"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

Datenschutz-Grundverordnung

Snoop 13.04.2018 - 07:03 50364 472
Posts

Snoop

Here to stay
Registered: Jun 2002
Location: Vienna
Posts: 870
Nachdem ich mich in letzter Zeit relativ intensiv mit dem Thema beschäftige und ich dementsprechend viele Meinungen höre, wär mal meine Frage an die technisch versierte Community: seid ihr bisher schon damit in Berührung gekommen bzw. wurdet ihr im Unternehmen (sofern nicht selbständig) bereits geschult?
Ist euer Unternehmen darauf vorbereitet? Oder heißts eher: Wo kein Kläger, da auch kein Richter/Henker? bzw. Geh bitte, was soll schon passieren?

ccr


Avatar
Registered: Jul 2001
Location: am Dach
Posts: 4576
Schon seit 2 Jahren ein großes Thema bei uns, seit rund 1 Jahr intensive Vorbereitung - und im Mai sind wir wohl zu 90% compliant. Im internationalen Konzernumfeld sind die drohenden Strafen zu hoch, um das Thema zu ignorieren :p

7aph0

photoaddict
Avatar
Registered: Jan 2003
Location: wien
Posts: 1500
meine IT Abteilung hatte letztes Jahr ne Schulung und jetzt kommt langsam die Implementierung und unsere MA müssen erstmalig eine DSGV und IT Richtlinie unterzeichnen und darum ist die ganze Firma in heller Aufregung, weil jetzt jeder meint dort rauszulesen, dass wir jetzt _alle_ Personaldaten an unsere Kunden schicken, wir jeden jetzt fristlos instant entlassen wegen irgendwelchen Nichtigkeiten, ....
und die erste Auskunftsanforderung wurde bereits von einem MA! gestellt und die IT rotiert, weil die noch gar nicht wissen, wie sie da jetzt zu vollständigen Daten kommt (geschweige denn automatisiert)

Frage an die Wissenden (hab mich noch nicht damit beschäftigt): Der MA hat in seiner Funktion Kontakt zu Kunden -> oh Wunder kennen den per Mail/Telefon/live mehrere 100 Personen extern mit Name, Firmennummer und Mail -> muss das die IT dann vollständig aufschlüsseln? Wenn ja wie ohne Mails zu lesen?


klassische Wiener Raunzkultur :D

ccr


Avatar
Registered: Jul 2001
Location: am Dach
Posts: 4576
Der muss sich an seine Kunden wenden, und dort nachfragen, was die mit seinen Kontaktdaten machen ;)

Leider hat man in Österreich vergessen, den B2B Bereich auszunehmen - ich hoffe, das wird noch repariert, weil streng genommen habe ich aktuell sogar in der Buchhaltung ein Thema, wenn ich im Bankingtool die Kontonummer der Telekom gespeichert habe :bash:

Neo-=IuE=-

Here to stay
Registered: Jun 2002
Location: Berndorf, NÖ
Posts: 3134
Nein, hast du kein Thema damit, es muss nur dokumentiert sein, dass es dort gespeichert wird und zu welchem Zweck....

kleinerChemiker

C2H5OH-Liebhaber
Avatar
Registered: Feb 2002
Location: Wien
Posts: 3887
Bei uns ist es ein Thema und irgendjemand beschäftigt sich auch damit. Für mich gab es bis jetzt noch keine Auswirkung.

Garbage

Administrator
The Wizard of Owls
Avatar
Registered: Jul 2000
Location: Wien/Umgebung
Posts: 10059
Ist bei uns natürlich auch ein Thema, ein sehr unbeliebtes allerdings ...
Wenn Leute lustig sind und dann bei jeder Kundenanfrage eine genaue Auskunft haben wollten, bräuchten wir wohl eine Person nur dafür. :rolleyes:

ccr


Avatar
Registered: Jul 2001
Location: am Dach
Posts: 4576
Zitat aus einem Post von Neo-=IuE=-
Nein, hast du kein Thema damit, es muss nur dokumentiert sein, dass es dort gespeichert wird und zu welchem Zweck....
"Dort" ist halt eine umfassende technische Beschreibung, weil das "dort" ja auch Server und Backups betrifft, die Gegenseite hat umfassende Rechte, nicht mehr genutzte Lieferanten müssen aus allen Systemen gelöscht werden, eigentlich müsste es eine Datenschutzvereinbarung geben, blablabla.
Oder wie bei dem Kollegen von 7aph0 - theoretisch können mich jetzt Mitarbeiter von Vertragspartnern anrufen, Auskunfts- und Löschbegehren stellen, etc. Dann darf ich Millionen an Emails durchsuchen, ob irgendwann eine Email den Namen dieses Ansprechpartners beinhaltet hat, oder irgendwo eine Visitenkarte von ihm rumliegt.

Dass Firmen-Emailadressen, Büro-Telefonnummern etc., die teils sogar bei Google auffindbar sind, schützenswerte Daten in der Vollanwendung der GDPR sind, ist übers Ziel hinausgeschossen.

Daten von Privatpersonen - kein Thema. Aber im beruflichen Kontext sollte es - wie in fast allen anderen EU-Ländern der Fall ist - auch bei uns eine Einschränkung geben.

Tosca

Here to stay
Avatar
Registered: Feb 2002
Location: 1030
Posts: 901
Mir im E-Commerce Bereich macht das Consent Management am meisten Kopfzerbrechen. Im Prinzip muss ich ja bei jedem ausgefüllten Kontaktformular die explizite Zustimmung zur Datenverarbeitung nicht nur abfragen sondern auch protokollieren. :o

Cuero

Moderator
Avatar
Registered: Feb 2001
Location: 2440 Gramatnewsi..
Posts: 3449
IT Dienstleistervereinbarung, Zustimmung zur Verarbeitung, wenig davon ist neu. Nur hat man sich oft bisher einen Dreck drum gekümmert.

Es wird strenger, ja, einiges wird in der Tat in der Praxis sehr schwer, aber was bisher mitunter "durchgegangen" ist, geht halt auch auf keine kuhhaut mehr.

11Fire01

Here to stay
Registered: Dec 2002
Location: austria
Posts: 1657
muss man doch nur die zustimmung einholen im grunde, protokollieren (kann man automatisiert) und halt löschen, wenns wer will?

oder gibts da sonst noch besonderheiten?

daisho

SHODAN
Avatar
Registered: Nov 2002
Location:
Posts: 17942
Ja ... und das kann je nach Workflow einfach bis ultra schwer sein, abgesehen davon das eh kaum jemand genau weiß wie man die GDPR deuten soll, in manchen Punkten und bedeutet für die meisten Firmen sicher viel Umstellung etc.

Es ist halt recht komplex und oft nicht einfach "legal" umzusetzen ohne gleich alles über den Haufen zu werfen, was ist mit Altlasten usw ...

Die nächsten Wochen/Monate werden in der Hinsicht sicher interessant bei vielen Firmen :p

InfiX

she/her
Avatar
Registered: Mar 2002
Location: Graz
Posts: 11265
die abmahnindustrie steht sicher schon in den startlöchern.

Snoop

Here to stay
Registered: Jun 2002
Location: Vienna
Posts: 870
Die Problematik liegt hauptsächlich in der Formulierung der Verordnung bzw. eigentlich der Novellierung was peronsonenbezogene Daten eigentlich sind und was eine Verarbeitung bedeutet. Meines Wissens nach sind im derzeitigen DSG juristische Personen nicht ausgenommen, dies wird sich aber mit der am 25.05. in Kraft tretenden Novellierung angeblich ändern.
Ab dann gilt dass ALLE personenebezogenen Daten im Unternehmen (sei es MA, Lieferanten, Kunden whatever als Betroffene gelten), sofern sie bearbeitet werden einerseits über ein Verarbeitsungsverzeichnis erfasst und kategorisiert sein müssen, deren Verwendungszweck bekannt sein muss, die Aufbewahrungsfrist definiert sein muss, als auch die rechtliche Grundlage für die Verarbeitung gegeben sein muss.
Prinzipiell hört sich das im ersten Moment nach einer einmaligen Geschichte an, allerdings ist es durch die Definition von "Datenverarbeitung" recht schwierig hier brauchbare Abgrenzungen zu treffen. Denn, (und das Beispiel hab ich von einem Juristen) wenn man z.B. einen externen Reinigungsdienst im Büro hat, wo die Beschäftigten z.B. Mistkübel leeren in welchen sich z.B. Zettel mit personenbezogenen Daten befinden, kommt dies einer Vernichtung/Löschung gleich, was wiederum eine Verarbeitung ist. Das wiederum würde bedeuten, dass man einen Datenverarbeitungsvertrag mit dem Unternehmen wo die Dame/der Herr angestellt ist aushandeln sollte/müsste.
In AT haben sie manche Bestimmungen Gott sei Dank ein wenig gelockert, wo gelöschte Daten nicht auch rückwirkend in Backups gelöscht werden müssen. In Deutschland schaut es meines Wissens nach anders aus.
@ccr: ja das mit Kontaktdaten von Mitarbeitern find ich persönlich auch sehr sehr ominös, weil sofern diese nicht im Verkauf z.B. tätig sind brauchst dann in Zukunft die Zustimmung (z.B. im Dienstvertrag als Klausel), dass sie überhaupt erwähnt werden dürfen....
Ich bin ja nur gespannt wie sich das jetzt dann juristisch teilweise abspielen wird. Am Ende des Tages wirds vermutlich daraus hinauslaufen, dass wir alles, was wir bis jetzt gemacht haben, dann eh wieder anders machen müssen :D
Aja und bei einem Databreach hat man 72h Zeit (ab dem Zeitpunkt des Bekanntwerdens) (egal ob weekend oder nicht) den Vorfall zu melden, sofern man dies für richtig hält (ist halt dann unternehmerisches Risiko). Wenn aber ein hohes Risiko besteht, ist es empfehlenswert dies zu melden.

Snoop

Here to stay
Registered: Jun 2002
Location: Vienna
Posts: 870
Zitat aus einem Post von InfiX
die abmahnindustrie steht sicher schon in den startlöchern.

Jap: ich sag nur Datenschutzerklärung auf der Homepage!
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz