[Sammelthread] Der DSGVO | Datenschutz Laberthread

Leider of recht ruhig hier.... Nutzt denn bei Euch keiner Matomo?

Handy-Daten in Corona-Zeiten sind ja momentan auch ein gern genommener Datenschutz-Aufhänger (auch wenn die in Rede stehenden eigentlich immer anonymisiert sind):

(Die Erfassung kann man übrigens bei Provider per Opt-out beenden.)
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Vielleicht würde es helfen, wenn du einmal grob umreist was Matomo ist und wofür ihr das einsetzt. Vielleicht gibt es ja jemanden, der eine ähnliche Situation nur von einem anderen Anbieter/mit einer anderen Software hat.
 
Hab ich im Post ergänzt
 
Neues Thema: Matomo

Verstehe ehrlich gesagt gerade nicht, wo hier genau das Problem liegt. Hört sich an als hättet "ihr" matomo zumindest als Unterverarbeiter für Webanalytics engagiert. Dort werden jetzt entgegen der Erwartungen (?) IP Adressen gespeichert. Normalerweise geht man jetzt hin und schließt einen AVV, in dem alles zur Datenverarbeitung geklärt ist inkl. Unterverarbeiter und Löschfristen sowie anderer Zwecke und weist entsprechend der Vorgaben in der Datenschutzerklärung auf die Verarbeitung hin. Wenn für die Bereitstellung des Services die IP verwurstet werden muss, was soll die Alternative sein?

Ich lese jetzt aus der Schilderung heraus, dass der Service gerne genutzt werden soll aber bitte ohne die Verarbeitung von PII. Scheinbar geht das nicht und jetzt soll die Verantwortung für das Ganze auf matomo geschoben werden.
 
Hm, nein, ich glaube wir reden aneinander vorbei.
Hört sich an als hättet "ihr" matomo zumindest als Unterverarbeiter für Webanalytics engagiert.
Nee, das ist halt da, aber nicht Bestandteil des Vetrags und entspricht derzeit auch nicht unseren Wünschen
Dort werden jetzt entgegen der Erwartungen (?) IP Adressen gespeichert.
Wie gesagt haben wir da im Vorfeld keine Erwartungen geäußert, aber "genau so" hätten wir es anicht haben wollen.
Wenn für die Bereitstellung des Services die IP verwurstet werden muss, was soll die Alternative sein?
Ist für unseren Einblick in Matomo nicht erforderlich. Für die fachliche Anwendung bzw. technische Logs oder ähnliches kann ich das nicht mit Sicherheit sagen - aber um die eigentliche Anwendung geht es ja nicht.
Ich lese jetzt aus der Schilderung heraus, dass der Service gerne genutzt werden soll aber bitte ohne die Verarbeitung von PII. Scheinbar geht das nicht und jetzt soll die Verantwortung für das Ganze auf matomo geschoben werden.
Matomo selbst is eh nicht im boot, es ist eine selbst gehostete Instanz bei unserem Auftragnehmer. In Matomo könnte man die IPs maskieren, ist aber derzeit nicht der Fall.

Nochmal aufgedröselt:
  • Wir kaufen eine Web-Anwendung ein, die eine Firma ABC erstellt hat und nun für uns betreibt und hostet. Darauf bezieht sich unser Vertrag.
  • Firma ABC sagt "hey, guck mal hier in unser Matomo, da kannst Du Statistiken einsehen".
  • Uns ist aufgefallen, dass in deren Matomo-Konfiguration IPs gespeichert werden (was nicht so sein muss, Matomo wird sogar von Datenschutzaufsichtsbehören gelobt - aber man muss es richtig konfigurieren!).
  • Wir haben aber keinen Admin-Zugriff auf die Matomo-Einstellungen, was Matomo allerdings unterstützen würde. Firma ABC könnte auf ihrem selbst-gehosteten Matomo locker für jeden ihrer Kunden eigene Mandanten einrichten, so dass man sich das Matomo selbst konfigurieren kann. Bei uns würden die IPs rausfliegen, wenn ein anderer Kunde der Firma ABC die IPs braucht, dann können sie das auch selber einstellen.
  • Wir haben die Firma nun gebeten, das entweder entsprechend umzustellen oder uns die Möglichkeit zu geben das selbst zu tun.
  • Wenn sie das nicht können/wollen, dann sehe ich für diese Verarbeitung der IPs keine Verantwortung bei uns, denn wir entscheiden ja nicht über Zwecke und Mittel.
 
Absolute Panik!
Wenn es ein Urteil gibt, welches das Geschäftsmodell von Facebook gefährdet, werden diese bestimmt nichts dagegen unternehmen.

