Datenschutz-Grundverordnung

Snoop

Here to stay

Registered: Jun 2002
Location: Gablitz
Posts: 1075

14.04.2018 - 13:25

Zitat aus einem Post von Weinzo
Datenschutzbeauftragten brauchen wir nicht, haben keine sensible Daten

Sensible daten sind nicht die Grundvoraussetzung für die Notwendigkeit eines Beauftragten! (und ich wette 10€ dagegen, dass ihr sensible Daten irgendwo habt

)

ccr

Registered: Jul 2001
Location: am Dach
Posts: 5797

14.04.2018 - 13:25

Zitat aus einem Post von Bogus
von den kunden haben wir die postanschrift und rechnungen.

mit meinem 3-mann betrieb ist mir das ganze VO zeugs auch schon zu doof. rksv, dsgv, ....gab schon davor nur noch bürokratie. bleibt keine zeit mehr um zu arbeiten.
am besten, wir hören mit den pc's auf, und machen wieder alles mit zetteln.

Du musst halt alles dokumentieren. Was wird in welchen Systemen aus welchem Grund gespeichert oder verarbeitet, wo ist es am Server gespeichert, gibt es Backups, wer hat auf was Zugriff und wie wird der Zugriff gesteuert, wann werden Daten gelöscht, wie können Daten auf Anfrage gelöscht werden, wer bekommt Daten (zB Steuerberater), etc.

Ziemlich zeitintensiv das Ganze.

Wir haben kürzlich alle Emails von den Servern gelöscht, die älter als 10 Jahre waren, und jede gescannte Korrespondenz die älter als 7 Jahre ist. Alleine diese Korrespondenz waren rund 4mio Schriftstücke :eek:

Und das in einem 50-Personen-KMU

Einen Vorteil hat die DSGVO also immerhin - wir bekommen teuren Platz auf den Servern frei

Problematisch sind jetzt natürlich noch die Backups die in den Rechenzentren liegen, und auf denen in der Produktion gelöschte Daten noch verfügbar sind. Ich kann aber auch nicht anordnen, alle Backups bis auf das Allerneueste zu löschen.

Snoop

Here to stay

Registered: Jun 2002
Location: Gablitz
Posts: 1075

14.04.2018 - 13:29

Zitat aus einem Post von ccr
Problematisch sind jetzt natürlich noch die Backups die in den Rechenzentren liegen, und auf denen in der Produktion gelöschte Daten noch verfügbar sind. Ich kann aber auch nicht anordnen, alle Backups bis auf das Allerneueste zu löschen.

Sofern ihr den SITZ in AT habt, brauchst du das auch nicht. Ihr müsst nur sicherstellen, dass bei einem Reroll die berichtigten oder gelöschten Daten wieder dementsprechend "eingespielt" werden. In DE schauts da anders aus

PS: @Zetteln: DSVGO betrifft auch Daten egal in welcher Form. unter anderem auch auf Zetteln

Bearbeitet von Snoop am 14.04.2018, 13:31

ccr

Registered: Jul 2001
Location: am Dach
Posts: 5797

14.04.2018 - 13:39

Und wie willst Du sicherstellen, dass beim Rückspielen des Backups in der Zwischenzeit gelöschte oder anonymisierte oder pseudonymisierte Daten nicht voll eingespielt werden?

Und wir sitzen zwar in Österreich, aber der Konzern und die Rechenzentren nicht. Da eine Strafe am Konzernumsatz berechnet wird, gelten für uns auch die strengeren Konzernrichtlinien die in Details über das lokale Gesetz hinausgehen oder bei ungeklärten Auslegungsfragen die sichere Variante wählen.
Bei 1.5 Milliarden Umsatz kommt da bei einem Vergehen schon ein Sümmchem zusammen, und dann wollen nicht wir in Österreich dran Schuld sein

M4D M4X

Legend
Tier & Bier!! und LEDs ;)

Registered: Jan 2005
Location: überall ;)
Posts: 7637

14.04.2018 - 13:58

Je mehr ich lese, desto verwirrender wirds

die Vorlage schaut ja ned schlecht aus: https://www.wko.at/service/wirtscha...erklaerung.html

aber übersehen mag ich auch keinen Aspekt...

Gibts einen Wissenden hier, der mir helfen will?
(gegen Grillerei oder Honorarnote)

Snoop

Here to stay

Registered: Jun 2002
Location: Gablitz
Posts: 1075

14.04.2018 - 14:04

Zitat aus einem Post von ccr
Und wie willst Du sicherstellen, dass beim Rückspielen des Backups in der Zwischenzeit gelöschte oder anonymisierte oder pseudonymisierte Daten nicht voll eingespielt werden?

Und wir sitzen zwar in Österreich, aber der Konzern und die Rechenzentren nicht. Da eine Strafe am Konzernumsatz berechnet wird, gelten für uns auch die strengeren Konzernrichtlinien die in Details über das lokale Gesetz hinausgehen oder bei ungeklärten Auslegungsfragen die sichere Variante wählen.
Bei 1.5 Milliarden Umsatz kommt da bei einem Vergehen schon ein Sümmchem zusammen, und dann wollen nicht wir in Österreich dran Schuld sein

prinzipiell stell ich es mir einfacher vor daten beim einspielen/restore zu patchen als bei den backups selbst. meine zeit in der bank ist schon ein wenig zu lang her, als dass ich heute noch beurteilen kann wie komplex es wäre auch backups zu patchen (vor allem bei abhängigkeiten zu softwareänderungen etc. ).

PS: ich bin ja am allermeisten gespannt wie lang es den KSV noch geben wird, sobald das Gesetz in Kraft tritt ^^

Bearbeitet von Snoop am 14.04.2018, 14:13

cr0ssSyntaX

der quotenchinese

Registered: Jan 2004
Location: /root/home
Posts: 1884

14.04.2018 - 14:18

Zitat aus einem Post von M4D M4X
Je mehr ich lese, desto verwirrender wirds

die Vorlage schaut ja ned schlecht aus: https://www.wko.at/service/wirtscha...erklaerung.html

aber übersehen mag ich auch keinen Aspekt...

Gibts einen Wissenden hier, der mir helfen will?
(gegen Grillerei oder Honorarnote)

Du kannst mir gerne eine PM schreiben, wenn dir etwas unklar ist.

Weinzo

Become like water

Registered: Oct 2000
Location: 4621
Posts: 5020

14.04.2018 - 14:19

Zitat aus einem Post von M4D M4X
Je mehr ich lese, desto verwirrender wirds

die Vorlage schaut ja ned schlecht aus: https://www.wko.at/service/wirtscha...erklaerung.html

aber übersehen mag ich auch keinen Aspekt...

Gibts einen Wissenden hier, der mir helfen will?
(gegen Grillerei oder Honorarnote)

Du kannst bei der WKO anrufen, die vermitteln dir dann IT-Spezialisten, bei denen kannst du dich 1h gratis informieren.

Snoop

Here to stay

Registered: Jun 2002
Location: Gablitz
Posts: 1075

14.04.2018 - 14:30

Zitat aus einem Post von M4D M4X
Je mehr ich lese, desto verwirrender wirds

die Vorlage schaut ja ned schlecht aus: https://www.wko.at/service/wirtscha...erklaerung.html

aber übersehen mag ich auch keinen Aspekt...

Gibts einen Wissenden hier, der mir helfen will?
(gegen Grillerei oder Honorarnote)

Mach dir keine Sorgen im Vorfeld. Wichtig ist nur, dass du drauf schaust, dass du nur Daten "verarbeitest", welche dem Betroffenem auch bewusst sind. Die Gesetzgebung und die Strafmaße zielen eher auf die größeren Unternehmen ab, welche "big data" als das neue Gold gehandelt/verarbeitet haben.
Sofern du versucht nach besten Gewissen, Treu und Glauben dich daran zu halten, kann dir _fast_ nix passieren. Als Unternehmer gibts jetzt halt mehr Angriffsfläche für irgendwelche Querulanten.
Aber (und das hat mich auch sehr überrascht) die Verordnung sieht vor, dass du nur kostenlos Auskunft an einen Betroffenen erteilen musst, sofern es in einem gewissen Maß ist (und selbst da kannst du die Spielregeln festlegen wie: Kanal, Erfordernisse für die Legitimität der Auskunft etc.). Sollte es technisch zu komplex, oder gar nicht möglich sein kannst du sogar ein (angemessenes) Entgelt verlangen (nach der _ersten_ auskunft (die sollte eben durch das Verarbeitungsverzeichnis gegeben sein)). Andererseits kannst du auch (fast) immer argumentieren dass es ein überwiegendes Interesse gab/gibt die Daten zu haben (6f) oder aber es handelt sich um ein Interesse für eine Vertragsanbahnung bzw. Vertragserfüllung. Wichtig ist nur, dass du Daten löschst, sobald der Zweck nicht mehr gegeben ist.

(und in AT darfst du das periodisch machen. also z.B. 1x im Jahr. Also wennst jetzt reinschreibst 7 Jahre für die Aufbewahrung muss es nicht zwingend nach 7 Jahren -1 Tag sein. Sondern du darfst es halt in einem gewissen Intervall machen

aber unbedingt protokollieren

)

ccr

Registered: Jul 2001
Location: am Dach
Posts: 5797

14.04.2018 - 16:17

Zitat aus einem Post von Snoop
PS: ich bin ja am allermeisten gespannt wie lang es den KSV noch geben wird, sobald das Gesetz in Kraft tritt ^^

Bist nicht der Erste, der sich das fragt

Im Prinzip ist Auskunftei aber ein erlaubtes Gewerbe, und die Nutzer/Käufer der Daten haben ein "berechtigtes Interesse". Da gibt es auch genug Gerichtsurteile dazu, dass das Interesse berechtigt ist. Und für die Weitergabe von Daten an Auskunfteien bzw. die Einholung von Auskünften benötigt man eh heute schon die Zustimmung der jeweiligen Person oder muss sie zumindest informieren - zukünftig vielleicht noch etwas expliziter als heute

Neo-=IuE=-

Here to stay

Registered: Jun 2002
Location: Berndorf, NÖ
Posts: 3229

14.04.2018 - 16:32

Zitat aus einem Post von Weinzo
Datenschutzbeauftragter und IT widerspricht sich IMO
Datenschutzbeauftragten brauchen wir nicht, haben keine sensible Daten

Sensible Daten hat JEDE Firma, weil man z.B. die Religionszugehörigkeit weiß. Die braucht man z.b. für Feiertage die Religionsabhängig sind.

semteX

Risen from the banned

Registered: Oct 2002
Location: Pre
Posts: 14336

14.04.2018 - 16:34

Zitat aus einem Post von Neo-=IuE=-
Sensible Daten hat JEDE Firma, weil man z.B. die Religionszugehörigkeit weiß. Die braucht man z.b. für Feiertage die Religionsabhängig sind.

oder es macht der lohnverrechner für einen.

Weinzo

Become like water

Registered: Oct 2000
Location: 4621
Posts: 5020

14.04.2018 - 17:15

Zitat aus einem Post von Neo-=IuE=-
Sensible Daten hat JEDE Firma, weil man z.B. die Religionszugehörigkeit weiß. Die braucht man z.b. für Feiertage die Religionsabhängig sind.

ja eh, aber dafür brauch man noch lang keinen beauftragten........für die dauer der betriebszugehörigkeit kann man diese daten ja speichern.
Wichtig ist einfach, dass man dieses Dinge protokolliert.

ccr

Registered: Jul 2001
Location: am Dach
Posts: 5797

14.04.2018 - 17:19

Die Notwendigkeit des Beauftragen hängt doch in erster Linie davon ab, ob man eine gewissen Unternehmensgröße überschreitet, oder Datenverarbeitung als Kerntätigkeit hat.
Personaldaten alleine können zwar durchaus sensitiv sein (Religions- oder Gewerkschaftszugehörigkeit, etc.) sind alleine noch kein Grund, einen Datenschutzbeauftragten zu benennen.

Weinzo

Become like water

Registered: Oct 2000
Location: 4621
Posts: 5020

14.04.2018 - 17:43

hängt afaik nicht von der unternehmensgröße ab, kerntätigkeit mit verarbeitung sensibler daten jawohl! - Optiker z. B. - onemanshow mit "nur" sensiblen daten.... da sind die paar Mitarbeiterakten und Bewerbungsunterlagen ja "eh egal" im Vergleich. Oder eben Zaharzt

Snoop Here to stay Registered: Jun 2002 Location: Gablitz Posts: 1075	14.04.2018 - 13:25 Zitat aus einem Post von Weinzo Datenschutzbeauftragten brauchen wir nicht, haben keine sensible Daten Sensible daten sind nicht die Grundvoraussetzung für die Notwendigkeit eines Beauftragten! (und ich wette 10€ dagegen, dass ihr sensible Daten irgendwo habt )
ccr Registered: Jul 2001 Location: am Dach Posts: 5797	14.04.2018 - 13:25 Zitat aus einem Post von Bogus von den kunden haben wir die postanschrift und rechnungen. mit meinem 3-mann betrieb ist mir das ganze VO zeugs auch schon zu doof. rksv, dsgv, ....gab schon davor nur noch bürokratie. bleibt keine zeit mehr um zu arbeiten. am besten, wir hören mit den pc's auf, und machen wieder alles mit zetteln. Du musst halt alles dokumentieren. Was wird in welchen Systemen aus welchem Grund gespeichert oder verarbeitet, wo ist es am Server gespeichert, gibt es Backups, wer hat auf was Zugriff und wie wird der Zugriff gesteuert, wann werden Daten gelöscht, wie können Daten auf Anfrage gelöscht werden, wer bekommt Daten (zB Steuerberater), etc. Ziemlich zeitintensiv das Ganze. Wir haben kürzlich alle Emails von den Servern gelöscht, die älter als 10 Jahre waren, und jede gescannte Korrespondenz die älter als 7 Jahre ist. Alleine diese Korrespondenz waren rund 4mio Schriftstücke Und das in einem 50-Personen-KMU Einen Vorteil hat die DSGVO also immerhin - wir bekommen teuren Platz auf den Servern frei Problematisch sind jetzt natürlich noch die Backups die in den Rechenzentren liegen, und auf denen in der Produktion gelöschte Daten noch verfügbar sind. Ich kann aber auch nicht anordnen, alle Backups bis auf das Allerneueste zu löschen.
Snoop Here to stay Registered: Jun 2002 Location: Gablitz Posts: 1075	14.04.2018 - 13:29 Zitat aus einem Post von ccr Problematisch sind jetzt natürlich noch die Backups die in den Rechenzentren liegen, und auf denen in der Produktion gelöschte Daten noch verfügbar sind. Ich kann aber auch nicht anordnen, alle Backups bis auf das Allerneueste zu löschen. Sofern ihr den SITZ in AT habt, brauchst du das auch nicht. Ihr müsst nur sicherstellen, dass bei einem Reroll die berichtigten oder gelöschten Daten wieder dementsprechend "eingespielt" werden. In DE schauts da anders aus PS: @Zetteln: DSVGO betrifft auch Daten egal in welcher Form. unter anderem auch auf Zetteln Bearbeitet von Snoop am 14.04.2018, 13:31
ccr Registered: Jul 2001 Location: am Dach Posts: 5797	14.04.2018 - 13:39 Und wie willst Du sicherstellen, dass beim Rückspielen des Backups in der Zwischenzeit gelöschte oder anonymisierte oder pseudonymisierte Daten nicht voll eingespielt werden? Und wir sitzen zwar in Österreich, aber der Konzern und die Rechenzentren nicht. Da eine Strafe am Konzernumsatz berechnet wird, gelten für uns auch die strengeren Konzernrichtlinien die in Details über das lokale Gesetz hinausgehen oder bei ungeklärten Auslegungsfragen die sichere Variante wählen. Bei 1.5 Milliarden Umsatz kommt da bei einem Vergehen schon ein Sümmchem zusammen, und dann wollen nicht wir in Österreich dran Schuld sein
M4D M4X Legend Tier & Bier!! und LEDs ;) Registered: Jan 2005 Location: überall ;) Posts: 7637	14.04.2018 - 13:58 Je mehr ich lese, desto verwirrender wirds die Vorlage schaut ja ned schlecht aus: https://www.wko.at/service/wirtscha...erklaerung.html aber übersehen mag ich auch keinen Aspekt... Gibts einen Wissenden hier, der mir helfen will? (gegen Grillerei oder Honorarnote)
Snoop Here to stay Registered: Jun 2002 Location: Gablitz Posts: 1075	14.04.2018 - 14:04 Zitat aus einem Post von ccr Und wie willst Du sicherstellen, dass beim Rückspielen des Backups in der Zwischenzeit gelöschte oder anonymisierte oder pseudonymisierte Daten nicht voll eingespielt werden? Und wir sitzen zwar in Österreich, aber der Konzern und die Rechenzentren nicht. Da eine Strafe am Konzernumsatz berechnet wird, gelten für uns auch die strengeren Konzernrichtlinien die in Details über das lokale Gesetz hinausgehen oder bei ungeklärten Auslegungsfragen die sichere Variante wählen. Bei 1.5 Milliarden Umsatz kommt da bei einem Vergehen schon ein Sümmchem zusammen, und dann wollen nicht wir in Österreich dran Schuld sein prinzipiell stell ich es mir einfacher vor daten beim einspielen/restore zu patchen als bei den backups selbst. meine zeit in der bank ist schon ein wenig zu lang her, als dass ich heute noch beurteilen kann wie komplex es wäre auch backups zu patchen (vor allem bei abhängigkeiten zu softwareänderungen etc. ). PS: ich bin ja am allermeisten gespannt wie lang es den KSV noch geben wird, sobald das Gesetz in Kraft tritt ^^ Bearbeitet von Snoop am 14.04.2018, 14:13
cr0ssSyntaX der quotenchinese Registered: Jan 2004 Location: /root/home Posts: 1884	14.04.2018 - 14:18 Zitat aus einem Post von M4D M4X Je mehr ich lese, desto verwirrender wirds die Vorlage schaut ja ned schlecht aus: https://www.wko.at/service/wirtscha...erklaerung.html aber übersehen mag ich auch keinen Aspekt... Gibts einen Wissenden hier, der mir helfen will? (gegen Grillerei oder Honorarnote) Du kannst mir gerne eine PM schreiben, wenn dir etwas unklar ist.
Weinzo Become like water Registered: Oct 2000 Location: 4621 Posts: 5020	14.04.2018 - 14:19 Zitat aus einem Post von M4D M4X Je mehr ich lese, desto verwirrender wirds die Vorlage schaut ja ned schlecht aus: https://www.wko.at/service/wirtscha...erklaerung.html aber übersehen mag ich auch keinen Aspekt... Gibts einen Wissenden hier, der mir helfen will? (gegen Grillerei oder Honorarnote) Du kannst bei der WKO anrufen, die vermitteln dir dann IT-Spezialisten, bei denen kannst du dich 1h gratis informieren.
Snoop Here to stay Registered: Jun 2002 Location: Gablitz Posts: 1075	14.04.2018 - 14:30 Zitat aus einem Post von M4D M4X Je mehr ich lese, desto verwirrender wirds die Vorlage schaut ja ned schlecht aus: https://www.wko.at/service/wirtscha...erklaerung.html aber übersehen mag ich auch keinen Aspekt... Gibts einen Wissenden hier, der mir helfen will? (gegen Grillerei oder Honorarnote) Mach dir keine Sorgen im Vorfeld. Wichtig ist nur, dass du drauf schaust, dass du nur Daten "verarbeitest", welche dem Betroffenem auch bewusst sind. Die Gesetzgebung und die Strafmaße zielen eher auf die größeren Unternehmen ab, welche "big data" als das neue Gold gehandelt/verarbeitet haben. Sofern du versucht nach besten Gewissen, Treu und Glauben dich daran zu halten, kann dir _fast_ nix passieren. Als Unternehmer gibts jetzt halt mehr Angriffsfläche für irgendwelche Querulanten. Aber (und das hat mich auch sehr überrascht) die Verordnung sieht vor, dass du nur kostenlos Auskunft an einen Betroffenen erteilen musst, sofern es in einem gewissen Maß ist (und selbst da kannst du die Spielregeln festlegen wie: Kanal, Erfordernisse für die Legitimität der Auskunft etc.). Sollte es technisch zu komplex, oder gar nicht möglich sein kannst du sogar ein (angemessenes) Entgelt verlangen (nach der _ersten_ auskunft (die sollte eben durch das Verarbeitungsverzeichnis gegeben sein)). Andererseits kannst du auch (fast) immer argumentieren dass es ein überwiegendes Interesse gab/gibt die Daten zu haben (6f) oder aber es handelt sich um ein Interesse für eine Vertragsanbahnung bzw. Vertragserfüllung. Wichtig ist nur, dass du Daten löschst, sobald der Zweck nicht mehr gegeben ist. (und in AT darfst du das periodisch machen. also z.B. 1x im Jahr. Also wennst jetzt reinschreibst 7 Jahre für die Aufbewahrung muss es nicht zwingend nach 7 Jahren -1 Tag sein. Sondern du darfst es halt in einem gewissen Intervall machen aber unbedingt protokollieren )
ccr Registered: Jul 2001 Location: am Dach Posts: 5797	14.04.2018 - 16:17 Zitat aus einem Post von Snoop PS: ich bin ja am allermeisten gespannt wie lang es den KSV noch geben wird, sobald das Gesetz in Kraft tritt ^^ Bist nicht der Erste, der sich das fragt Im Prinzip ist Auskunftei aber ein erlaubtes Gewerbe, und die Nutzer/Käufer der Daten haben ein "berechtigtes Interesse". Da gibt es auch genug Gerichtsurteile dazu, dass das Interesse berechtigt ist. Und für die Weitergabe von Daten an Auskunfteien bzw. die Einholung von Auskünften benötigt man eh heute schon die Zustimmung der jeweiligen Person oder muss sie zumindest informieren - zukünftig vielleicht noch etwas expliziter als heute
Neo-=IuE=- Here to stay Registered: Jun 2002 Location: Berndorf, NÖ Posts: 3229	14.04.2018 - 16:32 Zitat aus einem Post von Weinzo Datenschutzbeauftragter und IT widerspricht sich IMO Datenschutzbeauftragten brauchen wir nicht, haben keine sensible Daten Sensible Daten hat JEDE Firma, weil man z.B. die Religionszugehörigkeit weiß. Die braucht man z.b. für Feiertage die Religionsabhängig sind.
semteX Risen from the banned Registered: Oct 2002 Location: Pre Posts: 14336	14.04.2018 - 16:34 Zitat aus einem Post von Neo-=IuE=- Sensible Daten hat JEDE Firma, weil man z.B. die Religionszugehörigkeit weiß. Die braucht man z.b. für Feiertage die Religionsabhängig sind. oder es macht der lohnverrechner für einen.
Weinzo Become like water Registered: Oct 2000 Location: 4621 Posts: 5020	14.04.2018 - 17:15 Zitat aus einem Post von Neo-=IuE=- Sensible Daten hat JEDE Firma, weil man z.B. die Religionszugehörigkeit weiß. Die braucht man z.b. für Feiertage die Religionsabhängig sind. ja eh, aber dafür brauch man noch lang keinen beauftragten........für die dauer der betriebszugehörigkeit kann man diese daten ja speichern. Wichtig ist einfach, dass man dieses Dinge protokolliert.
ccr Registered: Jul 2001 Location: am Dach Posts: 5797	14.04.2018 - 17:19 Die Notwendigkeit des Beauftragen hängt doch in erster Linie davon ab, ob man eine gewissen Unternehmensgröße überschreitet, oder Datenverarbeitung als Kerntätigkeit hat. Personaldaten alleine können zwar durchaus sensitiv sein (Religions- oder Gewerkschaftszugehörigkeit, etc.) sind alleine noch kein Grund, einen Datenschutzbeauftragten zu benennen.
Weinzo Become like water Registered: Oct 2000 Location: 4621 Posts: 5020	14.04.2018 - 17:43 hängt afaik nicht von der unternehmensgröße ab, kerntätigkeit mit verarbeitung sensibler daten jawohl! - Optiker z. B. - onemanshow mit "nur" sensiblen daten.... da sind die paar Mitarbeiterakten und Bewerbungsunterlagen ja "eh egal" im Vergleich. Oder eben Zaharzt

Datenschutz-Grundverordnung

Forum Index > Real Life > World Events & Politics

Snoop

ccr

Snoop

ccr

M4D M4X

Snoop

cr0ssSyntaX

Weinzo

Snoop

ccr

Neo-=IuE=-

semteX

Weinzo

ccr

Weinzo