Datenschutz-Grundverordnung

Tosca

Here to stay

Registered: Feb 2002
Location: 1030
Posts: 989

13.04.2018 - 13:10

Zitat aus einem Post von 11Fire01
muss man doch nur die zustimmung einholen im grunde, protokollieren (kann man automatisiert) und halt löschen, wenns wer will?

oder gibts da sonst noch besonderheiten?

Bei Newsletter Anmeldungen machen wir z.B. Double Opt-In. Damit kann ich einigermaßen nachweisen, dass die Anmeldung von der Person selbst tatsächlich aktiv gewünscht wurde. Bei einem Anfrageformular ist das halt nicht praktikabel, da kann ich nur ein Single Opt In Hakerl machen - ich müsste dann aber bei jedem Anfrageformular das setzen dieses Hakerls verpflichtend machen und das ganze ins Ticketsystem einfließen lassen. Geht schon, ist aber einigermaßen mühsam!

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12108

13.04.2018 - 13:14

Eine interessante Perspektive auf das Thema ist uebrigens dieser Artikel: https://baekdal.com/strategy/publis...a-deal-gdpr-is/

ccr

Registered: Jul 2001
Location: am Dach
Posts: 5865

13.04.2018 - 13:19

Wir fürchten uns aktuell auch mehr vor profilierungssüchtigen Anwälten als vor dem Gesetzgeber selbst

Das Problem bei uns ist, dass die Verarbeitung und Analyse von Daten unser Geschäft ist. Und jetzt viele Kunden uns superstrenge Datenverarbeitungsrichtlinien aufdrücken wollen, die aber gleichzeitig unsere Arbeit für eben diese Kunden verunmöglichen

Da weiss halt auch die jeweilige Rechtsabteilung nicht, was das jeweilige Business benötigt :rolleyes:

Die Aufbewahrungsfristen sind auch so ein Thema. 7 Jahre für die Steuer, ich glaube 10 Jahre für den Personalakt. Aber sonst gibt es wenig Regelungen, und wird dann in den nächsten Jahren in der Praxis von Gerichten zu entscheiden sein - das lässt viel Unsicherheit.

A propos Personalakt - selbst Bewerber müssen bei uns jetzt dann einen Dreiseiter zur Datenverarbeitung unterschreiben

Snoop

Here to stay

Registered: Jun 2002
Location: Gablitz
Posts: 1091

13.04.2018 - 13:22

Zitat aus einem Post von Tosca
Bei Newsletter Anmeldungen machen wir z.B. Double Opt-In.

In der EU bzw. in AT brauchst eh ein Double-OptIn und hier kann man auch gut argumentieren. Da ist dann halt wieder die Frage in welchem System bzw. -um präzise zu sein- in welchem Land die Daten gespeichert werden. Innerhalb der EU 0 Probleme. In 3. Ländern z.B. USA müssten sich die Unternehmen dem Privacy Shield "unterwerfen", ansonsten dürften dort die personenbezogenen Daten nicht gespeichert sein.

Snoop

Here to stay

Registered: Jun 2002
Location: Gablitz
Posts: 1091

13.04.2018 - 13:25

Zitat aus einem Post von ccr
A propos Personalakt - selbst Bewerber müssen bei uns jetzt dann einen Dreiseiter zur Datenverarbeitung unterschreiben

wenn man es ganz streng nimmt dürfte nicht mal eine Bewerbung über eine protected angenommen bzw. müsste gelöscht werden, weil ja nicht sichergestellt ist, dass die Daten nur jemand sieht der dazu berechtigt ist....
In den letzten Tagen bereu ich ein bissal, dass ich doch nicht Jurist geworden bin, dann würd sich ein Aston Martin vielleicht doch noch in dem Leben ausgehen

Cuero

Moderator

Registered: Feb 2001
Location: Erde
Posts: 3554

13.04.2018 - 13:36

wir sind gut ausgelastet mit den abschlussarbeiten zur dsgvo, haben aber auch nicht erst gestern angefangen.

fairerweise muss man sagen, dass (mit ausnahme der öffnungsklauseln) der dsgvo-text seit mai 2016 "fix" ist. die verordnung ist mai 2016 in kraft getreten, lediglich die anwendung startet erst mit ende mai 2018.

es war also schon ein bisschen zeit, sich da einzulesen und die anzahl an DSGVO-Schulungs-Werbung (alleine durch die arge daten), die über meinen schreibtisch gewandert ist, war zweistellig in den letzten 18 monaten. da war praktisch alle 4-6 wochen etwas dabei.

wie heiß manches dann wirklich gegessen wird, wird sich zeigen.

