Inoffizielles deutsches Xbase-Forum

Meine Frage ging in die Richtung, ob jemand von euch einzelne Felder mit sensiblen Informationen in den lebenden Daten verschlüsselt oder dies aufgrund der neuen Verordnung nun beabsichtigt. Ich habe in der Verordnung eigentlich nichts Direktes gefunden, dass man verschlüsseln muss. Es steht, man soll die Daten schützen.

DelUser01 hat geschrieben: ↑Fr, 20. Apr 2018 11:40

Wenn Sie noch die alte Clipper-Verschlsselung oder Ihre eigene verwenden - entfernen Sie sie ...

Eine seltsame Aufforderung von Alaska, eigene Verschlüsselungen zu entfernen.

die meinen, dass du deine eigene Verschlüsselung schnellst möglich durch die bessere (sichere AES) Verschlüsselung ersetzen sollt.

Laut eMail, ist wohl der Umgang mit verschlüsselten Dateien (feldweise) einfacher, da die wichtigen Sachen sicher sind.
Angeblich ist dann einiges an Vorschriften nicht mehr anzuwenden, genaueres hoffe ich nach dem Vortrag in Dresden zu wissen.

Kennwörter speichere ich in meinen online Programmen nicht, sondern nur den MD5 Stempel.
Die alten DBF im lokalen Netzwerk sind alles frei lesbar, allerdings ist der Zugriff auch für erlaubte User extrem schwer zu bekommen.
Admins der Server könnten natürlich ...

In der aktuellen 2.00 PROF hab ich diesen Befehl gefunden, das muss die eMail meinen, einzelne Strings sauber verschlüsseln,
die unwichtigen Felder hingegegen lassen wie sie sind.

AesCrypt()
Class function of the AesCrypt class

die alte AES auf DBF-Ebene Implementierung hatte z.B. das Problem, dass die Summe aller Felder eine bestimmte Länge benötigt hat (ein Füllfeld wird wird benötigt).
Hinzu kam, dass die Indexdateien ja verschlüsselte Daten indiziert haben, was für Sortierung etc völlig ungeeignet war.
Einzelne Felder lassen einem hier viele Freiheiten, wenn auch ein Index auf ein geschütztes Namensfeld interessant werden dürfte ...
Den Index unverschlüsselt zu erzeugen geht natürlich nicht, denn dann wäre ja kein Schutz da.

Hallo Hubert

du kannst den ADS Server verwenden. Der kann ganze Tabellen verschlüsseln ohne dass du dich um irgend etwas kümmern musst. Lediglich die Indexe sind im Klartext gespeichert. Welchen Crypt-Algo ADS verwendet weiss ich allerdings auch nicht. Vermutlich DES oder 3DES. Unter ADS haben wir seit vielen Jahren immer alle Tabellen verschlüsselt es hat immer funktioniert wir hatten nie Probleme damit.

Gruss Carlo

Hallo Carlo - das ist ein guter Hinweis mit dem Verschlüsseln über ADS

ADS nimmt im Standard RC4 - also nicht das sicherste. Es gibt auch die Möglichkeit, ein FIPS Verfahren zu nehmen - gegen Aufpreis und Zusatzkonfiguration.

Ich hatte nur auf die Frage von oben reagiert

Auch ich werde jetzt öfters von meinen Kunden angesprochen, ob sie z.B. ihren Kunden Mitteilungen zukommen lassen müssen, dass die Kundendaten gespeichert werden.
Interessant dazu der Artikel 6 der DSGVO, dass die Datennutzung ohne Einwilligung erlaubt ist,
• wenn die Verarbeitung zur Erfüllung eines Vertrags erforderlich ist (z.B. Adresse des Kunden, um den Auftrag vor Ort beim Kunden ausführen zu können).
• zur Durchführung vorvertraglicher Maßnahmen erforderlich ist (z.B. E-Mail-Adresse, um dem Kunden nach seinem Wunsch einen Kostenvoranschlag senden zu können).
• zur Wahrung berechtigter Interessen des Handwerksbetriebs oder eines Dritten erforderlich ist und die Interessen der betroffenen Person nicht überwiegen (z.B. die Auswertung der Kundendatei, um bestimmte Kunden zielgerichtet mit Werbung anzusprechen).

Hallo Zusammen !

Ich hatte in den letzten Wochen mehrere Workshops/Seminare zur DSGVO gehört.
Gestern hatten wir im Rahmen des XUG-Treffens in Stuttgart diskutiert was wir in unseren Programmen anpassen sollten und auch darüber was die eigene Firma betrifft.
Hier ist eine Kurz-Zusammenfassung:
https://www.xbaseforum.de/viewtopic.php ... 96#p121696
Diese Liste stellt wirklich nur einen Auszug dar und erhebt damit keinen Anspruch auf Vollständigkeit.

Nur so am Rand. Im Kölner-Stadt-Anzeiger vom 10/11.05.18 steht ein Bericht/Artikel über eine eventuelle Lockerung.

Auszug:
Änderung in letzter Minute?
VON DANIELA VATES
BIG DATA Nach Kritik aus der Wirtschaft will Merkel neues Datenschutzgesetz lockern
Berlin. In letzter Minute will Bundeskanzlerin Angela Merkel (CDU) offenbar die Regeln zur Umsetzung der umstrittenen EU-Datenschutzgrundverordnung lockern. Sie reagiert damit auf massive Kritik aus Wirtschaft und Verbänden.
usw.......

Bin mal gespannt was da noch so kommt.

Bertram,
wenn Merkel was ändern will, wird nichts kommen. Sie sitzt doch gerne Themen aus.

Viele Grüße,
Martin

Wenn ich sehe was dazu alles schon vorbereitet ist wie z.B. gedruckte Materialien, Schulungen, Kurse u.v.m. können "die" 10 Tage vor dem geplanten Inkrafttreten nicht mehr viel aufhalten...

ich habe irgendwo gelesen das man PDF Rechnungen verschlüsselt senden muss und eine 2-Weg Authentifizierung benötigt

p.s. kann man in diesem Forum verhindern das "neue User" einem SPAM schicken

wen meinst Du, der Spam verschickt?

Man sollte mal alles zusammentragen, was irgendwer irgendwo gelesen hat. Ich glaube, die DSGVO hat gutes Potential, sich zu einer Religion auszuwachsen. Die haben alle auch mit Regelwerken begonnen, die zur Machtfestigung gedacht waren, und sich über die Gerüchte- und Mythenküche zu dem entwickelt, was sie später wurden.

Es gibt (bislang) noch keine Verordnung oder Gesetzgebung, die den Versand von elektronischen Rechnungen regelt, aber derlei ist zum Jahr 2020 tatsächlich geplant ("Projekt xRechnung"). Ansonsten gilt mit der DSGVO die Verpflichtung zur "privacy by design", also größtmöglicher Datenschutz schon durch die Auswahl/Gestaltung des technischen Verfahrens. Man muss sich aber nicht verheben.

Einem einfachen Versand von PDF/A-Rechnungskopien über ein nach aktuellen Möglichkeiten abgesichertes Mailprotokoll steht nichts entgegen.

Ich verschicke meine RE noch per Papier...

DelUser01 hat geschrieben: ↑Mo, 14. Mai 2018 21:24 Ich verschicke meine RE noch per Papier...

wir auch
es ging mir darum das in einer Rechnung Informationen sind die ja Personen Bezogen sind (was er kauft).

die Stamm Daten hatte ich schon immer verschlüsselt aber nicht die Bewegungsdaten.
der Server hat einen eigenen Krypt-Controller aber über eine Workstation im Intranet (kein Internet) käme man an die unverschlüsselten DBF Dateien.

nun gibt es in den Bewegungsdateien lediglich die Kunden Nummer ... ein (ex) Mitarbeiter kennt die aber nach kurzer Zeit auswendig.

---

das verschlüsseln von Daten dient ja primär dazu die unberechtigte Verwendung von Daten zu verhindern.
dazu ist jedoch erst mal ein Zugriff notwendig was bei einem Intranet, also ohne Internet Zugriff, nur für Personen vor Ort gilt.

damit berechtigte Personen arbeiten können müssen sie zumindest Zugriff auf die Daten haben.
so sind auch die Steuer CDs entstanden, durch Abfragen von Mitarbeitern, denn die Datenbank selbst sind verschlüsselt.

mal sehen was die DSGVO sagt wenn wieder eine Steuer CD gekauft wird ...

Tia, wenn der Postler eine Rechnung für mich betimmt beim Nachbarn einwirft... verletzt der auch den Datenschutz?

Also, verrennt euch nicht, mit aktivem Vorgehen ok aber nicht übertreiben.

Falls jemand Daten aus deinem Programm ungerechtfertigt sich herausholt, macht derjenige sich strafbar. Bei dir ist dann einzig die Frage, wie das möglich war. Und wenn du sagst, alles verschlüsselt, dann bist schon mal recht abgesichert.

Im B2B-Datenverkehr ist das ohnehin minder relevant, da es personenbezogene Daten oder personenbeziehbare Daten bei juristischen Personen und Körperschaften eigentlich nicht gibt. Einige wenige Gerichte attestieren zwar auch Körperschaften das Recht auf informelle Selbstbestimmung, aber das sind wirklich Einzelurteile, die bislang nicht bundesweit relevant sind. Grundsätzlich gibt es so etwas hierzulande nur bei natürlichen Personen, also im B2C-Datenverkehr.
Besonders schutzwürdig sind "besondere Arten" personenbezogener Daten, wie Gesundheitsinformationen, ethnische, religiöse, rassische Zugehörigkeiten sowie sexuelle Orientierung und ähnliches. Die Augenfarbe gehört aber nicht dazu, und auch Besitz nicht. Insofern sind in Rechnungen enthaltene Informationen nicht "besonders schutzwürdig". Es gilt aber auch, dass sich man bei der Erfassung und Verwendung von Daten auf das notwendige Maß beschränken soll. Eine Rechnung muss die Augenfarbe nicht enthalten, und ein Kundenkonto auch nicht - es sei denn, man ist Hersteller bzw. Lieferant von gefärbten Kontaktlinsen.

Tom, vielen Dank für deine für mich verständlichen Bemerkungen zur Sache!
Könntest ein Sach-Büchlein verfassen - in gewohnter Tom-Manier

AUGE_OHR hat geschrieben: ↑Mo, 14. Mai 2018 23:49 mal sehen was die DSGVO sagt wenn wieder eine Steuer CD gekauft wird ...

Jimmy,

nachdem wir in NRW eine neue Landesregierung haben, gab es in NRW diesem Bereich einige Veränderungen.
https://www1.wdr.de/nachrichten/investi ... l-102.html

Ich verkneife mir jeden weiteren Kommentar dazu.

Manfred hat geschrieben: ↑Mo, 14. Mai 2018 19:51 wen meinst Du, der Spam verschickt?

z.b. Suisso oder Eurofrank die sich gerade angemeldet haben und dann persönliche Nachrichten an mich schicken welche SPAM enthalten.

Jimmy,
kannst Du die mal als PN an mich weiterleiten?

Manfred,

eine Mail von Suisso habe ich vor einigen Tagen an Euch weitergeleitet. Bislang noch ohne jede Rückmeldung. Wobei ich die jetzt nicht wirklich als Spam bezeichnet hätte.

Jan

Hallo Jan !

eine Mail von Suisso habe ich vor einigen Tagen an Euch weitergeleitet.

Ähhmm, wozu

Für mich war das eindeutig Spam.
Eine msi-Datei bekommt von mir wenn überhaupt nur jemand den ich sehr gut kenne und ich weiß dass er eine Subskription hat