voiper
Goto Top

Datenschutzpanne Konsequenzauftrag

Hallo Zusammen,

vor ein paar Tagen kam die Anfrage eines Kunden bezüglich einer Datenschutzpanne : Versandverbot Exchange in der Nacht

Nun ist raus gekommen, das wohl aus der Software des Kunden Mailadressen seiner User exportiert wurden und als Verteiler genutzt wurden (Vom Kunden selbst). Dummerweise in CC statt BCC, womit das Geschrei nun groß ist. Presse, Ämter etc. etc.

Ich wurde gefragt, ob ich die importierten Adressen Datenschutz-konform vom Exchange und aus Outlook entfernen kann und das Ganze protokolliere (Postfach eines einzelnen Nutzer beim Kunden).

Nun die Frage: Habt Ihr Ansätze, wie man da am sinnvollsten vorgeht? Query auf dem Exchange mit den Exporten und dann löschen lassen? Das Zeug Verbose als Protokoll mitschneiden?

Ich bin da etwas überfordert, weil das irgendwie nie zu 100% löschbar ist.

Gruß, V

Content-ID: 338224

Url: https://administrator.de/forum/datenschutzpanne-konsequenzauftrag-338224.html

Ausgedruckt am: 22.12.2024 um 08:12 Uhr

SeaStorm
SeaStorm 18.05.2017 um 16:33:43 Uhr
Goto Top
Hi

auch nach mehrfachem lesen verstehe ich nicht was du tun willst. Die Mails aus dem Exchange löschen, die da versendet wurden? Das Hilft bei der Datenpanne ja nicht, da dadurch die Mails der Empfänger nicht gelöscht werden.
Voiper
Voiper 18.05.2017 um 16:37:43 Uhr
Goto Top
Es geht seitens der externen Datenschützer darum, dass die Mailadressen Rückstandslos aus dem Netzwerk meines Kunden entfernt werden, damit die Adressen seiner User nicht mehr "greifbar" sind.
BernhardMeierrose
BernhardMeierrose 18.05.2017 um 16:51:08 Uhr
Goto Top
Moin,
auf den ersten Blick hört sich die Anfrage des externen DSBs sinnlos an.
Die Mailadressen sind ja in dieser Software des Kunden gespeichert, die Speicherung der Mailadressen scheint also legitim zu sein. Warum die gleichen Mailadressen jetzt aus dem Exchange gelöscht werden sollen ist für mich nicht nachvollziehbar.
Man müsste halt die User schulen, nicht haufenweise Adressen in CC zu setzen.

Gruß
Bernhard
SeaStorm
SeaStorm 18.05.2017 um 16:56:01 Uhr
Goto Top
Äh? Die Daten kommen doch aus dem ERP. Soll dein Kunde jetzt alle Kundendaten löschen?! Ich verstehs nicht. Das ergibt keinen Sinn für mich.
Ich mein: Was für eine Form von Datenschutz soll das sein? Das die Mitarbeiter deines Kunden diese Adressen, die die Firma ja schon im ERP hat, nicht im Outlook sehen dürfen? Dann gucken sie halt ins ERP ...(oder sollt ihr die Mails da auch löschen? Wäre ja der Todesstoss für jede Firma ...)

Am Exchange kannst du eigentlich nur die versendeten Mails löschen.


Die Postfächer der User haben evtl. durch dieses leidige "Vorgeschlagene User" Feature dann diese Adressen gespeichert, aber das Feature kann man per GPO am Outlook deaktivieren. Das ist afaik aber nicht auf dem Exchange gespeichert sondern baut sich aus dem lokalen Index zusammen.

Ansonsten könntest du nur noch gucken, ob in den Postfächern einer der besagten Adressen als Kontakt gespeichert wurde und den löschen. Aber da weisst du ja auch nicht, ob der User das nicht absichtlich und berechtigter Weise da hat.


Kontakte: hab ich auch noch nie gelöscht. Keine Ahnung

Mails etwa so:
Get-Mailbox | Search-Mailbox -SearchQuery '(Gesendet:18.04.2017..18.05.2017) AND (Von:reporting@domain.com) AND ((Thema:*Taeglicher Report*))' -TargetMailbox "ich@domain.com" -TargetFolder "DeletedMails" -DeleteContent   
löscht aus allen Mailboxen alle Mails mit dem entsprechenden Filter und schiebt die gelöschten Mails in die Box von "ich@domain.com" in den Ordner "DeletedMails"
Voiper
Voiper 18.05.2017 um 17:21:22 Uhr
Goto Top
Von einem ERP war nie die Rede. Es geht hier um ein Onlineverwaltungstool, wo die USer Ihre Daten selbst anlegen (quasi wie in einem Forum). Diese Daten wurden exportiert und als Verteiler genutzt. Ohne Einverständnis und jedweder Erklärung des Kunden. Es liegt in der Tat ein schwerer Datenschutzverstoß vor, das brauchen wir hier nicht zu diskutieren face-smile
certifiedit.net
certifiedit.net 21.05.2017 um 01:22:51 Uhr
Goto Top
Hallo Voiper,

was möchtest du denn mit diesem Beitrag erreichen?

Also von Firma A (nicht dein Kunde, Betreiber eines öffentlichen? Forums) wurden eine Menge n an Emailadressen bzw inkl zugehöriger Tertiärdaten entwedet und von Firma B (dein Kunde) benutzt, um damit einen Verteiler zu füllen, richtig?

Nun, was sollen wir tun, die Mails zu löschen kann je nach dem ein Verstoß gegen ein die vorgeschriebene Datenvorhaltung sein, sollte einer der adressierten darauf ein Geschäft aufbauen. face-smile
Voiper
Voiper 22.05.2017 um 10:27:18 Uhr
Goto Top
Hi @certifiedit.net,

mich interessiert, wie man solch einen Vorgang sinnvoll durchführt, damit es am Ende nicht heißt, da fehlt doch was.

Ich habe mittlerweile einen Datenschützer als Berater hinzugezogen, von daher setz ich das Thema mal auf gelöst und gebe ggf. nach Abschluss des Auftrags Feedback.

Gruß und Danke,

V
certifiedit.net
certifiedit.net 22.05.2017 um 12:04:04 Uhr
Goto Top
Hi Voiper,

DS ist ein guter Anfang - andersherum, frag, was die Gegenseite als konkrete Maßnahme erwartet.

VG