DS-GVO betrifft so gut wie jeden

  • Jetzt mal ganz Grundsätzlich. Die DSGVO betrifft ja nicht nur IT Dienstleister, sondern JEDES Unternehmen.

    Es reicht ja schon die Rechnungsstellung, da werden Daten elektronisch verarbeitet. Sobald Daten ausgewertet werden können, fällt man unter diese Vorschrift.

  • Jetzt mal ganz Grundsätzlich. Die DSGVO betrifft ja nicht nur IT Dienstleister, sondern JEDES Unternehmen.

    Es reicht ja schon die Rechnungsstellung, da werden Daten elektronisch verarbeitet. Sobald Daten ausgewertet werden können, fällt man unter diese Vorschrift.

    Das ist klar. Das ganze Prozedere leben wir gerade bei meinem Ex Großkunden (jetzt Arbeitgeber) richtig durch.

    Wenn du aber nur ein "kleiner Mann" bist, ist der Bereich mit Rechnungsstellung usw. (ein Rechner für die Arbeit, Verschlüsselung der Daten usw.) noch "relativ einfach". Komplizierter ist es hier ja dann, wenn du (wie einige hier) das Hosting ja für deine Kunden betreibst. Ich denke da sind viele Fallstricke.

  • Hallo,

    was mich doch mal interessieren würde:

    Gibt es irgendwo eine rechtssichere Vorlage für die Datenschutzerklärung etc.? Grade was die Dinge wie Auskunftspflicht betrifft, würde ich ungern etwas selbst formulieren. Und dass man mit einer kleinen WP-Webseite direkt einen Anwalt beauftragen muss erscheint mir irgendwie etwas Overkill und finanziell gar nicht machbar.


    Viele Grüße

    margau

  • Jetzt mal ganz Grundsätzlich. Die DSGVO betrifft ja nicht nur IT Dienstleister, sondern JEDES Unternehmen.

    Es reicht ja schon die Rechnungsstellung, da werden Daten elektronisch verarbeitet. Sobald Daten ausgewertet werden können, fällt man unter diese Vorschrift.

    Es betrifft auch viele Privat Personen, bspw. wenn du nen Server haben und Webspace an Freunde vermietet.

    Oder aber wenn du auf deiner Seite Werbebanner hast.


    Soweit habe ich das zumindest verstanden.

  • Gibt es irgendwo eine rechtssichere Vorlage für die Datenschutzerklärung etc.?

    Grade eine rechtssichere Vorlage wird mit der DSGVO schwer, da sie schon recht individuell auf deine Datenverarbeitungsprozesse angepasst werden muss: Welche Art Daten verarbeitest du (dazu hatte ich einen Link hier gepostet wo das für übliche Fälle mal dargestellt wurde: https://forum.netcup.de/sonsti…-gut-wie-jeden/#post92975), wie sie verarbeitet werden, welche Dritte Zugriff erhalten etc.


    Ich mache es für externe Programme in der Cloud, die ich nutze (z.B. meine Buchhaltung) so, dass ich den jeweiligen Herstellern schreibe, dass Sie mir bitte einen Absatz für meine Datenschutzerklärung schicken sollen. Das funktioniert mal gut, mal weniger.


    Was genau meinst du mit Auskunftspflicht? Deine Auskunftspflicht in der Datenschutzerklärung gegenüber der Nutzer oder die Auskunftspflicht gegenüber einer natürlichen Person nach DSGVO? Zu letzterer musst du meines Wissens nach nichts in die Datenschutzbestimmungen schreiben.

  • Ich seh das auch so, es wird schwierig. Die Logs des Mailservers werde ich automatisiert nachbearbeiten lassen, denke ich. Und ich überlege, ob ich bei erecht24 mal Geld investiere, damit ich die Nummer sauber über die Bühne bekomm. Rechnungen stelle ich zumindest aktuell nicht, ich hab aber User auf meinem Mailserver, die ja theoretisch Mist bauen könnten. Zum Betrieb des Services brauch ich aber deren Daten nicht, weshalb ich die auch von Anfang an nicht erhoben hab...


    Wer mal Beamtendeutsch lesen mag:

    https://www.lda.bayern.de/media/eprivacy_synopse.pdf

  • Ich seh das auch so, es wird schwierig. Die Logs des Mailservers werde ich automatisiert nachbearbeiten lassen, denke ich. Und ich überlege, ob ich bei erecht24 mal Geld investiere, damit ich die Nummer sauber über die Bühne bekomm. Rechnungen stelle ich zumindest aktuell nicht, ich hab aber User auf meinem Mailserver, die ja theoretisch Mist bauen könnten. Zum Betrieb des Services brauch ich aber deren Daten nicht, weshalb ich die auch von Anfang an nicht erhoben hab...


    Wer mal Beamtendeutsch lesen mag:

    https://www.lda.bayern.de/media/eprivacy_synopse.pdf

    Ich habe auch die Seiten mit durchgeschaut. Ich lese gerade auch auf Arbeit einiges darüber (GDPR usw.) nur das ist wieder eine Nummer größer.

    ich schreibe zwar Rechnungen, habe das aber auf einem lokalen Gerät.

    Mailserver Logs und Connects usw. muss man halt schauen. Apache Logs werde ich nach 14 Tagen mittels Cronjob anonymisieren. AwStats ggf. erwähnen bzw. anschalten. Auf meinen privaten Seiten auch zusehen das ich den Cookie Banner usw. einbaue usw.

    Die ADV Verträge muss ich auch noch mir zusammenstellen (gerade wenn dann mal ein Kunde anfragt. Damit ich diese bereit habe). Ich bin echt am überlegen, ob sich das noch lohnt (SPI und PI werde ich eh per ADV ausschließen).

    Das mit erecht24 hatte ich mir auch überlegt. Das hatte ich schon einmal gemacht.

  • Die DSGVO beschäftigt mich, wie fasten jeden hier, auch sehr. Da hätte ich mal zei Fragen:


    1. Bekommen wir von netcup auch neue Auftragsverarbeitungsverträge? Also nicht mehr ADV (altes BDSG), sondern AV (neue DSGVO)?

    2. Gibts irgendwo fertige Scripte, die sich der Apache Logfiles annehmen und die nach ein oder zwei Wochen anonymisieren? Möglichst gleich für alle Hosts auf dem Server?

    Ich benutze ISPConfig und im Supportforum wird aktuell diskutiert, ob die mangelnde Konformität zur DSGV/GDPR ein Fehler sei oder nicht. Es wird da wohl was kommen, aber ob das vor dem 25. Mai passiert, ist fraglich. Darauf verlassen möchte ich mich jedenfalls nicht.

  • ..

    2. Gibts irgendwo fertige Scripte, die sich der Apache Logfiles annehmen und die nach ein oder zwei Wochen anonymisieren? Möglichst gleich für alle Hosts auf dem Server?

    Ich benutze ISPConfig und im Supportforum wird aktuell diskutiert, ob die mangelnde Konformität zur DSGV/GDPR ein Fehler sei oder nicht. Es wird da wohl was kommen, aber ob das vor dem 25. Mai passiert, ist fraglich. Darauf verlassen möchte ich mich jedenfalls nicht.

    Im welchenForum wird das von ISPConfig diskutiert? Im deutschen Forum habe ich das wohl übersehen.
    Zu 2:

    s gibt genug Scripte. Ggf. muss man diese für ISP Config anpassen (gerade was das nachträgliche betrifft). Ich nutze selber auch ISPConfig und überlege, das ich die Logfiles eine gewisse Zeit aufhebe und dann per Script diese anonymisiere.

    Hier mal ein Beispielscript:

    https://www.privacyfoundation.ch/de/service/anonip.html

  • Hier mal ein Beispielscript:

    Im welchenForum wird das von ISPConfig diskutiert? Im deutschen Forum habe ich das wohl übersehen.

    [...]

    https://www.privacyfoundation.ch/de/service/anonip.html

    DIskutiert wurde das im englischen Forum. Dort heißt das Zauberwort dann GDPR statt DSGVO. Wenn da noch was kommt, wäre das der eleganteste Weg.


    Das Skript, auf das verlinkt hast, will aber direkt anonymisieren, nicht nachträglich. Das widerum möchte ich nicht. Die Rechtsprechung erlaubt vollständige Logfiles für eine begrenzte Zeit von 8 bis 14 Tagen und das ist sinnvoll, wenn man mal wirklich bestimmte Ereignisse wie Hackversuche nachvollziehen möchte. Ich möchte daher nicht sofort anonymisieren, sondern nachträglich per Cron.

  • Ich kenne den Ausdruck GDPR. Der belgeitet und seit Monaten schon im Büro. Ich bin nur sporadisch im deutschen Forum unterwegs. Da hatte ich noch nichts dazu gesehen.

    Zum Script: ". Sie können aber auch im Nachhinein per cat an Anonip übergeben werden."

    Deswegen hatte ich mir das auch angeschaut und der Verweis das man diese anpassen muss (und ähnliche). Ich behalte meine Logfiles auch ca. 14 Tage vollständig vor. Ich muss mir das aber noch mit AWStats anschauen, was da alles reinfließt.

  • Der ganze Datenschutzwahn ist doch einfach nur noch unerträglich. Die großen Datenkraken wie Google oder Facebook wird das eh nicht groß jucken und den kleinen Unternehmen macht man mit der ganzen Bürokratie nur das Leben schwer.

  • Hay,


    naja, es gibt einiges, was sehr viel schwieriger wird.


    Ich organisiere z.B. Supporthotlines, wo sich derselbe (fachfremde) Kunde über mehrere Jahre mit derselben Frage rumschlägt und wir sie ihm regelmäßig neu beantworten müssen. Spätestens, wenn er nach 4 Jahre umbaut. Mit der DGSVO müssten wir (eng gefasst) aber nach 24 Monaten alle Informationen löschen, die wir ihm vorher mühsam abringen mussten, teils unter Einsatz von fremden Fachpersonal (zB Teil im Auto: "Wie ist es eingebaut - OBD, CAN-Bus oder Pulsinstallation").


    Ich weiß jetzt schon, dass der Kunde sich darüber zu recht beschweren wird und die Aussage "Hallo? DSGVO?" wird ihn da nicht beschwichtigen. Er wird vielleicht zu einem Anbieter wechseln, der es nicht so genau nimmt. Da muss man sich schon Gedanken machen, wie man dies gestaltet. Wenn wir ihm eine E-Mail schicken, wo er das bestätigt und er sie nicht zurückschickt? Selber schuld. Wenn sie aber aus irgend einem Grund gar nicht bei ihm ankommt - z.B. weil er einen Outlook-Account hat <grin>?


    Wie dem auch sei, das neue Recht kommt und wir müssen uns alle damit arrangieren. Auch Facebook und Google. Aber die letzten beiden haben mehr Anwälte als ich Freunde bei Facebook :P


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.