DS-GVO betrifft so gut wie jeden

  • Hay,


    das war vielleicht falsch ausgedrückt. Die 24 Monate bezogen sich eig. auf Kundendaten zu verkaufter Ware, die man (ausnahmsweise, Artikel 17 Abs. 3) so lange behalten darf, um Gewährleistungsansprüche zu erfüllen.


    Streng genommen müssten (ohne weitere Vereinbarung) sogar die reine Supportanfrage und (sofern abschließend beantwortet) die Antwort sofort gelöscht werden (Artikel 17 Abs. 1). Nicht immer ist auch etwas in einer Norm geregelt (z.B. für die Abstandsregel "halber Tacho" gibt es auch keine Norm), hier wird noch sehr viel "Richterrecht" folgen. So lange geiert der Abmahnanwalt.


    Dazu kommen Gummibegriffe:


    Code
    ... der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
    
    1) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.


    "unverzüglich" -nach 1 Sekunde, 5 Minuten, einem Tag, zwei Wochen?

    "notwendig" - was ist notwendig? Gerade hier sind viele Konstruktionen möglich, die vor Gericht scheitern werden oder bestehen bleiben.


    Nehmen wir mal das Beispiel "zeitnah" aus dem Steuerrecht (um die zeitliche Dimension bei solchen Begriffen wie etwa "unverzüglich") aufzuzeigen. Die Finanzgerichte haben "zeitnah" teils mit "unter einem Jahr" definiert. Gefühlt ist "zeitnah" für mich aber ein Begriff, der deutlich darunter liegt. Ich bin gespannt auf Rechtsprechung zu "unverzüglich"...


    Also z.B. die Anfrage nach einem Angebot kommt rein, das Angebot wird erstellt und "senden-Knopf" und ab mit der kompletten Kommunikation in den Mülleimer, Ordner "gelöschte Objekte" leeren und die Maillogs bereinigen, sofern man wagt, noch welche zu generieren - alles ein bißchen pervers... wehe man startet hier den Rechner nicht neu, weil ja die Daten des Anfragers noch in irgend einem Ramriegel rumgeistern können. Sarkasmus... oder?


    Schon hier müsste man streng genommen zu Tricks greifen, also irgendwie ein Datum ins Angebot hineinsetzen, bis wann man Fragen dazu beantworten möchte oä.


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Ich bin gespannt auf Rechtsprechung

    Ich nämlich auch und persönlich glaube ich ehrlich gesagt, dass da tatsächlich ein vernünftiger Ausgleich der Interessen stattfinden wird.

    Welches Bauteil nun wie verbaut ist und welche Anschlüsse bietet sind unabhängig davon keine personenbezogenen Daten, die du überhaupt löschen müsstest. Höchstens wenn du speicherst, dass dir "Max Mustermann" diese Daten zugespielt hast, käme in Frage, dass du diesen Namen dazu zu löschen hast :) Nach meinem Verständnis.


    //Edit: Grade reingekommen: Praktische Tipps zur Umsetzung der DSGVO vom Rechtsbelehrung-Podcast: https://twitter.com/monoxyd/status/988708474132496384

  • Hay,

    Welches Bauteil nun wie verbaut ist und welche Anschlüsse bietet sind unabhängig davon keine personenbezogenen Daten

    Naja, da es bei jedem Kunden anders verbaut ist und es schon für den weiteren Supportfall entscheidend ist, wie es bei genau dem Kunden und mit welcher Firmware... ist es schon eine deutliche Verknüpfung mit Personenbezogenen Daten :)


    However... persönliche Meinung ist, dass im Regelfall nicht so heiß gegessen wird, wie es gekocht wird, aber wer einen Abmahnanwalt abbekommt, der ist immer der Gekniffene. Hatte ich letzten Oktober in einem Fall - der bundesweit bekannte Abmahnwalt hatte streng genommen noch nicht einmal recht (aber man geht auch nicht das Wagnis ein, es einem Richter vorzutragen, der im schlimmsten Fall nicht weiß, was er tut {Häufer als man denkt! Gerade UWG und BDSG!}), trotzdem hat der Abmahnanwalt in ein und demselben, speziellen Fall vier Firmen in Unterlassung genommen und Geld gefordert. Wir haben die Unterlassung unterschrieben, aber seine Rechnung (erfolgreich) bestritten und nicht bezahlt. Doch unser Anwalt wollte selbstverständlich Geld sehen... hat insgesamt (alle vier Firmen) 2.000 Euro gekostet.


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Naja, da es bei jedem Kunden anders verbaut ist und es schon für den weiteren Supportfall entscheidend ist, wie es bei genau dem Kunden und mit welcher Firmware... ist es schon eine deutliche Verknüpfung mit Personenbezogenen Daten

    Das kann ja sein, aber "personenbezogene Daten" sind gem. DSGVO

    Im Sinne dieser Verordnung bezeichnet der Ausdruck:

    1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;

    und wenn ich von dir jetzt 8 DIN A4 Seiten bekomme auf denen haargenau steht welches Bauteil mit welcher Seriennummer wie verbaut ist und dass sich das Ganze an einen "Schaltschrank" / whatever der Marke soundso im Netcup-Rechenzentrum, betreut von der Firma "Serverschrank GmbH, Telefon: 040/123FAKE", anschließt, kann ich dadurch keine Rückschlüsse auf eine natürliche Person ziehen.


    //Edit: Aber gut, du wirst dich damit auseinander gesetzt haben; ich kann es halt so nicht nachvollziehen. Werde mich dazu konkret auch nicht mehr äußern.

  • Hay,


    1:1 Relation Produkt - Person.


    Die Teile, die wir verkaufen, sind extrem personengebunden - sie werden zur Abrechnung der individuellen Einkommenssteuer eingesetzt. Personenbezogener geht es eigentlich kaum :D


    Aber daran sieht man, wie unterschiedlich die Anforderungen sind.


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Bitte immer auch bedenken, dass es um grundlose Erhebung von persönlichen Daten geht, die gelöscht werden müssen. Wenn jemand eine Domain registriert, brauchen wir nicht nach 14 Tagen löschen, wem sie eigentlich gehört. Das wäre ja fatal.


    Es gibt sicherlich viele die von der Verunsicherung hinsichtlich der DSGVO profitieren. Insbesondere profitieren davon Rechtsanwälte und Medienportale. Eigentlich sollten wir jetzt groß Werbung schalten das wir eine Zusatzvereinbarung zur Auftragsverarbeitung kostenlos anbieten. Das haben wir zwar schon vor der DSGVO getan, aber eine Kuh sollte gemolken werden, auch wenn es in Deutschland schon vor der DSGVO strenge Regelungen hinsichtlich Datenschutz gab.

  • Streng genommen müssten (ohne weitere Vereinbarung) sogar die reine Supportanfrage und (sofern abschließend beantwortet) die Antwort sofort gelöscht werden (Artikel 17 Abs. 1).

    Das sind doch aber Handelsbriefe, die ich nach HGB für 10 Jahre zu speichern zu habe. Revisionssicher mit qualifiziert signiertem Zeitstempel?!

  • Hay,


    Handelsbriefe


    Anruf an der Hotline ein Handelsbrief? Aber selbst wenn die Supportanfrage schriftlich vorliegt - so lange sie nicht zur Anbahnung, Durchführung oder Beendigung eines Geschäftes dient, ist es kein Handelsbrief. Und es sind 6 Jahre, keine 10. Wenn ich eine Supportanfrage habe "Wo kommt Stecker xyz rein?", dann ist es kein Handelsbrief. Wenn mir jemand schreibt "Wenn Sie mir jetzt nicht gleich schreiben, wo Stecker xyz reingehört, dann storniere ich das Geschäft" ist es ein Handelsbrief.


    Bitte immer auch bedenken, dass es um grundlose Erhebung von persönlichen Daten geht


    Der Grundsatz lautet "Personenbezogene Daten dürfen nicht verarbeitet werden". Gestattet sind die Verarbeitung von explizit erlaubten Daten (rechtliche Bestimmungen; Erforderungen zur Abwicklung eines Auftrages) oder Daten, für die eine explizite Einwilligung erfasst wurde (Einwilligung per AGB zählt nicht). Ein "Grund" lässt sich immer finden - er muss an eine erlaubte Anforderung gebunden sein.


    Dann gibt es nach der Erhebung auch noch eine Speicherung. Wenn ich mit einem Kunden einen Termin vereinbare, darf ich dessen Daten behalten so lange, bis der Termin stattgefunden hat. Wenn kein Follow-Up vereinbart wurde oder wenn er mir keinen Zettel unterschrieben hat, dass ich seine Daten behalten und ihn wieder kontaktieren darf, sind alle Daten im Zusammenhang mit diesem Termin "unverzüglich" - (siehe anderer Beitrag) zu löschen.


    Tut mir leid, dass ich so darauf rumreite. Aber ich beschäftige mich seit 15 Jahren u.a. mit UWG, BDSG und in meiner (Haupt-)Beschäftigung neben der IT habe ich (bzw. hatte ich bis März) mit 60.000 Anwälten in der Kundschaft zu tun und juristische Fachinformation verkauft - das färbt ab.


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Hatten heute dazu einen Interessanten Vortrag unserer Anwältin, wobei ich nur als Werkstudent in dem Unternehmen tätig bin.


    Es ging unter anderem um das Digitalisieren von Visitenkarten, bzw. "lagern" der physischen Karten, ... da dich theorerisch selbst nach Jahren nen Kunde abmahnen kann, wenn du ihm eine mail schreibst und er wissen will woher die Daten stammen, ...


    Datenschutzkonform wäre es sogar, wenn du nach dem Erhalt der Visitenkarte die Einverständnis einholst, die Daten zu verarbeiten, ...


    *facepalm*

    Meine Produkte: definitiv zu viele, RS, VPS, Domains, Webhosting, ...

  • In Österreich zieht man den ganzen Abmahnanwälten etwas die Zähne: https://www.heise.de/newsticke…z-die-Zaehne-4031217.html


    Wie es in Deutschland ablaufen wird, hat dort einer in einem Kommentar schön beschrieben:

    Zitat

    Die (Abmahnanwälte) lassen ja schon crawlen und am 25. wird um 0 Uhr nochmal alles gecrawled was interessant ist.. Um 8 Uhr kommen dann die Studenten und tüten die Abmahnungen dann schön ein, damit sie ja rechtzeitig am 26. beim ‚Kunden‘ sind.

  • Nein, eher der Standort der Niederlassungen. Sobald geschäftlichen Tätigkeiten in der EU nachgegangen wird, fällst unter das neue Gesetzt. Ein weiteres, teils verschärftes Bundesgesetz wird im übrigen folgen, ...


    Eine der Intentionen war es ja gerade, "Outsourcing" außerhalb der EU zu vermeiden. Firmen sind ja nicht doof. Ich sag nur Double Irish With a Dutch Sandwich ?


    Am Ende hast deine Daten lieber handschriftlich auf Thermopapier verfasst ?

    Meine Produkte: definitiv zu viele, RS, VPS, Domains, Webhosting, ...

  • Hay,

    Der Wohnort vom Betreiber ist da aus­schlag­ge­bend oder?

    Nein, eher der Standort der Niederlassungen.

    Du unterliegst auch der DGSVO wenn Du personenbezogene Daten von EU-Bürgern von EU-Bürgern verarbeitest - dazu ist noch nicht einmal eine Niederlassung notwendig. Freilich wird es dann schwer sein, Dich juristisch zu "greifen" - aber es wird sicherlich ein Weg gefunden werden, Deine Geschäfte innerhalb der EU zu beeinträchtigen.


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • naja, bei Strafen in Höhe von 20Mio, bzw. 4% deines Umsatzes, wenn der drüber liegt, sind auch nicht zu verachten, Konten lassen sich ja dank Abkomnen fast weltweit einfrieren ?

    Meine Produkte: definitiv zu viele, RS, VPS, Domains, Webhosting, ...

  • Ja, aber gilt das auch für Seiten Betreiber die keinen Cent an der Website verdienen (Keine Ads etc.). Ich mach das alles rein privat. 4% von 0 sind meiner Meinung nach 0 :). Mir machen vorallem Abmahnungen sorgen. Mal sehen wies da in Österreich zugehen wird.

  • Also ich werde jeden auslachen der mich auf 20 mios verklagt :D

    Der Staat bzw. die staatlichen Datenschutzbehörden. Die 20 Mio. sind nämlich nur die Strafe.


    Schadenersatz kann dann jeder Betroffene bei Verstoß von dir einfordern (und das wird auch Inhalt der riesigen Abmahnwellen sein). Aktuelle Einschätzungen gehen davon aus, dass man bei dem Schadenersatz so vom unteren bis mittleren dreistelligen Bereich ausgehen kann.

  • Könnte Netcup eine Beschreibung posten, aus der hervorgeht, welche Daten bei einem normalen Website-Besuch wo und wie lang etc. gespeichert werden? So wie Stra-to hier: https://www.stra-to.de/faq/art…g-DSGVO.html#verarbeitung
    Das könnte ich dann gut in meine DSchE einbauen, denn ich selbst will ja keine Daten (keine Trackingtools, keine Cookies, keine Logfiles)

    Kann ich den Umfang der Datenerhebung der Logfiles von Netcup irgendwo einstellen?