M4D M4X

Legend
Tier & Bier!! und LEDs ;)

Registered: Jan 2005
Location: überall ;)
Posts: 7637

13.04.2018 - 13:52

Vielleicht kann mir einer von euch helfen:

auf meinem Blog frage ich bei der Anmeldung auch die Adresse ab (eigentlich um bots und Gesindel zu verschrecken)

reicht es zu erklären, dass ich die nach der Prüfung lösche?

beim Newsletter hab ich einen double opt in...

weiters:
was ist mit (g)mails, die ich bekomme?
da stehen auch oft alle daten drin

oder reicht es am ende, zu erklären, dass ich nix weitergebe oder sonstige nutze?

Redphex

Legend
RabbitOfNegativeEuphoria

Registered: Mar 2000
Location: Kadaverstern
Posts: 11813

13.04.2018 - 14:19

Du musst darüber informieren welche Daten du erhebst, für welchen Zweck, wie lange du speicherst (falls du speicherst), was für Rechte die Betroffene Person hat und wie man dich kontaktieren kann.

E-mails und allgemeine Korrespondenz sind eine blöde Sache. Da in der DSGVO keine Ausschlusskriterien für so allgemeine Kleinigkeiten definiert sind, muss man die zumindest genauso betrachten.
Das einzige, was man hier aber eigentich tun kann ist, dass man keine Daten von Dritten an Dritte ohne Zustimmung weitergibt.

Da du eine Webseite betreibst, solltest du in die Datenschutzinformation auch einen Absatz über die Verarbeitung von IP-Adressen, Cookies und Browser-Metadaten aufnehmen. Ebenso einen Absatz falls du Besucherauswertungen machst (Eigenbau, Google Analytics usw usf).

Bearbeitet von Redphex am 13.04.2018, 14:21

InfiX

she/her

Registered: Mar 2002
Location: Graz
Posts: 14384

13.04.2018 - 14:20

was ist eigentlich mit daten die man ungefragt gesendet bekommt z.b. in einer e-mail signatur?

Redphex

Legend
RabbitOfNegativeEuphoria

Registered: Mar 2000
Location: Kadaverstern
Posts: 11813

13.04.2018 - 14:25

Haben wir viel diskutiert in der Hacke

Rein nach Gesetzestext wären wir der Meinung, du müsstest denjenigen im Nachhinein mit einer Datenschutzinformation beglücken. Auch wenn du eine Visitenkarte o.ä. bekommst.

Da würde aber der Hausverstand-Filter zur Praktikabilität zuschlagen - daher letztendlich nur die Daten nicht an Dritte weitergeben wird die einzig sinnvolle Aktion sein.

ccr

Registered: Jul 2001
Location: am Dach
Posts: 5865

13.04.2018 - 15:05

@cuero: Österreich hat das Gesetz im Vorjahr während der Auflösung der Regierung in einer Hauruck-Aktion beschlossen, die Begutachtungsfrist würde nicht abgewartet, nicht eine einzige Rückmeldung von Experten wurde berücksichtigt. Sowas gibt es nur selten. Es hat auch mit Beschluss schon Bedarf für Reparatur gegeben.

@InfiX: wenn man auf der sicheren Seite sein will - löschen!
Wir bekommen sehr viele personenbezogene Daten von Privatpersonen selbst, die wir unter der DSGVO nie und nimmer speichern oder verarbeiten dürften, weil wir keinen Verwendungszweck haben. Bisher wurde der Einfachheit halber gespeichert, jetzt müssen wir vorab selektieren und löschen.

11Fire01

Here to stay

Registered: Dec 2002
Location: austria
Posts: 2417

13.04.2018 - 16:51

Zitat aus einem Post von Snoop
wenn man es ganz streng nimmt dürfte nicht mal eine Bewerbung über eine protected angenommen bzw. müsste gelöscht werden, weil ja nicht sichergestellt ist, dass die Daten nur jemand sieht der dazu berechtigt ist....
In den letzten Tagen bereu ich ein bissal, dass ich doch nicht Jurist geworden bin, dann würd sich ein Aston Martin vielleicht doch noch in dem Leben ausgehen

das wäre spannend bei gericht zu sehen, wenn da ein paar trollen damit :O !

ja, schwierig sicher in manchen bereichen. bei der mistkübelgeschichte finde ich ist der angestellte dann schuld der ihn reinwarf *g*

Redphex

Legend
RabbitOfNegativeEuphoria

Registered: Mar 2000
Location: Kadaverstern
Posts: 11813

13.04.2018 - 17:03

In vielen Bereichen wirds spannend sein, wie ein Gericht interpretiert.
Weil aktuell gibt es sehr viele Dinge, wo sich der Rechtstext einfach nicht sinnvoll oder eindeutig umsetzen lässt.
Man kann selber oft nur interpretieren und warten, ob es mal eindeutige Rechtsprechung vom OGH gibt - und hoffen, dass man nicht selber der Präzedenzfall ist

UnleashThebeast

unsäglicher Prolet

Registered: Dec 2005
Location: 127.0.0.1
Posts: 3555

13.04.2018 - 17:30

Zitat aus einem Post von ccr
Wir bekommen sehr viele personenbezogene Daten von Privatpersonen selbst, die wir unter der DSGVO nie und nimmer speichern oder verarbeiten dürften, weil wir keinen Verwendungszweck haben. Bisher wurde der Einfachheit halber gespeichert, jetzt müssen wir vorab selektieren und löschen.

Das ist auch gut so, und so sollte es eigentlich schon die ganze Zeit sein.

ccr

Registered: Jul 2001
Location: am Dach
Posts: 5865

13.04.2018 - 17:52

Ähm, die Personen schicken uns die Daten freiwillig und unaufgefordert.

Tosca Here to stay Registered: Feb 2002 Location: 1030 Posts: 989	13.04.2018 - 13:10 Zitat aus einem Post von 11Fire01 muss man doch nur die zustimmung einholen im grunde, protokollieren (kann man automatisiert) und halt löschen, wenns wer will? oder gibts da sonst noch besonderheiten? Bei Newsletter Anmeldungen machen wir z.B. Double Opt-In. Damit kann ich einigermaßen nachweisen, dass die Anmeldung von der Person selbst tatsächlich aktiv gewünscht wurde. Bei einem Anfrageformular ist das halt nicht praktikabel, da kann ich nur ein Single Opt In Hakerl machen - ich müsste dann aber bei jedem Anfrageformular das setzen dieses Hakerls verpflichtend machen und das ganze ins Ticketsystem einfließen lassen. Geht schon, ist aber einigermaßen mühsam!
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12108	13.04.2018 - 13:14 Eine interessante Perspektive auf das Thema ist uebrigens dieser Artikel: https://baekdal.com/strategy/publis...a-deal-gdpr-is/
ccr Registered: Jul 2001 Location: am Dach Posts: 5865	13.04.2018 - 13:19 Wir fürchten uns aktuell auch mehr vor profilierungssüchtigen Anwälten als vor dem Gesetzgeber selbst Das Problem bei uns ist, dass die Verarbeitung und Analyse von Daten unser Geschäft ist. Und jetzt viele Kunden uns superstrenge Datenverarbeitungsrichtlinien aufdrücken wollen, die aber gleichzeitig unsere Arbeit für eben diese Kunden verunmöglichen Da weiss halt auch die jeweilige Rechtsabteilung nicht, was das jeweilige Business benötigt Die Aufbewahrungsfristen sind auch so ein Thema. 7 Jahre für die Steuer, ich glaube 10 Jahre für den Personalakt. Aber sonst gibt es wenig Regelungen, und wird dann in den nächsten Jahren in der Praxis von Gerichten zu entscheiden sein - das lässt viel Unsicherheit. A propos Personalakt - selbst Bewerber müssen bei uns jetzt dann einen Dreiseiter zur Datenverarbeitung unterschreiben
Snoop Here to stay Registered: Jun 2002 Location: Gablitz Posts: 1091	13.04.2018 - 13:22 Zitat aus einem Post von Tosca Bei Newsletter Anmeldungen machen wir z.B. Double Opt-In. In der EU bzw. in AT brauchst eh ein Double-OptIn und hier kann man auch gut argumentieren. Da ist dann halt wieder die Frage in welchem System bzw. -um präzise zu sein- in welchem Land die Daten gespeichert werden. Innerhalb der EU 0 Probleme. In 3. Ländern z.B. USA müssten sich die Unternehmen dem Privacy Shield "unterwerfen", ansonsten dürften dort die personenbezogenen Daten nicht gespeichert sein.
Snoop Here to stay Registered: Jun 2002 Location: Gablitz Posts: 1091	13.04.2018 - 13:25 Zitat aus einem Post von ccr A propos Personalakt - selbst Bewerber müssen bei uns jetzt dann einen Dreiseiter zur Datenverarbeitung unterschreiben wenn man es ganz streng nimmt dürfte nicht mal eine Bewerbung über eine protected angenommen bzw. müsste gelöscht werden, weil ja nicht sichergestellt ist, dass die Daten nur jemand sieht der dazu berechtigt ist.... In den letzten Tagen bereu ich ein bissal, dass ich doch nicht Jurist geworden bin, dann würd sich ein Aston Martin vielleicht doch noch in dem Leben ausgehen
Cuero Moderator Registered: Feb 2001 Location: Erde Posts: 3554	13.04.2018 - 13:36 wir sind gut ausgelastet mit den abschlussarbeiten zur dsgvo, haben aber auch nicht erst gestern angefangen. fairerweise muss man sagen, dass (mit ausnahme der öffnungsklauseln) der dsgvo-text seit mai 2016 "fix" ist. die verordnung ist mai 2016 in kraft getreten, lediglich die anwendung startet erst mit ende mai 2018. es war also schon ein bisschen zeit, sich da einzulesen und die anzahl an DSGVO-Schulungs-Werbung (alleine durch die arge daten), die über meinen schreibtisch gewandert ist, war zweistellig in den letzten 18 monaten. da war praktisch alle 4-6 wochen etwas dabei. wie heiß manches dann wirklich gegessen wird, wird sich zeigen.
M4D M4X Legend Tier & Bier!! und LEDs ;) Registered: Jan 2005 Location: überall ;) Posts: 7637	13.04.2018 - 13:52 Vielleicht kann mir einer von euch helfen: auf meinem Blog frage ich bei der Anmeldung auch die Adresse ab (eigentlich um bots und Gesindel zu verschrecken) reicht es zu erklären, dass ich die nach der Prüfung lösche? beim Newsletter hab ich einen double opt in... weiters: was ist mit (g)mails, die ich bekomme? da stehen auch oft alle daten drin oder reicht es am ende, zu erklären, dass ich nix weitergebe oder sonstige nutze?
Redphex Legend RabbitOfNegativeEuphoria Registered: Mar 2000 Location: Kadaverstern Posts: 11813	13.04.2018 - 14:19 Du musst darüber informieren welche Daten du erhebst, für welchen Zweck, wie lange du speicherst (falls du speicherst), was für Rechte die Betroffene Person hat und wie man dich kontaktieren kann. E-mails und allgemeine Korrespondenz sind eine blöde Sache. Da in der DSGVO keine Ausschlusskriterien für so allgemeine Kleinigkeiten definiert sind, muss man die zumindest genauso betrachten. Das einzige, was man hier aber eigentich tun kann ist, dass man keine Daten von Dritten an Dritte ohne Zustimmung weitergibt. Da du eine Webseite betreibst, solltest du in die Datenschutzinformation auch einen Absatz über die Verarbeitung von IP-Adressen, Cookies und Browser-Metadaten aufnehmen. Ebenso einen Absatz falls du Besucherauswertungen machst (Eigenbau, Google Analytics usw usf). Bearbeitet von Redphex am 13.04.2018, 14:21
InfiX she/her Registered: Mar 2002 Location: Graz Posts: 14384	13.04.2018 - 14:20 was ist eigentlich mit daten die man ungefragt gesendet bekommt z.b. in einer e-mail signatur?
Redphex Legend RabbitOfNegativeEuphoria Registered: Mar 2000 Location: Kadaverstern Posts: 11813	13.04.2018 - 14:25 Haben wir viel diskutiert in der Hacke Rein nach Gesetzestext wären wir der Meinung, du müsstest denjenigen im Nachhinein mit einer Datenschutzinformation beglücken. Auch wenn du eine Visitenkarte o.ä. bekommst. Da würde aber der Hausverstand-Filter zur Praktikabilität zuschlagen - daher letztendlich nur die Daten nicht an Dritte weitergeben wird die einzig sinnvolle Aktion sein.
ccr Registered: Jul 2001 Location: am Dach Posts: 5865	13.04.2018 - 15:05 @cuero: Österreich hat das Gesetz im Vorjahr während der Auflösung der Regierung in einer Hauruck-Aktion beschlossen, die Begutachtungsfrist würde nicht abgewartet, nicht eine einzige Rückmeldung von Experten wurde berücksichtigt. Sowas gibt es nur selten. Es hat auch mit Beschluss schon Bedarf für Reparatur gegeben. @InfiX: wenn man auf der sicheren Seite sein will - löschen! Wir bekommen sehr viele personenbezogene Daten von Privatpersonen selbst, die wir unter der DSGVO nie und nimmer speichern oder verarbeiten dürften, weil wir keinen Verwendungszweck haben. Bisher wurde der Einfachheit halber gespeichert, jetzt müssen wir vorab selektieren und löschen.
11Fire01 Here to stay Registered: Dec 2002 Location: austria Posts: 2417	13.04.2018 - 16:51 Zitat aus einem Post von Snoop wenn man es ganz streng nimmt dürfte nicht mal eine Bewerbung über eine protected angenommen bzw. müsste gelöscht werden, weil ja nicht sichergestellt ist, dass die Daten nur jemand sieht der dazu berechtigt ist.... In den letzten Tagen bereu ich ein bissal, dass ich doch nicht Jurist geworden bin, dann würd sich ein Aston Martin vielleicht doch noch in dem Leben ausgehen das wäre spannend bei gericht zu sehen, wenn da ein paar trollen damit :O ! ja, schwierig sicher in manchen bereichen. bei der mistkübelgeschichte finde ich ist der angestellte dann schuld der ihn reinwarf g
Redphex Legend RabbitOfNegativeEuphoria Registered: Mar 2000 Location: Kadaverstern Posts: 11813	13.04.2018 - 17:03 In vielen Bereichen wirds spannend sein, wie ein Gericht interpretiert. Weil aktuell gibt es sehr viele Dinge, wo sich der Rechtstext einfach nicht sinnvoll oder eindeutig umsetzen lässt. Man kann selber oft nur interpretieren und warten, ob es mal eindeutige Rechtsprechung vom OGH gibt - und hoffen, dass man nicht selber der Präzedenzfall ist
UnleashThebeast unsäglicher Prolet Registered: Dec 2005 Location: 127.0.0.1 Posts: 3555	13.04.2018 - 17:30 Zitat aus einem Post von ccr Wir bekommen sehr viele personenbezogene Daten von Privatpersonen selbst, die wir unter der DSGVO nie und nimmer speichern oder verarbeiten dürften, weil wir keinen Verwendungszweck haben. Bisher wurde der Einfachheit halber gespeichert, jetzt müssen wir vorab selektieren und löschen. Das ist auch gut so, und so sollte es eigentlich schon die ganze Zeit sein.
ccr Registered: Jul 2001 Location: am Dach Posts: 5865	13.04.2018 - 17:52 Ähm, die Personen schicken uns die Daten freiwillig und unaufgefordert.

Datenschutz-Grundverordnung

Forum Index > Real Life > World Events & Politics

Tosca

COLOSSUS

ccr

Snoop

Snoop

Cuero

M4D M4X

Redphex

InfiX

Redphex

ccr

11Fire01

Redphex

UnleashThebeast

ccr