ComputerBase Menü
Aktuelles

EU-Datenschutz-Grundverordnung tritt am 25. Mai 2018 in Kraft

Thorle schrieb:
Ich möchte da mal die Diskussion in eine andere Richtung lenken. Mir selbst geht es weniger darum was es alles schon an Datenschutz gab und wie gut das in den Firmen etc. in der Vergangenheit umgesetzt worden ist sondern darum, dass es nun eine extreme Verschärfung gepaart mit Verunsicherungen gibt.
Zum Vergrößern anklicken....

Das ist ja der Witz, die Rechtslage hat sich eigentlich in den meisten Fällen kaum geändert. Entsprechend kann man (abgesehen vom deutlich erhöhtem Strafmaß) kaum von einer Verschärfung sprechen. Auch diese Verunsicherung ist recht unrealistisch, ein recht großer Teil der EU-DSGVO wird ja über das BDSG umgesetzt und da haben sich die Formulierungen nicht all zu gravierend geändert.
Die Verunsicherung kommt in den meisten Fällen echt nur daher, dass sich keine Sau mit Datenschutz beschäftigt hat. In den meisten Buden die es betrifft gab es bisher ja nicht einmal Datenschutzbeauftragte die ihren Job wirklich hätten ausüben können.

Idon schrieb:
Solange Teile der Behörden Teile des BDSG für europarechtswidrig halten und so lange die E-Privacy-VO losgelöst ist, so lange kann man wohl kaum davon sprechen, dass sich alle Änderungen einfach umsetzen lassen oder man das schon früher hätte tun können.
Zum Vergrößern anklicken....

Die Kritik am BDSG kommt meines Wissens aber daher, dass das BDSG derzeit "Rechte von Betroffenen" zu wenig schützt und zu viele Ausnahmen / Sonderregelungen vorsieht:
https://www.heise.de/newsticker/mel...etz-teilweise-europarechtswidrig-3657607.html
Es ist also nicht zu erwarten, dass die aktuelle Rechtslage entspannter wird wenn das BDSG an die EU-Verordnung angepasst werden würde. Ganz im Gegenteil..

Das ist ja genau der Witz, wieso die Änderungen in Deutschland bisher so klein sind, das BDSG entschärft die Lage an einigen Stellen. Wie zum Beispiel bei deinem Fall der Videoüberwachung. Die ganzen schönen Auflagen die es bei der Videoüberwachung gäbe werden durch das BDSG weitestgehend entschärft.
 
Betrifft dies Klein und mittelständische Unternehmen? Und ich denke es geht um die DSGVO und nicht um das BDSG, zumal es doch unerheblich ist, ob sie für Rechtswidrig gehalten wird. Es zählt nur, ob sie es ist. Ggf. ergeben sich irgendwann noch mal Änderungen aber das spielt doch derzeit weniger eine Rolle? Wo ergeben sich den Konflikte zwischen der E-Privacy VO und der DSGVO? ICh gebe zu, dass dies mir neu ist, den hast keinerlei Bedeutung in meinem konkreten Fall.

Das Prinzip der Datensparsamkeit und der grundlegende Gedanke der DSGVO gilt schon wesentlich länger. Ich habe mit mehreren Anwälten gesprochen, jeder davon war der Meinung, dass man mit der DSGVO weit weniger Konflikte gehabt hätte, wenn man diesen grundlegenden Gedanken, der keineswegs neu ist, stets in IT Fragen berücksichtigt hat.
 
Mustis schrieb:
Wenn ich mir das ganze Trara darum aber ansehe, halte ich die DSGVO aber für umso richtiger und sinnvoller, denn ganz offensichtlich wurde beim Umgang mit personenbezogenen Daten massiv geschludert und gespart was die ganzen Datenskandale der letzten Zeit unterstreichen und ich will nicht wissen, welche Datenberge unnötigerweise bei Kleinst-, Klein-, und mittelständischen Unternehmen gespeichert liegen und das unbekannterweise und wohl auch oft kaum vor Zugriff geschützt.
Zum Vergrößern anklicken....

Woher kamen denn die Datenskandale? Hauptsächlich von Großunternehmen die darüber anscheinend müde lächeln. Ein paar schludern und alle leiden, wie so oft.

Generell bin ich ja auch dafür, wobei ich denke das die eh schon alles von uns Wissen.

Bei den Kleinen haben die Wenigsten mitbekommen, dass vor 2 Jahren da etwas Neues kam. Da hat keiner die Zeit sich permanent mit solchen bürokratischen Monstern zu befassen. Schlimmer ist da schon eher, dass die Großen es nicht besser wussten, wie z.B. auch die IHKs und HKs. Die hätten das schon eher mal publizieren können.
 
Mustis schrieb:
Betrifft dies Klein und mittelständische Unternehmen? Und ich denke es geht um die DSGVO und nicht um das BDSG
Zum Vergrößern anklicken....
In der DSGVO finden sich immer wieder Absätze, dass entsprechende Regelungen durch entsprechende nationale Gesetze "ersetzt" werden können. Entsprechend greift in recht vielen fällen das BDSG. der Spaß gehört also zusammen.

Das Prinzip der Datensparsamkeit und der grundlegende Gedanke der DSGVO gilt schon wesentlich länger. Ich habe mit mehreren Anwälten gesprochen, jeder davon war der Meinung, dass man mit der DSGVO weit weniger Konflikte gehabt hätte, wenn man diesen grundlegenden Gedanken, der keineswegs neu ist, stets in IT Fragen berücksichtigt hat.
Zum Vergrößern anklicken....
This!

Thorle schrieb:
Woher kamen denn die Datenskandale? Hauptsächlich von Großunternehmen die darüber anscheinend müde lächeln. Ein paar schludern und alle leiden, wie so oft.
Zum Vergrößern anklicken....
Eben wegen der Großunternehmen wurde das Strafmaß angezogen auf Beträge die auch einem großem Unternehmen weh tun können.

Bei den Kleinen haben die Wenigsten mitbekommen, dass vor 2 Jahren da etwas Neues kam. Da hat keiner die Zeit sich permanent mit solchen bürokratischen Monstern zu befassen. Schlimmer ist da schon eher, dass die Großen es nicht besser wussten, wie z.B. auch die IHKs und HKs. Die hätten das schon eher mal publizieren können.
Zum Vergrößern anklicken....

Also die Kammern (Ärztekammer kenne ich) hat vorzeitig angefangen zu berichten. Es hat nur Niemanden gekümmert. Der Witz ist, dass die Meldungen von sehr kurzen, fachlichen Meldungen in letzter Zeit vermehrt zu Panik schürenden Horrorgeschichten mutierten. Letzteres hilft überhaupt nicht, sind aber oftmals Artikel von Rechtsanwälten die "zufällig" Einzelberatungen für tausende von Euro anbieten.
Ansonsten ist es wie überall, an sich ist man verpflichtet sich über Gesetze die einen betreffen können auf dem Laufenden zu halten (was im Netz über die offiziellen Stellen sogar halbwegs gut geht, oder aber durch Dienstleistungen zur Rechtsberatung). Wer Auto fährt sollte die StVO und StVZO im Auge haben. Gewerbetreibende das Handelsgesetzbuch, die Steuergesetzgebung und in den aller meisten Fällen auch das Datenschutzgesetz. Wer das nicht tut bekommt mitunter eben Probleme damit.
 
Piktogramm schrieb:
In der DSGVO finden sich immer wieder Absätze, dass entsprechende Regelungen durch entsprechende nationale Gesetze "ersetzt" werden können. Entsprechend greift in recht vielen fällen das BDSG. der Spaß gehört also zusammen.
Zum Vergrößern anklicken....

Das ist mir klar. Wenn ich mich aber an die DSGVO halte oder an das aktuell gültige BSDG dann kann mir völlig schnuppe sein, was ein Teil einer Behörden davon hält. Es ist nicht gültiges Recht und niemand wird mich dafür verknacken, wenn ich mich ans gültiges Gesetz halte und dieses später geändert wird. Hierbei geht es doch wieder mal nur ums Kostensparen. Es könnte sich was ändern, ich müsste ggf. noch mal etwas anpassen, das kostet Geld und das will man sich sparen. Darauf wollte ich hinaus. Hinzu kommt das von dir eingeworfene, dass das BDSG wohl eher zu lasch ist. Halte ich mich also an die DSGVO, laufe ich wohl ohnehin kaum Gefahr.
 
Den Kleinstunternehmer will ich mal sehen, der Alles aber auch wirklich Alles im Kopf hat...

Ich gebe euch grundsätzlich recht in dem Thema aber es ist vielfach auch praxisfern.
 
Was die KMUs aktuell so hart nervt ist die neu geregelte Nachweispflicht, die es vorher so nicht gab.
Vorher konnte man Datenschutz einfach machen, indem man verhältnismäßige Maßnahmen getroffen hat (best Practice + gesunder Menschenverstand)

Jetzt muss man den ganzen Kram, den man vorher (aus Versehen oder mit Absicht) richtig gemacht hat auch noch ausführlich Dokumentieren. Und genau das fällt nicht-IT-und nicht-Rechtsexperten sehr, sehr schwer und ist, wenn man das extern erstellen lässt, sehr teuer.
 
Die Probleme, wie ich bereits schrieb, beziehen sich nicht auf IT. Den Bereich kann man vergleichsweise einfach abdecken.
 
ayngush schrieb:
Was die KMUs aktuell so hart nervt ist die neu geregelte Nachweispflicht, die es vorher so nicht gab.
Zum Vergrößern anklicken....
Ohne eigenen Datenschutzbeauftragten gab es bisher* sogar eine Meldepflicht an den mit Datenschutz beauftragten Stellen der passenden Aufsichtsbehörte (§4d BDSG) und da hat man quasi auch den Datenverarbeitenden Prozess ordentlich dokumedtieren müssen (§4e BDSG). Die Meldepflicht entfiehl wenn man einen Datenschutzbeauftragten hatte, aber als Datenschutzbeauftragter hätte man sich EXTREM in die Nesseln gesetzt wenn man nicht mindestens die Dokumentation nach §4e BDSG erstellt hat.
Entsprechend ist auch dieser Fall ein, wer jetzt kotzt hat vorher Scheiße gebaut.


Vorher konnte man Datenschutz einfach machen, indem man verhältnismäßige Maßnahmen getroffen hat (best Practice + gesunder Menschenverstand)
Zum Vergrößern anklicken....
Vollkommen falsch. Vorher gab es Gesetze die jeder ignoriert hat, weil die meisten Menschen mit besagtem "gesundem Menschenverstand" das sie sich mit der Rechtslage auseinandersetzen sollten.

Jetzt muss man den ganzen Kram, den man vorher (aus Versehen oder mit Absicht) richtig gemacht hat auch noch ausführlich Dokumentieren. Und genau das fällt nicht-IT-und nicht-Rechtsexperten sehr, sehr schwer und ist, wenn man das extern erstellen lässt, sehr teuer.
Zum Vergrößern anklicken....

Die Dokumentation müsstet ihr bereits seit Jahren (!) daliegen haben. Entweder weil ihr meldepflichtig wart oder aber euer Datenschutzbeauftragter darauf bestanden hat einige Stunden Arbeit zu investieren.



*Ich bin gerade zu faul fürs vergleichende Lesen des "alten" BDSG und der DSGV + neuem BDSG, keine Ahnung wie die Differenzen für Melde- und Dokumenationspflichten im Detail sind.
 
Die Realität war bei Unternehmen > 10 MA & < 100 folgende:
* Es gibt meistens einen DSB
* Es gibt keinerlei Dokumentationen
Unter < 10 MA folgende:
* Es braucht keinen DSB
* Es gibt keinerlei Dokumentationen

Das von dir angesprochene Verfahrensverzeichnis wurde vom überwiegenden Teil der Firmen in Deutschland nicht erstellt. Meine letzten Zahlen dazu lauteten 15-20%, die es hatten. Wozu auch. Wenn man es hatte, bereitete man eine Angriffsfläche vor, wenn man es nicht hatte, drohte einem: Gar nichts. Es sind einfach keine Busgelder bei Nichtvorhandensein des Verfahrensverzeichnis vorgesehen gewesen.

Die Aufsichtsbehörde musste darüber hinaus einen Verstoß nachweisen. Dieser Nachweis geht natürlich "am besten", wenn man "brav wie Gottes Lamm" den ganzen "faulen Prozess" Dokumentiert hatte und da schön die "keimigen Stellen" beschrieben hat. Deswegen hat man es einfach sein gelassen. Auch und vor allem mit einem DSB an Board ;)

Das hat sich jetzt komplett geändert. Zulasten der Kleinst- und Kleinunternehmen unter 10 Mitarbeiten - Die müssen den ganzen Dokumentationskram jetzt nämlich auch anfertigen und mussten vorher genau gar nichts machen. Weder etwas melden, noch etwas dokumentieren. Das Problem war aber bisher nicht "Tischlerei Holz Meier" sondern Facebook und Konsorten - die sind aber bestens aufgestellt. Wenn denen die Manpower fehlt, kaufen die halt einfach noch mal 10.000 Angestellte dafür ein. Das kann "Tischlerei Holz Meier" nicht - hat aber dieselben Anforderungen an die Dokumentationspflicht. Merkste selber, was für ein Quatsch das ist.
Zumal:
* Die Daten sind durch diese Dokumentationspflichten nicht besser geschützt.
* Das gesamte DSGVO hilft nur dabei Bußgelder und Schadensersatzforderungen durchzusetzen.

Eine nachweislich verpflichtende Fortbildung im Sicheren Umgang mit IT-Systemen für alle Kaufleute wäre da eine wesentlich wirksamere und bessere Maßnahme gewesen, anstatt von allen zu verlangen, dass sie "jetzt" (also bis Freitag) 100te Seiten technischer Dokumentationen angefertigt haben sollen, wozu sie weder die Expertise noch die Ressourcen haben.
 
Nach welchem Paragraf DSGVO muss Tischlerei Holz Meier mit 1-2 Mitarbeitern im Büro eine Doku erstellen? Und nach welchem Paragrafen hat Tischlerei Holz Meier die gleichen Anforderungen an die Doku und die Datensicherheit als solches wie Facebook?
 
ayngush beschreibt es ganz treffend. Mich stört in keinster Weise DS aber nur weil ein paar Nappels es kapitalistisch übertreiben muss jede Firma darunter leiden. Vorher hat es auch gut geklappt und nun ist alles reglementiert. Es regt mich auch deswegen auf, weil es nicht nur dieses eine Thema gibt und alles immer schön auf den Mittelstand abgewälzt wird. Großunternehmen juckt sowas nicht die Bohne. Ich bin gespannt ob es jemals passiert, das ein Großunternehmen bis zu 4% Strafe zahlen wird.
 
Nein, es hat eben nicht gut geklappt! Geh mal in ein x beliebiges Fitnessstudio und schau dir an, welche Daten da wie gespeichert sind. Da findest du Kundendaten und teilweise deren Gesundheitsdaten, die Jahre alt und längst nicht mehr Kunde sind. Geschützt sind die Daten vor Zugriff in aller Regel gar nicht. Das selbe Spiel kannst du bei Werkstätten machen und vielen anderen Betrieben ebenfalls. Selbst Behörden/Ärzte bekommen es ja nicht hin, weswegen Millionen Gesundheitsdaten im Netz existieren. Der Mittelstand ist an dieser Misere genauso schuld und verdient den Schlag ins Genick jetzt vollumfänglich zu recht. Datenschutz hat niemanden interessiert und das auf Kosten der Kunden, so wird ein Schuh draus.
 
@ayngush

Du hast es erfasst, Greti und Pleti haben vorher bestehende, durchaus sinnvolle Regelungen nicht eingehalten, da es keine gescheite Druckmittel gab. Diese Lücke wurde geschlossen. Was eben dazu führte, dass persönliche Daten erhoben, verbreitet und verarbeitet wurden ohne Sinn und Verstand. Wobei da eben nicht nur Facebook, Google und Amazon dran schuld sind sondern eben auch die ganzen Knalltüten die die Plugins dieser Dienste eingebunden haben. Ebenso wie Händler die Zahlungsdienstleister nutzen die im Kleingedruckten ganz offen zugeben, dass sie die Daten der Kunden "wirtschaftlich verwerten" und genauso die Knalltüten die ihre Kundendatenbanken im Klartext im Netz oder gar auf Amazons Cloud Instanzen betreiben.

Es gibt kaum eine Bude, die mit persönlichen Daten bisher kein Schindluder getrieben hat. Ich bleibe dabei, jeder der jetzt laut heult hat vorher Scheiße gebaut ob nun unwissentlich oder nicht.

Ansonsten mal ehrlich, ein Kleinstunternehmen hat theoretisch so viele Dokumentationsaufwand nicht. Theoretisch gibt es die Kundendaten die zum Abwickeln der Aufträge und Rechnungsstellung notwendig sind und es gibt Angestellte deren Daten im Rahmen des Beschäftigungsverhältnis verwaltet werden. Entsprechende Datensätze sind nach der gesetzlichen Aufbewahrungsfrist zu löschen.
Alles darüber hinaus hat man als Unternehmer selbst zu verantworten.
Die Nutzung eines Zahlungsdienstleisters mit wirtschaftlicher Verwertung der Daten -> Viel Spaß dabei
Eine Webseite mit 20.000 externen Abhänigkeiten, 30 Trackingpixeln, 400 Werbeeinblendungen -> Eigentor
Eine Seite bei Facebook oder Ähnlichen -> Herzlichen Glückwunsch
ERP in der "Cloud" wo man vorher nie die gesamten Vertragstext gelesen hat -> Kein Mitleid


@Mustis : genau!
 
Ob sie die Regeln nicht eingehalten haben, kannst du ja gar nicht wissen.
Einige haben die Regeln besser eingehalten als Facebook, Google und Co. andere halt gar nicht.
Die, die sie nicht eingehalten haben, werden es wohl auch weiterhin nicht tun (weil es sie nicht interessierte und immer noch nicht interessiert) und haben dennoch die "GPDR care pakages" ausgefüllt und sind damit erst mal sicher. Defakto hat uns eine Beraterin und Inhaberin des Lehrstuhls für Datenschutz und IT-Sicherheit an einer lokalen Universität genau folgendes mitgeteilt: Aktuell kümmern sich die Firmen, vorallem die KMU darum die Außenwirkung sauber zu gestalten, die Gefahr droht nämlich nicht von den Behörden, die ohnehin (verbotenerweise) die "Anweisung" von der Politik bekommen haben ab dem 25. Mai den Ball flach zu halten (Merkel persönlich hat das entsprechend verlautbart) sondern von "Abmahnanwälten".

Fakt ist: Im BDSG (alt ^^) stand: Man muss Maßnahmen (TOM) umsetzen (machen, statt schreiben).
Neu ist: In der EU-DSGVO und im BDSG (neu) steht, dass man nachweisen muss, dass man die Maßnahmen umgesetzt hat (schreiben "und" machen, aber schreiben geht erst mal vor).

Meine Frage lautet demnach:
In welchem Szenario werden oder wurden unsere Daten besser geschützt?
Indem sich jemand in einem KMU überhaupt mit den technischen Schutz der Daten beschäftigt
oder
Indem jemand in einem KMU aufschreibt, was er theoretisch alles tun muss, um Daten ordnungsgemäß zu schützen und am Ende wenig Zeit hat sich mit den eigentlichen technischen Schutz der Daten zu beschäftigen und dann nur das macht, was Außenwirkung hat, damit keine Abmahnungen reinflattern?

Kritik an dem Gesamtsystem ist durchaus berechtigt.

PS: Der gesellschaftliche Schaden, der von einem Fittnesstudio oder Zahnarzt Dr. med. Acula ausgeht ist vergleichsweise trivial und vernachlässigbar, im Vergleich zu 87.000.000 Datensätzen, die Facebook mal so verliert oder 56.000.000 geklauten Kreditkartendaten von "The Home Depot"... So viele Zähne zieht ein Zahnarzt sein ganzes Leben lang nicht.
 
Diesen Widerspruch habe ich heute an Google, Facebook, WhatsApp und Instagram geschickt:

"Betreff: Widerspruch zur Nutzung meiner personenbezogenen Daten nach der EU DSGVO 2018, die nicht zur Erbringung der Google Dienste erforderlich sind

Sehr geehrte Damen und Herren,

hiermit widerspreche ich, *** ***, registriert in Google Diensten mit der E-Mail Adresse ***@gmail.com sowie der Telefonnummer ***-***, sämtlicher Erhebung, Nutzung sowie Verarbeitung meiner personenbezogenen Daten, die nicht für die Erfüllung bzw. Nutzung bzw. Verfügbarmachung der Dienste Ihres Unternehmens Google erforderlich sind.

Ferner widerspreche ich der kompletten Verarbeitung sowie Weitergabe meiner personenbezogenen Daten, insbesondere zu Zwecken des Direktmarketings, die sie respektive Ihr Unternehmen nicht zur Bereitstellung der Dienste Ihres Unternehmens Google zwingendermaẞen benötigen.

Vollständiger Name:
*** ***

bei Google registrierte Telefonnummer:
***-***

bei Google registrierte E-Mail Adresse:
***@gmail.com

Land, in dem ich lebe:
Deutschland innerhalb der EU

Die Weiterverarbeitung sowie zunächst Erhebung meiner personenbezogenen Daten, die vermutlich als einziger Bestandteil in der freien Marktwirtschaft keinerlei Regulierung unterliegt, verstößt gegen mein Recht auf Selbstbestimmung im Sinne des Datenschutzes sowie auf selbstbestimmte Einwilligung zur Nutzung meiner personenbezogenen Daten.

Ich habe zwar Ihren Nutzungsbedingungen vor Jahren zugestimmt, doch es wurde von Ihrem Unternehmen Google zu keinem Zeitpunkt erläutert welche personenbezogenen Daten im Einzelnen genau gesammelt sowie ausgewertet und weitergegeben werden. Die Angaben auf den Google Webseiten sind mit an Sicherheit grenzender Wahrscheinlich nicht vollständig; es fehlen beispielsweise Angaben zu Daten im Einzelnen, die an Werbepartner o.ä. weitergegeben werden."

Ich bin ja mal gespannt, was und ob die überhaupt antworten werden. Laut der Google Auto Reply werden sie wohl nicht auf alle Anfragen antworten, unter Umständen antworten sie auch nur auf die allerwenigsten Anfragen. Zudem war das Google Kontaktformular bei weitem von allen Anbietern am schwierigsten zu finden.

Ich rufe aber hiermit alle Computerbase Nutzer auf, es mir gleich zu tun! ;-) :-)

Auch wenn ich noch nicht sagen kann ob ich bzw. wir damit irgendwelche wie auch immer gearteten Erfolgsaussichten haben werden...
 
ayngush schrieb:
Ob sie die Regeln nicht eingehalten haben, kannst du ja gar nicht wissen.[...]
Zum Vergrößern anklicken....
Ja doch, die alten Gesetze sind zur DSGVO recht ähnlich. Eine DSGVO konforme Prozesslandschaft bereitet keine schmerzen wenn man die alten Regeln eingehalten hat. Wer laut rumheult, dass die "neuen Regeln" nicht zu bewältigen sind gibt ja bereits zu, dass die alten Regeln komplett ignoriert wurden.


Fakt ist: Im BDSG (alt ^^) stand: Man muss Maßnahmen (TOM) umsetzen (machen, statt schreiben).
Neu ist: In der EU-DSGVO und im BDSG (neu) steht, dass man nachweisen muss, dass man die Maßnahmen umgesetzt hat (schreiben "und" machen, aber schreiben geht erst mal vor).
Zum Vergrößern anklicken....
Ich verweise auf Post #30, es gab Meldepflichten (und damit auch eine Pflicht zur Dokumentation) und selbst mit einem Datenschutzbeauftragten entfiel nur die Meldepflicht und nicht die Dokumentationspflicht*. Wobei eine Dokumentation zu schreiben die mit der Prozesslandschaft nichts zu tun hat gar schon in den Bereich Dokumentenfälschung. Bei einem Datenschutzvorfall ist man wenn man gegen seine eigene Prozessdoku verstößt dann auch recht fix auf dem Bereich "Fahrlässigkeit" raus und rutscht gegen "Vorsatz" ab. TOLL!
Das Einzige was das DSGVO wirklich neu und anders macht ist konkrete Anforderungen zu nennen die vorher vom Rechtstext impliziert aber eben nicht so konkret gefordert wurden.


Meine Frage lautet demnach:
In welchem Szenario werden oder wurden unsere Daten besser geschützt?
Indem sich jemand in einem KMU überhaupt mit den technischen Schutz der Daten beschäftigt
oder
Indem jemand in einem KMU aufschreibt, was er theoretisch alles tun muss, um Daten ordnungsgemäß zu schützen und am Ende wenig Zeit hat sich mit den eigentlichen technischen Schutz der Daten zu beschäftigen und dann nur das macht, was Außenwirkung hat, damit keine Abmahnungen reinflattern
Zum Vergrößern anklicken....
Das hat nur nichts mit der DSGVO zu tun. Auch wenn ich die Panik drumherum ablehne, aber ein Gutes hat es. In vielen Firmen wird sich das erstemal überhaupt mit dem Thema beschäftigt. Das dann viele Firmen nur totes Papier produzieren und dennoch weiter fröhlich gegen Gesetze verstoßen sorgt dann wenigstens dafür, dass höhere Strafen fällig werden. Denn die rechtssicheren Prozesse waren dokumentiert, damit wurde wider besseren Wissens gehandelt und man kann Vorsatz annehmen.

Der gesellschaftliche Schaden, der von einem Fittnesstudio oder Zahnarzt Dr. med. Acula ausgeht ist vergleichsweise trivial und vernachlässigbar, im Vergleich zu 87.000.000 Datensätzen, die Facebook mal so verliert oder 56.000.000 geklauten Kreditkartendaten von "The Home Depot"... So viele Zähne zieht ein Zahnarzt sein ganzes Leben lang nicht.
Zum Vergrößern anklicken....
Die Datenschutzgesetze sind ja eben dazu da, dass es solche Fälle von Datenreichtum möglichst unterbunden werden. Der Anreiz ist da ganz klar Schadensvermeidung, da die Strafen demnächst sehr hoch ausfallen können.
Ärzte beschäftigen sich mit besonders sensiblen Daten, da ist die Menge an Datensätzen egal. Was viele Ärzte zwar nicht davon abhält von ihre Googlemail Adresse ganze Patientenakten zu verschicken aber in wenigen Tagen lohnt es sich solche Sachen auch mal zu melden.

*Ok keine explizit geforderte Dokumentationspflicht welche wortwörtlich aus dem Gesetzestext vorgeht. Aber ohne Dokumentation kann man halt nicht nachweisen, dass man irgend einen Aufwand betrieben hat um den Datenschutz durchzusetzen und wäre auch mit dem "alten" BDSG reichlich am Arsch wenn sich das mal jemand angeschaut hätte (beispielsweise nach deinem Fall von Datenreichtum..).
In den Bereichen wo ich eine entsprechende Einsicht habe wurde das mit der Dokumentation halbwegs ernstgenommen.
 
Das ist ja der Witz: Im alten BDSG hast du der Zuständigen Behörde bei Datenreichtum zunächst gar nichts und auf Anfrage halt gesagt: "Wurde mir gecybert."
Und dann durfte die Behörde den Nachweis erbringen, was du alles *nicht richtig* gemacht hast. Und genau das fand halt einfach nicht statt. Wohl auch, weil es da auch entsprechende Anweisungen gab, die Wirtschaft nicht zu schädigen. Die Datenschutzbehörden sind erst vor kurzem als "unabhängig" deklariert worden. Und erhalten dennoch "des Kanzlerinnen Wort". Siehe auch vergleichbare Anweisung bei VW zum Thema Diesel-Partikelfilter-Nachrüstung und Wirtschaft nicht schädigen. Wozu auch? Wirtschaft sind wir alle. Ich bin Verbraucher und Arbeitnehmer und nicht oder. Was habe ich davon, wenn irgendwelche Oberdatenschutzheinis meinen der Wirtschaft mal so richtig einen reinzudrücken? Nichts? Abgesehen davon, du wirst es erleben, es wird nicht passieren.

Jedenfalls hat sich der Nachweisumstand geändert, weswegen jetzt alle immer noch kein Datenschutz machen, die es bisher auch nicht gemacht haben, dafür aber Papier produzieren, wo draufsteht, dass sie alles richtig machen. Ergo: Die Beweisführung wird noch komplizierter und nicht einfacher, wie du es darstellen möchtest.
 
@Mustis: Das klingt mir bei dir immer alles so nach 100%. Und ist im Alltag bei vielen kleinen Firmen praxisfern oder wird es, weil sie sich ab sofort damit beschäftigen einfach umständlicher.

Mal als Beispiel der Handwerker: Im Haus ein Problem/Defekt. Du versuchst es telefonisch zu klären, kannst es aber nicht so gut und sendest stattdessen ein Bild. Er weiß was er an Material braucht und kommt vorbei. Zukünftig kommt er vorbei, stellt fest was er braucht, fährt wieder, kommt wieder und repariert es. Mehr Zeit mehr Kosten.

Und für mich die aktuelle Krönung. Der kleine Heinz versucht alles rechtskonform umzusetzen, weil er keine Peanuts für Strafen über hat und Facebook/WhatsApp nutzen anscheinend gerade eine Lücke im Gesetz aus um weiter fleißig Daten hin und her zu schieben.

P.S. Der selbe Quark geschah mit MiFiD. Guter Gedanke, schlecht umgesetzt.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Andy
News EU-Datenschutz: Google plant Werbung ohne personalisiertes Targeting
2
Antworten
36
Aufrufe
6.836
DeusoftheWired
DeusoftheWired
KTelwood
  • Gesperrt
EU- Datenschutzreform Initiative im Rat
Antworten
2
Aufrufe
2.065
Noxiel
Noxiel
Andy
News EU-Datenschutz soll heimliche NSA-Anfragen stoppen
2
Antworten
24
Aufrufe
5.224
Elioth
Elioth

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz