)

    Avatar von drfuture
    Registriert seit
    Jul 2013
    Ort
    in der Zukunft
    Beiträge
    5.576
    ngb:news Artikel
    16

    Re: Rant: Warum die DSGVO eine Datenschutz-Karikatur ist

    Eine extra einverständniss von jedem ist aber bei Photos schlicht nicht Möglich.
    Wie geht das beim öffentlichen Veranstaltungen?
    Selbst bei einer schlichten Hochzeit muss der Photograf bei jedem Photo vor dem abdrücken prüfen ob einer der die Unterschrift nicht gegeben hat irgendwo in der Ecke des Bildes zu sehen ist ... subba

    Und empfohlen ist viel - aber wirklich sinnig?
    Man möchte dem Benutzer ja eventuell auch nicht auf die nerven gehen - daher hat so manches wohl fast keiner freiwillig umgesetzt.
    Wie gesagt ich finde den Datenschutz im Grunde sehr gut.
    Aber das ich bei einem Kontakt-Formular den Besucher extra darauf hinweise das seine Daten nun gespeichert und übertragen werden ist für mich komplett Sinnfrei und führt nur dazu das noch weniger Leute solche Informationen lesen.
    Wie kommt die Anfrage denn sonst an die Firma?

    Das das dann wieder verschlüsselt gehört ist ja durchaus nachvollziehbar und das war es in der Tat ja schon lange vorher bei den Meisten - auch dank Lets Encrypt ^^
    |_|D *`~{ Ich kenne deine Zukunft }~´* |_|D

  7. #7

    Re: Rant: Warum die DSGVO eine Datenschutz-Karikatur ist

    Ein leidiges Thema, sicher sind viele Sachen der DSGVO schon lange bekannt und sollten auch schon lange umgesetzt werden, allerdings besteht derzeit eben die große Angst vor den Abmahnanwälten die die Messer schon gewetzt haben. Die warten schon auf den 25.05 um ihre bösen Briefe an kleine Blogger und Shops schicken, die großen wird das kaum treffen. Auch traurig ist die darum entstehende Wirtschaftsmaschinerie die jetzt "Sicherheitspackete" für die DSGVO anbietet. - T3N die in Ihrem Artikel auch viel meckern sind da nicht ausgenommen, auch die versuchen aus der panikmache Geld zu ziehen.

    Problematisch sehe ich derzeit die waagen Formulierungen und das keiner genau weiß, wie er sich verhalten soll. Alle warten eigentlich auf die ersten Abmahnungen um dann nochmal Änderungen an ihren Sites vorzunehmen.

    Zitat Zitat von drfuture Beitrag anzeigen
    aber gab es früher wirklich eine Informations + Opt-in pflicht für jegliche Datenübersendung?
    ...
    Also eigentlich jedes Formular auf einer Website auf dem ich informieren muss das ich die Daten speichere, verarbeite usw.. und eine info zur genauen Richtlinie + eine Bestätigung das der Besucher sich dessen bewusst ist?
    Eine Informationspflicht gibt es schon länger, der Verweis auf die Datenschutzerklärung reichte bisher aus, laut den meisten Aussagen soll das auch weiterhin reichen. Eine Opt-In Pflicht sehe ich nicht, das liegt aber vielleicht an der waagen Formulierungen. Bisher sehe ich es eher so, dass der Unternehmer es nur kreativ genug begründen muss, warum die Datenerhebung wichtiger ist als die Belange des Users.

    Die Checkbox Regelung ist genauso waage formuliert, viele Anwälte sagen, es reicht an bestimmten Stellen auf die Datenschutzerklärung zu verweisen. Allerdings raten von den Anwälten trotzdem viele dazu lieber eine Checkbox zu nutzen um unnötigen Abmahnungen aus dem Weg zu gehen.


    Zitat Zitat von drfuture Beitrag anzeigen
    Oder das der gesamte Verarbeitungsweg verschlüsselt sein muss - z.B. auch die Info-Mail die versendet wird mit Infos aus dem Formular (wenn dem so ist) per smtps übertragen werden müsste - oder s/mime oder ähnliches.
    Auch hier ist die Kreativität der Begründung es nicht zu tun gefragt - sagen viele. Und es kommt auch immer darauf an wie sensibel diese Daten sind - man sollte das Missbrauchsrisiko soweit wie möglich vermeiden, eine komplette Verschlüsselung der Daten ist sogut wie nicht möglich.
    Wir betreiben Online Shops - diese Regelung würde ja bedeuten das wir jeglich Kundendaten in der Datenbank verschlüsselt ablegen müssen - das steht aber nirgends - es soll nur der höchstmögliche Schutz (kreative Begründung) für die Daten geschaffen werden.
    Wir legen den höchstmöglichen Schutz so aus: Die Datenbank ist von außen nicht einsehbar, die Software die die Daten abgreift wird regelmäßig gewartet und aktualisiert. Die Übertragung der Daten vom Client zu uns findet via SSL statt.

    Es werden auch keine unnötigen Daten vom Kunden abgefragt. Die Telefonnummer wird abgefragt um den Bestellprozess sauber abschließen zu können, diese wird, wie in unserer Datenschutzerklärung beschrieben, nur dafür verwendet das die Spedition den Kunden avisieren kann. Ein Geburtsdatum fragen wir nicht ab, einige Zahlungsdienstleister tun das, diese Daten werden allerdings nicht bei uns gespeichert sondern nur an den Zahlungsdienstleister übertragen (steht auch in der Datenschutzerklärung).
    Das ist das höchste Maß an Sicherheit das wir als kleines Unternehmen gewährleisten können.

    Wir versuchen einen vorsichtigen Mittelweg zu gehen und warten die nächsten Wochen ab, was sich bei den anderen so tut. Fressnapf.de wird derzeit oft als lobendes Beispiel erwähnt, die haben schon vieles umgesetzt und es trotzdem relativ elegant gelöst.

  8. #8
    in Schwarz

    Moderator

    Avatar von LadyRavenous
    Registriert seit
    Dec 2016
    Ort
    hello world
    Beiträge
    1.746
    ngb:news Artikel
    12

    Re: Rant: Warum die DSGVO eine Datenschutz-Karikatur ist

    Zitat Zitat von KingJamez Beitrag anzeigen
    Auch traurig ist die darum entstehende Wirtschaftsmaschinerie die jetzt "Sicherheitspackete" für die DSGVO anbietet. - T3N die in Ihrem Artikel auch viel meckern sind da nicht ausgenommen, auch die versuchen aus der panikmache Geld zu ziehen.
    Das ist mir auch schon negativ aufgestoßen. Gefühlt gibt es die Leute, die Panik schieben, die, die unbekümmert sind, die, die sich aufregen und die, die Geld verdienen.

    BayLDA und andere LDAs bieten finde ich angenehme Checklisten und Muster an.
    "Das Internet? Gibts diesen Blödsinn immer noch?"
    Homer Simpson, Sicherheitsinspektor im Kernkraftwerk Springfield

    Hasenbraten-Rezepte

  9. #9

    Re: Rant: Warum die DSGVO eine Datenschutz-Karikatur ist

    Beim LDI.nrw gibt es Mustervorlagen für die Formulare der Beauftragten und weitere gute Infos.

  10. #10
    ★★★★☆ (Kasparski) Avatar von Jester
    Registriert seit
    Dec 2014
    Ort
    Code Azure
    Beiträge
    787
    ngb:news Artikel
    2

    Re: Rant: Warum die DSGVO eine Datenschutz-Karikatur ist

    Zitat Zitat von KingJamez Beitrag anzeigen
    Eine Informationspflicht gibt es schon länger, der Verweis auf die Datenschutzerklärung reichte bisher aus, laut den meisten Aussagen soll das auch weiterhin reichen. Eine Opt-In Pflicht sehe ich nicht, das liegt aber vielleicht an der waagen Formulierungen. Bisher sehe ich es eher so, dass der Unternehmer es nur kreativ genug begründen muss, warum die Datenerhebung wichtiger ist als die Belange des Users.

