Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
News Datenschutz-Aufsichtsbehörde: Teams und Zoom lassen sich nicht DSGVO-konform nutzen
- Status
- Neue Beiträge in diesem Thema müssen von einem Moderator freigeschaltet werden, bevor sie für andere Nutzer sichtbar sind.
Ich fasse es nicht, und muss es immer wieder sagen:
Ein US Unternehmen kann nicht DSGVO konform arbeiten. Es unterliegt dem US Cloud Act und somit konträr zur DSGVO.
Warum wohl kann auch die Schul.cloud nicht darauf aufsetzen?
btw.: Es gibt soviele lokale Provider und dazu soviele Lösungen die man nutzen kann.
Wie die Lemminge rennt man den US Konzernen hinterher und und wundert sich über die eigene Unfähigkeit mit der IT. Trauriges Spiel ...
Ein US Unternehmen kann nicht DSGVO konform arbeiten. Es unterliegt dem US Cloud Act und somit konträr zur DSGVO.
Warum wohl kann auch die Schul.cloud nicht darauf aufsetzen?
btw.: Es gibt soviele lokale Provider und dazu soviele Lösungen die man nutzen kann.
Wie die Lemminge rennt man den US Konzernen hinterher und und wundert sich über die eigene Unfähigkeit mit der IT. Trauriges Spiel ...
@united24 , sorry aber die pauschale Aussage ist auch falsch. Solange man keine schützenswerten Daten in dem Tool verwendet kann man es nutzen.
Sprich, der normale Lernstoff, keine Noten und schon ist es wahrscheinlich möglich es zu nutzen.
Ein Produkt oder ein Unternehmen kann perSe nicht nicht Datenschutzkonform sein. Es wird es erst dann, wenn man schaut welche Daten wie darin verwendet werden.
Auch ein nicht abgeschlossener Aktenschrank in einem öffentlichen Büro hat keine Relevanz für den Datenschutz. Erst wenn man dort Akten reinpakt die datenschutzrelevante Daten enthalten muss man sich um das Thema Datenschutzkonformität kümmern.
Sprich, der normale Lernstoff, keine Noten und schon ist es wahrscheinlich möglich es zu nutzen.
Ein Produkt oder ein Unternehmen kann perSe nicht nicht Datenschutzkonform sein. Es wird es erst dann, wenn man schaut welche Daten wie darin verwendet werden.
Auch ein nicht abgeschlossener Aktenschrank in einem öffentlichen Büro hat keine Relevanz für den Datenschutz. Erst wenn man dort Akten reinpakt die datenschutzrelevante Daten enthalten muss man sich um das Thema Datenschutzkonformität kümmern.
Der Act bezieht sich auf gespeicherte Daten, also trifft zumindest nicht zu, solange man die Meeetings nicht mithilfe Zoom selber aufzeichnet, würde ich jedenfalls so interpretieren. Darüber hinaus bietet Zoom seit einiger auch (echte ) E2E Verschlüsselung an. Generell muss ich sagen haben sie gut und zügig auf Kritik reagiert letztes Jahr und recht schnell Funktionen entfernt oder eingebaut.united24 schrieb:Ein US Unternehmen kann nicht DSGVO konform arbeiten. Es unterliegt dem US Cloud Act und somit konträr zur DSGVO.
Je nach Größe, wir benutzen hier in der Abteilung (~20 Personen) eine self hosted jitsi Instanz. Die IT unserer Abteilung ist auch ganz fit und verwaltet seit Jahren recht zuverlässig 100+ Arbeitsplätze nebenbei. So ganz trivial war das mit Jitsi dann aber auch nicht soweit ich gehört habe und es hat immer mal ein paar Problemchen gegeben.united24 schrieb:btw.: Es gibt soviele lokale Provider und dazu soviele Lösungen die man nutzen kann.
Und für 1000+ parallele Nutzer wird es schon sehr eng wenn man viele Features haben muss (umfangreiche Moderations-Möglichkeiten z.B.). Zumindest Jitsi mangelt es da leider noch an ganz vielen Dingen, was verständlich ist. Bei BigBlueButton weiß ich es nicht so genau. Aber ein "man kann doch auch einfach" ist das alles jedenfalls nicht.
