Datenschutz-Grundverordnung

11Fire01

Here to stay

Registered: Dec 2002
Location: austria
Posts: 2417

18.04.2018 - 10:12

Koennte man den patienten anwalt zur anzeige bringen aus .at wegen olga. Und *wir* schauen zu wie es vor gericht fuer ihn endet. Dann kann man das besser abschaetzen fuer gerichtsverfahren ;D

Aus dem herrn koennte man vie lehrreiches hervorbringen. Daten koennens nachvollziehen sicherlich. Weis wer wie gut die verbunden sind bei der speicherung?

Als grundlage nimmt man dass man ungefragt automatisch zur forschung herangenommen wird.

Bearbeitet von 11Fire01 am 18.04.2018, 10:17

HaBa

Legend
Dr. Funkenstein

Registered: Mar 2001
Location: St. Speidl / Gle..
Posts: 19751

18.04.2018 - 10:28

Ich hab die internern Diskussionen bislang immer mit "was machen wir mit dem revisionsfesten Archiv und dem revisionsfesten ERP" befeuern können

InfiX

she/her

Registered: Mar 2002
Location: Graz
Posts: 14384

18.04.2018 - 13:16

ganz kann ichs immer noch nicht nachvollziehen, was z.b. mit aufzeichnungen zu alten projekten o.ä. ist, da gibt es natürlich archivierten schriftverkehr, und den braucht man auch mal 10+ jahre später noch um entscheidungen von damals nachvollziehen zu können, insbesondere auch wenns um haftungsfragen o.ä. geht, das soll man jetzt alles löschen?

Dreamforcer

New world Order

Registered: Nov 2002
Location: Tirol
Posts: 9048

18.04.2018 - 13:23

nein man muss den kunden informieren dass es eben aus deinen genannten gründen weiterhin gespeichert wird, intressant wirds natürlich wenn es der Kunde gelöscht haben will

Zumindest hab ich es so verstanden

InfiX

she/her

Registered: Mar 2002
Location: Graz
Posts: 14384

18.04.2018 - 13:24

und was wenn es die firmen z.b. gar nicht mehr gibt?

ccr

Registered: Jul 2001
Location: am Dach
Posts: 5865

18.04.2018 - 13:30

Das ist in der Tat ein Problem.
Du musst dann aber unterscheiden zwischen Detaildaten die wirklich noch benötigt werden, und solchen, die nicht mehr benötigt werden.
So kann man zB unbenötigte Daten löschen, oder Datenfelder anonymisieren oder zumindest pseudonymisieren.
Um 30 Jahre später die Haftung zu klären, muss sicher nicht jede jemals verschickte Email aufgehoben werden, sondern es müssen nur bestimmte Entscheidungen dokumentiert werden.

Da steht Unternehmen viel Arbeit bevor, die kein Unternehmen gerne tun möchte, weil sie unmittelbar keinen Mehrwert bringt.

Es ist aber auch eine Chance, die eigenen Archivierungs- und Dokumentationsstrategien auf Effektivität zu durchleuchten.

InfiX

she/her

Registered: Mar 2002
Location: Graz
Posts: 14384

18.04.2018 - 13:36

d.h. man soll jetzt tausende e-mails durchschauen ob da irgendwo daten drin stehen die man nicht benötigt?

und empfangene e-mails kann man in dem fall ja garnicht einfach so editieren.
und was ist dann im falle des falles wenn man bei einer verhandlung mit editierten e-mails kommt, welchen wert haben die dann noch?

daisho

SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19778

18.04.2018 - 14:00

Das mit Emails oder generell Nachrichten die durch ein System laufen würde mich auch brennend interessieren. Wie soll das in der Praxis funktionieren? Dasselbe Problem wird ja auch jeder Exchange Server haben (oder sagen wir, jede Firma die einen Mailserver betreibt - also jede Große).

Wenn jemand daher kommt "bitte alle meine Daten löschen", wie soll das bitte passieren - alle Mails die man mit dessen Namen/Daten findet auf Verdacht löschen, mal abgesehen dass das in einer großen Firma sowieso nur automatisiert gemacht werden kann wenn man sich das Dilemma mal von der praktischen Seite anschaut!?

Earthshaker

Here to stay

Registered: Dec 2002
Location: .de
Posts: 9043

18.04.2018 - 14:03

Beißt sich ja auch wieder mit einer "rechtssicheren Mailarchivierung" die wir zum Beispiel haben.
Alles irgendwas einfach. Hauptsache was gemacht.

ccr

Registered: Jul 2001
Location: am Dach
Posts: 5865

18.04.2018 - 14:10

Bei uns werden E-Mails aus dem täglichen Geschäft, die wichtig sind, abseits des Mailservers in einem Archiv gespeichert.
Am Mailserver wurde jetzt mal vorbereitend alles gelöscht, was älter als 10 Jahre ist

Wir arbeiten auch mit Keyword-Suche am Mailserver, um zumindest besonders kritische E-Mails zu finden (auch in unserem Produktionssystem gibt es jetzt eine solche Suche).

Das Problem beginnt aber schon viel früher: E-Mail-Kommunikation ist bei strenger Auslegung der DSGVO eigentlich nur mehr verschlüsselt möglich, sobald mehr drin steht als „Schönes Wetter heute“. Nichteinmal eine Signatur sollte unverschlüsselt versendet werden.
Wer verschlüsselt aber in der Praxis schon (externe) E-Mails?

Das stellt aktuell viele Firmen vor große Probleme.

Bearbeitet von ccr am 18.04.2018, 14:12

daisho

SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19778

18.04.2018 - 14:16

Ist dafür direkte Verschlüsselung des Inhalts erforderlich (wie z.B. PGP)?

Weil theoretisch kann man Email ja beim Transport via TLS verschlüsseln und wenn es am Server abgelegt/gespeichert wird eben dort in der Datenbank verschlüsselt. (Unsichere Verbindungen (non-TLS) werden einfach verweigert)
Damit wäre die Email ja am gesamten Weg verschlüsselt (zumindest am Weg für den die jeweilige Firma verantwortlich ist)

Cuero

Moderator

Registered: Feb 2001
Location: Erde
Posts: 3554

18.04.2018 - 15:45

TLS kann von jedem admin am weg "mitgelesen" werden bzw. ist ja nicht sichergestellt, dass dann der client auch mit verschlüsselung arbeitet (gibt noch genug, die mit SMTP/POP ohne verschlüsselung senden/empfangen).

wird auch interessant bei beauskunftung, man hat ja ggf. das recht auf die digitale übermittlung der daten, etc.

es gibt so gebastelte lösungen, wo man eine e-mail mit (geschütztem) PDF bekommt und das passwort dafür separat oder preshared oder was auch immer...

die alten daten, die noch notwendig sind, kann man ggf. mit "überwiegendem interesse" begründen, das müsste man sich im einzelfall wohl anschauen bei alten projekten, etc.

aber ja, es beginnt ein bisserl das große ausmisten.

daisho

SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19778

18.04.2018 - 15:50

Zitat aus einem Post von Cuero
TLS kann von jedem admin am weg "mitgelesen" werden bzw. ist ja nicht sichergestellt, dass dann der client auch mit verschlüsselung arbeitet (gibt noch genug, die mit SMTP/POP ohne verschlüsselung senden/empfangen).

Das ist ja auch so ein Punkt ... ein Admin kann ja generell bei allem möglichen mitlesen, Programme sind bislang nicht designed worden dass alle Inhalte vom Admin verborgen werden obwohl dieser auf alles rundherum zugreifen können muss um Probleme zu beheben z.B.

@SMTP/POP ohne TLS: Wie gesagt, unsichere Verbindungen einfach nicht zulassen. Bringt natürlich auch Kompatibilitätsprobleme mit sich, aber immer noch besser als z.B. sowas wie PGP (was in der Praxis schlicht und einfach noch nicht möglich ist)

Zitat aus einem Post von Cuero
wird auch interessant bei beauskunftung, man hat ja ggf. das recht auf die digitale übermittlung der daten, etc.

Oh boy ... mach diesen Topf nicht auf ...

Kann mir vorstellen das in der Praxis auch viele drauf schei..en und die Daten die offensichtlich sind hergezeigt werden und dann einfach geleugnet wird das noch was anderes existiert.

/Edit: Ich meine wenn man Systeme neu designed damit sie diese Richtlinien befolgen - ok, machbar. Aber die Millionen an alten Systemen wo das alles gigantische Ausmaße annehmen würde diese zu ändern ...

ike

Here to stay

Registered: Mar 2007
Location: P8X-873
Posts: 670

18.04.2018 - 21:27

Die Frage stellt sich ja auch was ein Prüforgan eigentlich darf ... auf Verdacht jeden Rechner eines Betriebs beliebig durchforsten?! Kanns ja wohl auch nicht sein, ist ja auch in vielen Fällen nicht/schwer durchführbar.

Wenn dann der DSGVO-Mann klingelt: "Nein, Daten haben wir hier nicht."

InfiX

she/her

Registered: Mar 2002
Location: Graz
Posts: 14384

18.04.2018 - 21:35

Zitat aus einem Post von ike
Wenn dann der DSGVO-Mann klingelt: "Nein, Daten haben wir hier nicht."

hah mmd

11Fire01 Here to stay Registered: Dec 2002 Location: austria Posts: 2417	18.04.2018 - 10:12 Koennte man den patienten anwalt zur anzeige bringen aus .at wegen olga. Und wir schauen zu wie es vor gericht fuer ihn endet. Dann kann man das besser abschaetzen fuer gerichtsverfahren ;D Aus dem herrn koennte man vie lehrreiches hervorbringen. Daten koennens nachvollziehen sicherlich. Weis wer wie gut die verbunden sind bei der speicherung? Als grundlage nimmt man dass man ungefragt automatisch zur forschung herangenommen wird. Bearbeitet von 11Fire01 am 18.04.2018, 10:17
HaBa Legend Dr. Funkenstein Registered: Mar 2001 Location: St. Speidl / Gle.. Posts: 19751	18.04.2018 - 10:28 Ich hab die internern Diskussionen bislang immer mit "was machen wir mit dem revisionsfesten Archiv und dem revisionsfesten ERP" befeuern können
InfiX she/her Registered: Mar 2002 Location: Graz Posts: 14384	18.04.2018 - 13:16 ganz kann ichs immer noch nicht nachvollziehen, was z.b. mit aufzeichnungen zu alten projekten o.ä. ist, da gibt es natürlich archivierten schriftverkehr, und den braucht man auch mal 10+ jahre später noch um entscheidungen von damals nachvollziehen zu können, insbesondere auch wenns um haftungsfragen o.ä. geht, das soll man jetzt alles löschen?
Dreamforcer New world Order Registered: Nov 2002 Location: Tirol Posts: 9048	18.04.2018 - 13:23 nein man muss den kunden informieren dass es eben aus deinen genannten gründen weiterhin gespeichert wird, intressant wirds natürlich wenn es der Kunde gelöscht haben will Zumindest hab ich es so verstanden
InfiX she/her Registered: Mar 2002 Location: Graz Posts: 14384	18.04.2018 - 13:24 und was wenn es die firmen z.b. gar nicht mehr gibt?
ccr Registered: Jul 2001 Location: am Dach Posts: 5865	18.04.2018 - 13:30 Das ist in der Tat ein Problem. Du musst dann aber unterscheiden zwischen Detaildaten die wirklich noch benötigt werden, und solchen, die nicht mehr benötigt werden. So kann man zB unbenötigte Daten löschen, oder Datenfelder anonymisieren oder zumindest pseudonymisieren. Um 30 Jahre später die Haftung zu klären, muss sicher nicht jede jemals verschickte Email aufgehoben werden, sondern es müssen nur bestimmte Entscheidungen dokumentiert werden. Da steht Unternehmen viel Arbeit bevor, die kein Unternehmen gerne tun möchte, weil sie unmittelbar keinen Mehrwert bringt. Es ist aber auch eine Chance, die eigenen Archivierungs- und Dokumentationsstrategien auf Effektivität zu durchleuchten.
InfiX she/her Registered: Mar 2002 Location: Graz Posts: 14384	18.04.2018 - 13:36 d.h. man soll jetzt tausende e-mails durchschauen ob da irgendwo daten drin stehen die man nicht benötigt? und empfangene e-mails kann man in dem fall ja garnicht einfach so editieren. und was ist dann im falle des falles wenn man bei einer verhandlung mit editierten e-mails kommt, welchen wert haben die dann noch?
daisho SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19778	18.04.2018 - 14:00 Das mit Emails oder generell Nachrichten die durch ein System laufen würde mich auch brennend interessieren. Wie soll das in der Praxis funktionieren? Dasselbe Problem wird ja auch jeder Exchange Server haben (oder sagen wir, jede Firma die einen Mailserver betreibt - also jede Große). Wenn jemand daher kommt "bitte alle meine Daten löschen", wie soll das bitte passieren - alle Mails die man mit dessen Namen/Daten findet auf Verdacht löschen, mal abgesehen dass das in einer großen Firma sowieso nur automatisiert gemacht werden kann wenn man sich das Dilemma mal von der praktischen Seite anschaut!?
Earthshaker Here to stay Registered: Dec 2002 Location: .de Posts: 9043	18.04.2018 - 14:03 Beißt sich ja auch wieder mit einer "rechtssicheren Mailarchivierung" die wir zum Beispiel haben. Alles irgendwas einfach. Hauptsache was gemacht.
ccr Registered: Jul 2001 Location: am Dach Posts: 5865	18.04.2018 - 14:10 Bei uns werden E-Mails aus dem täglichen Geschäft, die wichtig sind, abseits des Mailservers in einem Archiv gespeichert. Am Mailserver wurde jetzt mal vorbereitend alles gelöscht, was älter als 10 Jahre ist Wir arbeiten auch mit Keyword-Suche am Mailserver, um zumindest besonders kritische E-Mails zu finden (auch in unserem Produktionssystem gibt es jetzt eine solche Suche). Das Problem beginnt aber schon viel früher: E-Mail-Kommunikation ist bei strenger Auslegung der DSGVO eigentlich nur mehr verschlüsselt möglich, sobald mehr drin steht als „Schönes Wetter heute“. Nichteinmal eine Signatur sollte unverschlüsselt versendet werden. Wer verschlüsselt aber in der Praxis schon (externe) E-Mails? Das stellt aktuell viele Firmen vor große Probleme. Bearbeitet von ccr am 18.04.2018, 14:12
daisho SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19778	18.04.2018 - 14:16 Ist dafür direkte Verschlüsselung des Inhalts erforderlich (wie z.B. PGP)? Weil theoretisch kann man Email ja beim Transport via TLS verschlüsseln und wenn es am Server abgelegt/gespeichert wird eben dort in der Datenbank verschlüsselt. (Unsichere Verbindungen (non-TLS) werden einfach verweigert) Damit wäre die Email ja am gesamten Weg verschlüsselt (zumindest am Weg für den die jeweilige Firma verantwortlich ist)
Cuero Moderator Registered: Feb 2001 Location: Erde Posts: 3554	18.04.2018 - 15:45 TLS kann von jedem admin am weg "mitgelesen" werden bzw. ist ja nicht sichergestellt, dass dann der client auch mit verschlüsselung arbeitet (gibt noch genug, die mit SMTP/POP ohne verschlüsselung senden/empfangen). wird auch interessant bei beauskunftung, man hat ja ggf. das recht auf die digitale übermittlung der daten, etc. es gibt so gebastelte lösungen, wo man eine e-mail mit (geschütztem) PDF bekommt und das passwort dafür separat oder preshared oder was auch immer... die alten daten, die noch notwendig sind, kann man ggf. mit "überwiegendem interesse" begründen, das müsste man sich im einzelfall wohl anschauen bei alten projekten, etc. aber ja, es beginnt ein bisserl das große ausmisten.
daisho SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19778	18.04.2018 - 15:50 Zitat aus einem Post von Cuero TLS kann von jedem admin am weg "mitgelesen" werden bzw. ist ja nicht sichergestellt, dass dann der client auch mit verschlüsselung arbeitet (gibt noch genug, die mit SMTP/POP ohne verschlüsselung senden/empfangen). Das ist ja auch so ein Punkt ... ein Admin kann ja generell bei allem möglichen mitlesen, Programme sind bislang nicht designed worden dass alle Inhalte vom Admin verborgen werden obwohl dieser auf alles rundherum zugreifen können muss um Probleme zu beheben z.B. @SMTP/POP ohne TLS: Wie gesagt, unsichere Verbindungen einfach nicht zulassen. Bringt natürlich auch Kompatibilitätsprobleme mit sich, aber immer noch besser als z.B. sowas wie PGP (was in der Praxis schlicht und einfach noch nicht möglich ist) Zitat aus einem Post von Cuero wird auch interessant bei beauskunftung, man hat ja ggf. das recht auf die digitale übermittlung der daten, etc. Oh boy ... mach diesen Topf nicht auf ... Kann mir vorstellen das in der Praxis auch viele drauf schei..en und die Daten die offensichtlich sind hergezeigt werden und dann einfach geleugnet wird das noch was anderes existiert. /Edit: Ich meine wenn man Systeme neu designed damit sie diese Richtlinien befolgen - ok, machbar. Aber die Millionen an alten Systemen wo das alles gigantische Ausmaße annehmen würde diese zu ändern ...
ike Here to stay Registered: Mar 2007 Location: P8X-873 Posts: 670	18.04.2018 - 21:27 Die Frage stellt sich ja auch was ein Prüforgan eigentlich darf ... auf Verdacht jeden Rechner eines Betriebs beliebig durchforsten?! Kanns ja wohl auch nicht sein, ist ja auch in vielen Fällen nicht/schwer durchführbar. Wenn dann der DSGVO-Mann klingelt: "Nein, Daten haben wir hier nicht."
InfiX she/her Registered: Mar 2002 Location: Graz Posts: 14384	18.04.2018 - 21:35 Zitat aus einem Post von ike Wenn dann der DSGVO-Mann klingelt: "Nein, Daten haben wir hier nicht." hah mmd

Datenschutz-Grundverordnung

Forum Index > Real Life > World Events & Politics

11Fire01

HaBa

InfiX

Dreamforcer

InfiX

ccr

InfiX

daisho

Earthshaker

ccr

daisho

Cuero

daisho

ike

InfiX