    Die Checkbox Regelung ist genauso waage formuliert, viele Anwälte sagen, es reicht an bestimmten Stellen auf die Datenschutzerklärung zu verweisen. Allerdings raten von den Anwälten trotzdem viele dazu lieber eine Checkbox zu nutzen um unnötigen Abmahnungen aus dem Weg zu gehen.
    Wir setzen sicherheitshalber die "Ich habe die (verlinkte) Datenschutzerklärung gelesen und willige ein"-Checkbox schon seit geraumer Zeit ein und ich würde ernsthaft davon abraten, dieses Opt-In nicht einzuholen, auch wenn sich die Vorgabe schwammig liest.
    Die Welt ist grau. Und bunt!

  11. #11
    Mitglied Avatar von Amixor33
    Registriert seit
    Apr 2018
    Ort
    BY, BW, HE
    Beiträge
    241

    Re: Rant: Warum die DSGVO eine Datenschutz-Karikatur ist

    Da bekomm ich einen Hals bei diesem Thema, ich hatte leider bislang kaum Zeit mich damit auseinander zu setzen, gestern und heute erst zwei Prüfungen nachgeschrieben für dich ich sehr viel tun musste und naja - sind ja nur noch 10 Tage, ggf. überlege ich mir auch meine Blogs vorübergehend offline zu nehmen, sind zwar über Blogspot gehostet aber das ist mir alles viel zu unübersichtlich und ich weiß nicht inwiefern überzogene und drakonische Strafen, vergleichbar mit dem Netzdurchsuchungsgesetz auch nur annähernd irgendwas positives tun.

    Derjenige der bewusst dagegen verstoßen kann, weil er die Mittel hat, juckt es oft nicht.

    Und ja die Abmahnanwälte sind für mich Pest pur, ich finde dagegen sollte etwas getan werden. Die bringen keinerlei Mehrwert oder Nutzen für die Gesellschaft sondern arbeiten schön in die eigene Tasche und können damit Existenzen ruinieren.

    Naja, ich glaub ich kauf mir die Woche mal ne Zeitung oder irgendwas zu dem Thema. So klar scheint ja auch nichts zu sein, wollte nicht irgendwer das Gesetz auch kurz vor knapp wieder einkassieren?
    ... dann fangen wir halt nochmal von vorne an ...

  12. #12
    Lone Gunman Avatar von Shodan
    Registriert seit
    Jul 2013
    Ort
    Citadel Station
    Beiträge
    346

    Re: Rant: Warum die DSGVO eine Datenschutz-Karikatur ist

    Vor der DSGVO ein wenig "Angst" zu haben macht schon Sinn, denn in Sachen Datenschutz wird, so unterstelle ich, von vielen massiv gepfuscht. Eine Verschärfung war dringend notwendig, damit auf dem Gebiet endlich eine Trendwende einsetzt.

    Ein kleines Beispiel: ein Unternehmen erzählt dir wie wichtig ihnen Datenschutz ist und bla blub bla bla. Du registrierst dich, bekommst eine E-Mail und in der ist ein Trackingpixel eines anderen Unternehmens. Im Pixel werden Daten übergeben, wie z.B. die E-Mail-Adresse des Empfängers.
    Man kann das jetzt auf zwei Arten formulieren:
    1. Das Unternehmen braucht das um die Funktionalität ihrer Software zu verbessern.
    2. Das Unternehmen gibt systematisch alle E-Mailadressen ihrer Kunden an einen Dritten weiter.

    Die Sorge um "die Kleinen" hat schon was wahres: es sind gerade "die Kleinen", die sich ihre Online-Angebote halt nach dem "viel hilft viel" Prinzip aus "Gratisangeboten" zusammenklicken, obwohl sie keine Ahnung haben, was sie da machen. Diese "Kleinen" stellen auch öffentlich zugängliche Memcached Server ins Netz, verfassen auf Facebook strafrechtlich relevante Beiträge und fahren besoffen mit dem Auto. (hehe Google-Auto mit 2 Promille toxischer Prozesse überfährt Fußgänger.. scnr) Selbstverständlich müssen auch die "kleinen Leute" Daten schützen, immerhin hat sich ein ganzer Industriezeig entwickelt, der viele tolle Features gratis anbietet, wenn sie "nur ein paar Daten der User" dafür bekommen.

    Das t3n, eine Seite über die mir Ghostery sagt, dass sie neun Tracker einbindet öffentlich gegen die DSGVO hetzt, wundert mich nicht im Geringsten. Immerhin werfen die mit den Daten ihrer Nutzer nur so um sich. Positiv anzumerken ist, dass t3n ihre Tracker in ihrer Datenschutzbestimmung auch aufführen. "Bevor ich so ein Risiko eingehe, lass ich es lieber bleiben." heißt es in dem Rant. - Ja klar, schön wärs. Datenvermeidung wäre ganz in unserem Sinne. (Wir, das sind die Leute, mit deren Daten ihr so lieblos umgeht). (Ja ich weiß, dass ich es aus dem Kontext reiße und er Bloggen meint).

    In dem Rant wird Stimmung gemacht, mit teils zweifelhaften Argumenten. Zum Beispiel verwendet der Autor eine "Inflation of conflict": verschiedene Experten diskutieren über Fotos, also ist die DSGVO schlecht, weil es Leuten schadet, die Kultur schaffen. Wat? Fotos gegen den Willen der Fotografierten sind schon seit Jahren ein Streitthema, siehe z.B. Paparazzis, da braucht es keine DSGVO für. Oder das Tu-quoque-Argument, dass sich quer durch den Rant zieht: Warum sollen wir Datenschutz machen, wenn der Staat, Google und Facebook doch die größten Sünder sind? - Weil es der richtige Weg ist, ihr Narren!

    Zitat Zitat von t3n.de/datenschutz/
    Zu den statistischen Erhebungen gehört ebenfalls die Feststellung, ob die Newsletter geöffnet werden, wann sie geöffnet werden und welche Links geklickt werden. Diese Informationen können aus technischen Gründen zwar den einzelnen Newsletter-Empfängern zugeordnet werden. Es ist jedoch weder unser Bestreben, noch das von MailChimp, einzelne Nutzer zu beobachten. Die Auswertungen dienen uns viel mehr dazu, die Lesegewohnheiten unserer Nutzer zu erkennen und unsere Inhalte auf sie anzupassen oder unterschiedliche Inhalte entsprechend den Interessen unserer Nutzer zu versenden.
    Wunderschöne Formulierung, ich meine fast die kognitive Dissonanz rauslesen zu können. Da steht drin "wir haben etwas implementiert, was wir nicht brauchen und erfassen deshalb mehr, wie wir eigentlich haben wollen" Schon mal darüber nachgedacht die Implementation zu ändern?


    Auf "bürokratischen Irrsinn" wird da geschimpft und dass das alles viel zu schwierig wäre.
    Ja, wenn man verklausulieren will, warum es Datenschutzrechtlich alles ok ist, wenn man neun anderen Unternehmen erzählt, dass ein User sich gerade die Seite ansieht... dann braucht man dafür wohl einen Anwalt. Der Datenschutzbeauftragte wird zum Dokumentationsbeauftragten degradiert und soll das Unternehmen vor den Ansprüchen der betroffenen Personen schützen, statt halt... Daten zu schützen.

    Aber dann Angst haben, dass man Ärger bekommen könnte.

    Und wir Datenschützer greifen nicht zur Abmahnung als Mittel der Wahl. Erstmal gilt es das Unternehmen (oder die Person, Blogger, Fotografin, etc) anzusprechen, Fristen zu setzen, mehrfach nachzufragen, dann geht es zur zuständigen Behörde, mit der noch mal nachgefragt wird und dabei heißt es stets erstmal eine Verbesserung anstreben. Und nur wenn nichts passiert, wenn der Datenverarbeiterin die Grundrechte am Arsch vorbei gehen, wenn systematisch gepfuscht wird, dann reden wir über Strafen.

    Das Abmahnanwälte auf zweifelhafter Basis Abmahnungen versenden ist ein ganz anderes Problem, das wenig mit Datenschutz an sich zu tun hat. Die Sache mit dem Impressum liegt uns allen noch übel im Magen, weil wir nie richtig aufgearbeitet haben, wer denn da eigentlich den Bloggern "unlauteren Wettbewerb" vorwirft.


    Zitat Zitat von KingJamez Beitrag anzeigen
    es soll nur der höchstmögliche Schutz (kreative Begründung) für die Daten geschaffen werden.
    Wir legen den höchstmöglichen Schutz so aus: Die Datenbank ist von außen nicht einsehbar, die Software die die Daten abgreift wird regelmäßig gewartet und aktualisiert. Die Übertragung der Daten vom Client zu uns findet via SSL statt.
    Der Server steht im ISO/IEC 27001 zertifizierten Rechenzentrum. Auf die Datenverarbeitungssysteme haben nur einzelne Spezialisten Zugriff, um den technischen Betrieb des Systems sicherzustellen. Diese Spezialisten sind geschult und haben eine NDA unterschrieben. Die Entwicklungsumgebungen für die eingesetzte Software verarbeiten keine personenbezogenen Daten.

    Es geht nicht um kreative Begründungen, kreative Begründungen sind der verzweifelte Versuch der Schafe ungeschoren davonzukommen. Es geht um Transparenz der Unternehmen gegenüber ihren Kunden und darum sich als Unternehmer und als Mensch mal Gedanken darüber zu machen, was man da eigentlich für einen Müll fabriziert.
    Aber irgendwie hat die Industrie es geschafft die tatsächliche Umsetzung der DSGVO durch Unternehmen zu einer Karrikatur zu machen. Zumindest darin stimme ich dem Artikel zu.
    Für diesen Beitrag bedanken sich Jester, LadyRavenous, phre4k
    Geändert von Shodan (16.05.18 um 03:19 Uhr)
    Art. 6 der Richtlinie 2006/24 ist mit den Art. 7 und 52 Abs. 1 der Charta der Grundrechte der Europäischen Union unvereinbar, soweit er den Mitgliedstaaten vorschreibt, sicherzustellen, dass die in ihrem Art. 5 genannten Daten für die Dauer von bis zu zwei Jahren auf Vorrat gespeichert werden.
    Generalanwalt Pedro Cruz Villalón - Europäischer Gerichtshof

  13. #13
    \''; DROP TABLE user; --

    Administrator

    Avatar von electric.larry
    Registriert seit
    Dec 2014
    Ort
    Raum 43
    Beiträge
    1.503
    ngb:news Artikel
    80

    Re: Rant: Warum die DSGVO eine Datenschutz-Karikatur ist

    Ich habe in den letzten Wochen einige Websites aus den unterschiedlichsten Branchen hinsichtlich der DSGVO überarbeitet. Die Anweisungen, was zu tun ist, wurden jeweils von unterschiedlichen Rechtsanwaltskanzleien geliefert.

    Auffällig dabei war, dass ausnahmslos alle Anwälte die Anforderungen der DSGVO unterschiedlich interpretieren und dass kein einziger dabei war, der wirklich den technischen Hintergrund verstanden hat. Auch auf explizite Rückfrage, habe ich unterschiedliche Auskünfte zu den selben Punkten bekommen. Das ist aber bei einem neuen Gesetz, für das es noch keine konkreten Gerichtsentscheidungen gibt, vielleicht zu erwarten.

    Unter den Angaben der Rechtsanwälte waren teilweise kuriose Vorschläge, wie, dass sämtliche Datenträger (von Festplatte über Handy) am Abend in einen Tresor versperrt werden müssten oder auf allen Geräten (Handy sowie Standrechner und Server) eine Firewall und Intrusion Detection installiert werden sollte.
    Drei Anwälten habe ich die Frage gestellt, was sie sich unter einer Firewall genau vorstellen und keiner davon konnte korrekt erklären, was eine Firewall ist oder kann. Keiner der betroffenen Websitebetreiber betreibt eine eigene Server-Infrastruktur sondern hostet seine Seiten auf irgendeinem shared Webspace. Auf meine Frage, wie denn so ein Betreiber ein Intrusion Detection System auf einem shared Webspace installieren sollte, gab es keine sinnvollen Antworten. Dass das Angelegenheit des Hosters wäre, haben sie nicht verstanden.

    Unterschiedliche Antworten habe ich auch zum Thema EU-Cookie-Banner bekommen, also das Popup, das jeder einfach wegklickt ohne es zu lesen. Ich bin mir sicher, wenn du da drauf schreibst, dass der Besucher sein Erstgeborenes an den Sysadmin opfern muss, würden 90 % der Besucher auf EINVERSTANDEN klicken.
    Meine konkrete Frage dazu war, ob Cookies erst ab dem Moment, wo ein Besucher auf OK geklickt hat gespeichert werden dürfen, oder ob alleine der sichtbare Hinweis auf die Cookies ausreicht. Der erste Anwalt meinte, der Hinweis genügt. Der zweite meinte, dass so lange keine Cookies gespeichert werden dürfen, bis der Besucher seine Zustimmung erteilt. Die Cookie Banner Module, die wir bisher im Einsatz hatten, ignorieren, ob ein Besucher zustimmt oder nicht.

    Grundsätzlich bin ich bei dem, was Shodan zu dem Thema sagt. Datenschutz darf nicht auf die leichte Schulter genommen werden. Die Website-Betreiber, mit denen ich zu tun hatte, verkaufen keine Daten ihrer Kunden und Website Besucher, verstehen aber die technischen Zusammenhänge zwischen der eigenen Website und z. B. Google Analytics oder Social-Media-Share-Buttons in keinster Weise. Ich unterstelle, dass den meisten auch niemals auf verständliche Art und Weise erklärt wurde, was eigentlich passiert, wenn man Google Analytics, reCaptcha oder Youtube Videos in die eigene Website einbindet.

    Hier dann zu sagen, es wäre einfach die Pflicht des Betreibers sich mit diesen Dingen im Detail auseinander zu setzen, wäre zu einfach. Wenn ich einen Architekten mein Haus planen lasse, dann hinterfrage ich auch nicht jede einzelne Entscheidung, dafür habe ich ja einen Experten engagiert. Auf der anderen Seite die Verantwortung bei den Programmierern/der Agentur alleine zu suchen, ist imho auch nicht korrekt. Wir haben viele Kunden, die trotz unserer Aufforderung, sich um die DSGVO zu kümmern oder Upgrades in ihre Websites einspielen zu lassen nicht reagiert haben. Soll ich als Programmierer jetzt dafür verantwortlich sein? Soll ich das dann gratis machen, wenn ein Kunde nicht versteht, wofür Security Upgrades und Datenschutzvereinbarungen gut sind?

    Dass diese Betreiber die günstigsten Lösungen anstreben, kann ihnen auch nicht vorgeworfen werden. Viele unserer Kunden, denen wir die Wahl zwischen einer eigenen Piwik-Infrastruktur und Google Analytics anbieten, entscheiden sich schon alleine aus Kostengründen für Google Analytics, weil sie mit ihren Seiten teilweise kein oder kaum Geld verdienen.

    Der wohl schmerzhafteste Punkt der neuen DSGVO für die Kunden, die ich betreue, ist das Thema Newsletter. Diese Firmen sammeln seit Jahren bei Meetings und Veranstaltungen E-Mail-Adressen oder Visitenkarten und pflegen diese in ihr Newslettersystem ein. Dass sie nicht von jedem der Empfänger, eine schriftliche Einwilligung für den Versand haben, bereitet ihnen nun Probleme. Viele haben darauf so reagiert, dass sie in den letzten Wochen einen Newsletter mit einer Info zur DSGVO und einen Link zu einem Zustimmungsformular verschickt haben. Dass am Ende nur noch ein winziger Bruchteil ihrer Abonnenten übrig ist, war für alle Beteiligten äußerst schmerzhaft.

    Wie gesagt, ich bin Befürworter von Maßnahmen zum bessere Datenschutz. Aus meiner Sicht hat der Gesetzgeber es aber verabsäumt, sinnvolle Ausnahmen für kleine Websites von einigen Punkten der DSGVO zu schaffen. Ich sehe ein, Unternehmen die durch Datenhandel Geld verdienen oder mit sehr sensiblen Daten (Krankenakte, Geldangelegenheiten, etc.) in die Verantwortung zu nehmen; Stichwort: Banken, Versicherungen, Social Networks oder Werbenetzwerke.

    Ein Punkt, der nicht in erster Linie die Websites trifft, ist das Datenverarbeitungsregister. Das ist im einfachsten Fall eine Excel Liste, in der zu finden ist, welche Daten ein Unternehmen von jedem Kunden/Interessenten und jedem Mitarbeiter hat und wo diese gespeichert werden.

    Ein Rechtsanwalt hat mir den - theoretischen - Ablauf einer Firmenprüfung so beschreiben: Jemand kommt in die Firma, lässt sich das Datenverarbeitungsregister zeigen und sagt dann zu dir: Zeige mir die Orte, die in deinem Register genannt sind. Dann wird sich der Prüfer ansehen, ob er an Stellen, die nicht im Register sind, weitere Daten findet.
    Woher diese Prüfer die dafür notwendige, technische Expertise nehmen sollten, konnte mir der Anwalt aber nicht erklären. Wahrscheinlich werden im Zweifelsfall spezialisierte Privatunternehmen darauf angesetzt.

    Das klingt zunächst nicht so schlimm, stellt aber bereits kleinere Unternehmen vor einen irrsinnigen bürokratischen Aufwand.

    Ich nehme unsere Firma als Beispiel: Uns gibt es seit ca. 15 Jahren. Jetzt sollten wir ein Register erstellen, in dem zu finden ist, welche Informationen wo in unserer Infrastruktur zu finden sind; Und zwar von jedem der bei uns jemals etwas gekauft oder auch nur eine E-Mail oder eine Anfrage via Kontaktformular geschickt hat.
    Solche Anfragen und Mails sind teilweise an interne Verteiler gegangen und liegen auf mehreren Computern unserer Mitarbeiter. Wenn der Mitarbeiter seine Mails vielleicht auch auf seinem privaten Handy abgerufen hat, liegen sie auch dort.
    Meine Frage an unseren Rechtsanwalt war, ob ich nun jede Mailbox von jedem Mitarbeiter prüfen muss. Seine Antwort: Ja! Ausserdem müssen alle Firmenmails, die älter als 7 Jahre sind, gelöscht werden.

    Grundsätzlich gäbe es - meines Wissens nach - auch eine Ausnahme für die Erstellung dieser Register für Unternehmen mit weniger als 250 Mitarbeiter. Dummerweise gilt diese Ausnahme nur dann, wenn diese Firma KEINE Daten digital erhebt und auch kein Kundenverzeichnis führt. Auf wie viele Firmen diese Ausnahme zutrifft, kann ich nicht abschätzen, ich traue mich aber zu behaupten, dass so gut wie jede Firma in unseren Breiten inzwischen zumindest E-Mail nutzt oder Rechnungen mit Word oder einer Buchhaltungssoftware erstellt.

    Noch spannender wird es, wenn ein ehemaliger Kunde/Interessent eine Löschung seiner Daten beantragt. In diesem Fall würde es nicht genügen, alleine die E-Mails und Dateien, die er uns geschickt hat, von allen Rechnern aller Mitarbeiter zu löschen. Wir müssten darüber hinaus auch seine Daten von allen unseren Backups entfernen. Jetzt machen wir Backups von Buchhaltung, E-Mails und Projektdateien auf Magnetband. Man müsste sämtliche Bänder ausheben und einzeln durchsuchen, auf welchem Band Infos von dieser Person abgelegt wurden. Was das - zehn Jahre rückwirkend - für ein Aufwand ist, kann man sich vielleicht vorstellen.

    TL/DR;

    Hätte sich der Gesetzgeber darauf beschränkt, diejenigen in die Pflicht zu nehmen, die vom Handel mit personenbezogenen Daten ihr Geld verdienen, oder die sehr sensible Daten (Krankengeschichte, Versicherungs- und Bankangelegenheiten usw.) erfassen, hätte das aus meiner Sicht ausgereicht. Dazu noch die Verpflichtung für kleinere Unternehmen, Informationen die an Datenkranken weitergegeben werden (z. B. Google Analytics etc.), zu anonymisieren wäre imho ausreichend gewesen.
    ~❤~

  14. #14
    Mitglied Avatar von M-M-C
    Registriert seit
    Jul 2013
    Ort
    Norddeutschland
    Beiträge
    319

    Re: Rant: Warum die DSGVO eine Datenschutz-Karikatur ist

    Zitat Zitat von electric.larry Beitrag anzeigen
    Noch spannender wird es, wenn ein ehemaliger Kunde/Interessent eine Löschung seiner Daten beantragt. In diesem Fall würde es nicht genügen, alleine die E-Mails und Dateien, die er uns geschickt hat, von allen Rechnern aller Mitarbeiter zu löschen. Wir müssten darüber hinaus auch seine Daten von allen unseren Backups entfernen. Jetzt machen wir Backups von Buchhaltung, E-Mails und Projektdateien auf Magnetband. Man müsste sämtliche Bänder ausheben und einzeln durchsuchen, auf welchem Band Infos von dieser Person abgelegt wurden. Was das - zehn Jahre rückwirkend - für ein Aufwand ist, kann man sich vielleicht vorstellen.
    Interessant ist, das z.b. die Firma, für die ich arbeite, dazu verpflichtet ist den Email-Verkehr in einem nicht veränderlichen Zustand zu sichern, da es sich dort teilweise auch um vertragliche Details dreht, bzw. Details dazu, wie der Vertrag zustande gekommen ist. Auch eben für die zehn Jahre. So einem Präzedenzfall hatten wir auch schon, wo wir Emails von vor 8 Jahren raussuchen mussten, mit mehreren Anwälten und alles. Da es dort um internationale Geschäfte im Millionenbereich ging war das auch nicht sehr lustig. War aber egal, wir konnten durch diese Backups nachweisen, das bei uns alles in Ordnung war. Wir waren auch nicht der Angeklagte sondern nur Dienstleister, der zwischen die Fronten zweier anderer geraten ist.
    Jetzt sind die beiden Gesetzesanforderungen nicht miteinander vereinbar, wenn jetzt tatsächlich jemand auf sein Recht auf Löschung besteht. Das wird noch richtig lustig mit der DSGVO...
    Hear my Sword... in the Making... Of my Spell... Literally... Damkuna, Iftraga, Sheb Nigurepur, Dafast... The World's Tragedy Is Served at My Feast

  15. #15
    ♪♪♫♪♫♫♪ Avatar von KaPiTN
    Registriert seit
    Jul 2013
    Beiträge
    8.661
    ngb:news Artikel
    9

    Re: Rant: Warum die DSGVO eine Datenschutz-Karikatur ist

    Zitat Zitat von M-M-C Beitrag anzeigen
    Jetzt sind die beiden Gesetzesanforderungen nicht miteinander vereinbar, wenn jetzt tatsächlich jemand auf sein Recht auf Löschung besteht. Das wird noch richtig lustig mit der DSGVO...
    Wieso? In Artikel 17 1)a) steht als Grund für Löschung:
    "Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig."

    Wenn es Daten im Rahmen der Aufbewahrungspflicht von 10 Jahren sind, sind sie ja noch notwendig

    Mal ein Beispiel für nicht notwendige Daten aus meiner Erfahrung. Ich ging in ein Krankenhaus für einen Besuch und fragte nach der Zimmernummer. Man ging die Liste im Rechner durch und nannte einen gleichlautenden Nachnamen.
    Es war ein naher Verwandter der gesuchten Person, der über 10 Jahre verstorben war und sein Krankenhausaufenthalt fast 20 Jahre her.

    Ich kann jetzt nicht erklären, warum das so ist, aber DSGVO wird nicht bewirken, daß man jetzt z.B. der Schufa sagen kann, vergeßt mal bitte, daß es mich gibt.
    Und ich weiß, daß die mich kennen. Ich hab da vor kurzen eine Anfrage gestellt. Steht zwar nur mein Name und die Bank, bei der ich mein Konto habe drin, aber ich bin da gelistet.
    J'irai pisser sur votre bombes
    You can educate a fool, but you cannot make him think

  16. #16
    Mitglied Avatar von M-M-C
    Registriert seit
    Jul 2013
    Ort
    Norddeutschland
    Beiträge
    319

    Re: Rant: Warum die DSGVO eine Datenschutz-Karikatur ist

    Ah OK, das war mir neu. Mein Kollege hat mir das dann also falsch wiedergegeben, bzw. er hat falsche Infos von unserem Datenschutzbeauftragen bekommen. Dann haben wir ein Problem weniger bei unseren Backups, denn im Zweifelsfall ist jeglicher Emailverkehr irgendwie Projektbezogen denn privater Emailverkehr ist schon laut Arbeitsvertrag nicht gestattet.
    Hear my Sword... in the Making... Of my Spell... Literally... Damkuna, Iftraga, Sheb Nigurepur, Dafast... The World's Tragedy Is Served at My Feast

  17. #17
    Lone Gunman Avatar von Shodan
    Registriert seit
    Jul 2013
    Ort
    Citadel Station
    Beiträge
    346

    Re: Rant: Warum die DSGVO eine Datenschutz-Karikatur ist

    Zitat Zitat von electric.larry Beitrag anzeigen
    Solche Anfragen und Mails sind teilweise an interne Verteiler gegangen und liegen auf mehreren Computern unserer Mitarbeiter. Wenn der Mitarbeiter seine Mails vielleicht auch auf seinem privaten Handy abgerufen hat, liegen sie auch dort.
    Verteilerliste unter Versionkontrolle stellen
    -> Ihr könnt sagen in welchem Zeitraum welche Mitarbeiter verantwortlich für die Verarbeitung auf bestimmten Kontaktwegen waren (und in welchen Postfächern z.B. eine Kontaktformularmail im Zeitraum x-y gelandet ist)

    Privatgeräten keinen Zugriff auf Kundendaten erlauben
    -> Ich verstehe warum sowas implementiert wird. Die Leute haben sowieso Taschencomputer: Synergien nutzen. Schreibt es doch in eure Datenschutzerklärung:
    "Bei uns können Mitarbeiter/innen ihre eigenen Smartphones und Computer benutzen um deine E-Mails zu lesen und zu beantworten. Wir vertrauen unseren Mitarbeiter/innen, dass sie damit sorgsam umgehen, können das aber nicht kontrollieren."
    Das ist jetzt nicht anwaltlich geprüft, aber es erfüllt zumindest die Anforderung ehrlich, klar und einfach verständlich zu sein.

    Bei mir würde so eine Aussage in der Liste landen als Indiz für Pfusch. Im Bericht steht dann aber "Risiko tragen" als Empfehlung an diesem Punkt dran und die creativen Chaoten im Meeting werden euch dafür feiern dazu gibt es dann noch einen klaren Hinweis euch keine vertraulichen Daten per E-Mail zu senden (as always!) und die Empfehlung einen sicheren Kommunikationskanal zu etablieren (if needed).

    Wenn eure Erklärung aber drei Seiten hat und 80% davon sind "wissen wir nicht" "verstehen wir auch nicht" und "keinerlei Haftung" kann und darf ich eine Kooperation nicht empfehlen.

    Zitat Zitat von electric.larry Beitrag anzeigen
    Hier dann zu sagen, es wäre einfach die Pflicht des Betreibers sich mit diesen Dingen im Detail auseinander zu setzen, wäre zu einfach.
    Es ist die Pflicht des Betreibers die Daten seiner Nutzer zu schützen. Alle suchen nach der "abmahnsicheren macht was ihr wollt" Formulierung, keiner will einsehen, dass man auf Grundrechte nicht mit einer Checkbox verzichten kann, dass die Nutzer nur einer Verarbeitung zustimmen, was aber nicht bedeutet, dass deren Daten nicht mehr schützenswert sind.
    Und dann heißt es: "diese ganzen Tracker sind doch marktüblich". Tipp: der Verkauf von Zigaretten ist auch marktüblich, wenn ein großer Warnhinweis drauf steht.


    Eine Formulierungen die mir begegnet ist: "Wir teilen diese Daten regelmäßig mit unserer Muttergesellschaft, unseren Partner und Dienstleistern in der ganzen Welt." war ein US Unternehmen, bekommt personenbezogene Daten von einem EU-Unternehmen übermittelt. In der Datenschutzerklärung des EU-Unternehmens steht nichts davon, dort heißt es "Wir legen allergrößten Wert auf den Schutz und die Sicherheit Ihrer Daten" (beides Freizitate, nicht wörtlich).
    Gepfuscht + Gelogen = Ich bin verpflichtet vor einer Zusammenarbeit mit solchen Unternehmen abzuraten.

    Euere Anwälte werden euch vielleicht eine "allergrößten Wert auf" Formulierung empfehlen. Fragt doch mal nach, ob das auch ok ist, wenn es offensichtlich gelogen ist. Bitte erzählt mir die Antworten.
    Für diesen Beitrag bedanken sich FrostAgent, phre4k
    Art. 6 der Richtlinie 2006/24 ist mit den Art. 7 und 52 Abs. 1 der Charta der Grundrechte der Europäischen Union unvereinbar, soweit er den Mitgliedstaaten vorschreibt, sicherzustellen, dass die in ihrem Art. 5 genannten Daten für die Dauer von bis zu zwei Jahren auf Vorrat gespeichert werden.
    Generalanwalt Pedro Cruz Villalón - Europäischer Gerichtshof

  18. #18
    Mitglied Avatar von phre4k
    Registriert seit
    Mar 2015
    Beiträge
    5.374
    ngb:news Artikel
    4

    Re: Rant: Warum die DSGVO eine Datenschutz-Karikatur ist

    Zitat Zitat von electric.larry Beitrag anzeigen
    Dass diese Betreiber die günstigsten Lösungen anstreben, kann ihnen auch nicht vorgeworfen werden. Viele unserer Kunden, denen wir die Wahl zwischen einer eigenen Piwik-Infrastruktur und Google Analytics anbieten, entscheiden sich schon alleine aus Kostengründen für Google Analytics, weil sie mit ihren Seiten teilweise kein oder kaum Geld verdienen.
    Für was brauchen die Kunden, die kein oder kaum Geld verdienen, Google Analytics? Abgesehen davon ist Piwik innerhalb von max. 30min datenschutzkonform (!) eingerichtet, inkl. Tracking-Cookie oder -Pixel und Opt-Out in der Datenschutzerklärung (berechtigtes Interesse ist gegeben, daher kein opt-in erforderlich), das würde meine Kunden vermutlich weniger als 100€ kosten. Die paar Euro sollte man noch aus dem Fenster werfen können, wenn man seine Nutzer unbedingt nachverfolgen will.

    Viele haben darauf so reagiert, dass sie in den letzten Wochen einen Newsletter mit einer Info zur DSGVO und einen Link zu einem Zustimmungsformular verschickt haben.
    Schade, dass sie das nicht nach dem 25.5. getan haben, denn dann hätte man sie schön anschwärzen können. Diese Praxis ist illegal und höchst verwerflich. Finde es gut, dass es den Leuten weh tut, die ungefragt Newsletter verschicken.

    Wie gesagt, ich bin Befürworter von Maßnahmen zum bessere Datenschutz. Aus meiner Sicht hat der Gesetzgeber es aber verabsäumt, sinnvolle Ausnahmen für kleine Websites von einigen Punkten der DSGVO zu schaffen.
    Dann hast du nichts richtig gelesen, denn bei einem berechtigten Interesse braucht man auf kleinen Websites überhaupt gar keine Einwilligung. Die Panik ist komplett unbegründet.

    Ich sehe ein, Unternehmen die durch Datenhandel Geld verdienen oder mit sehr sensiblen Daten (Krankenakte, Geldangelegenheiten, etc.) in die Verantwortung zu nehmen; Stichwort: Banken, Versicherungen, Social Networks oder Werbenetzwerke.
    Warum siehst du es nicht ein, auch Unternehmen in die Verantwortung zu nehmen, die nicht mit Daten handeln sondern sie ungefragt verwenden oder an Dritte, die eventuell mit Daten handeln, weitergeben?

    […]das Datenverarbeitungsregister[…] stellt aber bereits kleinere Unternehmen vor einen irrsinnigen bürokratischen Aufwand.
    Ich habe eine Broschüre zur DSGVO der bayrischen Landesdatenschutzbehörde, das Beispielregister ist satte zwei Seiten lang. Zwei Seiten! Da tippe ich an einem Tag locker doppelt so viel allein an eMails und Wiki-Einträgen.

    Solche Anfragen und Mails sind teilweise an interne Verteiler gegangen und liegen auf mehreren Computern unserer Mitarbeiter. Wenn der Mitarbeiter seine Mails vielleicht auch auf seinem privaten Handy abgerufen hat, liegen sie auch dort.
    Ja, scheiße, dann habt ihr ja seit Jahren mit dem Datenschutz geschlampt, wo es nur möglich war.

    Noch spannender wird es, wenn ein ehemaliger Kunde/Interessent eine Löschung seiner Daten beantragt. […] Jetzt machen wir Backups von Buchhaltung, E-Mails und Projektdateien auf Magnetband. Man müsste sämtliche Bänder ausheben und einzeln durchsuchen, auf welchem Band Infos von dieser Person abgelegt wurden. Was das - zehn Jahre rückwirkend - für ein Aufwand ist, kann man sich vielleicht vorstellen.
    Wie oft ist es denn vorgekommen, dass jemand bei euch ein zehn jahre altes Backup wiederhergestellt hat?
    Für diesen Beitrag bedankt sich nik
    *mit Linux wäre das natürlich nicht passiert™
    Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say. – Edward Snowden
    tilde.fun – dein kostenloser Linux-Account in der Cloud | Inoffizielle ngb-Telegram-Gruppe
    GCM/S/TW d s+:- a-----? C++$ UL+++$ P-- L+++ E---- W++++ !N ?K w- M-- !P[A-Z] Y++ PGP R* tv-- b++>++++ DI++\:\( G+ e+>++++ h*

  19. #19
    Zeitreisender

    Administrator

    (Threadstarter)

    Avatar von drfuture
    Registriert seit
    Jul 2013
    Ort
    in der Zukunft
    Beiträge
    5.576
    ngb:news Artikel
    16

    Re: Rant: Warum die DSGVO eine Datenschutz-Karikatur ist

    Welches berechtigte Interesse ist denn gegeben IPs zu loggen in Piwik?
    Bzw. wenn keine IPs geloggt werden - welche personenbezogenen Daten werden denn dann noch geloggt?

    "Berechtigt" ist so eine Sache... Für was und Warum sollte ja nun auch angegeben werden und "Weil es mich interessiert" dürfte da nicht so gut kommen.

    @Newsletter - wer sagt das die Firmen illegal Newsletter verschicken? Die meisten Firmen haben sich vorher eine Erlaubnis über double-opt-in geholt und dürfen das durchaus - und informieren daher nur über die nun weiteren Rechte die die Verbraucher haben. Oder wenn es kein double-opt-in gab kann bis gestern ja nach altem recht bei einfachen opt-in ebenfalls ohne weiteres Kontakt aufgenommen werden und das double nachgeholt werden.

    @Backup - es gibt gesetzliche Vorschriften zur Aufgbewahrung - je nach Branche auch 30 Jahre - solltest du ja wissen - hier sticht aber die Vorgabe die Daten zu speichern den Löschwunsch des Verbrauchers.
    Nur darf und durfte noch nie *alles* ewig gebackuped werden. Die Backup-Systeme müssen so aufgebaut sein das nur die Daten 10 Jahre aufgehoben werden die dieses auch erfordern.

    @geschlampt mit privaten Handys usw..
    Das Thema ist angeblich kein Problem und das so zu nutzen ist Nachvollziehbar. Man muss den "Kunden" aber darüber informieren - darum geht es. Das heißt einen Absatz in die Datenschutzerklärung das die E-Mails auch auf Privat-Handys der Mitarbeiter abgelegt sein können um ein schnelles Reagieren auf die Kundenanfrage zu ermöglichen und den Kundenservice zu verbessern.
    |_|D *`~{ Ich kenne deine Zukunft }~´* |_|D

  20. #20

    Re: Rant: Warum die DSGVO eine Datenschutz-Karikatur ist

    "Berechtigt" ist so eine Sache... Für was und Warum sollte ja nun auch angegeben werden und "Weil es mich interessiert" dürfte da nicht so gut kommen.
    Zur Verbesserung und Optimierung unseres Angebotes, natürlich.
    Gruß
    braegler

  21. #21
    Zeitreisender

    Administrator

    (Threadstarter)

    Avatar von drfuture
    Registriert seit
    Jul 2013
    Ort
    in der Zukunft
    Beiträge
    5.576
    ngb:news Artikel
    16

    Re: Rant: Warum die DSGVO eine Datenschutz-Karikatur ist

    Seitenaufrufe usw. ja... die IP ist dazu ohne anonymisierung nicht notwendig.
    |_|D *`~{ Ich kenne deine Zukunft }~´* |_|D

  22. #22
    Mitglied Avatar von phre4k
    Registriert seit
    Mar 2015
    Beiträge
    5.374
    ngb:news Artikel
    4

    Re: Rant: Warum die DSGVO eine Datenschutz-Karikatur ist

    Zitat Zitat von drfuture Beitrag anzeigen
    Welches berechtigte Interesse ist denn gegeben IPs zu loggen in Piwik?
    Bezieht sich das auf meinen Beitrag? Falls ja, habe ich dort niemals von der Notwendigkeit des Loggings der IP gesprochen, welche ich datenschutztechnisch bedenklich finde.

    In Matomo, ehemals Piwik (rebranded), kann man die IP mit einem einfachen Klick automatisch anonymisieren lassen. Weitere Datenschutzeinstellungen kann man dort auch ohne Probleme vornehmen:
    https://matomo.org/docs/privacy/

    Bzw. wenn keine IPs geloggt werden - welche personenbezogenen Daten werden denn dann noch geloggt?
    Gute Frage! Wenn die URLs von der eigenen Profilseite oder Ähnliches geloggt werden, lassen sich Sessions auch wieder zu Nutzern zurückverfolgen. Im Prinzip kannst du ja schauen, wohin der Webserver die User umgeleitet hat und anhand dessen herausfinden, wer wer ist. Wenn allerdings kein Login auf der Seite stattfindet, gibt es immer noch die Möglichkeit, Cookies zu setzen oder eine Browser-Fingerprinting-Library zu nutzen.

    "Berechtigt" ist so eine Sache... Für was und Warum sollte ja nun auch angegeben werden und "Weil es mich interessiert" dürfte da nicht so gut kommen.
    Ja, aber es ist zulässig.

    @Newsletter - wer sagt das die Firmen illegal Newsletter verschicken?
    Es geht nicht um alle Firmen, sondern um die, die electric.larry betreut. Und die machen das so:

    Zitat Zitat von electric.larry Beitrag anzeigen
    Der wohl schmerzhafteste Punkt der neuen DSGVO für die Kunden, die ich betreue, ist das Thema Newsletter. Diese Firmen sammeln seit Jahren bei Meetings und Veranstaltungen E-Mail-Adressen oder Visitenkarten und pflegen diese in ihr Newslettersystem ein.
    Zitat Zitat von drfuture Beitrag anzeigen
    Die meisten Firmen haben sich vorher eine Erlaubnis über double-opt-in geholt und dürfen das durchaus - und informieren daher nur über die nun weiteren Rechte die die Verbraucher haben.
    Ist ja auch okay, dazu habe ich selbst an der Stelle nichts gesagt und damit habe ich auch kein Problem.

    @Backup - es gibt gesetzliche Vorschriften zur Aufgbewahrung - je nach Branche auch 30 Jahre - solltest du ja wissen - hier sticht aber die Vorgabe die Daten zu speichern den Löschwunsch des Verbrauchers.
    Korrekt, aber was die Backups umfassen ist in den meisten Firmen oft mehr, als es eigentlich sein müsste.

    Ich konnte in einer Firma, die ich betreue, die Kosten für Backups um satte 20% senken, indem wir einfach mal geschaut haben, was wie lange gespeichert werden muss oder soll. Da kam dann beispielsweise raus, dass für die letzten 5 Jahre die Logs der Webserver gesichert wurden – das bezeichnete ich im Meeting dann als "datenschutztechnisch bedenklich" und "unnötig". Würdest Du mir da widersprechen?

    Nur darf und durfte noch nie *alles* ewig gebackuped werden. Die Backup-Systeme müssen so aufgebaut sein das nur die Daten 10 Jahre aufgehoben werden die dieses auch erfordern.
    Und genau hier liegt mein Argument, danke, dass du das noch mal prägnant ausgeführt hast. Anscheinend habe ich ab und an Probleme, meine Argumente klar verständlich vorzutragen. Ich werde daran arbeiten.

    @geschlampt mit privaten Handys usw..
    Das Thema ist angeblich kein Problem und das so zu nutzen ist Nachvollziehbar.
    Das ist jetzt hoffentlich nicht dein Ernst. Welchen Grund dafür gibt es denn, personenbezogene Kundendaten auf privaten Smartphones zu verarbeiten? Laut dem Arbeitszeitgesetz §5 Abs. 1 dürfen viele Leute noch nicht mal zu Hause arbeiten, da sie dann nicht die ununterbrochene Ruhezeit von 11 Stunden einhalten…
    *mit Linux wäre das natürlich nicht passiert™
    Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say. – Edward Snowden
    tilde.fun – dein kostenloser Linux-Account in der Cloud | Inoffizielle ngb-Telegram-Gruppe
    GCM/S/TW d s+:- a-----? C++$ UL+++$ P-- L+++ E---- W++++ !N ?K w- M-- !P[A-Z] Y++ PGP R* tv-- b++>++++ DI++\:\( G+ e+>++++ h*

  23. #23
    \''; DROP TABLE user; --

    Administrator

    Avatar von electric.larry
    Registriert seit
    Dec 2014
    Ort
    Raum 43
    Beiträge
    1.503
    ngb:news Artikel
    80

    Re: Rant: Warum die DSGVO eine Datenschutz-Karikatur ist

    Danke Phreak, deine Antwort erlaubt einen kleinen Einblick in die Köpfe derer, die sich diese Regelungen ausgedacht haben. Liest sich für mich so, als würdest du Firmen grundsätzlich als einen Feind wahrnehmen, der auf nichts Anderes aus ist, als die Rechte der armen Konsumenten mit Füßen zu treten.

    Ich erlebe das halt komplett anders. Wir selbst und die meisten, die mir bei der Arbeit über den Weg laufen, sind keine gesichtslosen Konzerne, die ausschließlich von Gewinnmaximierung getrieben sind und die eigene Großmutter verkaufen würden, sondern machen ihren Job sehr gerne und haben nette, manchmal sogar fast freundschaftliche Beziehungen zu ihren Partnerunternehmen und Kunden.

    Ich stimme dir auch vollkommen zu, wenn jemand mit sensiblen Daten hantiert, soll das mit Sorgfalt passieren. Aber jede belanglose Mail als hochsensibel einzuschätzen, nur weil in der Fußzeile Name, Adresse und Telefonnummer des Absenders steht, halte ich für überzogen. Vorallem, wenn mir jemand diese Mail unaufgefordert/freiwillig schickt.


    Zitat Zitat von phre4k Beitrag anzeigen
    Für was brauchen die Kunden, die kein oder kaum Geld verdienen, Google Analytics?
    Ich habe geschrieben, Kunden, die mit ihrer Seite kein Geld verdienen. Also, kein Webshop oder Online-Service, der monetarisiert wird, sondern eine Website die "nur" Teil des Marketings ist. Die wollen natürlich trotzdem wissen, wie dieses "Werbemittel" performt und verbessert werden kann.

    Zitat Zitat von phre4k Beitrag anzeigen
    Abgesehen davon ist Piwik innerhalb von max. 30min datenschutzkonform (!) eingerichtet ... das würde meine Kunden vermutlich weniger als 100€ kosten.
    Sehr kurzfristig gedacht. Wenn du die Kosten alleine auf die Installation beziehst, kommt das vielleicht sogar hin, aber ich kann einem Unternehmen keine Software ohne regelmäßige Wartung, zumindest security-relevante Upgrades, anbieten, auch das verursacht Kosten, die Google Analytics eben nicht verursacht.


    Zitat Zitat von phre4k Beitrag anzeigen
    Die paar Euro sollte man noch aus dem Fenster werfen können, wenn man seine Nutzer unbedingt nachverfolgen will.
    Solte man vielleicht, aber ich kenne keine Firmen, die gerne wissentlich Geld aus dem Fenster werfen.


    Zitat Zitat von phre4k Beitrag anzeigen
    Schade, dass sie das nicht nach dem 25.5. getan haben, denn dann hätte man sie schön anschwärzen können. Diese Praxis ist illegal und höchst verwerflich. Finde es gut, dass es den Leuten weh tut, die ungefragt Newsletter verschicken.
    "hätte man sie schön anschwärzen können" ... alleine schon deine Formulierung lässt auf das Mindset, mit dem du diese Situation betrachtest, schließen. "Alle Unternehmen sind furchtbar pöhse!", oder? Ich spreche hier nicht von Spam, der ungefragt verschickt wird. Hier geht es um solche, die z. B. gedruckte Listen bei Veranstaltungen aufgelegt haben, wo man seine E-Mail-Adresse eintragen konnte. Nach 10 Jahren existieren diese gedruckten Listen einfach nicht mehr, weil kein Hahn danach gekräht hat.

    Zitat Zitat von phre4k Beitrag anzeigen
    Dann hast du nichts richtig gelesen, denn bei einem berechtigten Interesse braucht man auf kleinen Websites überhaupt gar keine Einwilligung. Die Panik ist komplett unbegründet.
    Das gebe ich gerne so an die Rechtsanwälte weiter, von denen die Änderungsvorschläge stammen. Die werden wohl nichts richtig gelesen haben.


    Zitat Zitat von phre4k Beitrag anzeigen
    Ich habe eine Broschüre zur DSGVO der bayrischen Landesdatenschutzbehörde, das Beispielregister ist satte zwei Seiten lang. Zwei Seiten! Da tippe ich an einem Tag locker doppelt so viel allein an eMails und Wiki-Einträgen.
    Wenn das so stimmt, dann war das wirklich Panikmache. Ich habe selbst noch kein so ein Register gesehen, nur von einem Rechtsanwalt gehört, wie viel er für die Erstellung des Registers für einen gemeinsamen Kunden verlangt hat. Das hat nicht so geklungen, als würde man das in einer halben Stunde erledigen können.



    Zitat Zitat von phre4k Beitrag anzeigen
    Zitat Zitat von electric.larry Beitrag anzeigen
    Solche Anfragen und Mails sind teilweise an interne Verteiler gegangen und liegen auf mehreren Computern unserer Mitarbeiter. Wenn der Mitarbeiter seine Mails vielleicht auch auf seinem privaten Handy abgerufen hat, liegen sie auch dort.
    Ja, scheiße, dann habt ihr ja seit Jahren mit dem Datenschutz geschlampt, wo es nur möglich war.
    "Geschlampt wo es nur möglich war", bezogen auf Anfragen, die in ein Kontaktformular auf einer Website geschrieben werden? Come on Da kommt in neun von zehn Fällen etwas über Viagra und in einem Fall sowas wie: "Sehr geehrter Blabla, wir suchen jemanden der BliBli für uns entwickelt. Bitte um Rückruf unter BluBla." Und das geht dann per Mail an die drei Leute, die sich bei uns um "Papierkram" kümmern.

    Aber ja, ist schon gut und wichtig, dass die Nutzer die Herrschaft über die eigenen Daten wieder bekommen. Ich finds halt dumm, mit riesen Kanonen auf Spatzen zu schießen und bin nicht davon überzeugt, dass Cookie Warnungen und standardisierte Datenschutzerklärungen wirklich viel zum verbesserten Datenschutz beitragen werden. Ich lasse mich aber gerne davon überraschen, wenn Datenkraken mit hoch spezialisierten KIs wegen der neuen Verordnung in Zukunft Menschen nicht mehr so einfach durchleuchten können.
    ~❤~

  24. #24
    Zeitreisender

    Administrator

    (Threadstarter)

    Avatar von drfuture
    Registriert seit
    Jul 2013
    Ort
    in der Zukunft
    Beiträge
    5.576
    ngb:news Artikel
    16

    Re: Rant: Warum die DSGVO eine Datenschutz-Karikatur ist

    Zitat Zitat von phre4k Beitrag anzeigen
    Das ist jetzt hoffentlich nicht dein Ernst. Welchen Grund dafür gibt es denn, personenbezogene Kundendaten auf privaten Smartphones zu verarbeiten? Laut dem Arbeitszeitgesetz §5 Abs. 1 dürfen viele Leute noch nicht mal zu Hause arbeiten, da sie dann nicht die ununterbrochene Ruhezeit von 11 Stunden einhalten…
    Warum geht das bei 11h Unterbrechung nicht?
    Was hat das damit zu tun? 7-8h arbeit + 11 = ~19h - währen immer noch 5h - also z.B. 2h vor und 2h nach der Offiziellen Arbeit.

    Davon abgesehen sitzt ein Mitarbeiter ja nicht immer zwingend am PC? Selbst innerhalb eines Firmengebäudes kann es sehr von Vorteil sein E-Mails unterwegs dabei zu haben.
    Dann ist es immer unpraktisch und zu meist unrealistisch das die Leute mit 2 Handys - einem Geschäftlichen und einem Privaten durch die Welt laufen?. BYOD steht ja auch immer weider im Raum.
    Es steht ja auch nirgends ob die Firmen-Emails per imap im gleichen Postfach wie private liegen oder ob die E-Mails in einer verschlüsselten enklave z.B. der Outlook-App liegen und per policies auch ein kopieren der Inhalte in den privaten Bereich des Handys unterbunden wird.

    Firmen-Daten liegen trotzdem auf dem privaten Handy.
    Das Sollte aber eben denke ich auch lt. DSGVO nicht verboten sein - es muss nur offengelegt und beschrieben / begründet werden und ein löschen muss Sichergestellt sein was bei einem Sync mit dem Firmen-Mailserver ja auch passiert.
    Für diesen Beitrag bedankt sich phre4k
    |_|D *`~{ Ich kenne deine Zukunft }~´* |_|D

  25. #25
    Mitglied Avatar von phre4k
    Registriert seit
    Mar 2015
    Beiträge
    5.374
    ngb:news Artikel
    4

    Re: Rant: Warum die DSGVO eine Datenschutz-Karikatur ist

    Zitat Zitat von electric.larry Beitrag anzeigen
    Wir selbst und die meisten, die mir bei der Arbeit über den Weg laufen, sind keine gesichtslosen Konzerne, die ausschließlich von Gewinnmaximierung getrieben sind und die eigene Großmutter verkaufen würden, sondern machen ihren Job sehr gerne und haben nette, manchmal sogar fast freundschaftliche Beziehungen zu ihren Partnerunternehmen und Kunden.
    Ach so, Gewinn ist für diese Unternehmen also nicht so wichtig. Das habe ich dann falsch verstanden, ich dachte, der Zweck der meisten Unternehmen sei, Gewinn zu erwirtschaften.

    Ich stimme dir auch vollkommen zu, wenn jemand mit sensiblen Daten hantiert, soll das mit Sorgfalt passieren. Aber jede belanglose Mail als hochsensibel einzuschätzen, nur weil in der Fußzeile Name, Adresse und Telefonnummer des Absenders steht, halte ich für überzogen.
    Habe ich das irgendwo behauptet?

    Sehr kurzfristig gedacht. Wenn du die Kosten alleine auf die Installation beziehst, kommt das vielleicht sogar hin, aber ich kann einem Unternehmen keine Software ohne regelmäßige Wartung, zumindest security-relevante Upgrades, anbieten, auch das verursacht Kosten, die Google Analytics eben nicht verursacht.
    Nur weil Dein Unternehmen zu inkompetent ist, einen Docker-Container mit Matomo aufzusetzen und diesen beispielsweise mit watchtower automatisch aktuell zu halten, solltest du daraus nicht schließen, dass dies bei anderen Unternehmen auch so läuft. Piwik lässt sich sicher auch bei einem spezialisierten Anbieter automatisiert aktuell halten. Die paar Euro im Monat sollte das den Kunden doch wert sein.

    Solte man vielleicht, aber ich kenne keine Firmen, die gerne wissentlich Geld aus dem Fenster werfen.
    Ach so. Ich dachte ihr
    selbst und die meisten, die Dir bei der Arbeit über den Weg laufen, sind keine gesichtslosen Konzerne, die ausschließlich von Gewinnmaximierung getrieben sind.

    Ich spreche hier nicht von Spam, der ungefragt verschickt wird.
    Das ist sicherlich Definitionssache.

    Hier geht es um solche, die z. B. gedruckte Listen bei Veranstaltungen aufgelegt haben, wo man seine E-Mail-Adresse eintragen konnte. Nach 10 Jahren existieren diese gedruckten Listen einfach nicht mehr, weil kein Hahn danach gekräht hat.
    Warum heftet man solche Listen nicht einfach ab?

    Die ursprüngliche Fassung des Bundesdatenschutzgesetzes ist am 27. Januar 1977 in Kraft getreten. Der Datenschutz ist also kein Konzept, das erst vorgestern plötzlich aufgetaucht ist.

    Wenn das so stimmt, dann war das wirklich Panikmache. Ich habe selbst noch kein so ein Register gesehen, nur von einem Rechtsanwalt gehört, wie viel er für die Erstellung des Registers für einen gemeinsamen Kunden verlangt hat.
    Dass Apotheker und Rechtsanwälte generell recht hohe Preise von der unbedarften Kundschaft verlangen und teilweise für ein Schriftstück, welches von einem Anwaltsgehilfen in 20min aus einer Vorlage kopiert wurde, mehrere hundert Euro verlangen, ist Dir noch nicht bekannt? Interessant.

    Das hat nicht so geklungen, als würde man das in einer halben Stunde erledigen können.
    Selbstverständlich kann man das nicht in einer halben Stunde erledigen, wenn das gesamte Unternehmen in der Vergangenheit auf den Datenschutz geschissen hat und erst neue Prozesse etabliert werden müssen.

    Aber ja, ist schon gut und wichtig, dass die Nutzer die Herrschaft über die eigenen Daten wieder bekommen. Ich finds halt dumm, mit riesen Kanonen auf Spatzen zu schießen
    Mit welcher Kanone wurde auf welchen Spatzen geschossen? Ist bereits ein Unternehmen verurteilt worden? Wurden schon rechtliche Schritte gegen einen deiner Kunden angestrengt?

    [Ich] bin nicht davon überzeugt, dass Cookie Warnungen und standardisierte Datenschutzerklärungen wirklich viel zum verbesserten Datenschutz beitragen werden.
    Da stimme ich Dir vollkommen zu. Um mal den Ratgeber "Erste Hilfe zur Datenschutzgrundverordnung" zu zitieren: "Machen Sie sich als Geschäftsleitung oder Vorstand oder machen Sie der Geschäftsleitung oder dem Vorstand bewusst, dass Datenschutz Chefsache und nicht für umsonst zu haben ist."

    Das wird nach wie vor nicht passieren.

    Ich lasse mich aber gerne davon überraschen, wenn Datenkraken mit hoch spezialisierten KIs wegen der neuen Verordnung in Zukunft Menschen nicht mehr so einfach durchleuchten können.
    Nicht nur Datenkraken mit spezialisierten KIs, nein, auch normale mittelständische und Kleinunternehmen können wegen der DSGVO jetzt nicht mehr so einfach Menschen durchleuchten.

    Vielleicht fehlt dir und vielen anderen einfach immer noch das Verständnis für die Daten von anderen Menschen.
    Für diesen Beitrag bedankt sich nik
    *mit Linux wäre das natürlich nicht passiert™
    Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say. – Edward Snowden
    tilde.fun – dein kostenloser Linux-Account in der Cloud | Inoffizielle ngb-Telegram-Gruppe
    GCM/S/TW d s+:- a-----? C++$ UL+++$ P-- L+++ E---- W++++ !N ?K w- M-- !P[A-Z] Y++ PGP R* tv-- b++>++++ DI++\:\( G+ e+>++++ h*

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •