[Sammelthread] Der DSGVO | Datenschutz Laberthread

Danke dir für deine erste Einschätzung.
Ich habe auf unserer HP das „Opt-In“ für Cookies aktiviert, jetzt sollte das ja passen.

Zur Veranstaltung:
Auf das Gelände kann jeder auch ohne Ticket. Ein Ticket braucht nur jemand, der sein Fahrzeug dort ausstellen möchte.
Unser „Plan“ würde jetzt so aussehen, dass wir auf den genannten Aushängen auch schreiben, dass die Kennzeichen sichtbar bleiben.
Und sich jeder mit Betreten des Geländes mit den Bedingungen einverstanden erklärt.

Die spontan Ticketkäufer müssten dann mit Name und Kennzeichen unterschreiben, dass sie einverstanden sind.

Gab es da nicht auch was mit der neuen DSGVO, bezüglich „Veranstaltungen auf denen Fotos üblich sind“, oder sowas?
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Sieht doch gut aus. Nun noch Das Pflichtfeld Name aus dem Kontaktformular nehmen, da eine Kontaktaufnahme doch sicher auch Anonym erfolgen kann oder? Optional dazuschreiben, dass im Kontaktfeld Name auch ein Fantasiename angegeben werden kann. (Datenminimierung)

Fotos auf öffentlichen Veranstaltungen, da könnte man das § 23 Abs. 1 Ziff. 3 KUG nehmen,
Es dürfen Personen auf Veranstaltungen mit einer großen Teilnehmerzahl wie Demonstrationen oder Aufzüge ohne deren Einwilligung fotografiert und die Aufnahmen veröffentlicht werden.

Edit: Ja da gehts irgendwie um "man muss damit rechnen, auf solchen Veranstaltungen fotografiert zu werden, da öffentlicher Raum usw."

Wobei das echt haarscharf ist, da bin ich zu wenig im Thema, da mein Bereich glücvklicherweise nichts mit Veranstaltungen im eigentlichen Sinne zu tun hat. Würde mich freuen, wenn ein anderer User da mehr zu schreiben kann, ich schmeiß hier eh schon mit halbwissen um mich. Wobei Datenschutz ja immernoch auslegungssache ist. Artikel 6 Abs. 1 lit f kann da erstmal herhalten :d

die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Zum Vergrößern anklicken....

Der wird sowieso "missbraucht" wo es nur geht. Weil ein berechtigtes Interesse ist eh immer Auslegungssache.
 
Vielen Dank dir für deine Einschätzung.
Ich hoffe, dass sich vielleicht noch jemand dazu äußert.
 
Ich war als Fotograf schon auf diversen Treffen unterwegs, bei Street Culture gibts auch nur die Info gibt Fotos, lebt damit oder kommt nicht. Kennzeichen hab ich noch nie zensiert und werd ich auch nicht machen, die meisten nehmen die eh schon aus Optikgründen ab. Der Rest nimmt sie ab weil er nicht will das sie fotografiert werden, mir auch recht. Imho ist auch n Kennzeichen kein personenbezogenes Datum, das bezieht sich ja in erster Linie auf das Fahrzeug und das auf den Halter. Mit dem eigentlichen Fahrer hat das schon gar nichts zu tun. Im Extremfall müsstest du dann eigentlich eine Einwilligung des Halters vorliegen haben und nicht des Fahrers. Aber wer auf den Treffen unterwegs ist dürfte imho auch schlecht vor Gericht damit durch kommen. Immerhin steht das KFZ da aus, um besichtigt zu werden. Und die Kennzeichen abnehmen ist jetzt nicht wirklich ein unverhältnismäßiger Aufwand. Mal ganz davon abgesehen, das man bei den KFZs die da teilweise stehen (leider zu wenige) allein schon dadurch allein weiß wer die Kiste fährt, egal ob ich das Kennzeichen kenne oder nicht.
 
Das ist jetzt deine persönliche Meinung dazu, Fakt ist aber, dass ein Kennzeichen ein personenbezogenes Datum ist (abseits von Fuhrpark KFZ). Von wem, das ist unerheblich. Es wird verarbeitet, also muss es eine Grundlage dafür geben.
"Haben wir nie gemacht, ist viel zu viel Aufwand, wen interessierts usw." Sind keine Gründe, die DSGVO zu missachten, die Aufsichtsbehörden lassen sich bvei einem Vertsoß von solchen Begründungen nicht wirklich beeindrucken.
Und ein KFZ aufgrund seiner Optik zu identifizieren ist dann wohl max. im Freundeskreis möglich oder wenn man eine "bekannte Person" ist. Zeig mir ein Fpoto von deinem getunten Fahrzeug ohne das ich dich kenne, rein die Optik macht dich nicht identifizierbar, ein Kennzeichen schon.
Klar ist das hier alles korintenkackereng gesehen, aber wenn man es genau nimmt muss man es so sehen. Ob ich das persönlich für sinnvoll halte (tue ich nicht) ist leider unerheblich, wenn es zu einem verstoß kommt.

Edit: Ich werde häufiger in Foren für meine Aussagen dazu angefahren, ich persönlich würde für eine VEranstaltung auch niemals den Datenschutzaufwand betreiben, den ich hier in der Theorie beschreibe sondern ein gesundes Mittelmaß nehmen. Sprich für mich im vertretbaren aufwand über die Datenerhebung informieren. Es ist ja ein Auslegungsgesetz und die Datenschutzbehörden möchten auch sehen, dasss man sich Gedanken macht. Besser als auf alles zu "scheißen" und gut genug im Falle einer Prüfung oder Meldung mit einem du du du davonzukommen.
 
Zuletzt bearbeitet:
Jemand der Spieleserver hier in DE betreibt (ein Mensch, also alleine, kein kleines Unternehmen), musste die alle dicht machen.
Er hat es nebenbei betrieben. Obwohl genug finanzielle Mittel vorhanden, wäre der Zeit- und Kostenaufwandsich durch diese ganzen Meinungen (Gesetze) zu lesen und nach deren Meinung konform zu betreiben war viel zu hoch. Finanzieller Verlust würde eintreten.

Es ist schlussendlich nicht anderes als Beschäftigungspolitik. Einzelne Menschen die denn Zeit- und Kostenaufwand nicht stemmen können sind in der Minderzahl. Die meisten kleinen bis großen Unternehmen etc. können den Zeit- und Kostenaufwand stemmen; also entsteht hier Beschäftigungspolitik.
Irgendwen (hier den Mensch) vor den pösen Datenkraken, den "Unternehmen", zu schützen ist zweit-. drittranging.
Habe ich nach dem Lesen der kritischen Artikel etc. so schnell gemerkt.
 
@Hyrasch Deine Aussage ist für mich nicht nachvollziehbar. Wenn jemand für sein Privatvergnügen eine größere Anzahl von Spieleservern betreibt, dann entstehen doch ohnehin Kosten, die ihm keiner erstattet. Die Kosten für die Beauftragung einer Rechtsanwaltes, der die Rechtskonformität dieses Hobbys sind genauso Kosten wie Strom, Traffic, Miete und Hardware.

Abgesehen davon hat sich durch die DS-GVO nichts grundlegendes geändert. Der wesentlichste Unterschied ist, dass man sich jetzt (wegen der Angst vor den Bußgeldern) mehr um Datenschutz kümmert.

Deine Äußerungen zur "Beschäftigungspolitik" sind ebenfalls nicht nachvollziehbar.
 
taeddyyy schrieb:
Das ist jetzt deine persönliche Meinung dazu
Zum Vergrößern anklicken....
Deswegen sind wir auch hier und nicht bei der Rechtsberatung ;) Gerade in der Szene bekannte KFZs erkennt man auch problemlos ohne Kennzeichen. Auf genau die hab ich mich da auch hauptsächlich bezogen, die 100 FFF Golfs interessieren in der Regel eh keinen.

Noch mal deutlich: IMHO würde ich da auch nur bei der Veranstaltung drauf hinweisen, obwohl eigentlich eh klar wenn man auch nur einen cm in der Szene ist und gut. Wer keinen Bock drauf hat muss halt sein Kennzeichen abnehmen oder nicht kommen, zwingt einen ja keiner und einfacher gehts wohl wirklich nicht.
 
Die "Kosten" waren für ihn im Rahmen, heißt dass das Betreiben der Server plus/minus entweder eine Null ergeben hat, oder minimale Einnahme/Defizite erbracht hat. War also alles nichts bewegendes. da durch andere Beschäftigungen die Kosten wieder eingeholt wurden.
Stimmt: Grundlegend hat sich nicht geändert, deswegen schmunzle ich da immer, wenn da Menschen davon reden dass da irgendwelche Daten "geschützt" werden (vor wem, vor was eig. sollte man sich fragen) ;)
Die jetzige Industrie basiert darauf möglichst viel Daten zu sammeln, zu verkaufen, analysieren etc."Datenschutz" ist konträr zu den jetzigen Systemen und somit Humbug.

"Deine Äußerungen zur "Beschäftigungspolitik" sind ebenfalls nicht nachvollziehbar." Kein Thema. Nein wirklich. Natürlich verstehst du nicht was ich mit Beschäftigungspolitik meine, kannst ja auch keine Gedanken lesen und ich schreibe hier auch keine 10k Wörter nieder^^ Der Durchschnittsmensch soll davon auch nichts verstehen oder gar mitwirken - ist auch gar nicht seine Aufgabe.
Ziel der Staats- und Systemdiener war hier Beschäftigungspolitik zu betreiben: mit dem Regelwerk des NetzDG wird dies ausgeweitet.
 
Hyrasch schrieb:
Obwohl genug finanzielle Mittel vorhanden, wäre der Zeit- und Kostenaufwandsich durch diese ganzen Meinungen (Gesetze) zu lesen und nach deren Meinung konform zu betreiben war viel zu hoch. Finanzieller Verlust würde eintreten.
Zum Vergrößern anklicken....
Wenn's eh nur hobbymäßig gemacht würde (klingt ja nicht so, s.u.), dann gehört das halt dazu. Wenn man darauf keinen Bock hat kauft man sich Expertise ein oder lässt's halt bleiben oder trägt das Risiko.....
Hyrasch schrieb:
Jemand der Spieleserver hier in DE betreibt (ein Mensch, also alleine, kein kleines Unternehmen), musste die alle dicht machen.
Er hat es nebenbei betrieben....
Zum Vergrößern anklicken....
Warum musste er die dicht machen? Von jemandem angeschwärzt worden? Die Datenschutzaufsicht kümmert sich um kleine Spieleserver sicher nicht proaktiv, die kommen mit ihren "richtigen" Aufgaben ja schon kaum hinterher...
Hyrasch schrieb:
Die "Kosten" waren für ihn im Rahmen, heißt dass das Betreiben der Server plus/minus entweder eine Null ergeben hat, oder minimale Einnahme/Defizite erbracht hat.
Zum Vergrößern anklicken....
Wenn damit Umsätze gemacht werden ist es eben nicht einfach "private Spielerei" - neben Datenschutzfragen könnte das sogar auch fürs Finanzamt interessant werden!?!

Ich kenne die Hintergründe/Details nicht, das klingt aber nicht sehr stimmig, was Du da bisher beschrieben hast. Wenn mit dem Serverbetrieb regelmäßig Geld reinkommt und die Kosten dadurch weitestgehend gedeckt werden, dann sollte der Aufwand für DSGVO-konformen Betrieb auch tragbar sein.
 
Kuzorra schrieb:
Ich kenne die Hintergründe/Details nicht, das klingt aber nicht sehr stimmig, was Du da bisher beschrieben hast. Wenn mit dem Serverbetrieb regelmäßig Geld reinkommt und die Kosten dadurch weitestgehend gedeckt werden, dann sollte der Aufwand für DSGVO-konformen Betrieb auch tragbar sein.
Zum Vergrößern anklicken....
Hmmm, habe wohl nicht genau beschrieben oder du verstehst nicht.
"Die "Kosten" waren für ihn im Rahmen, heißt dass das Betreiben der Server plus/minus entweder eine Null ergeben hat, oder minimale Einnahme/Defizite erbracht hat."
"Er hat es nebenbei betrieben"
Streicht die Einnahme wenn es verwirrend ist; es war nebenberuflich und konform mit dem Fiskus.
Heißt geringer Aufwand, Kosten, Nutzen etc. Auch konnte er Werbung schalten um die geringen monatlichen Kosten einzuholen.
Mit dsgvo und dem ganzen Aufwand um es Meinungskornform zu betreiben ging dies alles nicht mehr so einfach, also wird dich gemacht. Darauf zu verweisen das es in anderen Fällen xyz tragbar sein "kann" (sollte), ist hier also falsch, sonst würde ich es nicht schreiben.

Habe nur ein Beispiel genannt dass diese ganze Beschäftigungspolitik der Staats- und Systemdiener auch zwei Seiten hat. Genauso ging/geht es zig Tausenden alleine hier in DE.
Aber solange es Dinge in Bewegung hält, Beschäftigungen erschafft ("Sozial ist war Arbeit schafft"), künstlich konstruierte Arbeitsplätze (pöse Zungen nennen es Bullshitjobs), macht man es halt. Ich finde es halt amüsant welche Verrenkungen gemacht werden um den Deckel auf dem Topf zu halten :d
:wink:
 
@Hyrasch Dein Geschwurbel kann man nicht verstehen, weil du ein ziemlich verzerrtes Weltbild hast und deine Aussagen nur innerhalb dieses Weltbildes einen Sinn ergeben. In der Realität ist es halt nur Geschwurbel.
 
Was genau hat den Durchschnittsmenschen nun so aufregt, für Kopfschütteln gesorgt, das Weltbild/die Sichtweise auf den Kopf stellt, dass er einen Satz als Antwort niederschreibt, obwohl
das Geschriebene gar nicht an ihn gerichtet war? :unsure:
Schau mal es gibt eine Ignorier-Liste. So einfach geht das.
 
Ich glaube, dass wird hier für Datenschutz etwas zu OT. Wollen wir uns wieder den wichtigen Fragen widmen? Danke!
 
Hallo Freunde der Sonne,

ich bin auch gerade über das Thema DSGVO gestolpert und möchte meine Erfahrungen mit euch teilen.
Hintergrund war eine Schulung zu einer Architektur/Methode, wie EDWs gebaut werden können (Enterprise Data Warehouses, stellt euch vor die zentrale Datenkrake in einem Unternehmen welche alle Informationen zusammenführt und z.B. genutzt wird um den Jahresabschluss zu erstellen).

Aufgrund der großen Datenmengen & Auditierbarkeit (denkt z.B. an Verbindungsdaten einer Telko oder Sensordaten von einem Unternehmen mit Millionen von IoT Geräten) sind dieses i.d.R. insert-only Architekturen. Wenn ein Datensatz "gelöscht" wird, wird also normalerweise ein neuer Datensatz eingeführt, welcher als Attribut das Feld "gelöscht = ja" führt. Für DSGVO reicht dies natürlich nicht.

Also müssen in einem ersten Ansatz die Felder identifiziert werden, welche PII enthalten. Dann müssen diese mit einer Aufbewahrungsfrist versehen werden (ist ja schön, dass der Kunde einen Löschantrag stellt. Wenn er was gekauft hat, müssen die Rechnungen/Steuerinformationen trotzdem 10 Jahre aufbewahrt werden). Auch müssen virtuelle Kundennummern eingefügt werden: Kunde hat eine Autoversicherung und eine Lebensversicherung. Er kündigt die Autoversicherung und stellt einen Löschantrag - trotzdem müssen wir die Informationen weiterhin für die Lebensversicherung halten. Kündigt er diese auch, müssen seine Daten gelöscht werden, allgemeine Informationen wie Umsatz im Bereich Lebensversicherungen, Anzahl der verkauften Versicherungen pro Verkäufer müssen aber erhalten bleiben.

Und dann kommt noch das Thema Backups. Jemand war 20 Jahre lang unser Kunde und stellt nun einen (gültigen, also innerhalb von 4 Wochen durchzuführenden) Löschantrag. Ja herzlichen Glückwunsch an den Praktikanten, der die ganzen Bändern raussuchen muss und gezielt und auditierbar die entsprechenden Datensätze entfernt. Oh, und das in einer Architektur welche nicht auf das Löschen ausgelegt ist!

Diese Erfahrung hat mich etwas milder gestimmt, wenn ich zurückblicke und überlege wie die Unternehmen gejammert haben. Ja, das ist aus operativer Sicht eine riesige Herausforderung.

Viele Grüße
 
@pescA Hi, danke für deine Ausführungen. Was ich mich bei Fragen rund um Backups immer frage: Wozu genau braucht man 20 Jahre alte Backups?
 
Nur als kleiner Anhaltspunkt zu deinem Praktikanten und dem löschen aus den Backups:
Es gibt an verschiedenen Stellen in der DSGVO und dem BDSG den Passus "unverhältnismäßig hoher Aufwand" in Zusammenhang mit Datenlöschug oder Datenerhebung. Ganz interessantes Thema, da dort schon viel reininterpretiert werden kann. Ich denke ein Konzern mit mehreren tausend Angestellten wird da mehr schwieirigkeiten haben als eine kleine 5 Man klitsche. Nur so als Anhaltspunkt :)
 
@taeddyyy Die Einschränkung des Löschungsanspruchs ist nach meiner Kenntnis aber sehr eng. Mir fällt da auf die Schnelle nur § 35 Abs. 1 BDSG ein und der gilt nur für "nicht automatisierte Datenverarbeitung".
 
Bin aktuell nicht mehr ganz detailliert im Thema. Anders war das nach der Einführung der DSGVO.

Deswegen will ich hier nur mein allgemeines Weltbild darstellen: Ohne konsequente Umsetzung der DSGVO in allen relevanten Bereichen der Gesellschaft ist mMn eine zukünftige, sozialverträgliche Lebenswirklichkeit nicht denkbar. Warum hier nicht, ähnlich wie es bei z.B. bei Heizungen der Fall ist, mit erheblichen Förderprämien und Zuschüssen zur Umsetzung motiviert wird, ist schwer nachzuvollziehen.

www.heise.de

Auslegungssache: Der Datenschutz-Podcast des c't Magazins

Sie möchten beim Thema Datenschutz auf dem Laufenden bleiben, aber keine seitenlange Literatur wälzen? Dann wenden Sie sich vertrauensvoll an unser Juristen-Redakteurs-Duo.
www.heise.de www.heise.de
 
@ClearEyetemAA55 Naja, der Aufwand für die DS-GVO-Umsetzung ist ja gerade bei denen groß, die sich vorher nicht um die rechtmäßige Datenverarbeitung gekümmert haben. Die jetzt zu fördern, während andere schon früher (vor Einführung der DS-GVO) in den Datenschutz und rechtskonformes Verhalten investiert haben, erscheint mir sehr befremdlich. Mit den Heizungen ist es da was anderes. Es war ja alles erlaubt, nur dass man künftig lieber andere Energieträger nutzen will. Mit der Förderung versucht man jetzt die Investitionen in legale, aber künftig nicht mehr gewollte Anlagen auszugleichen.
 
Weil die DSGVO bisher in meinen Augen nicht das bewirkt, wofür sie eingeführt wurde. Die großen MIssachten nach wie vor und Sammeln wo es geht, die kleinen und Mittelständler sind am Zittern und haben teils alles dicht gemacht. Facebook in Europa wird bspw. von den Datenschützern aus Irland auditiert, die sind ja aber augenscheinlich entweder total überfordert oder werden nicht wirklich tätig.
Wenn es für die Umsetzung dann noch prämien geben würde (müsste dann ja auch prozentual berechnet werden) Sorgen die Großen schon dafür, dass die Kohlen eingesackt werden aber auf der anderen Seite minimalst auf die Gesetze geachtet wird.
 
craxity schrieb:
@taeddyyy Die Einschränkung des Löschungsanspruchs ist nach meiner Kenntnis aber sehr eng. Mir fällt da auf die Schnelle nur § 35 Abs. 1 BDSG ein und der gilt nur für "nicht automatisierte Datenverarbeitung".
Zum Vergrößern anklicken....
Mit §35 (3) BDSG könnte man noch um die Ecke kommen für die o.g. Aufbewahrungspflichten, was wieder auf das gleiche wie §35 (1) BSDG hinausläuft. Allerdings sieht §35 (1) dann statt der Löschung immer noch eine "Einschränkung der Verarbeitung" vor - auch das müsste ich im Backup (sprich: in den eingelagerten Bändern) ja irgendwie kenntlich machen!

Andere Idee: Man könnte doch nach Art 12 (3) DSGVO dem Betroffenen mitteilen, dass die Daten aus der unmittelbaren Verwendung gelöscht wurden, es aber potentiell in bereits angefertigten Sicherungskopien noch "Spuren" dieser Daten geben kann, die man nicht so leicht löschen kann und auf die üblicherweise auch nicht zugegriffen wird. Dann wäre man dem Wortsinne des Gesetzestextes doch weitestgehend nachgekommen und hätte den Ball zurückgespielt. Wem das (als Betroffener) nicht reicht, der muss sich dann erstmal erneut auf die Hinterbeine stellen, aber ein Großteil wäre dann vermutlich erstmal ruhiggestellt...
(No need to say: Von einer Datenschutzaufsichtsbehörde würde man so ein Vorgehen sicher nicht empfohlen bekommen.)
 
@Kuzorra Wenn du das dem Betroffenen so schreibst, braucht er das nur an den Datenschutzbeauftragten des Landes weiterleiten und der kommt vorbei, um zu schauen wie du das machst.

Ich würde mir genau überlegen, ob und wozu ich diese uralten Backups wirklich brauche. Wenn es einen Grund gibt, kann man vielleicht daraus eine Rechtfertigung herleiten. Ansonsten würde ich mir die Speicherung gar nicht aufbürden.
 
Ich würde das auch nicht so machen, das war wie gesagt nur eine "andere Idee", sozusagen als Diskussionsvorschlag.
Das Problem ist halt, wenn ich (redundant&langfristig) Backups aus welchen Gründen auch immer brauche (Revision, Steuer) und nun kommt einer daher, dessen Daten ich da rausnehmen soll, dann finde ich schon, dass das ein unverhältnismäßig hoher Aufwand sein kann. Daher kann ich jeden verstehen, der sich Gedanken darüber macht, wie man das aufwandsarm abbüglen kann, aber dabei trotzdem DSGVO-konform agiert.

Natürlich wäre es sauberer, wenn ich Herrn/Frau Müller/Meier/Schmitz auf Verlangen nicht nur aus den aktuellen Datenbeständen rauslöschen kann, sondern auch direkt in allen vorhandenen Backups die entsprechenden Daten entfernen kann.
Aber in welchen Bereichen der ggf. physisch separierten/redundaten Backups ich erstmal reinschauen muss, ob rechtliche Verpflichtungen mir das Löschen (noch) verbieten usw. muss natürlich geklärt sein, das ist sicher nicht trivial....

Als Erweiterung meiner ersten Üblergung von oben: Ich könnte Betroffenen ja erläutern/anbieten,
"dass die Daten aus der unmittelbaren Verwendung gelöscht wurden, es aber potentiell in bereits angefertigten Sicherungskopien noch "Spuren" dieser Daten geben kann, die gemäß dem IT-Sicherungs/-Löschkonzept erst in spätestens x Monaten überschrieben werden" ....um dem Ansinnen schnellstmöglich und vollumfänglich nachzukommen - wer damit nicht einverstanden ist, der möge nochmal Bescheid geben
 
@Kuzorra Solange man den Aufbewahrungspflichten unterliegt, ist man ja zur Speicherung berechtigt und das Löschungsverlangen geht ins Leere. Man muss nur sicherstellen, dass die Daten nicht sonst verarbeitet werden und insbesondere die zugriffsmöglichkeiten innerhalb der Belegschaft entsprechend eingeschränkt sind.

Vielleicht ist der Begriff "Backup" auch zu ungenau. Wenn es z.B. um ein Archiv für das Finanzamt geht, und dessen Sicherung, kann man m.E. alles aus dem Archiv und dem Backup löschen, das nicht mehr aufbewahrt werden muss.

Wenn "Backup" einfach alle Daten umfasst, die man aktuell nicht verwendet, aber irgendwo zur "Sicherheit" (ggfs. noch redundant) gespeichert hat, kriegt man ja schon Probleme bei der Anfrage, welche Daten über den Betroffenen gespeichert sind. Damit beginnt die Anfrage ja häufig.
 
d'accord in allen Punkten

Aber schon bei einer ersten Anfrage könnte die Antwort sinngemäß sein, bzw. ehrlicherweise müsste sie vielleicht lauten:
"Ich habe Ihre Daten zwar Anfang der Woche gelöscht, allerdings weiß ich gar nicht genau, ob unsere IT ggf. derzeit noch eine Kopie meines serverseitig gespeicherten Nutzerprofils irgendwo in einem "Backup" liegen hat (worauf ich keinen Zugriff habe und was auch nur im Falle eines Datenverlusts oder einer versehentlichen Löschung relevant wäre), worin die Daten nicht doch noch eine kurze Zeit enthalten sein könnten"

Dann einen Aufriss zu starten, um ggf. Pillepalle-Daten* mit einem Riesenaufwand aus einem sehr groben Datenmassiv rauszupicken, das sowieso in 2 Wochen routinemäßig überschrieben wird, halte ich ehrlich gesagt für absurd - da würde ich mir mit der Beantwortung (fristgemäß) Zeit lassen, ggf. Fristverlängerung in Betracht ziehen, und dann vermelden "wir haben nix mehr".

*Kategorie "Herr MüllerMeierSchmitz hat den Newsletter des Karnickelzüchtervereins abbestellt" - natürlich erwarte ich von einer Gesundheitsbehörde/Anwaltskanzlei/Frauenhaus/etc ein anderes Vorgehen
Beitrag automatisch zusammengeführt:

Ergänzung....
craxity schrieb:
Wenn "Backup" einfach alle Daten umfasst, die man aktuell nicht verwendet, aber irgendwo zur "Sicherheit" (ggfs. noch redundant) gespeichert hat, kriegt man ja schon Probleme bei der Anfrage, welche Daten über den Betroffenen gespeichert sind. Damit beginnt die Anfrage ja häufig.
Zum Vergrößern anklicken....
Darin sind aber schon mal keine per se anderen Sachen enthalten als die ursprünglich in den Daten vorhandenen pbz. Angaben - woher auch.
Das Backup erfindet/ergänzt ja keine zusätzlichen Daten - Nur die Diskrepanz zwischen "schon gelöscht" und "noch nicht aus dem backup gelöscht" könnte auftreten.

Die Anfrage würde ich also immer auf die Daten hin beziehen/beantworten, die maximal zum ursprünglichen Verarbeitungsvorgang gehören können.
 
Zuletzt bearbeitet:
@Kuzorra Die Anfrage würde ich jetzt nicht so beantworten, da sie sich ja nicht an den einzelnen Bearbeiter des Anliegens richtet, sondern an das Unternehmen/den Verein/die Behörde etc. ;)

Leider unterscheidet die DS-GVO ja nur nach der Art der Daten und nicht nach dem Unternehmen oder der wirtschaftlichen Bedeutung.

Man muss aber auch zugeben, dass in vielen Unternehmen vor der DS-GVO wenig Bewusstsein für den Datenschutz und überhaupt den Umfang der Datenverarbeitung bestanden hat (und vielleicht noch besteht). Was es da für Mengen an unstrukturierten und undokumentierten Daten in irgendwelchen Verzeichnissen oder Postfächern gibt, ist beeindruckend.

PS: Die Information, dass jemand einen Newsletter abbestellt hat, würde ich mir gut merken.
 
Neues Thema: Matomo

Ich habe (als nicht-Fach-ITler) schon ein paar ganz gute Erklärungen gelesen, was da geht (IP-Adresse Byte-weise zu nullen, Cookies ja/nein), aber ich habe eine ganz andere Frage dazu....
(Ergänzung: Das ist ein Analyse-Tool für websites, ähnlich zu google analytics. Matomo kann man allerdings selber hosten und (mit den richtigen Einstellungen) ist es durchaus datenschutzfreundlich zu verwenden. Es gibt dann Auswertungsinfos in einem Dashboard aufbereitet, wo man bspw. Statistiken wie die Anzahl und Herkunft der Zugriffe sehen kann.)

Mich beschäftigen verschiedene Konstellationsmöglichkeiten: Wenn jemand extern für uns einen exklusiven Dienst nach unseren Vorgaben bereitstellt/hostet (also als Auftragsverarbeiter) bzw. wir einen allgemein angebotenen Dienst nutzen, den wir nur zu einem Teil nach unseren Wünschen beinflussen können (gemeinsame Verantwortung?), wie sieht es denn dann jeweils mit Matomo aus?
(Der Betreuer auf unserer Seite befindet sich gerade in Klärung mit dem Anbieter (also unserem Auftragnehmer), vielleicht kann ich das demnächst noch etwas konkretisieren.)
Matomo wird aus meiner/unserer Sicht anscheinend extern gehostet (entweder bei matomo in der Cloud oder direkt bei unserem Auftragnehmer), wir haben einen Zugang zum Dashboard und den Analyse-Tools. Jetzt stellte sich eher zufällig heraus, dass alle IP-Adressen (entgegen den Angaben in der Datenschutzerklärung) dauerhaft gespeichert werden.
Das soll/muss natürlich abgestellt werden - aber wenn wir das gar nicht selber so konfigurieren können, sondern da auf den Auftragnehmer vertrauen müssen, bzw. der Auftragnehmer Matomo evtl. für viele Kunden in einer einheitlichen Art und Weise bereitstellt, dann sind wir doch nicht verantwortlich dafür, oder? Das ist alleiniges Business des Anbieters, unabhängig von unserer Beziehung dazu, oder?

Der Anbieter sagt "hier könnt Ihr auch mit matomo reinschauen wie das so läuft", aber wir haben gar nicht die Vorgaben dafür gemacht und wir haben Matomo auch nicht wirklich beauftragt, das ist einfach Teil des Angebots, also nutzen wir nur einen Dienst, bei dem andere über Zwecke und Mittel entscheiden. Nach meinem Verständnis hört unsere Verantwortung für den eigentlichen Dienst (für den wir zumindest zum Teil über Zwecke und Mittel entscheiden) dort auf - oder wie seht Ihr das?

Je nachdem wie die sich da jetzt anstellen, könnte man ja mal mit sanftem Druck nachfragen, was die zuständige Datenschutzaufsicht wohl davon hält....
Ich hab nämlich keinen Bock auf "jaja, haben wir jetzt abgestellt", aber im Hintergrund speichern die alles fleißig weiter und geben uns nur noch oberflächlich maskierte IP-Werte weiter - jedenfalls will ich mir nicht den Schuh für sowas anziehen müssen.

Nachtrag: Den ct-Datenschutzpodcast höre ich und das hier hab ich mir auch schon angeschaut
www.baden-wuerttemberg.datenschutz.de

FAQ zu Cookies und Tracking - Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg

Hier finden Sie die aktualisierten FAQ.
www.baden-wuerttemberg.datenschutz.de www.baden-wuerttemberg.datenschutz.de
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh