|
|
|
|
Jetzt vermischst du aber zwei Themen: Oben hast du die Non-Compliance mit der DSGVO als halbwegs tragbar erklärt, weil die Compliance bei Handelsbriefen auch "niemand" umgesetzt hat (so las sich dein Post jedenfalls)
Der gleichzeitige rechtliche Widerspruch zwischen den beiden Themen ist dann aber ein anderes Thema.
Naja, genug dazu. Viel Spaß bei der Umsetzung, ich muss es ja nur abmahnen.
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von smoo am 28.03.2018 12:44]
|
|
|
|
|
|
Habe deinen Post falsch verstanden im Sinne von "was hat das eine jetzt mit dem anderen zu tun".
|
|
|
|
|
|
|
| Zitat von mavchen
| Zitat von smoo
Ich glaube nicht, dass etwaige Aufbewahrungspflichten für Handelsbriefe mit der DSGVO vergleichbar sind.
| |
Lieber Dienstleister, ich bin ein Neukunde bitte schreib mir ein Angebot über Leistung X.
*Angebotschreib*
*Angebot wird 10 Jahre archiviert*
Oh Dienstleister, das Angebot wird leider nichts. Bitte lösche alle meine Daten gemäß DSGVO. Thx.
| |
müsste man dann nicht auch alle mails dazu löschen?
|
|
|
|
|
|
|
Anderes Beispiel:
Bitte schicken Sie alle Bewerbungen an: bewerbungen@unternehmen.de
Bewerber liest es nicht, und schickt es an die archivierte info@unternehmen.de auf die mehrere Mitarbeiter Zugriff haben. Schon hast du ein ganz schönes Problem, weil die Unterlagen nicht in den Prozess fürs Bewerbermanagement mit einem automatischen Löschen eingebracht wird.
|
|
|
|
|
|
|
| Zitat von mavchen
| Zitat von smoo
Ich glaube nicht, dass etwaige Aufbewahrungspflichten für Handelsbriefe mit der DSGVO vergleichbar sind.
| |
Lieber Dienstleister, ich bin ein Neukunde bitte schreib mir ein Angebot über Leistung X.
*Angebotschreib*
*Angebot wird 10 Jahre archiviert*
Oh Dienstleister, das Angebot wird leider nichts. Bitte lösche alle meine Daten gemäß DSGVO. Thx.
| |
Das herrliche an dem Konzept ist ja, dass du den Kram löschen und trotzdem aufbewahren musst. Also du musst quasi ein Archiv "Gelöscht" anlegen.
Geil, nä?
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von honkbaer am 28.03.2018 13:11]
|
|
|
|
|
|
Naja ich sollte mein zartes Gemüt nicht weiter damit belasten. Wir haben schließlich eine Rechtsabteilung, die sich sicher schon ganz viele Gedanken dazu gemacht hat. So viele, dass im Hintergrund schon alles geregelt wurde und ich deswegen nichts davon mitbekommen habe.
|
|
|
|
|
|
|
| Zitat von smoo
Jetzt vermischst du aber zwei Themen: Oben hast du die Non-Compliance mit der DSGVO als halbwegs tragbar erklärt, weil die Compliance bei Handelsbriefen auch "niemand" umgesetzt hat (so las sich dein Post jedenfalls)
Der gleichzeitige rechtliche Widerspruch zwischen den beiden Themen ist dann aber ein anderes Thema.
