DSGVO und Datenbankanwendungen
Moderator: Moderatoren
- nightcrawler
- 1000 working lines a day
- Beiträge: 653
- Registriert: Di, 24. Apr 2012 16:33
- Wohnort: 72184 Weitingen
- Hat sich bedankt: 3 Mal
- Danksagung erhalten: 96 Mal
- Kontaktdaten:
DSGVO und Datenbankanwendungen
Hallo Mitstreiter,
wie ihr wisst, bin ich seit einiger Zeit in den Themen Informationssicherheit und Datenschutz unterwegs.
Ich bin momentan dabei, mich bei einer Zertifizierungsstelle als Datenschutz-Auditor registrieren zu lassen. Darüber werde ich dann in der Lage sein, ein Haus-Zertifikat über den umgesetzten Datenschutz erstellen lassen zu können. Hauszertifikat deshalb, weil es momentan keine Akkreditierung für die DSGVO gibt.
In der gleichen Weise möchten wir in naher Zukunft auch Datenbankapplikationen bescheinigen, welche Anforderungen der DSGVO darin umgesetzt sind.
Als Einstieg in das Thema habe ich eine Blog-Serie begonnen:
https://www.jd-engineering.de/dsgvo-reg ... anwendung/
https://www.jd-engineering.de/dsgvo-zug ... kontrolle/
Wie ist Euer Interesse? Soll ich das weiterverfolgen?
wie ihr wisst, bin ich seit einiger Zeit in den Themen Informationssicherheit und Datenschutz unterwegs.
Ich bin momentan dabei, mich bei einer Zertifizierungsstelle als Datenschutz-Auditor registrieren zu lassen. Darüber werde ich dann in der Lage sein, ein Haus-Zertifikat über den umgesetzten Datenschutz erstellen lassen zu können. Hauszertifikat deshalb, weil es momentan keine Akkreditierung für die DSGVO gibt.
In der gleichen Weise möchten wir in naher Zukunft auch Datenbankapplikationen bescheinigen, welche Anforderungen der DSGVO darin umgesetzt sind.
Als Einstieg in das Thema habe ich eine Blog-Serie begonnen:
https://www.jd-engineering.de/dsgvo-reg ... anwendung/
https://www.jd-engineering.de/dsgvo-zug ... kontrolle/
Wie ist Euer Interesse? Soll ich das weiterverfolgen?
- Tom
- Der Entwickler von "Deep Thought"
- Beiträge: 9387
- Registriert: Do, 22. Sep 2005 23:11
- Wohnort: Berlin
- Hat sich bedankt: 104 Mal
- Danksagung erhalten: 362 Mal
- Kontaktdaten:
Re: DSGVO und Datenbankanwendungen
Hallo, Joachim.
Ja, bitte!Soll ich das weiterverfolgen?
Herzlich,
Tom
Tom
- Martin Altmann
- Foren-Administrator
- Beiträge: 16544
- Registriert: Fr, 23. Sep 2005 4:58
- Wohnort: Berlin
- Hat sich bedankt: 114 Mal
- Danksagung erhalten: 48 Mal
- Kontaktdaten:
Re: DSGVO und Datenbankanwendungen
Sehr gerne
Viele Grüße,
Martin
Viele Grüße,
Martin
Webseite mit XB2.NET und ausschließlich statischem Content in Form von HTML-Dateien: https://www.altem.de/
Webseite mit XB2.NET und ausschließlich dynamischem Content in Form von in-memory-HTML: https://meldungen.altem.de/
Mitglied der XUG Osnabrück
Vorsitzender des Deutschsprachige Xbase-Entwickler e. V.
- nightcrawler
- 1000 working lines a day
- Beiträge: 653
- Registriert: Di, 24. Apr 2012 16:33
- Wohnort: 72184 Weitingen
- Hat sich bedankt: 3 Mal
- Danksagung erhalten: 96 Mal
- Kontaktdaten:
Re: DSGVO und Datenbankanwendungen
Hättet ihr auch Interesse, Eure Anwendungen dann zertifizieren zu lassen?
