Snoop
Here to stay
|
Datenschutzbeauftragten brauchen wir nicht, haben keine sensible Daten Sensible daten sind nicht die Grundvoraussetzung für die Notwendigkeit eines Beauftragten! (und ich wette 10€ dagegen, dass ihr sensible Daten irgendwo habt )
|
ccr
|
von den kunden haben wir die postanschrift und rechnungen.
mit meinem 3-mann betrieb ist mir das ganze VO zeugs auch schon zu doof. rksv, dsgv, ....gab schon davor nur noch bürokratie. bleibt keine zeit mehr um zu arbeiten. am besten, wir hören mit den pc's auf, und machen wieder alles mit zetteln. Du musst halt alles dokumentieren. Was wird in welchen Systemen aus welchem Grund gespeichert oder verarbeitet, wo ist es am Server gespeichert, gibt es Backups, wer hat auf was Zugriff und wie wird der Zugriff gesteuert, wann werden Daten gelöscht, wie können Daten auf Anfrage gelöscht werden, wer bekommt Daten (zB Steuerberater), etc. Ziemlich zeitintensiv das Ganze. Wir haben kürzlich alle Emails von den Servern gelöscht, die älter als 10 Jahre waren, und jede gescannte Korrespondenz die älter als 7 Jahre ist. Alleine diese Korrespondenz waren rund 4mio Schriftstücke Und das in einem 50-Personen-KMU Einen Vorteil hat die DSGVO also immerhin - wir bekommen teuren Platz auf den Servern frei Problematisch sind jetzt natürlich noch die Backups die in den Rechenzentren liegen, und auf denen in der Produktion gelöschte Daten noch verfügbar sind. Ich kann aber auch nicht anordnen, alle Backups bis auf das Allerneueste zu löschen.
|
Snoop
Here to stay
|
Problematisch sind jetzt natürlich noch die Backups die in den Rechenzentren liegen, und auf denen in der Produktion gelöschte Daten noch verfügbar sind. Ich kann aber auch nicht anordnen, alle Backups bis auf das Allerneueste zu löschen. Sofern ihr den SITZ in AT habt, brauchst du das auch nicht. Ihr müsst nur sicherstellen, dass bei einem Reroll die berichtigten oder gelöschten Daten wieder dementsprechend "eingespielt" werden. In DE schauts da anders aus PS: @Zetteln: DSVGO betrifft auch Daten egal in welcher Form. unter anderem auch auf Zetteln
Bearbeitet von Snoop am 14.04.2018, 13:31
|
ccr
|
Und wie willst Du sicherstellen, dass beim Rückspielen des Backups in der Zwischenzeit gelöschte oder anonymisierte oder pseudonymisierte Daten nicht voll eingespielt werden? Und wir sitzen zwar in Österreich, aber der Konzern und die Rechenzentren nicht. Da eine Strafe am Konzernumsatz berechnet wird, gelten für uns auch die strengeren Konzernrichtlinien die in Details über das lokale Gesetz hinausgehen oder bei ungeklärten Auslegungsfragen die sichere Variante wählen. Bei 1.5 Milliarden Umsatz kommt da bei einem Vergehen schon ein Sümmchem zusammen, und dann wollen nicht wir in Österreich dran Schuld sein
|
M4D M4X
LegendTier & Bier!! und LEDs ;)
|
|
Snoop
Here to stay
|
Und wie willst Du sicherstellen, dass beim Rückspielen des Backups in der Zwischenzeit gelöschte oder anonymisierte oder pseudonymisierte Daten nicht voll eingespielt werden?
Und wir sitzen zwar in Österreich, aber der Konzern und die Rechenzentren nicht. Da eine Strafe am Konzernumsatz berechnet wird, gelten für uns auch die strengeren Konzernrichtlinien die in Details über das lokale Gesetz hinausgehen oder bei ungeklärten Auslegungsfragen die sichere Variante wählen. Bei 1.5 Milliarden Umsatz kommt da bei einem Vergehen schon ein Sümmchem zusammen, und dann wollen nicht wir in Österreich dran Schuld sein prinzipiell stell ich es mir einfacher vor daten beim einspielen/restore zu patchen als bei den backups selbst. meine zeit in der bank ist schon ein wenig zu lang her, als dass ich heute noch beurteilen kann wie komplex es wäre auch backups zu patchen (vor allem bei abhängigkeiten zu softwareänderungen etc. ). PS: ich bin ja am allermeisten gespannt wie lang es den KSV noch geben wird, sobald das Gesetz in Kraft tritt ^^
Bearbeitet von Snoop am 14.04.2018, 14:13
|
cr0ssSyntaX
der quotenchinese
|
Je mehr ich lese, desto verwirrender wirds
die Vorlage schaut ja ned schlecht aus: https://www.wko.at/service/wirtscha...erklaerung.html
aber übersehen mag ich auch keinen Aspekt...
Gibts einen Wissenden hier, der mir helfen will? (gegen Grillerei oder Honorarnote) Du kannst mir gerne eine PM schreiben, wenn dir etwas unklar ist.
|
Weinzo
Become like water
|
Je mehr ich lese, desto verwirrender wirds
die Vorlage schaut ja ned schlecht aus: https://www.wko.at/service/wirtscha...erklaerung.html
aber übersehen mag ich auch keinen Aspekt...
Gibts einen Wissenden hier, der mir helfen will? (gegen Grillerei oder Honorarnote) Du kannst bei der WKO anrufen, die vermitteln dir dann IT-Spezialisten, bei denen kannst du dich 1h gratis informieren.
|
Snoop
Here to stay
|
Je mehr ich lese, desto verwirrender wirds
die Vorlage schaut ja ned schlecht aus: https://www.wko.at/service/wirtscha...erklaerung.html
aber übersehen mag ich auch keinen Aspekt...
Gibts einen Wissenden hier, der mir helfen will? (gegen Grillerei oder Honorarnote) Mach dir keine Sorgen im Vorfeld. Wichtig ist nur, dass du drauf schaust, dass du nur Daten "verarbeitest", welche dem Betroffenem auch bewusst sind. Die Gesetzgebung und die Strafmaße zielen eher auf die größeren Unternehmen ab, welche "big data" als das neue Gold gehandelt/verarbeitet haben. Sofern du versucht nach besten Gewissen, Treu und Glauben dich daran zu halten, kann dir _fast_ nix passieren. Als Unternehmer gibts jetzt halt mehr Angriffsfläche für irgendwelche Querulanten. Aber (und das hat mich auch sehr überrascht) die Verordnung sieht vor, dass du nur kostenlos Auskunft an einen Betroffenen erteilen musst, sofern es in einem gewissen Maß ist (und selbst da kannst du die Spielregeln festlegen wie: Kanal, Erfordernisse für die Legitimität der Auskunft etc.). Sollte es technisch zu komplex, oder gar nicht möglich sein kannst du sogar ein (angemessenes) Entgelt verlangen (nach der _ersten_ auskunft (die sollte eben durch das Verarbeitungsverzeichnis gegeben sein)). Andererseits kannst du auch (fast) immer argumentieren dass es ein überwiegendes Interesse gab/gibt die Daten zu haben (6f) oder aber es handelt sich um ein Interesse für eine Vertragsanbahnung bzw. Vertragserfüllung. Wichtig ist nur, dass du Daten löschst, sobald der Zweck nicht mehr gegeben ist. (und in AT darfst du das periodisch machen. also z.B. 1x im Jahr. Also wennst jetzt reinschreibst 7 Jahre für die Aufbewahrung muss es nicht zwingend nach 7 Jahren -1 Tag sein. Sondern du darfst es halt in einem gewissen Intervall machen aber unbedingt protokollieren )
|
ccr
|
PS: ich bin ja am allermeisten gespannt wie lang es den KSV noch geben wird, sobald das Gesetz in Kraft tritt ^^ Bist nicht der Erste, der sich das fragt Im Prinzip ist Auskunftei aber ein erlaubtes Gewerbe, und die Nutzer/Käufer der Daten haben ein "berechtigtes Interesse". Da gibt es auch genug Gerichtsurteile dazu, dass das Interesse berechtigt ist. Und für die Weitergabe von Daten an Auskunfteien bzw. die Einholung von Auskünften benötigt man eh heute schon die Zustimmung der jeweiligen Person oder muss sie zumindest informieren - zukünftig vielleicht noch etwas expliziter als heute
|
Neo-=IuE=-
Here to stay
|
Datenschutzbeauftragter und IT widerspricht sich IMO Datenschutzbeauftragten brauchen wir nicht, haben keine sensible Daten Sensible Daten hat JEDE Firma, weil man z.B. die Religionszugehörigkeit weiß. Die braucht man z.b. für Feiertage die Religionsabhängig sind.
|
semteX
begehrt die rostschaufel
|
Sensible Daten hat JEDE Firma, weil man z.B. die Religionszugehörigkeit weiß. Die braucht man z.b. für Feiertage die Religionsabhängig sind. oder es macht der lohnverrechner für einen.
|
Weinzo
Become like water
|
Sensible Daten hat JEDE Firma, weil man z.B. die Religionszugehörigkeit weiß. Die braucht man z.b. für Feiertage die Religionsabhängig sind. ja eh, aber dafür brauch man noch lang keinen beauftragten........für die dauer der betriebszugehörigkeit kann man diese daten ja speichern. Wichtig ist einfach, dass man dieses Dinge protokolliert.
|
ccr
|
Die Notwendigkeit des Beauftragen hängt doch in erster Linie davon ab, ob man eine gewissen Unternehmensgröße überschreitet, oder Datenverarbeitung als Kerntätigkeit hat. Personaldaten alleine können zwar durchaus sensitiv sein (Religions- oder Gewerkschaftszugehörigkeit, etc.) sind alleine noch kein Grund, einen Datenschutzbeauftragten zu benennen.
|
Weinzo
Become like water
|
hängt afaik nicht von der unternehmensgröße ab, kerntätigkeit mit verarbeitung sensibler daten jawohl! - Optiker z. B. - onemanshow mit "nur" sensiblen daten.... da sind die paar Mitarbeiterakten und Bewerbungsunterlagen ja "eh egal" im Vergleich. Oder eben Zaharzt
|