Von dem was ich am Rand mitbekommen habe waren jedenfalls alle, die auf Zoom gesetzt haben sehr zufrieden und da wo was anderes eingesetzt worden ist hab ich eher gemischtes Feedback wahrgenommen. Die Uptime war auch relativ hoch, was ich äußerst bemerkenswert finde, jedenfalls wenn ich die Skalierung bedenke die sie vollziehen mussten, ich glaube einen halben Tag lang im Herbst/Winter gab es letztes Jahr Probleme. März/April/Mai -> keinerlei Probleme. Zoom hat sich einfach als richtige Wahl herausgestellt. Ich habe allerdings schon vernommen, dass man hier bei uns global mittelfristig gerne BigBlueButton haben will, ich denke mal self hosted. Aber das war natürlich keine Option letzten Frühling als recht kurzfristig viele Menschen ins HomeOffice wechselten und auch unabhängig davon Meetings vornehmlich per Videokonferenz abgehalten haben.
Und genau da kann man sich streiten. Die Daten werden erst einmal zum Server gesendet. Kann man das nicht schon als speichern bezeichnen? Auch wenn es nur ein paar Millisekunden sindBeBur schrieb:Der Act bezieht sich auf gespeicherte Daten, also trifft zumindest nicht zu, solange man die Meeetings nicht mithilfe Zoom selber aufzeichnet, würde ich jedenfalls so interpretieren.
Zuletzt bearbeitet:
- Registriert
- Aug. 2008
- Beiträge
- 13.647
Sorry, aber das ist so pauschal ausgedrückt schlichtweg falsch.jonderson schrieb:Die Daten werden erst einmal zum Amerikanischen Server gesendet.
In einem EU Tenant liegen die Daten ausschließlich in der EU.
Wenn du als RZ Standort DE ausgewählt hast, liegen sie dort. Selbst wenn du in Amerika auf die Daten zugreifen willst, kommt aus dem amerikanischen RZ nur das Frontend, die Daten werden aus dem EU/DE RZ verschlüsselt gestreamt.
Sry, hab das mal korrigiert, meinte eigentlich Server eines amerikanischen Unternehmens.
Wo diese Server liegen ist meiner Information nach dem amerikanischem Recht egal.
Deswegen hat(te) ja Microsoft das in Deutschland teilweise die Telekom hosten lassen.
Man kann Teams self hosten?
Wo diese Server liegen ist meiner Information nach dem amerikanischem Recht egal.
Deswegen hat(te) ja Microsoft das in Deutschland teilweise die Telekom hosten lassen.
o0Julia0o schrieb:Man kann doch auch die education Edition von Teams self hosten, oder nicht? Dann wäre ja alles gut.
Man kann Teams self hosten?
Sorry, aber das mal gar nicht richtig.Zensai schrieb:Sorry, aber das ist so pauschal ausgedrückt schlichtweg falsch.
In einem EU Tenant liegen die Daten ausschließlich in der EU.
Wenn du als RZ Standort DE ausgewählt hast, liegen sie dort. Selbst wenn du in Amerika auf die Daten zugreifen willst, kommt aus dem amerikanischen RZ nur das Frontend, die Daten werden aus dem EU/DE RZ verschlüsselt gestreamt.
Die Daten werden immer über US geleitet, da deren IP Routing exakt so arbeitet. Und genau das ist eines der Kernprobleme. Und die Problematik, dass man überall Hintertüren hat und mit schnüffelt.
Da ich selbst bei GAIA-X mitwirke, ist das Thema Datenhoheit ein explizites Thema. Warum wohl wird das in Europa erzeugt? Weil Microsoft so sicher ist ? Oder AWS? Nein, weil in Europa ein eigener Standard geschaffen werden muss. Und der Datenmarktplatz hier bleibt und an den Grenzen nicht weiter geht!
Jedes Unternehmen aus den USA unterliegt diesem Gesetz. Daher ist es per se nicht möglich irgendeinen Dienst der Online / OS betrieben wird, nach DSGVO korrekt zu nutzen.
Es gibt nicht umsonst Urteile im Datenschutzbereich in Europa die das belegen.
In Teams kann ich auch nicht einfach mich so anmelden. Dazu benötigt man ein Konto / Subskription - das mit entsprechenden Werten verknüpft ist. Soviel mal zum Thema Daten die nicht das Land verlassen.
Und wenn mir nicht glaubst, dann lade ich Dich gerne mal ein, wenn wir in Europa unsere Meetings zu diesem Thema abhalten.
Kannst bei Plusserver / IONOS und Konsortien ebenfalls nachlesen.
Im übrigen, warum hat man wohl das Thema RZ verwaltet von der T-Systems als Datenhoheit Verwalter das ganze eingestellt?
Naja, die T-Systems hat Ihren Hauptsitz in ?
Und bezahlen wollte es auch keiner.
Die ganze Diskussion is absurdum. Man hat genügend eigene Themen die man nutzen könnte.
Erst heute gibt es wieder einen Artike dazu bezüglich MS Dienste in Schulen zu nutzen!
https://www.heise.de/news/Streit-um...t-Produkten-im-Digitalunterricht-5023299.html
--
Wenn ich sehe, was wir in Deutschland an IT Fachleuten im Cloud Bereich haben, dann spiegelt es exakt unsere momentane Lage dar.
Autoindustrie: Versagt an Tesla -> Nicht am Auto, sondern an der Software
SAP -> Versagt kläglich an einer Corona App
China baut Autos -> Die Hülle kann jeder, aber die Software -> machen andere besser wie wir.
Nachwuchs?
Mitarbeiter ?
Die Alte Garde versucht immer noch on premise IT 1zu1 in die Cloud zu übertragen.
Wir haben richtig Probleme Mitarbeiter zu finden, die überhaupt noch fähig sind, Router in einem RZ betreuen zu können.
- Registriert
- Aug. 2008
- Beiträge
- 13.647
Nein, gibt es nicht und wird es nie geben. Teams besteht in seiner Gesamtheit aus über 75 verschiedenen Produkten, die alle ineinander greifen. Allein deshalb schon nicht.jonderson schrieb:Man kann Teams self hosten?
@united24
Beim zweiten Teil deines Beitrages bin ich voll dabei. Bezüglich des ersten Teils:
Du kannst mir also mit Quellen belegen, dass Microsoft mit gleich mehreren Aussagen absichtlich dir Unwahrheit verbreitet, zb hier (Verdammt wo ist die seite hin die ich eigentlich gesucht habe, die hier tuts aber auch) :
https://www.microsoft.com/de-de/trust-center/privacy/data-location
Zumindest nehme ich deinen Post so auf.
Versteh mich nicht falsch. Mir sind die Bedenken und auch die Rechtslage sowohl hier als auch bzgl Cloud Act, Schrems II klar. Ich arbeite ja auch schon ein bisschen der Branche. Mit Microsoft, Behörden, Pharma- Gesundheits- und Finanzkonzernen.
Das Thema ist unheimlich komplex und sicherlich gibt es da (leider) Spielraum und gegensätzliche Aussagen. Wie du sagtest: Cloud Act und DSGVO sind eigentlich nicht unter einen Hut zu bringen.
Man darf nicht immer blind vertrauen und es muss Kontrollinstanzen, Strafen und alles drumherum geben. Aber: Man muss ebenso Unternehmen wie auch Menschen zu einem Gewissen grad vertrauen können und wissen, dass die sich schon sehr wohl bewusst sind was es bedeutet wenn sie ähnlich PRISM handeln.
Denn sie sind immerhin keine Regierung, die da mit nem wirklich blauen Auhe davon kommt. Und sie sind abhängig von ihren Kunden, die sie definitiv dafür bestrafen würden.
o0Julia0o
Commander
- Registriert
- Dez. 2012
- Beiträge
- 2.771
O.k., aber es gibt doch dieses datenschutzsichere Teams (Education Edition). Dann liegen die Sachen alle in der EU halt. Dazu wurde doch überhaupt erst diese Edition geschaffen.Zensai schrieb:Nein, gibt es nicht und wird es nie geben. Teams besteht in seiner Gesamtheit aus über 75 verschiedenen Produkten, die alle ineinander greifen. Allein deshalb schon nicht.