- Manfred
- Foren-Administrator
- Beiträge: 21216
- Registriert: Di, 29. Nov 2005 16:58
- Wohnort: Kreis Wesel
- Hat sich bedankt: 210 Mal
- Danksagung erhalten: 67 Mal
Re: DSGVO und Datenbankanwendungen
ich habe auch Interesse.
Gruß Manfred
Mitglied der XUG Osnabrück
Schatzmeister des Deutschsprachige Xbase-Entwickler e.V.
großer Fan des Xbaseentwicklerwiki https://wiki.xbaseentwickler.de/index.p ... Hauptseite
Doof kann man sein, man muß sich nur zu helfen wissen!!
Mitglied der XUG Osnabrück
Schatzmeister des Deutschsprachige Xbase-Entwickler e.V.
großer Fan des Xbaseentwicklerwiki https://wiki.xbaseentwickler.de/index.p ... Hauptseite
Doof kann man sein, man muß sich nur zu helfen wissen!!
- AUGE_OHR
- Marvin
- Beiträge: 12911
- Registriert: Do, 16. Mär 2006 7:55
- Wohnort: Hamburg
- Hat sich bedankt: 19 Mal
- Danksagung erhalten: 46 Mal
Re: DSGVO und Datenbankanwendungen
Nach Artikel 43 Abs. 1 können Aufsichtsbehörden andere Stellen wie z.B. TÜV oder Dekra zertifizieren.
Nach Artikel 43 Abs. 1 lit. b kann das auch noch die (einzige) nationale Akkreditierungsstelle (DAkkS).
Da meiner Meinung nach bisher weder TÜV noch Dekra zertifiziert wurden und die DAkkS auch bisher
keine Verbände o.ä. zertifiziert haben, ist seine Idee nicht durchführbar-
Er könnte sich also im Moment nur bei der Datenschutzaufsichtsbehörde seines Landes zertifizieren lassen.
Die haben aber so viel zu tun, dass die bestimmt nicht einen EINZELNEN zertifizieren würden. Zuerst würden
Verbände zertifiziert werden. Die DAkkS ist auch nicht zur Zertifizierung eines EINZELNEN bestimmt.
Er kann sich also nur IRGENDWO als Datenschutz-Auditor registrieren lassen. Das Zertifikat hat aber keine Aussage.
Ein „Haus-Zertifikat“ wäre also dann so ein nichtssagendes Zertifikat.
gruss by OHR
Jimmy
Jimmy
- Jan
- Marvin
- Beiträge: 14659
- Registriert: Fr, 23. Sep 2005 18:23
- Wohnort: 49328 Melle
- Hat sich bedankt: 21 Mal
- Danksagung erhalten: 88 Mal
- Kontaktdaten:
Re: DSGVO und Datenbankanwendungen
Jimmy,
von welcher qualifizierten Fachkraft stammt dieses Zitat?
Jan
von welcher qualifizierten Fachkraft stammt dieses Zitat?
Jan
Mitglied der XUG Osnabrück
Mitglied der XUG Berlin/Brandenburg
Mitglied des Deutschsprachige Xbase-Entwickler e. V.
Mitglied der XUG Berlin/Brandenburg
Mitglied des Deutschsprachige Xbase-Entwickler e. V.
- AUGE_OHR
- Marvin
- Beiträge: 12911
- Registriert: Do, 16. Mär 2006 7:55
- Wohnort: Hamburg
- Hat sich bedankt: 19 Mal
- Danksagung erhalten: 46 Mal
Re: DSGVO und Datenbankanwendungen
Falls du es noch nicht mitbekommen hast ist mein Bruder seit 3 Jahren Datenschutz-Beauftragter
gruss by OHR
Jimmy
Jimmy
- Jan
- Marvin
- Beiträge: 14659
- Registriert: Fr, 23. Sep 2005 18:23
- Wohnort: 49328 Melle
- Hat sich bedankt: 21 Mal
- Danksagung erhalten: 88 Mal
- Kontaktdaten:
Re: DSGVO und Datenbankanwendungen
Und ich soll jetzt raten, das ein Zitat von Dir zu dem Thema unbedingt von ihm stammt? Sorry, aber das werde ich nie machen. EIn Zitat braucht einen Namen, um das zuordnen und beurteilen zu können. Sowas lernt man schon in der Schule im Deutschunterricht.
Jan
Jan
Mitglied der XUG Osnabrück
Mitglied der XUG Berlin/Brandenburg
Mitglied des Deutschsprachige Xbase-Entwickler e. V.
Mitglied der XUG Berlin/Brandenburg
Mitglied des Deutschsprachige Xbase-Entwickler e. V.
- AUGE_OHR
- Marvin
- Beiträge: 12911
- Registriert: Do, 16. Mär 2006 7:55
- Wohnort: Hamburg
- Hat sich bedankt: 19 Mal
- Danksagung erhalten: 46 Mal
Re: DSGVO und Datenbankanwendungen
willst du allen Leuten Forum anmachen
Es geht um den Inhalt und wenn du den bezweifelst dann informiere dich doch wo anders ...
Es geht um den Inhalt und wenn du den bezweifelst dann informiere dich doch wo anders ...
gruss by OHR
Jimmy
Jimmy
- nightcrawler
- 1000 working lines a day
- Beiträge: 653
- Registriert: Di, 24. Apr 2012 16:33
- Wohnort: 72184 Weitingen
- Hat sich bedankt: 3 Mal
- Danksagung erhalten: 96 Mal
- Kontaktdaten:
Re: DSGVO und Datenbankanwendungen
Jimmy,
da hast Du absolut recht. Deshalb schrieb ich Hauszertifikat. Es ist aber ein Hauszertifikat von einer Zertifizierungsstelle, welche in zig Verfahren bereits akkreditiert ist - und zwar wesentlich mehr als so mancher TÜV;)
Ich frage mal andersherum: Wenn bei Dir die Kunden anklopfen, weil sie Probleme mit der Aufsichtsbehörde haben, und von Dir wissen wollen inwieweit Du sie bei der Umsetzung der Verordnung unterstützen kannst - wäre es da nicht hilfreich, wenn Du von einer unabhängigen Stelle eine Bestätigung zeigen kannst, was alles umgesetzt ist und daher keine weitere Betrachtung braucht?
EDIT: Zudem ist genau diese Zertifizierungsstelle gerade dabei, über die DAkkS als eine der ersten Stellen überhaupt für die DSGVO akkreditiert zu werden.
da hast Du absolut recht. Deshalb schrieb ich Hauszertifikat. Es ist aber ein Hauszertifikat von einer Zertifizierungsstelle, welche in zig Verfahren bereits akkreditiert ist - und zwar wesentlich mehr als so mancher TÜV;)
Ich frage mal andersherum: Wenn bei Dir die Kunden anklopfen, weil sie Probleme mit der Aufsichtsbehörde haben, und von Dir wissen wollen inwieweit Du sie bei der Umsetzung der Verordnung unterstützen kannst - wäre es da nicht hilfreich, wenn Du von einer unabhängigen Stelle eine Bestätigung zeigen kannst, was alles umgesetzt ist und daher keine weitere Betrachtung braucht?
EDIT: Zudem ist genau diese Zertifizierungsstelle gerade dabei, über die DAkkS als eine der ersten Stellen überhaupt für die DSGVO akkreditiert zu werden.
- AUGE_OHR
- Marvin
- Beiträge: 12911
- Registriert: Do, 16. Mär 2006 7:55
- Wohnort: Hamburg
- Hat sich bedankt: 19 Mal
- Danksagung erhalten: 46 Mal
Re: DSGVO und Datenbankanwendungen
Danke für deine Antwort das du es richtig gestellt hast.
das die DAkkS sich akkreditiert ist gut aber wie du ja sagt es erst in der Pipeline.
sobald es aktuell wird werde ich zusehen was genau dafür notwendig ist.
z.Z. kann ich nur das abarbeiten was mir mein Bruder vorschlägt.
das die DAkkS sich akkreditiert ist gut aber wie du ja sagt es erst in der Pipeline.
sobald es aktuell wird werde ich zusehen was genau dafür notwendig ist.
z.Z. kann ich nur das abarbeiten was mir mein Bruder vorschlägt.
gruss by OHR
Jimmy
Jimmy
- nightcrawler
- 1000 working lines a day
- Beiträge: 653
- Registriert: Di, 24. Apr 2012 16:33
- Wohnort: 72184 Weitingen
- Hat sich bedankt: 3 Mal
- Danksagung erhalten: 96 Mal
- Kontaktdaten:
Re: DSGVO und Datenbankanwendungen
Neuer Teil: Eingabekontrolle
https://www.jd-engineering.de/dsgvo-eingabekontrolle/
https://www.jd-engineering.de/dsgvo-eingabekontrolle/
- Herbert
- Der Entwickler von "Deep Thought"
- Beiträge: 1991
- Registriert: Do, 14. Aug 2008 0:22
- Wohnort: Gmunden am Traunsee, Österreich
- Danksagung erhalten: 3 Mal
- Kontaktdaten:
Re: DSGVO und Datenbankanwendungen
Danke für deine sehr wertvollen Informationen!
Grüsse Herbert
Immer in Bewegung...
Immer in Bewegung...
- nightcrawler
- 1000 working lines a day
- Beiträge: 653
- Registriert: Di, 24. Apr 2012 16:33
- Wohnort: 72184 Weitingen
- Hat sich bedankt: 3 Mal
- Danksagung erhalten: 96 Mal
- Kontaktdaten:
Re: DSGVO und Datenbankanwendungen
und weiter gehts: wie sieht es mit dem Löschen aus?
https://www.jd-engineering.de/dsgvo-datenloeschung/
https://www.jd-engineering.de/dsgvo-datenloeschung/
- azzo
- Rekursionen-Architekt
- Beiträge: 483
- Registriert: So, 28. Mär 2010 19:21
- Danksagung erhalten: 11 Mal
Re: DSGVO und Datenbankanwendungen
Hallo Joachim,
wie verfahrt man mit den Backups, die es im Betrieb und eventuell auch sonst wo gibt.
LG
Otto
wie verfahrt man mit den Backups, die es im Betrieb und eventuell auch sonst wo gibt.
LG
Otto
- nightcrawler
- 1000 working lines a day
- Beiträge: 653
- Registriert: Di, 24. Apr 2012 16:33
- Wohnort: 72184 Weitingen
- Hat sich bedankt: 3 Mal
- Danksagung erhalten: 96 Mal
- Kontaktdaten:
Re: DSGVO und Datenbankanwendungen
Die Backups sind für den Standard-User nicht einsehbar, sondern nur für den Admin. Damit sind sie zumindest mal geschützt. Streng genommen muss ich überall löschen, es gibt jedoch auch noch die Ausnahme der hohen technischen Hürde.
Wie lange geht Dein Backup zurück? Alles älter als 1 Jahr wird vermutlich nicht mehr benötigt (da die Daten der z.B. letzten 10 Jahre - Aufbewahrungsfrist Steuer - auch im aktuellsten Backup mit drin sind, also noch live Daten). Wenn Du nun aktuelle Tages-/Wochen-/Monats- und eine Jahressicherung hast, sind die Daten maximal 2 Jahre über der Löschfrist. Definiere in Deinem "Verzeichnis für Verarbeitungstätigkeiten" für dieses Verfahren eine Aufbewahrungsfrist (10 Jahre?) sowie eine Löschfrist (2 Jahre). Damit ist es transparent.
Wie lange geht Dein Backup zurück? Alles älter als 1 Jahr wird vermutlich nicht mehr benötigt (da die Daten der z.B. letzten 10 Jahre - Aufbewahrungsfrist Steuer - auch im aktuellsten Backup mit drin sind, also noch live Daten). Wenn Du nun aktuelle Tages-/Wochen-/Monats- und eine Jahressicherung hast, sind die Daten maximal 2 Jahre über der Löschfrist. Definiere in Deinem "Verzeichnis für Verarbeitungstätigkeiten" für dieses Verfahren eine Aufbewahrungsfrist (10 Jahre?) sowie eine Löschfrist (2 Jahre). Damit ist es transparent.
- Koverhage
- Der Entwickler von "Deep Thought"
- Beiträge: 2471
- Registriert: Fr, 23. Dez 2005 8:00
- Wohnort: Aalen
- Hat sich bedankt: 103 Mal
- Danksagung erhalten: 3 Mal
- Kontaktdaten:
Re: DSGVO und Datenbankanwendungen
Hallo Joachim,
eine Frage an den Fachmann,
unsere Kunden können ausfüllbare PDF erstellen, die sie ihren Kunden per Mail schicken. Diese PDF Dateien können Bankdaten enthalten und sind mit einem Passwort verschlüsselt.
Jetzt schreibt ein Kunde
Uns hat die untere Datenschutzbeauftrage angeschrieben und mahnt an,
dass der Versand des pdf (mit Bankdaten) nicht ausreichend bei uns geschützt sei.
Was soll/muss man machen ?
eine Frage an den Fachmann,
unsere Kunden können ausfüllbare PDF erstellen, die sie ihren Kunden per Mail schicken. Diese PDF Dateien können Bankdaten enthalten und sind mit einem Passwort verschlüsselt.
Jetzt schreibt ein Kunde
Uns hat die untere Datenschutzbeauftrage angeschrieben und mahnt an,
dass der Versand des pdf (mit Bankdaten) nicht ausreichend bei uns geschützt sei.
Was soll/muss man machen ?
Gruß
Klaus
Klaus
- HaPe
- 1000 working lines a day
- Beiträge: 996
- Registriert: So, 15. Nov 2015 17:44
- Wohnort: 71665 Vaihingen-Enz
- Hat sich bedankt: 17 Mal
- Danksagung erhalten: 15 Mal
Re: DSGVO und Datenbankanwendungen
Hallo Klaus !
Wenn die Datenschutzbeauftrage meint, das PDF sei nicht ausreichend, dann muss Sie auch wissen, wie man dieses ausreichend schützt um der DSVGO zu genügen.
Es kann nicht sein, dass es gesetztliche Vorgaben gibt und die Prüfbehörde den Kunden/Anfrager im Unklaren läßt, wie dies technisch ausreichend umzusetzen ist.
Ich würde den Spieß umdrehen.Uns hat die untere Datenschutzbeauftrage angeschrieben und mahnt an, dass der Versand des pdf (mit Bankdaten) nicht ausreichend bei uns geschützt sei.
Wenn die Datenschutzbeauftrage meint, das PDF sei nicht ausreichend, dann muss Sie auch wissen, wie man dieses ausreichend schützt um der DSVGO zu genügen.
Es kann nicht sein, dass es gesetztliche Vorgaben gibt und die Prüfbehörde den Kunden/Anfrager im Unklaren läßt, wie dies technisch ausreichend umzusetzen ist.
--
Hans-Peter
Hans-Peter
- Tom
- Der Entwickler von "Deep Thought"
- Beiträge: 9387
- Registriert: Do, 22. Sep 2005 23:11
- Wohnort: Berlin
- Hat sich bedankt: 104 Mal
- Danksagung erhalten: 362 Mal
- Kontaktdaten:
Re: DSGVO und Datenbankanwendungen
Selbst im Lohndatenverkehr sind Dokumente, die sensible Daten enthalten, als PDF per Mailversand in Ordnung, wenn das Passwort in einer gesonderten Mail verschickt oder irgendwo abrufbar ist. Außerdem stellt sich die Frage, ob das überhaupt etwas mit Datenschutz zu tun hat - und nicht viel mehr mit Datensicherheit. Der Datenschutz ist dafür da, zu verhindern, dass Menschen an Daten kommen, von denen diejenigen, zu denen diese Daten gehören, das nicht möchten. Datensicherheit ist ein anderes Thema (hat aber, zugegeben, Überschneidungen). Wenn also die Empfänger der PDFs berechtigt und autorisiert sind, die Bankdaten zu sehen und zu erhalten, weil das freigegeben wurde oder sich aus der Vertragssituation als notwendig ergibt, und es ist sichergestellt, dass nur solche Leute auch diese PDFs erhalten, ist das Argument der Datenschützerin nicht nachvollziehbar.
Herzlich,
Tom
Tom
- Manfred
- Foren-Administrator
- Beiträge: 21216
- Registriert: Di, 29. Nov 2005 16:58
- Wohnort: Kreis Wesel
- Hat sich bedankt: 210 Mal
- Danksagung erhalten: 67 Mal
Re: DSGVO und Datenbankanwendungen
Klaus,
ich würde erstmal in Erfahrung bringen, ob die "interne" Datenschutzbeauftragte überhaupt weiß wovon sie spricht. Ich denke mal, seiner Zeit wurde in den Firmen oft irgendwer bestimmt den Datenschutzbeauftragten zu mimen. Ob die Person dann auch weiß wovon die Rede ist.....
ich würde erstmal in Erfahrung bringen, ob die "interne" Datenschutzbeauftragte überhaupt weiß wovon sie spricht. Ich denke mal, seiner Zeit wurde in den Firmen oft irgendwer bestimmt den Datenschutzbeauftragten zu mimen. Ob die Person dann auch weiß wovon die Rede ist.....
Gruß Manfred
Mitglied der XUG Osnabrück
Schatzmeister des Deutschsprachige Xbase-Entwickler e.V.
großer Fan des Xbaseentwicklerwiki https://wiki.xbaseentwickler.de/index.p ... Hauptseite
Doof kann man sein, man muß sich nur zu helfen wissen!!
Mitglied der XUG Osnabrück
Schatzmeister des Deutschsprachige Xbase-Entwickler e.V.
großer Fan des Xbaseentwicklerwiki https://wiki.xbaseentwickler.de/index.p ... Hauptseite
Doof kann man sein, man muß sich nur zu helfen wissen!!
- Werner_Bayern
- Der Entwickler von "Deep Thought"
- Beiträge: 2126
- Registriert: Sa, 30. Jan 2010 22:58
- Wohnort: Niederbayern
- Hat sich bedankt: 30 Mal
- Danksagung erhalten: 75 Mal
Re: DSGVO und Datenbankanwendungen
Servus,
m. M. n. ist sogar der Versand per Mail einer unverschlüsselten PDF mit Lohndaten an den Mitarbeiter DSGVO-konform, weil SSL o. ä. verwendet wird - was ja längst überall Standard und verpflichtend ist.
m. M. n. ist sogar der Versand per Mail einer unverschlüsselten PDF mit Lohndaten an den Mitarbeiter DSGVO-konform, weil SSL o. ä. verwendet wird - was ja längst überall Standard und verpflichtend ist.
es grüßt
Werner
<when the music is over, turn off the lights!>
Werner
<when the music is over, turn off the lights!>
- nightcrawler
- 1000 working lines a day
- Beiträge: 653
- Registriert: Di, 24. Apr 2012 16:33
- Wohnort: 72184 Weitingen
- Hat sich bedankt: 3 Mal
- Danksagung erhalten: 96 Mal
- Kontaktdaten:
Re: DSGVO und Datenbankanwendungen
Email-Versand ist bei fast keinem verschlüsselt!
Passwort in der Email danach ist genauso blöd. Wenn ich die Email mit den ZIP abfange, so kann ich das auch mit dem Passwort machen.
Datenschutz ohne Datensicherheit geht nicht. DSGVO hat dafür die TOMs.
Passwort in der Email danach ist genauso blöd. Wenn ich die Email mit den ZIP abfange, so kann ich das auch mit dem Passwort machen.
Datenschutz ohne Datensicherheit geht nicht. DSGVO hat dafür die TOMs.