Naja, genug dazu. Viel Spaß bei der Umsetzung, ich muss es ja nur abmahnen.
| |
Genau, wettbewerbsrechtlich ist der Shit jetzt ja abmahnbar.
|
|
|
|
|
|
|
Lustig, dass es hierzu einen Thread gibt. Ich verantworte das Thema bei uns im Unternehmen. Für die ganzen Nichtwisser aus den Fachabteilungen ist jetzt jedes rechtliche Thema GDPR ey!
|
|
|
|
|
|
|
Gilt das Gesetz für den öffentlichen Dienst? Bisher habe ich davon nichts mitbekommen und ich habe auch nicht das Gefühl, dass sich da jemand mit beschäftigt.
|
|
|
|
|
|
|
| Zitat von [eXz]CountZero
Gilt das Gesetz für den öffentlichen Dienst? Bisher habe ich davon nichts mitbekommen und ich habe auch nicht das Gefühl, dass sich da jemand mit beschäftigt.
| |
Klar, folgt aus Art. 4 Nr. 7 (Behörden ausdrücklich genannt).
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von [VW]Agent 009 am 28.03.2018 14:27]
|
|
|
|
|
|
Es gibt jedoch je nach Zählweise wohl 50 - 60 Klauseln, die die EU-Länder öffnen können. BDSG gibt es schon in einer aktualisierten Fassung. Gerade für Behörden gilt dann meist das jeweilige Landesgesetz. Da gibt es öffentlich zum Teil nicht Mal Entwürfe.
|
|
|
|
|
|
|
| Zitat von [eXz]CountZero
Gilt das Gesetz für den öffentlichen Dienst? Bisher habe ich davon nichts mitbekommen und ich habe auch nicht das Gefühl, dass sich da jemand mit beschäftigt.
| |
Bitte was? Unser Datenschutzbeauftragter geht schon seit nem Jahr ab wie ein Zäpfchen, interessiert nur trotzdem keinen.
|
|
|
|
|
|
|
| Zitat von mavchen
Anderes Beispiel:
Bitte schicken Sie alle Bewerbungen an: bewerbungen@unternehmen.de
Bewerber liest es nicht, und schickt es an die archivierte info@unternehmen.de auf die mehrere Mitarbeiter Zugriff haben. Schon hast du ein ganz schönes Problem, weil die Unterlagen nicht in den Prozess fürs Bewerbermanagement mit einem automatischen Löschen eingebracht wird.
| |
Schlechtes Beispiel imo.
Das einbringen von datensätzen in einen "nicht dafür qualifizierten Arbeitsprozess" auf den jedermann zugriff hat kann mir nicht belastend vorgeworfen werden, das ist zu 99% 95% immer die sendende Stelle. Der Verantwortliche (der Bewerber) kann gern fordern das anschliessend die Bewerbung entfernt wird, aber andersrum öffnest du ne Dose würmer die so eigentlich nicht gewollt sein kann.
Andere seite, wenn die Email(Adresse) archiviert ist (aka nicht mehr verwendet wird für eingänge und nur noch zum lesen alter eingänge genutzt wird) dann annonymisiert man einfach adresse im exchange. Absender bekommt fehlermeldung das die adresse nicht gefunden wurde und ihr könnt weiterhin im postfach stöbern/auslagern und anschliessend den rest löschen/ins backup auslagern.
Backup... ach ja, das Backup.
|
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von -hi7.eM.hiGh- am 28.03.2018 15:44]
|
|
|
|
|
|
Ist hier jemand als Auftragsverarbeiter betroffen? Unsere Softwarebude ist auch gut, schickt uns brav einen Brief in dem sie auf ihre Pflichten hinweisen, dass bei Fernwartung personenbezogene Daten eingesehen werden könnten und deshalb solle man sich unter folgendem Link deren Vertrag runterladen und zurückschicken usw.. In einem Brief, was ist los bei euch...
/E: Und nein, ne Email hab ich nicht bekommen, nur das Papier.
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von da t0bi am 28.03.2018 17:39]
|
|
|
|
|
|
...und was ist jetzt genau dein Problem? Fehlen dir Kompetenzen im korrekt Abtippen? Habt ihr kein OCR-tool?
|
|
|
|
|
|
|
Ja und ja. Es ist 2018 hier
|
|
|
|
|
|
|
| Zitat von smoo
| Zitat von mavchen
Deadline 25.05. ist wieder so ein Angstmachbegriff, mit dem hauptsächlich Anwälte und Berater Geld verdienen
Man sollte jetzt anfangen den Datenschutzbeauftragten zu benennen, seine Prozesse aufzunehmen und zu dokumentieren. Niemand erwartet am 25.05. ein vollständig umgesetztes Konzept gemäß DSGVO.
| |
... doch? Das "andere haben es auch noch nicht" zieht halt mal Null. Man kann doch nicht einfach selber für sich entscheiden, dass ein Gesetz noch nicht gilt?
Man kann höchstens mit einem gesunden Risikobewusstsein entscheiden, dass man den 25.05. ignoriert. Das aber als Angstmachbegriff hinzustellen zeigt eine echt fatale Einstellung zu Compliance.
| |
Sprach der Abmahn-Anwalt...
|
|
|
|
|
|
|
Als Selbständige betrifft mich das ja auch. Hab einen Kunden, der sich damit eingehend befasst und zu dem Thema auch berät und Schulungen macht. Von dem bekomme ich demnächst eine Beratung, ich bin gespannt, was mich so erwartet. Und vor allem, ob sich nach der Frist irgendein Kunde (oder sonstwer) tatsächlich mal dafür interessiert und Auskunft oder Löschung verlangt.
|
|
|
|
|
|
|
Iirc sind Kleinunternehmen mit den Dokumentationspflichten besser dran und haben weniger bürokratischen Aufwand.
|
|
|
|
|
|
|
betrifft dieses ssl Zertifikat auch kleine 1-seiten-websites wo keinerlei Formulardaten eingegeben werden können?
salopp gesagt eine weisse Website mit Text und Fotos. Mehr nicht.
|
|
|
|
|
|
|
| Zitat von honkbaer
Erste Frage: Ist jemand hier zum Datenschutzbeauftragten ernannt worden? Falls ja: Bereits an das Büro des Datenschutzbeauftragten des Landes gemeldet?
| |
lel. Bremen hat noch nichtmal sein neues Datenschutzgesetz fertig, geschweige denn eine Meldemöglichkeit.
Andrea Voßhoff hat wohl gesagt, dass es 10 Jahre dauern wird bis es bei der DSGVO die gleiche Rechtssicherheit durch Urteile gibt wie beim BDSG, und dass es sicher am 25.05. nicht plötzlich Strafen hagelt.
Ich kann zu dem Thema die diversen Artikel der letzten Monate auf https://www.datenschutz-notizen.de empfehlen.
| Zitat von Jobo
Hallo, ich wurde zum Datenschutzbeauftragten ernannt und bin gleichzeitig stellvertretender IT-Leiter.
| |
Das war schon nach BDSG nicht erlaubt.
https://www.datenschutz-wiki.de/Interessenkonflikte_nebenamtlicher_Datenschutzbeauftragter
| Zitat von da t0bi
Ich war schon auf zwei Informationsveranstaltungen, zwei interessante Dinge dazu: Die Änderungs- und Löschpflicht widerspricht ja der Pflicht zur revisionssicheren Archivierung von Daten. | |
| Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist ... zur Erfüllung einer rechtlichen Verpflichtung | |
Art. 17 DSGVO, Rechtsgrundlage für die Verarbeitung sind u.a. §§ 239, 257 HGB.
| Zitat von Mettwurzt
betrifft dieses ssl Zertifikat auch kleine 1-seiten-websites wo keinerlei Formulardaten eingegeben werden können?
salopp gesagt eine weisse Website mit Text und Fotos. Mehr nicht.
| |
Um TLS kommt bald sowieso keiner mehr herum, insofern lieber gleich drum kümmern.
https://www.heise.de/newsticker/meldung/Chrome-markiert-bald-alle-HTTP-Webseiten-als-unsicher-3963924.html
|
|
|
|
|
|
|
|
|
|
|
| Zitat von [VW]Agent 009
| Zitat von [eXz]CountZero
Gilt das Gesetz für den öffentlichen Dienst? Bisher habe ich davon nichts mitbekommen und ich habe auch nicht das Gefühl, dass sich da jemand mit beschäftigt.
| |
Klar, folgt aus Art. 4 Nr. 7 (Behörden ausdrücklich genannt).
| |
Aber Bußgelder gibt es nicht. \o/
| Zitat von TheRealHawk
lel. Bremen hat noch nichtmal sein neues Datenschutzgesetz fertig
| |
NRW auch nicht.
|
|
|
|
|
|
|
Nds. gibt's auch nur einen Entwurf von dem keiner weiß, ob dieser so kommt.
|
|
|
|
|
|
|
Auszug aus dem Newsletter von Prof. Hoeren:
Datenschutz in der Schweiz – jetzt leicht gemacht
Gestern ging DSAT online, ein neues, von David Rosenthal entwickeltes formularbasiertes, non-profit Tool zur Selbst-Beurteilung der Datenschutz-Compliance unter dem neuen DSG (Botschaft Bundesrat) und DSGVO. Ein erstes Set an Formularen ist nun verfügbar, unter http://www.dsat.ch.
Es sollen in der nächsten Zeit weitere Formulare hinzukommen, z.B. für Datenschutzfolgeabschätzungen.
Besten Dank an David Rosenthal für den Hinweis.
Vielleicht ja für den einen oder anderen hilfreich
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ich wühl mich seit Wochen durch Seiten von Zeugs durch, wir haben hier schon einen guten Überblick was wo noch gemacht werden sollte und wo wir schon (teilweise recht lange) safe sind.
Im Arbeitsfluss wird sich für die Mitarbeiter aber kaum was ändern, wenn man eh schon unter erhöhten Datenschutzauflagen arbeitet kommt einem das jetzt ausnahmsweise mal gelegen.
In einer befreundeten Firma wurde das Projekt zur Umsetzung der Bestimmungen letztes Jahr im Frühjahr begonnen und im Dezember abgeschlossen und ans Testing übergeben. Da gehts aber auch um Zulieferung von Software in der Versicherungsbranche, insbesondere das sichere und vollständige Löschen ist da ein großes Thema.
Da sind übrigens Firmen die schon länger mit zentralisierten Datenbanken arbeiten im Vorteil. Stellt euch vor ein Kunde will seine Kundendaten bei einer Firma löschen lassen da er die Geschäftsbeziehungen beenden will.
Wo müsste denn ein Firma überall gucken? Haben die nur eine Kunden-DB, wie siehts mit den Mails aus, wurden da z.B. mal Sachbearbeiter direkt angeschrieben, wurde eventuell vom Marketing eine eigene DB geführt (z.B. wegen Mailings), wurde mal was mit Kooperationspartnern geteilt für Gewinnspiele oder Ähnliches?
Das ist eine riesen-Rattenschwanz der so manchem gar nicht so bewusst ist. Oder jetzt erst recht spät schmerzlich bewusst wird
|
|
|
|
|
|
|
Auch nachdem ich unserer Geschäftsleitung verschiedene Quellen habe zukommen lassen, die eure Aussagen belegen, wollen sie an mir als Datenschutzbeauftragten festhalten. Es gibt tatsächlich widersprüchliche Aussagen diesbezüglich. Letzte Woche habe ich an einem Workshop zur EU DSGVO teilgenommen, wo einer der Referenten es begrüßt hat, dass jemand aus der IT diesen Job übernimmt, weil dann schon wichtiges Fachwissen vorhanden wäre. Nur eben der IT-Leiter dürfte es nicht machen. Mehr kann ich jetzt eigentlich nicht machen. Ich habe mich für ein 5 Tage Seminar angemeldet, dass mich dann nach bestandener Abschlussprüfung als Datenschutzbeauftragten zertifiziert.
|
|
|
|
|
|
Thema: Der DSGVO-Thread ( von Verzeichnissen für Verarbeitungstätigkeiten... ) |