- Registriert
- Aug. 2008
- Beiträge
- 13.647
Nein, es gibt dahingehend zwar einen Unterschied, aber nicht woe du Denkst. Education ist zunächst mal ein anderes Lizenzmodell, außerdem erhält es andere, auf den Bildungssektor zugeschnittene Funktionen und Sicherheits/Datenschutzfeatures, weil der Bildjngssektor andere Anforderungen hat und man die Richtlinien, denen Unternehmen folgen nicht 1:1 auf Schulen übertragen kann.
Ob du in deiner Region Teams einsetzen kannst, klärst du mit der jeweiligen Schulinsitution oder dem zuständigen Datenschutzbeauftragten.
Die Daten liegen auch so in Deutschland/der EU respektive. Siehe mein voriger Post. Das ist ja genau die Sache, die @united24 und ich grade Diskutieren.
Lies dir einfach mal seinen und meinen Post inkl Link durch und entscheide für dich wie du das siehst.
Ob du in deiner Region Teams einsetzen kannst, klärst du mit der jeweiligen Schulinsitution oder dem zuständigen Datenschutzbeauftragten.
Die Daten liegen auch so in Deutschland/der EU respektive. Siehe mein voriger Post. Das ist ja genau die Sache, die @united24 und ich grade Diskutieren.
Lies dir einfach mal seinen und meinen Post inkl Link durch und entscheide für dich wie du das siehst.
Madman1209
Fleet Admiral
- Registriert
- Nov. 2010
- Beiträge
- 28.100
Hi,
es spielt auch keine große Rolle wo die Daten liegen. Selbst wenn Microsoft die Daten nur in DE liegen hat muss zusätzlich sichergestellt werden, dass auch z.B. bei einer Wartung oder einem Datenzugriff für die Administration kein Zugriff aus einem unsicheren Drittstaat erfolgt. Solange das nicht sichergestellt ist können die Daten alle in Frankfurt liegen, wenn am Ende ein Admin / ITler von Microsoft Zugriff hat (und sei es auch nur in der Theorie, sprich: er hat einen Account für den Zugriff) ist es nicht mehr DSGVO-konform.
Sofern das sichergestellt ist spielt das keine Rolle, aber ist das sichergestellt? Ich kenne keine Aussage von Microsoft dazu.
VG,
Mad
es spielt auch keine große Rolle wo die Daten liegen. Selbst wenn Microsoft die Daten nur in DE liegen hat muss zusätzlich sichergestellt werden, dass auch z.B. bei einer Wartung oder einem Datenzugriff für die Administration kein Zugriff aus einem unsicheren Drittstaat erfolgt. Solange das nicht sichergestellt ist können die Daten alle in Frankfurt liegen, wenn am Ende ein Admin / ITler von Microsoft Zugriff hat (und sei es auch nur in der Theorie, sprich: er hat einen Account für den Zugriff) ist es nicht mehr DSGVO-konform.
Sofern das sichergestellt ist spielt das keine Rolle, aber ist das sichergestellt? Ich kenne keine Aussage von Microsoft dazu.
VG,
Mad
@Madman1209
Deine Aussage hier ist auch nicht 100% richtig. Wenn ich als Deutscher in einem unsicheren Drittstaat Urlaub mache und auf meine Unternehmensdaten zugreife welche in einem RZ meines europäischen Unternehmens in Deutschland liegen, würde ich gegen die DSGVO verstossen. Was aber nicht korrekt ist.
Ich dürfte auch keine Akten mehr in einen Aktenordner in Kanada legen...
---
Hier wird zu oft zu oft zu verallgemeinert. Grundlage bei allem sind die Daten, nicht Systeme oder Orte. Die Kategoriersiung und Typisierung der Daten ist zwingend Basisi von allem wofür der Datenschutz zuständig ist.
Wenn die Daten als datenschutzwürdig (hier gibt es unterschiedliche Klassen) greift der Datenschutz. Manchmal ist auch der Kombination von Daten relevant. Eine Liste von Namen ist nicht Datenschutz relevant. Eine Liste von Alter und Geschlecht ist nicht Datenschutz relevant. Eine Kombination von beiden ist dann aber Datenschutz relevant. Weiterhin spielt auch hier eine Rolle für welchen Zweck ich Daten speichere.
Logging Daten aus Security Sicht zu speichern ist ok. Zweck Verbesserung des Mitarbeiters. Verstösst gegen nichts. Ich darf die Daten aber nicht nutzen um zu prüfen was der Mitarbeiter tut.
Wenn man nämlich nicht die Daten als Basis nimmt sondern ein Produkt dann ist auch OpenOffice nicht Datenschutzkonform, weil es erlaubt mir das Speichern in einen Cloudspeicher. Außerdem kann man damit Mitarbeiterüberwachung betreiben, weil ich ja Starten und Beenden des Tools auslesen kann....
Wenn ich als Unternehmen meine nicht Datenschutzrelevanten Daten in der USA speichere verstosse ich gegen gar nichts. So kann ich auch Teams nutzen, wenn ich organisatorisch meine Mitarbeiter anweise dort nichts zu sagen, präsentieren oder speichere was Datenschutzrelevanz hat. Prüfen muss man das eigentlich auch alles mit der Datenschutzfolgeabschätzung, dessen Ergebnisse einem hilft dabei welche Maßnahmen zur Einhaltung des Schutzes notwendig sind.
Deine Aussage hier ist auch nicht 100% richtig. Wenn ich als Deutscher in einem unsicheren Drittstaat Urlaub mache und auf meine Unternehmensdaten zugreife welche in einem RZ meines europäischen Unternehmens in Deutschland liegen, würde ich gegen die DSGVO verstossen. Was aber nicht korrekt ist.
Ich dürfte auch keine Akten mehr in einen Aktenordner in Kanada legen...
---
Hier wird zu oft zu oft zu verallgemeinert. Grundlage bei allem sind die Daten, nicht Systeme oder Orte. Die Kategoriersiung und Typisierung der Daten ist zwingend Basisi von allem wofür der Datenschutz zuständig ist.
Wenn die Daten als datenschutzwürdig (hier gibt es unterschiedliche Klassen) greift der Datenschutz. Manchmal ist auch der Kombination von Daten relevant. Eine Liste von Namen ist nicht Datenschutz relevant. Eine Liste von Alter und Geschlecht ist nicht Datenschutz relevant. Eine Kombination von beiden ist dann aber Datenschutz relevant. Weiterhin spielt auch hier eine Rolle für welchen Zweck ich Daten speichere.
Logging Daten aus Security Sicht zu speichern ist ok. Zweck Verbesserung des Mitarbeiters. Verstösst gegen nichts. Ich darf die Daten aber nicht nutzen um zu prüfen was der Mitarbeiter tut.
Wenn man nämlich nicht die Daten als Basis nimmt sondern ein Produkt dann ist auch OpenOffice nicht Datenschutzkonform, weil es erlaubt mir das Speichern in einen Cloudspeicher. Außerdem kann man damit Mitarbeiterüberwachung betreiben, weil ich ja Starten und Beenden des Tools auslesen kann....
Wenn ich als Unternehmen meine nicht Datenschutzrelevanten Daten in der USA speichere verstosse ich gegen gar nichts. So kann ich auch Teams nutzen, wenn ich organisatorisch meine Mitarbeiter anweise dort nichts zu sagen, präsentieren oder speichere was Datenschutzrelevanz hat. Prüfen muss man das eigentlich auch alles mit der Datenschutzfolgeabschätzung, dessen Ergebnisse einem hilft dabei welche Maßnahmen zur Einhaltung des Schutzes notwendig sind.
Madman1209
Fleet Admiral
- Registriert
- Nov. 2010
- Beiträge
- 28.100
Hi,
eben - du als Deutscher! Das ist eine Einschränkung! Ich bezweifle, dass ein Deutscher ITler oder Admin nach Rumänien oder Indien geht um von dort deutsche Server für Microsoft fernzuwarten. Das machen ansässige Subunternehmen. Und damit ist es ein DSGVO Problem. Punkt.
es sollte selbstredend sein, dass es nur um soclhe Daten geht von denen hier gesprochen wird. Niemand redet davon, nicht schutzwürdige Daten per DSGVO absichern zu wollen, das impliziert der Kontext um den es hier geht.
VG,
Mad
Deine Aussage hier ist auch nicht 100% richtig. Wenn ich als Deutscher in einem unsicheren Drittstaat
eben - du als Deutscher! Das ist eine Einschränkung! Ich bezweifle, dass ein Deutscher ITler oder Admin nach Rumänien oder Indien geht um von dort deutsche Server für Microsoft fernzuwarten. Das machen ansässige Subunternehmen. Und damit ist es ein DSGVO Problem. Punkt.
Wenn die Daten als datenschutzwürdig (hier gibt es unterschiedliche Klassen) greift der Datenschutz
es sollte selbstredend sein, dass es nur um soclhe Daten geht von denen hier gesprochen wird. Niemand redet davon, nicht schutzwürdige Daten per DSGVO absichern zu wollen, das impliziert der Kontext um den es hier geht.
VG,
Mad
o0Julia0o
Commander
- Registriert
- Dez. 2012
- Beiträge
- 2.771
Und so konkret steht das in der DSGVO? Also deutsche vom Ausland dürfen zugreifen, aber Ausländer nach Deutschland nicht?Madman1209 schrieb:eben - du als Deutscher! Das ist eine Einschränkung! Ich bezweifle, dass ein Deutscher ITler oder Admin nach Rumänien oder Indien geht um von dort deutsche Server für Microsoft fernzuwarten. Das machen ansässige Subunternehmen. Und damit ist es ein DSGVO Problem. Punkt.
Also, wenn mein Chef sagt, er hat in den Logdateien gesehen, dass ich in der Zoom-Konferenz gestern Abend gar nicht mit dabei war, dann darf er das, weile es Mitarbeiterverbesserung ist? Oder darf er es nicht, weil er damit überprüft hat, was ich getan habe? Oder darf er nur nicht live überprüfen was ich tue? Oder ist es irrelevant, weil er es auch hätte durch Befragung herausfinden können?KadmosIII schrieb:Logging Daten aus Security Sicht zu speichern ist ok. Zweck Verbesserung des Mitarbeiters. Verstösst gegen nichts. Ich darf die Daten aber nicht nutzen um zu prüfen was der Mitarbeiter tut.
Wenn ich in der Cloud aber DSGVO-konforme Daten speichere, wäre ja alles o.k. Außerdem könnte die Cloud doch in der EU sein.KadmosIII schrieb:Wenn man nämlich nicht die Daten als Basis nimmt sondern ein Produkt dann ist auch OpenOffice nicht Datenschutzkonform, weil es erlaubt mir das Speichern in einen Cloudspeicher. Außerdem kann man damit Mitarbeiterüberwachung betreiben, weil ich ja Starten und Beenden des Tools auslesen kann....
Nur weil ich Mitarbeiterüberwachungen ausführen kann, ist das doch nicht automatisch verboten einzusetzen. Ich muss es ja nicht dazu nutzen. Ich könnte ja auch mit einen Kugelschreiber die Augen meiner Mitarbeiter herauspulen. Wenn ich es nicht tue, dann bleibt der Kugelschreiber doch erlaubt.
Ich finde dazu folgendes: "Das Bundesverfassungsgericht stellte fest, dass unter den Verarbeitungs- und Verknüpfungsmöglichkeiten der Informationstechnologie auch ein für sich gesehen belangloses Datum einen neuen Stellenwert bekommen könne und es insoweit keine belanglosen Daten gebe."KadmosIII schrieb:Wenn ich als Unternehmen meine nicht Datenschutzrelevanten Daten in der USA speichere verstosse ich gegen gar nichts.
Quelle: https://de.wikipedia.org/wiki/Informationelle_Selbstbestimmung
Demnach gibt es keine datenschutzunrelevante Daten. Oder wer entscheiet das?
Warum werden meine Posts eigentlich erst durch einen Moderator begutachtet? Habe ich etwas falsch gemacht?
Madman1209
Fleet Admiral
- Registriert
- Nov. 2010
- Beiträge
- 28.100
Hi,
das Beispiel war vom anderen User einfach ganz ganz schlecht gewählt. Er sprach ja davon, dass er vom Ausland auf seine Daten zugreift. Und das ist natürlich kein Verstoß.
Ich habe impliziert, dass ein Dienstleister aus einem unsicheren Drittstaat auf fremde Daten und Rechner zugreift und dieser dann auch Staatsangehöriger dieses Drittstaates ist.
es geht um Zweckbindung. Eine Überwachungskamera, die den Zweck hat, die Gebäudesicherheit sicher zu stellen darf auch nicht benutzt werden, um Mitarbeiterprofile zu erstellen, wann wer kommt und geht.
Solange man die erhobenen Daten nur für den bestimmten - und festgelegten, nicht variablen (!) - Zweck verwendet darf man das natürlich.
Bei deinem Zitat des BVG geht es um Metadaten. Daten könnten für andere Dinge verwendet und per Logik zusammengefüt werden, so dass diese doch plötzlich wichtig werden. Das sind sehr viele Konjunktive.
Was nach aktuellem geltenden Recht (besonders) schutzwürdige Daten sind ist sehr eindeutig festgelegt.
VG,
Mad
Also deutsche vom Ausland dürfen zugreifen, aber Ausländer nach Deutschland nicht?
das Beispiel war vom anderen User einfach ganz ganz schlecht gewählt. Er sprach ja davon, dass er vom Ausland auf seine Daten zugreift. Und das ist natürlich kein Verstoß.
Ich habe impliziert, dass ein Dienstleister aus einem unsicheren Drittstaat auf fremde Daten und Rechner zugreift und dieser dann auch Staatsangehöriger dieses Drittstaates ist.
Also, wenn mein Chef sagt, er hat in den Logdateien gesehen, dass...
es geht um Zweckbindung. Eine Überwachungskamera, die den Zweck hat, die Gebäudesicherheit sicher zu stellen darf auch nicht benutzt werden, um Mitarbeiterprofile zu erstellen, wann wer kommt und geht.
Solange man die erhobenen Daten nur für den bestimmten - und festgelegten, nicht variablen (!) - Zweck verwendet darf man das natürlich.
Bei deinem Zitat des BVG geht es um Metadaten. Daten könnten für andere Dinge verwendet und per Logik zusammengefüt werden, so dass diese doch plötzlich wichtig werden. Das sind sehr viele Konjunktive.
Was nach aktuellem geltenden Recht (besonders) schutzwürdige Daten sind ist sehr eindeutig festgelegt.
VG,
Mad
Genau das darf er nicht, wenn es dazu nicht eine Betriebsvereinbarung gibt. Wir betreuen mehrere Unternehmen in unserem Konzern. Es gibt hier keinen Konzernbetriebsrat. In einem Unternehmen gibt es eine Vereinbarung das der Betriebsrat die Login Daten erhält um damit zu prüfen das es nicht zuviele Überstunden gibt und Nicht-Arbeitszeiten eingehalten werden. Dazu werden dann auch nur Login und Logout übergeben, aber nicht die Logs zu anderen Thematiken. Würde der Betriebsrat die Daten für etwas anderes nutzen als in dem oben beschriebenen Szenario, wäre es ein Datenschutzvorfall.o0Julia0o schrieb:Also, wenn mein Chef sagt, er hat in den Logdateien gesehen, dass ich in der Zoom-Konferenz gestern Abend gar nicht mit dabei war, dann darf er das, weile es Mitarbeiterverbesserung ist? Oder darf er es nicht, weil er damit überprüft hat, was ich getan habe? Oder darf er nur nicht live überprüfen was ich tue? Oder ist es irrelevant, weil er es auch hätte durch Befragung herausfinden können?
Bei allen anderen Unternehmen dürfen die Daten nur für Security genutzt werden. Wenn man diese dann für etwas anderes verwenden würde, wäre es ein Datenschutzvorfall.
Auch hier ist es nicht so einfach. Man muss immer wirklich schauen welche Daten wo gespeichert werden. Vor allem ist hier auch das Backup und Desaster-Szenario zu berücksichtigen. Allgemein erhälst Du da nur schwer eine wirklich belastbare Aussage.o0Julia0o schrieb:Wenn ich in der Cloud aber DSGVO-konforme Daten speichere, wäre ja alles o.k. Außerdem könnte die Cloud doch in der EU sein.
Nur weil ich Mitarbeiterüberwachungen ausführen kann, ist das doch nicht automatisch verboten einzusetzen. Ich muss es ja nicht dazu nutzen. Ich könnte ja auch mit einen Kugelschreiber die Augen meiner Mitarbeiter herauspulen. Wenn ich es nicht tue, dann bleibt der Kugelschreiber doch erlaubt.
Das ist genau das was ich vorhin beschrieben habe. Einzelne Daten müssen nicht relevant sein. Ein Datum allein ist nicht relevant. Ist das Datum ein Geburtsdatum und steht in einem Datensatz zu der dazugehörigen Person, dann wird das Datum datenschutzrelevant.o0Julia0o schrieb:Ich finde dazu folgendes: "Das Bundesverfassungsgericht stellte fest, dass unter den Verarbeitungs- und Verknüpfungsmöglichkeiten der Informationstechnologie auch ein für sich gesehen belangloses Datum einen neuen Stellenwert bekommen könne und es insoweit keine belanglosen Daten gebe."
Quelle: https://de.wikipedia.org/wiki/Informationelle_Selbstbestimmung
Demnach gibt es keine datenschutzunrelevante Daten. Oder wer entscheiet das?
Sorry, aber das ist Blödsinn. Der Zugriff ist unabhängig von der Staatsangehörigkeit. Weil laut Deiner Logik dürfte ein Inder der bei uns beschäftigt ist in Frankreich nicht auf die Daten zugreifen. Und ich spreche nicht von Microsoft sondern von einem Deutschen RZ eines europäischen Unternehmens. Bitte wenn dann komplett und richtig zitieren. Microsoft kommt von Dir. Und ein onPrem Microsoft-Server in meinem RZ darf über einen entsprechend konfigurierten Zugriff auch von Drittstaaten betreut werden. Ich sage nur mal Netzwerksegmentierung und Jumphosts.Madman1209 schrieb:eben - du als Deutscher! Das ist eine Einschränkung! Ich bezweifle, dass ein Deutscher ITler oder Admin nach Rumänien oder Indien geht um von dort deutsche Server für Microsoft fernzuwarten. Das machen ansässige Subunternehmen. Und damit ist es ein DSGVO Problem. Punkt.
Es ist im Zweifel auch nicht relevant ob der Zugriff durch ein Admin oder normalen Nutzer erfolgt. Die Daten müssen aufgrund Ihrer Klassifizierung entsprechend gesichert abgelegt sein. Der Zugriff muss durch Maßnahmen entsprechend beschränkt sein.
o0Julia0o
Commander
- Registriert
- Dez. 2012
- Beiträge
- 2.771
Also die Betonung lieg auf EINEN Zweck? Ansonsten könnte man ja die Logdaten dazu nutzen, um zu gucken, ob der Server erreichbar war und oder ob die Mitarbeiter der Sitzung gejoint sind. Oder man könnte eine Videokonferenz nutzen um miteiander zu kommunizieren aber auch um zu gucken, ob die Mitarbeiter alle ihre Firmenmützen auf haben.Madman1209 schrieb:Solange man die erhobenen Daten nur für den bestimmten - und festgelegten, nicht variablen (!) - Zweck verwendet darf man das natürlich.
- Status
- Neue Beiträge in diesem Thema müssen von einem Moderator freigeschaltet werden, bevor sie für andere Nutzer sichtbar sind.
Ähnliche Themen
- Antworten
- 5
- Aufrufe
- 1.594
- Antworten
- 33
- Aufrufe
- 2.450
- Antworten
- 7
- Aufrufe
- 1.766
- Antworten
- 8
- Aufrufe
- 1.989
- Antworten
- 12
- Aufrufe
- 6.519