Ne im Ernst, warten wir erstmal das Urteil aus SH ab. Im Zweifelsfall müssen deutsche Facebooknutzer in Zukunft einen Haken mehr bei der Anmeldung setzen, sonst wird sich da vermutlich nichts verändern.
 
Mein Aufhänger ist eher:
Kann man das guten Gewissens machen, wenn man öff. Stelle ist?
Auf welcher Rechtsgrundlage gehe ich in diese gemeinsame Verantwortung mit facebook, die nicht sauber nach Art.26 DSGVO geregelt ist?

(Bedenke: Eine Interessensabwägung nach Art. 6 (1) f DSGVO ist öffentlichen Stellen verwehrt. Ich bräuchte Gesetz/Verordnung/Richtlinie als Grundlage - das sehe ich nicht.)
 
Welches Thema genau - DSGVO im Allgemeinen oder Facebook/Instagram?

Der Thread hier hat in bald 2 Jahren gerade mal 100 Posts zusammenbekommen, das Thema ist hier im Luxx also nicht gerade "überlaufen" oder gehyped ;-)
 
Hat sich jemand mal geschäftlich Gedanken zu Schrems II und dem Ende des EU-US Privacy Shields gemacht? Im Prinzip ethisch-moralisch ja ne gute Sache, aber die Bürokratur hat es wieder verpasst, lösungsorientiert vorzugehen.
 
Der LfDI BaWü hat sich zum Beispiel Gedanken gemacht, siehe Anhang.

Aber was meinst Du mit "lösungsorientiert"?
An ein Gericht, in dem Fall EuGH, geht die Frage "Ist das überhaupt rechtens?" - und die (erwartete) Antwort lautet "NEIN VERFICKT NOCHMAL!"
Das ist deren Aufgabe, mehr erstmal nicht, denn das gericht macht keine Gesetze.

Ich hab von ein paar Monaten mal auszugsweise das Privacy Shield Gedöns seitens der EU Kommission gelesen, und selbst als nicht-Jurist kann man sich da stellenweise nur an den Kopf packen, wie das eine zur DSGVO gleichwertige datenschutzrechtliche Grundlage sein soll.
 

Anhänge

  • LfDI-BW-Orientierungshilfe-zu-Schrems-II(1).pdf
    479,5 KB · Aufrufe: 120
Mal 'ne andere Frage:
Browserverläufe auf Dienstrechnern stellen ja auch personenbziehbare (und z.T. sogar besonders heikle) Daten dar - habt Ihr das irgendwie mitbetrachtet und oder geregelt?
Gibt's dazu was?

Ist zwar eine alltägliche Notwendigkeit, aber bisher ist das (bei uns zumindest) inkeinster Weise erwähnt und steht natürlich auch nicht im VVT....
 
Also bei uns ist die private Nutzung von Dienstgeräten untersagt. Gem. §26 BDSG-neu hat der Arbeitgeber das Recht u.a. Browserverläufe zu Zwecken der Missbrauchskontrolle zu untersuchen.
In solch einem Fall sollte aber ein dokumentierter Prozess bestehen.
 
§26 (1) Satz 1 kennt zwar die Kollektiv-/Dienstvereinbarung - aber bei uns ist private Nutzung "im geringen Maße und außerhalb der Kernarbeitszeit" gestattet, da sehe ich wenig Spielraum für einen Zugriff auf die Verläufe der Mitarbeiter.

In Satz 2 lese ich nur was von "Aufdeckung einer Straftat", das reicht ja sicher nicht zur allgemeinen Überwachung.
 
Sehe ich ähnlich, auf Browserverläufe darf nur zugegriffen werden wenn eine private Nutzung strikt untersagt ist.
 
§26 (1) Satz 1 kennt zwar die Kollektiv-/Dienstvereinbarung - aber bei uns ist private Nutzung "im geringen Maße und außerhalb der Kernarbeitszeit" gestattet, da sehe ich wenig Spielraum für einen Zugriff auf die Verläufe der Mitarbeiter.

In Satz 2 lese ich nur was von "Aufdeckung einer Straftat", das reicht ja sicher nicht zur allgemeinen Überwachung.

Wenn es ganz oder teilweise erlaubt ist würde ich mir als Arbeitgeber die Einwilligung zur Kontrolle einholen. Die Kontrolle selbst kann ja gerne angekündigt im Beisein des Mitarbeiters o.ä. stattfinden.
Wo ein Recht gewährt wird gehört meiner Meinung nach auch ein Kontrollrecht dazu.
 
So, zurück aus dem Urlaub....

Einwilligung muss halt freiwillig sein und im Angestelltenverhältnis darf mir auch kein Nachteil entstehen, wenn ich nicht einwillige.
Wenn ich also übermäßig privat surfe, der Arbeitgeber dann kommt und sagt "Nächsten Dienstag will ich mal Deinen Browserverlauf sehen, Du hast ja eingewilligt", dann müsste man als Mitarbeiter ja schon ziemlich blöd sein, wenn der AG dann noch was findet.

Sinn macht das nur, wenn der AG das (z.B. auf Verdacht) bei bestimmten MA macht - und zwar ohne Ankündigung - aber in unserer Konstellation ist das mMn nicht erlaubt.
Ich mach das noch nicht sooo ewig lange, aber mein erfahrener Datenschutzkollege hat von zwei Fällen berichtet, wo einmal einer mit gerippten MP3s einen Virus runtergeladenen hatte (--> dann springt halt der Virenscanner an und protokolliert unabhängig vom Browser, da überwiegt das Interesse des AG an einem sicheren Systembetrieb) und einmal hat einer von einer externen Festplatte (bevor die USB-Ports für Wechseldatenträger gesperrt wurden) ein Filsharing-Programm starten wollen, da hat dann auch die Systemüberwachung reingegrätscht, weil der normale User nicht einfach irgendwas starten kann.
Das sind für mich Beispiele für ein vernünftiges "Kontrollrecht", aber so pauschal würde ich "Recht <--> Kontrollrecht" sicher nicht unterschreiben.

"Du darfst in DE Autofahren, aber die Polizei hat das Recht Deinen Führeschein zu kontrollieren" - Check, klare Sache
"Du hast das Recht auf die Unverletzlichkeit Deiner eigenen 4 Wände, aber die Wohnung würden wir jetzt gerne sicherheitshalber mal kontrollieren" - ganz sicher nicht in Ordnung
Grundrechte als Abwehrrechte gegen den Staat sind da halt speziell, und informationelle Selbstbestimmung nunmal auch. Und die DSGVO hebt halt das Abwehrrecht auf ein noch höheres Niveau und gilt nicht nur ggü. dem Staat, sondern auch Firmen und Dritten im Allgemeinen
 
Like wer's kennt
Ich konversiere seit einer Weile mit den werten Kollegen des BfDI bzgl. einer (meiner Meinung nach) ziemlichen Pillepalle-Nummer, und die kommen mir mit (völlig unpassenden) Urteilen des Bundesverfassungsgerichtes, die belegen sollen, warum das alles nicht geht, und der Frage nach dem "Wesentlichkeitsgrundsatz", also das ganz große Besteck.
Das alles immer wieder auseinanderzuklamüsern und im Bemühen, einen höflichen Grundton beizubehalten, nochmal und nochmal und nochmal zu erörtern ist sehr zeitraubend, nervenaufreibend und bringt keinen irgendwie nennenswert voran. Ich würde mich als durchaus datenschutz-sensibel bezeichnen und habe auch vollstes Verständnis für deren kritische Sicht & die Aufgaben als BfDI, aber manche Leute sind einfach nur Korinthenkacker mit solch einer Rechthaber- und Verhinderungsmentalität, dass mir nach diesen Diskussionen oft das Adrenalin bis unter die Schädeldecke brodelt.
 
Ich führe meine Alleinunterhaltung mal fort:

Haltet Ihr die aktualisierte Datenschutzerklärung von Microsoft für ausreichend und DSGVO-konform https://privacy.microsoft.com/de-de/privacystatement
Insbesondere der Hinweis
1603181695889.png


Es steht zwar da, dass das "Privacy Shield"-Abkommen nicht mehr greift, es wurde auch aus der privacy policy rausgenommen, aber auf der ganzen Seite finden sich jetzt gar keine aktuellen Infos zum Datentransfer in Drittstaaten.
Ich würde daher davon ausgehen, dass Microsoft KEINE Daten in die USA übermittelt - denn sonst müsste das ja in der Datenschutzerklärung stehen!?
Andererseits steht ja da, dass die "Prinzipien beachtet werden" - das macht nur Sinn, wenn auch weiterhin Daten in die USA übermittelt werden.....
 
Der Privacy Shield war ja nur eine legale Basis für EU-US Datentransfers. Wo Daten hinfließen oder gespeichert werden, wird im Abschnitt "Weitere wichtige Informationen zum Datenschutz" -> "Wo wir personenbezogene Daten speichern und verarbeiten" beschrieben. Also ja, es finden weiterhin Datentransfers in die USA statt, nur halt nicht mehr auf Grundlage des Privacy Shield, was wohl aber auch vor dem Kippen der Fall gewesen ist.
 
Du meinst diesen Punkt?

1604685360397.png


Es ist somit zwar in der Überschrift erwähnt, mehr steht dazu aber nicht - halte ich nicht für ausreichend.
Als Nutzer, der da rein schaut, kannst Du nicht herausfinden, ob/wie/wo die Daten in Drittstaaten gehen - change my mind!
 
Hat jemand schonmal was von "Privacy Bee" gehört?
Da bezahlen Leute diesen Dienstleister, um ihre Datenschutzrechte durchsetzen zu lassen, woraufhin dieser (mutmaßlich maximal breit gestreut) Mails an Gott und die Welt versendet.

Bei mir trudeln über die Datenschutzadresse vermehrt Anfragen ein bzgl. Löschung/Nichtweiterverbreitung der pbz. Daten.
Das sind allerdings immer irgendwelche gmail-Adressen von irgendwelchen Karen123 oder John5678 aus Kentucky, Iowa oder sonstwo - mit denen haben wir eh nix zu tun.
Ich sehe da jetzt kein weniger ein Datenschutzproblem als eine (lästige) Compliance-Frage....

Was tun?
  1. Einfach stur ignorieren, denn die Wahrscheinlichkeit, dass der Cowboy aus South Dakota hier mit Anwälten einreitet halte ich für gering.
  2. Ein Mail-Template basteln und (sinngemäß) einfach immer antworten "wir haben keine Daten dieser Person!" (die bitten explizit um Rückmeldung in jedem Fall) Damit könnte man aber auch mal daneben liegen, den Dienst könnten ja auch mal tatsächlich Betroffene nutzen, odr sogar unsere Mitarbeiter....
  3. Prüfen wir jeden Fall durch Abfrage alle Abteilungen, ob jemand Kontakt zu dieser Adresse / Person hatte, so ist es mMn ein prohibitiv hoher Aufwand, falls das weiter zunimmt.
 
Nicht nur gucken @konfetti - sach mal wat ;-)
 
Ich find das schon wieder ein Unding, mit irgendwelchem Spam die Firmen zu beschäftigen.
Wir hatten den Fall jetzt gottseidank noch nicht - DSB ist aber auch extern vergeben.

Das mit M$ bzw. den M/O365 Angeboten ist auch so eine Sache, es bleibt ja kaum aus, diese Services zu nutzen, gerade in der Übergreifenden Arbeit.
Natürlich wäre mir alles onprem lieber, aber es gibt Dinge, die lassen sich einfach besser handhaben, gerade auch die Spamabwehr mit ATP bei Exchang Online.

Ich hätte mir hier etwas mehr Augenmaß bei der Bewertung gewünscht, sowas wie, ja die Lizenzen und Software nutzen ist ok, aber ihr dürft halt keine Daten im OneDrive speichern, die Personenbezogen Sind.

Und ja, am Ende gibt es keine Cloud - das ist nur der Computer von jemand anders ;)
 
Du meinst diesen Punkt?

Anhang anzeigen 546684

Es ist somit zwar in der Überschrift erwähnt, mehr steht dazu aber nicht - halte ich nicht für ausreichend.
Als Nutzer, der da rein schaut, kannst Du nicht herausfinden, ob/wie/wo die Daten in Drittstaaten gehen - change my mind!

Direkt unter diesem Absatz ist ein Link "Weitere Infos", wo noch ausführlicher darauf eingegangen wird ;)
 
Danke für die erneute Erklärung @boomab - jetzt habe ich endlich auch den Text entdeckt, der dann ausklappt.
Ich hatte da Tomaten auf den Augen bzw. dachte das wäre ein Link, den ich schon angesehen hatte....

Das klingt schon besser, so richtig happy bin ich mit dem Passus in der "neu entdeckten Textpassage" aber auch nicht:

1605094108926.png


Denn gemäß den Regeln des "Privacy Shield" wird den US Sicherheitsbehörden der weitreichende (und quasi anlasslose) Zugang eingeräumt.
 
Kein Ding!

Denn gemäß den Regeln des "Privacy Shield" wird den US Sicherheitsbehörden der weitreichende (und quasi anlasslose) Zugang eingeräumt.

Das ist auch der Hauptgrund, weswegen Privacy Shield vom EuGH gekippt wurde. Die ganze Geschichte ist aber maximal verwirrend, da ja gleichzeitig auf Alternativen wie Standardvertragsklauseln oder Binding Corporate Rules verwiesen wird, effektiv aufgrund der Gesetzeslage in den USA aber kein Unternehmen in der Lage ist, personenbezogene Daten angemessen vor eben diesen Zugriffen der staatlichen Behörden zu schützen.
 
Hat jemand schonmal was von "Privacy Bee" gehört?
Da bezahlen Leute diesen Dienstleister, um ihre Datenschutzrechte durchsetzen zu lassen, woraufhin dieser (mutmaßlich maximal breit gestreut) Mails an Gott und die Welt versendet.

Bei mir trudeln über die Datenschutzadresse vermehrt Anfragen ein bzgl. Löschung/Nichtweiterverbreitung der pbz. Daten.
Das sind allerdings immer irgendwelche gmail-Adressen von irgendwelchen Karen123 oder John5678 aus Kentucky, Iowa oder sonstwo - mit denen haben wir eh nix zu tun.
Ich sehe da jetzt kein weniger ein Datenschutzproblem als eine (lästige) Compliance-Frage....

Was tun?
  1. Einfach stur ignorieren, denn die Wahrscheinlichkeit, dass der Cowboy aus South Dakota hier mit Anwälten einreitet halte ich für gering.
  2. Ein Mail-Template basteln und (sinngemäß) einfach immer antworten "wir haben keine Daten dieser Person!" (die bitten explizit um Rückmeldung in jedem Fall) Damit könnte man aber auch mal daneben liegen, den Dienst könnten ja auch mal tatsächlich Betroffene nutzen, odr sogar unsere Mitarbeiter....
  3. Prüfen wir jeden Fall durch Abfrage alle Abteilungen, ob jemand Kontakt zu dieser Adresse / Person hatte, so ist es mMn ein prohibitiv hoher Aufwand, falls das weiter zunimmt.
Dachte man ist durch das Dsvgo sowieso gezwungen ein System zu haben mit dem man einigermaßen komfortabel alle Daten eines Nutzers abfragen kann, denn du solltest in der Lage sein auf Anfrage diese an die spezifische Person herausgeben zu können.
Das Gesetz hat zu einem gewissen Grad gerade den Zweck dafür zu sorgen dass Unternehmen auch intern einen Überblick über die Personendaten behalten.

Bin persönlich aber auch kein Fan von diesem Zwang denn er führt häufig zu weit und als Unternehmer im kleinen und mittleren Bereich hat man schlicht andere Sorgen.
Das Gesetz ist aber leider nunmal da. Fragt bei eurer IT an wie aufwendig solch eine Bündelung des Zugriffs auf all euren Kontakten/Endkundenbeziehungen wäre.
 
Eine Zentrale Sammelstelle widerspricht aber dem Prinzip der minimalen Datenhaltung!

Wir haben z.B. 3 Systeme in denen die Daten zu finden sind -> ERP, CRM und LVS
Anderswo sind keine Personenbezogenen Daten abzulegen! - ERP macht hauptsächlich Personal und BuHa die Kontrolle der Daten, CRM ist für Vertrieb und LVS für die Logstik - d.h. aber auch, das bei einer solchen Anfrage im Prinzip 3 Abteilungen um Auskunft gebeten werden, auch wenn so eine Anfrage wohl eher im Vertrieb bearbeitet werden würde, da Logistik und BuHa i.d.R. B2B sind.

Wichtiger ist ja, das Du ein entsprechendes Verzeichnis der Verarbeitungstätigkeit hast, da stünde dann aber auch nochmal drin, wo diese Personenbezogenen Daten gespeichert werden.

Was bei der Anfrage Interessanter wäre, wie die mit ihrer generierten Mail-Adresse denn eigentlich "Ihre" Daten abfragen wollen.
Denn irgendwelche Belanglosen Anfragen, die im Papierkorb landen, werden ja nicht gespeichert - höchstens vom Mailarchiv im Eingang Revisionssicher abgelegt - auf 10J wegen Geschäftskorespondenz.
Da dort ohne den DSB und 4-Augen Prinzip aber eh keiner was nachgucken kann, ist auch diese Angabe über "vor 3 Jahren hatten wir von Ihnen mal ne Mail" nicht relevant.

Sofern John und Karen also nicht ihre kompletten Persönlichen Daten zum Abgleich mitgeben, an Hand derer, man Sie auch im System eindeutig finden könnte, würde ich diesen Spam wohl eher mal außen vor lassen - vlt. landet sowas vom Mailfilter ja eh schon im Junk und keiner hats gesehn ;)
Das wird dann ja bei großen Dienstleistern, die diesen Spam per se schon aussortieren mal interessant, wenn man die Anfrage einfach nicht bekommt, weil KI/AI das schon wegfiltert.

Edit meint;
kommt ja doch mal etwas mehr Leben in den Thread ;)
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh