[Sammelthread] Der DSGVO | Datenschutz Laberthread

Müste die DSGVO nicht verbieten das Amazon meine Bestellhistorie über 3 Jahre hinweg bis zu meinem ableben praktisch ewig speichert ?

Das ist nen Punkt der Mich ziemlich stört.
Laesst sich sicher mit der 10Jaehrigen nachweispflicht ggnueber steuerbehoerden begruenden.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
@p4n0 Naja, die 10jährige Pflicht ist ja auf den bestimmten Zweck begrenzt. Aber berechtigtes Interesse oder Einwilligung gibt es ja auch noch.
 
Einwilligung gibt es da keine - Berechtigtes Interesse sehe ich eher weniger, weil das Interesse ist lediglich die Werbung bzw. Kaufverhalten und das sollte schon eher unter Datenschutz fallen.
Das die 2J ab Kauf wegen Reperatur/Garantie drin sind, ok - aber für den Rest wäre es sicher nicht verkehrt, wenn man da einen Haken setzen kann.
Vlt. gibt es den ja sogar versteckt...
 
Berechtigtes Interesse sehe ich eher weniger, weil das Interesse ist lediglich die Werbung bzw. Kaufverhalten und das sollte schon eher unter Datenschutz fallen.
Naja, ich kenne viele Unternehmen, die haben viele zufriedene Kunden, weil die Bestellhistorie deutlich länger als zwei Jahre einsehbar ist. Für deren Kunden wäre es inakzeptabel, wenn man nach zwei Jahren die Daten nur zum Zweck der Aufbewahrung nach Handelsrecht/Steuerrecht speichert.
 
Na das wäre ja was 😁
Aber ich bin mir nicht sicher, ob unsere Behörden da so klare Worte finden würden 😅
 
Hallo zusammen, ich war ein paar Monate offline.....
  • Das mit der Amazon-Historie finde ich persönlich praktisch, aber mein first guess wäre, dass man dazu "eingewilligt" hat, und zwar nicht als separate Einwilligung, sondern über die Nutzungsbedingungen.
    Sinngemäß: "So läuft es und nicht anders, wenn Du unseren Dienst nutzen willst, dann akzeptiere das halt mit den AGB" (und wer hat schon alles gelesen, inkl. allen Änderungen?)
  • Die Schufa scheint bei uns ja irgendwie heilig zu sein. Ich würde mir wünschen, dass die mal einen auf den Deckel bekommen, aber Hoffnung hab ich da wenig.

Bei uns drehen jetzt manche ein wenig am Rad, weil der BGH auch interne Vermerke unter die Auskunftspflicht fasst....
1628604865095.png

 
Nachdem das BayLDA sich nun mal zu dem Exchange-Klamauk gemeldet hat und das mit "naja, waren ja viele betroffen, ihr habt brav gemeldet, aber mehr kommt da auch nicht" kam die Tage jetzt schon der 3te Brief von einer Firma, die Betroffene gem. Art. 34 DSGVO benachrichtigt, das sie Gehackt worden sind und das IT-System verschlüsselt wurde und eben auch Daten entwendet wurden die bestimmten Kategorieen zugeordnet sind.

Nein. NEIN und nochmals NEIN!

Ihr wurdet nicht gehackt und wart auch nicht Opfer eines Cyberangriffs - es war einzig ein Problem, das ein User mit zu vielen Rechten oder warum auch immer so eine Scheißmail aufgemacht hat und ihr habt das nicht gemerkt - da ist nicht nachts einer Eingestiegen oder hat aktiv die Firewall abgeklopft - es wurde einfach nicht oft genug gewarnt oder die User sonst wie aufmerksam gemacht.
Ehrlicher wäre nämlich wenn man einfach schreibt, das durch Menschliches Versagen auf Organistationebene man einem Verschlüsselungsvirus zum Opfer gefallen ist...
So stellt man es aber viel besser dar, mit Polizei und Co, die im übrigen an sich auch nicht viel mehr (machen) können...

Man muss den Usern täglich mehrfach erklären, das man eben nicht auf unbekannte Links klickt, weil das für die Firma teuer wird und ggf. den Arbeitsplatz kostet, wenn es die Firma nicht schafft, sich von dem Vorfall zu erholen.

Bester Teil im Wortlaut:
"Die Verschlüsselung einiger unser IT-Systeme durch externe Angreifer haben wir am XX festgestellt. Von der Polizei wurden wir darüber informiert, dass - offenbar um die Ernsthaftigkeit der Situation zu untermauern - ein Teil der erbeuteten Unternehmensdaten, darunter auch Kundendaten, im Darknet veröffentlicht wurde. Beim Darknet handelt es sich um einen versteckten Teil des Internets, dessen Inhalte über gängige Suchmaschinen wie etwa Google nicht gefunden werden können. Die Angreifer drohen damit, weitere Daten auf ihrer Webseite zu veröffentlichen."
 
Ehrlicher wäre nämlich wenn man einfach schreibt, das durch Menschliches Versagen auf Organistationebene man einem Verschlüsselungsvirus zum Opfer gefallen ist...
Klar wäre es ehrlicher, aber das klingt natürlich blöd, wenn man zugeben muss, dass man bei seiner IT-Sicherheit nicht so gut aufgestellt ist, wie man sein könnte. Und es bietet auch Angriffsfläche für etwaige Schadensersatzansprüche 😁
Da stellt man sich besser als Opfer dar.
 
Die Schufa scheint bei uns ja irgendwie heilig zu sein. Ich würde mir wünschen, dass die mal einen auf den Deckel bekommen, aber Hoffnung hab ich da wenig.
Die Schufa ist ein legales Mittel alle Daten zusammen zu sammeln und auswerten zu können, das man darauf nicht verzichten möchte ist doch klar.
Warum ist das wohl so das bei uns Mobilfunkverträge immer noch überteuert sind und im Verhältnis zu anderen Nation die teurere Unterhaltungskosten haben so wenig service bietet.
Du frägst einfach als Mobilfunkanbieter gegen Geld versteht sich bei der Schufa nach wie viele Menschen mehrere Mobilfunkverträge haben und wie hoch die Gesamtkosten sind und solange die Leute bereit sind 2 oder mehr Mobilfunkverträge abzuschließen die zusammen mehr als 60€/Monat kosten, läufts würde ich sagen.

Zum Punkte Sicherheit, naja wären die Software/Lizenzverträge nicht so, könnte man mit Sicherheit Schadensersatz fordern bezüglich Sicherheitsproblemen. Eigentlich müsste man von MS richtig Kohle fordern wegen den ganzen Sicherheitslücken, wer bezahlt den meinen Einsatz als ITler die patches zu installieren und dann auch noch die Fehler der Patches zu reparieren wie beim letzten exploit nach dem es das Zertifikat zerschossen hat?.....

So lange Sicherheitslücken in Softwaresystemen keine rechtliche Nachwirkungen mit sich ziehen, können sich es die Hersteller Leisten schnell und billig Software auf den Markt zu schmeißen ohne Haftung.
Eine vernünftige Qualitätssicherung die Zertifiziert ist fehlt ja als vernünftigen Standard. Die Produkthaftung müsste auch für Software gelten. https://de.wikipedia.org/wiki/Produkthaftung
Das Problem ist, ich müsste Microsoft nachweisen das durch deren Exploit die Systeme kompromittiert wurden und nicht durch meine Unternehmenssicherheit und genau da liegt das Problem es gibt in der Hinsicht auch keine Norm die vorschreibt wie eine Infrastruktur aussehen muss und es gibt auch keinen der das ernsthaft prüft, anders bei Rettungswegen, Sicherheit von Anlagen etc. wo einer vom Amt vorbeischaut und sein Segen abgeben muss.
 
Klar wäre es ehrlicher, aber das klingt natürlich blöd, wenn man zugeben muss, dass man bei seiner IT-Sicherheit nicht so gut aufgestellt ist, wie man sein könnte. Und es bietet auch Angriffsfläche für etwaige Schadensersatzansprüche 😁
Da stellt man sich besser als Opfer dar.
Ich würde nicht immer alles auf die IT-Sicherheit schieben - das System ist zum Zeitpunkt der Betrachtung sicher - leider entwickelt sich alles weiter.
Man kann ein System zu 100% absichern, aber dann kann man damit nicht mehr Arbeiten - Es gilt also immer abzuwägen, wie hoch der Leidensdruck für die Angestellten sein kann.
Ich sehe eher das Problem im Menschen, schönes Beispiel, müsste so um 2008/2009 gewesen sein:

Kunde hat ein Problem mit Links aus Emails, ergo wird mit viel Aufwand auf Basis von Remoteapplikation eine gekapselte Lösung für den Browser geschaffen, bei dem das ganze für den User relativ transparent mit Copy&Paste läuft, aber der Browser eine Sandbox auf ner VM ist.
Danach wurde den Usern (Multinational) mitgeteilt, das sie doch bitte nicht einfach so ohne Prüfung auf die Links klicken sollen, da gefährlich und so...
Nach der Schulung wurden im Trackingsystem bis zu 12x mehr Klicks auf verdächtige links gezählt, als vor der Unterweisung.
Frei nach dem Motto, mal gucken was da passiert. - Und genau das ist das Schlimme, selbst wenn man es demonstriert und vorführt probieren das einige am normalen PC aus, nicht in einer Sicherheitsumgebung.

Ein schöner Film ist und bleibt: Anatomy of an Attack (von Cisco)

--
Und ja, es ist leider zum Standard geworden, das man Software im Pre-Alphastatus auf den Markt wirft, dafür Geld von den Kunden nimmt und dann Patcht - manchmal bleibt so Software dann in der Betaphase hängen, es geht zwar aber nicht schön, aber man entwickelt schon den Nachfolger...
 
Und ja, es ist leider zum Standard geworden, das man Software im Pre-Alphastatus auf den Markt wirft, dafür Geld von den Kunden nimmt und dann Patcht - manchmal bleibt so Software dann in der Betaphase hängen, es geht zwar aber nicht schön, aber man entwickelt schon den Nachfolger...
Für mich hängt das stark mit "Agile" zusammen. Ich seh schon ein, dass früher Entwicklungsprojekte teils zu lang dauerten und sich immer wieder verzögterten. Aber heute mit Agile sehen wir halt, dass wir nur noch unfertige Software haben, wo das angewandt wird.
Mich regts z.B. brutal auf, dass bei mobilen Apps ständig Updates dahersprudeln. Ich soll mir am Android wöchentlich wie viele GB runterladen...? Um ne Woche drauf wieder so viele GB zu laden...? Ich zahl das doch alles irgendwo mit.
Dem Kunden wirds so verkauft, dass es da wieder ien tolles neues Update mit wichtigen Verbesserungen gibt. Ich wett, dass in vielen Fällen nichts anders ist, wenn alle in der Entwicklungsabteilung mal im Urlaub sind, aber n Update wird dennoch rausgedroschen. Also dass wir damit nun kürzere und schnellere Entwicklungzyklen haben und schneller ein vermeintlich fertiges Produkt bekommen, wird dadurch erkauft, dass unsere genutzt Software nun halt permanent unfertig ist. Das merkt man in der Funktionalität meist kaum, aber bzgl. Sicherheit ist der verscrumte Scheiß halt dann oft so löchrig, dass es schwer ist, die Stützstellen noch zu sehen.

Daher ist es mehr normal als überraschend, wenn sich z.B der CCC oder die c't mal wieder irgendeine Software vornehmen, bevorzugt im GDPR-relevanten Gesundheitsbereit, rauskommt, dass da fast alles Murks ist.

Ich seh da auch noch bzgl. Standards und Regularien noch viel strukturellen Verbesserungsbedarf.
 

Endlich! - bin ja mal gespannt, wie die anderen LDAs nachziehen und welche Konsequenzen es dann hat, hoffentlich stirbt das FAX dann endgültig aus...
 
Prinzipiell begrüßenswert, aber die zitierte Begründung/Abhilife ist Mumpitz - DE-Mail ist eben nicht Ende-zu-Ende verschlüsselt

1632215661653.png


Dazu kann ich einen mMn sehr unterhaltsamen Vortrag empfehlen - "Bullshit made in Germany"
 
DE-Mail halte ich genauso für ungeeignet, wie auch das elektronische Anwaltsdingens...

Aber generell von FAX endlich weg zu wollen, auch im Hinblick auf dieses ganze "Gerichtsverwertbare" Absenderbestätigung usw. ist das halt ein Anfang.
Klar, stand glaub auch im Text oder wenigstens in den Kommentaren, da hätte man mal einen ernsten Anwendungsfall für den ePerso
 
Mal eine eher privat motivierte Frage: was haltet Ihr von Amazon Fotos?
Ein externes Backup mit unbegrenzter Speichermöglichkeit klingt nicht ganz dumm (noch dazu quasi kostenlos, da Prime-Kunde).

Aber wie sieht es mit den Datenschutzaspekten aus?
Dass Amazon die (Foto-)Daten nutzen muss, um den Dienst überhaupt anbieten zu können, leuchtet ein:
1632300235740.png

Die Datenschutzerklärung liest sich "okay". Für mich scheint es eher auf die Prinzipienfrage hinauszulaufen: Vertraue ich meine Daten jemandem an? Auch einem US-Unternehmen?

Im Netz finde ich keine gute Zusammenfassung

Netzwelt schreibt:
1632298330236.png


Klar ist selber hosten "besser", aber Redundanz, Verfügbarkeit, ggf. Geschwindigkeit, off-site backup... sind für mich Punkte, die mich dazu tendieren lassen, Amazon Photos eine Chance zu geben.
 
Ist halt eine persönliche Entscheidung wie weit du gehen würdest, ich würde es nicht machen, aber das ist halt meine Entscheidung.
Dann lieber zu Haus alles auf eine NAS und eine zweite Sicherung bei jemand anderem.

Habe mich aber grad auf den Rücken gelegt als ich die neune AuthyApp für MFA auf meinem Handy einrichten sollte und mal geschaut habe, ob sich diese App schon jemand mal tiefer inspiziert hat.
Ich kann den Druck unserer Admins und den Sicherheitsgedanken verstehen, aber Gott verdammt, warum müssen die immer alles rausrücken ohne mit Compliance/Legal/Gov zu sprechen ....

 
wow - gilt aber nur für android oder?
wir setzen die 2FA über die MS Authenticator-App auch ein - zwangsläufig um vorallem die Adminkonten und "Kreditkarten" die im O365 hinterlegt sind etwas mehr zu schützen.
 
Bisher konnte das nur von der Android-App repliziert werden, genau.
Mit der iOS-App kenn ich mich nicht aus, bzw. hatte da bisher keine Berührungspunkte.
 
Moin@all,

habe da ein besonderes Schmankerl ...

Folgende Frage eines Mitarbeiters und des Betriebsrats:
Wie bewertet der bDSB die Datensammelwut eines Teslas als Firmenwagen mit 0,5% Regelung
und Überlassung? Konkretisierung: wann werden wo auf welcher Grundlage was für Daten erhoben und von wem wie verarbeitet?

Hintergrund:
Um Grüner zu werden (Idee ist erstmal nicht schlecht) sollen Vertriebler e-Autos bekommen,
vorzugsweise Teslas, weil fancy usw., bisher erfolgte zum Glück noch keine Bestellung.

Ich kann die Fragen gut nachvollziehen, würde mir so einen Spion auch nicht auf den Hof stellen.

Spannend ist es aussagekräftige Dokumentationen von Tesla zu bekommen und ein Nutzen
ohne die Cloud und die Zustimmung durch den Nutzer wird es schwierig.
Da spielen ein paar Dinge zusammen, wer muss ggf. zustimmen, wem gehört die Karre eigentlich,
wer ist Verantwortlicher im Sinne der DSGVO usw. ...

Ich hoffe die Idee wird nochmal überdacht!

Habt Ihr Meinungen oder Erfahrungen dazu?
 
To make it short: Du bekommst keine vernünftige Info von Tesla
Wirklich feingranular kannst Du's nicht einstellen. Würdest Du alle Kommunikationswege hart abschneiden (SIM-Karte ausbauen), dann funktioniert vieles in diesem Fahrzeug nicht mehr.

Bei 'nem i3, i4... kann man das über den "Privacy-Regler" abstufen, welche Dienste genutzt werden.
 
Moin@all,

habe da ein besonderes Schmankerl ...

Folgende Frage eines Mitarbeiters und des Betriebsrats:
Wie bewertet der bDSB die Datensammelwut eines Teslas als Firmenwagen mit 0,5% Regelung
und Überlassung? Konkretisierung: wann werden wo auf welcher Grundlage was für Daten erhoben und von wem wie verarbeitet?

Hintergrund:
Um Grüner zu werden (Idee ist erstmal nicht schlecht) sollen Vertriebler e-Autos bekommen,
vorzugsweise Teslas, weil fancy usw., bisher erfolgte zum Glück noch keine Bestellung.

Ich kann die Fragen gut nachvollziehen, würde mir so einen Spion auch nicht auf den Hof stellen.

Spannend ist es aussagekräftige Dokumentationen von Tesla zu bekommen und ein Nutzen
ohne die Cloud und die Zustimmung durch den Nutzer wird es schwierig.
Da spielen ein paar Dinge zusammen, wer muss ggf. zustimmen, wem gehört die Karre eigentlich,
wer ist Verantwortlicher im Sinne der DSGVO usw. ...

Ich hoffe die Idee wird nochmal überdacht!

Habt Ihr Meinungen oder Erfahrungen dazu?
Naja wenn man weiß das man bei der Verwendungen eines Fahrzeuges seine Daten "verkauft", muss man akzeptieren oder kann es lassen.

Ich würde alleine schon aus Betriebsgeheimnis Gründen keine Clouddienste oder sonst irgendwelche Daten Erfassungen zulassen.
 
Naja wenn man weiß das man bei der Verwendungen eines Fahrzeuges seine Daten "verkauft", muss man akzeptieren oder kann es lassen.
Sorry aber das ist so wieder typischer Stammtisch Talk.
Wenn ein Unternehmen für seine MAs Arbeitsgerät in jeglicher Form anschafft muss vorab natürlich geprüft werden inwiefern die datenschutzkonform einzusetzen sind.
Kannst ja nicht sagen: "Hier dein Tesla. Wenn dir das mit den Datensammeln nicht gefällt steig halt nicht ein. Seh zu wie du zum Kunden kommst."

Dann kann der MA seinen Arbeitsvertrag und dem Vertrag ggü. dem Kunden nicht erfüllen.

Das muss in der Datenschutzerklärung hinterlegt werden, der MA muss aufgeklärt werden etc. Da Tesla scheinbar recht undurchsichtig ist was die Verarbeitung von pbD angeht bin ich froh diese Entscheidung nicht treffen zu müssen.
@Nenharma als einzige Möglichkeite sehe ich, eine möglichst genaue Auflistung der verarbeiteten Daten sowie der damit verbundenen Unternehmen und Ländern zu erstellen und diese über die Datenschutzerklärung bei Einstellung bzw als Zusatzvereinbarung gegenzeichnen zu lassen (Vertrag & Einwilligung)
Wie das Arbeitsrechtlich umzusetzen ist weiß ich nicht.
 
Wenn ein Mitarbeiter da nicht einwilligen möchte, dann wirst Du ihn kaum dazu zwingen können - dann sollte man einen Plan B haben
 
Jo, Datenschutzrechtlich kann ich die Verantwortung vertraglich auf den Mitarbeiter übertragen bzw. mir die Einwilligung dazu holen.
Aber Arbeitsrechtlich wird es dann sportlich wenn der Arbeitnehmer nicht zustimmt!
Als Beispiel könnte ich eine Einwilligung geben, zur Verarbeitung und Drittlandübermittlung. einen Übergang der Verantwortung
aber ablehnen, wer ist dann Verantwortlicher? Weiterhin das Unternehmen, aber dann
haut mir der ISB (Informationssicherheitsbeauftragte) auf Maul und fragt mich an welchem Blitz ich gelutscht habe um auf das
schmale Brett zu kommen Clouddienste (public Cloud), ohne garantierte Verschlüsselung mit Schlüssel bei uns und Zugriff durch den Cloud-Act
in Erwägung zu ziehen.

Mega spannend, könnte man ganze Kanzleien mit beschäftigen
 
Die Statements kennst Du wahrscheinlich:
202
2022
 
Klar kenne ich die!

Spannend ist ja das Feld hierbei.
Betrieb <--> Tesla ist DSGVO unschädlich da B2B,
da kommt aber der ISB um die Ecke und sagt was aus den Daten die unseren
Informationsverbund verlassen so alles an Rückschlüssen gezogen werden kann.
Weiterhin kann es passieren das ich mich auf bestimmten Geländen aus Geheimschutzgründen
oder der kritischen Infrastruktur nicht bewegen darf ...

Betrieb <--> Mitarbeiter kommt dann aber der Mitarbeiterdatenschutz (DSGVO und BDSG) voll zum tragen!

Diese vier Bereich unter einen Hut zu kriegen stelle ich mir fast unmöglich vor!
Meiner bescheidenen Meinung nach müsste der Datenschutz schon im KBA mit berücksichtigt werden ....
 
Könnte vielleicht irgendwann zukünftig mal so werden, dann aber vermutlich über eur. Typgenehmigung, da reden wir dann über Zeiträume >5-10 Jahre

Die Logik ist "Das Produkt/Fahrzeug auf den Markt bringen dürfen sie (weil es sicher im Sinne der Typgenehmigung ist), aber datenschutzkonform nutzen kann es eigentlich kaum einer (was aber (bisher) keine Typgenehmigungsfrage ist)"
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh