11
DSGVO BDSG Gibt es Komplettlösungen für Protokolierung? Monitoring Software
Mal wieder das neue Datenschutzgesetz. Ich schlagemich damit herum, und verstehe nur Bahnhof. Alles total schwammig formuliert, und die Umsetzung ist meinerMeinung nach nicht wirklich möglich.
Ich hänge momentan an den Protokolierungspflichten fest (Siehe §76 BDSG).
gibt es hier eine gute monitoring Software welche sämtliche erfordernisse der neuen DSGVO abdeckt? Also Ein zentrales Programm (Cloud oder Lokal) welches sämtliche Protokolierungen durchführt?
Desweiterenstellt sich fürmich auch die Frage wie mit Emials verfahren werdensoll. Aus dem Wortlaut der Vorschriften geht hervor, dass sämtliche Mails protokoliertwerdenmüssen. Wie kann ich das erreichen?
Ich bin wirklich für jeden Tip dankbar. Schön wäre es wenn es einen Anbieter gebenwürde der mit seinem Monitoringtools sämltiche erforderniss abdeckt, und zentral zu verwalten ist.
Also postet eure Links, und eure meinungen. Bin Dankkbar für jede Hilfe.
Grüße
Sauturion
Ich hänge momentan an den Protokolierungspflichten fest (Siehe §76 BDSG).
gibt es hier eine gute monitoring Software welche sämtliche erfordernisse der neuen DSGVO abdeckt? Also Ein zentrales Programm (Cloud oder Lokal) welches sämtliche Protokolierungen durchführt?
Desweiterenstellt sich fürmich auch die Frage wie mit Emials verfahren werdensoll. Aus dem Wortlaut der Vorschriften geht hervor, dass sämtliche Mails protokoliertwerdenmüssen. Wie kann ich das erreichen?
Ich bin wirklich für jeden Tip dankbar. Schön wäre es wenn es einen Anbieter gebenwürde der mit seinem Monitoringtools sämltiche erforderniss abdeckt, und zentral zu verwalten ist.
Also postet eure Links, und eure meinungen. Bin Dankkbar für jede Hilfe.
Grüße
Sauturion
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 369901
Url: https://administrator.de/contentid/369901
Printed on: April 26, 2024 at 08:04 o'clock
11 Comments
Latest comment
Moin,
deine "Space"-Taste ist im Eimer
deine "Space"-Taste ist im Eimer
Ich schlagemich damit herum, und verstehe nur Bahnhof
dann solltest du ernsthaft über einen externen Dienstleister nachdenkenAlles total schwammig formuliert
Es gibt da durchaus die eine oder andere schwierige Passage - aber bei weitem nicht allesSiehe §76 BDSG
kann das sein, dass dieser Punkt gar nicht für dich relevant ist?
Hi
und hä? Meinst du jetzt das BDSchG oder die DSGVO? §76 != Art. 76 im DSGVO ... du arbeitest irgendwie an der falschen Stelle, die DSGVO "kommt" im Mai das BDSchG gibt es schon weitaus länger
.
Jetzt Panik schieben deutet eher auf eine schlechte Orga hin, wenn du bereits Prozessbeschreibungen der einzelnen Vorgänge hast musst du diese lediglich ein wenig anpassen damit diese (einigermaßen) auf die DSGVO Anforderung passen. In der DSGVO sind vor allem Art. 5 und insbesondere Art. 9 besonders (und Aufwendig) zu betrachten. Wir haben das Glück keine Endkunden zu haben sondern lediglich B2B Geschäft was die Arbeit sehr erleichtert (Personal muss eh jeder machen).
Aber wie bereits @Kraemer geschrieben hat, finde erst einmal heraus was für deinen / euren Bereich überhaupt relevant ist, uns betreffen auch nicht alle Artikel / §§ aus den Gesetzen.
Und zum Thema Mails, seit dem 01.01.2017 müssen rechtlich und kaufmänisch relevante Mails archiviert werden und zwar so wie das dazu passende "Papier" 5/10 oder mehr Jahre in einem Format das auch in der gegebenen Frist noch lesbar ist (meine lieblings Bedingung :D ).
Gruß
@clSchak
PS: Und monitoren wird sehr schwierig, das ganze bverhält sich wie eine ISO9001 Prüfung, da sind ständig Änderungen vorhanden und das muss erfasst werden, selbst wenn der Prozess "ka cke" ist, beschreib Ihn, betrachte das Risiko und bewerte es - das schreibst alles auf, sprichst das mit eurem Datenschutzbeauftragten ab und der soll dann Ok oder nicht Ok sagen. (den muss man auch haben ...)
und hä? Meinst du jetzt das BDSchG oder die DSGVO? §76 != Art. 76 im DSGVO ... du arbeitest irgendwie an der falschen Stelle, die DSGVO "kommt" im Mai das BDSchG gibt es schon weitaus länger
.Jetzt Panik schieben deutet eher auf eine schlechte Orga hin, wenn du bereits Prozessbeschreibungen der einzelnen Vorgänge hast musst du diese lediglich ein wenig anpassen damit diese (einigermaßen) auf die DSGVO Anforderung passen. In der DSGVO sind vor allem Art. 5 und insbesondere Art. 9 besonders (und Aufwendig) zu betrachten. Wir haben das Glück keine Endkunden zu haben sondern lediglich B2B Geschäft was die Arbeit sehr erleichtert (Personal muss eh jeder machen).
Aber wie bereits @Kraemer geschrieben hat, finde erst einmal heraus was für deinen / euren Bereich überhaupt relevant ist, uns betreffen auch nicht alle Artikel / §§ aus den Gesetzen.
Und zum Thema Mails, seit dem 01.01.2017 müssen rechtlich und kaufmänisch relevante Mails archiviert werden und zwar so wie das dazu passende "Papier" 5/10 oder mehr Jahre in einem Format das auch in der gegebenen Frist noch lesbar ist (meine lieblings Bedingung :D ).
Gruß
@clSchak
PS: Und monitoren wird sehr schwierig, das ganze bverhält sich wie eine ISO9001 Prüfung, da sind ständig Änderungen vorhanden und das muss erfasst werden, selbst wenn der Prozess "ka cke" ist, beschreib Ihn, betrachte das Risiko und bewerte es - das schreibst alles auf, sprichst das mit eurem Datenschutzbeauftragten ab und der soll dann Ok oder nicht Ok sagen. (den muss man auch haben ...)
Es gibt da durchaus die eine oder andere schwierige Passage - aber bei weitem nicht alles
Nein, er hat schon recht. Es ist alles "Interpretationssache" und das kotzt mich aktuell wirklich an. Läuft alles nach dem Motto "denkt euch erstmal was aus".- Gibt keine staatlich definierte Fortbildungen (Inhalte, Umfang, Prüfung)
- Gibt keine staatliche Zertifizierung
- Gbit keine definierte Bestimmungmethode für Schutzlevel (wie viel von welchen Daten = welches Schutzlevel)
- Gibt keine verbindlichen Vorgaben von Schutzlevel und TOMs
Und fundierte Fragen zu Themen stoßen bei den Behörden eher auf Schulterzucken mit Verweis auf die DSGVO. Unglaublich hilfreich ;)
Würde die StVO den gleichen Interpretationsspielraum haben, könnte man ein 70er Schild auch für 170 interpretieren, ist ja schließlich eine 70 enthalten ...
Hier ein paar lustige Fragen ;)
- Wenn ich personenbezogene Daten verschlüssel (z.B. 7zip Archiv), was ist dann die entstandene Datei ohne den Schlüssel? Datenmüll? Zufallsdaten?
- Wenn ich diese verschlüsselte Datei bei einem Cloud-Anbieter sichere (Offsite-Sicherung), ist dies dann eine Auftragsverarbeitung?
- Wie bestimme ich den Weg den die Daten im Internet nehmen, könnten ja rein theoretisch auch außerhalb der EU verlaufen
- Also wäre es eine Drittstaatenweitergabe? (gleiches gilt für E-Mails)
- ISPs sind als Postdienstleister anzusehen, also keine Auftragsdatenverarbeitung ... wo ist der Unterschied zum Webhoster? (die Regelung ist richtig goldig)
- Muss ich mit der NSA einen Auftragsdatenverarbeitugns-Vertrag schließen?
- Sind nicht alle Übertragungen im Internet (dank NSA) eine Drittland-Ausfuhr von Daten?
- Wofür gibt es das EU-US-Privacy Shield wenn es doch kaum von Belang ist
- Wieso muss ich innerhalb der EU überhaupt Auftragsverarbeitung-Verträge schließen? Sollte jetzt nicht überall der gleiche Standard gelten? Würde eine Nennung im Verfahrensverzeichnis nicht ausreichend sein?
Das gesamte Konstrukt knirscht an allen Ecken. Aber mit Abstand das Schlimmste ist die "macht ihr erstmal"-Haltung gepaart mit dem "wenn uns dennoch etwas nicht passt, gibt es haue" und dem "sonst klag doch, Gesetzte sind ja Auslegungssache"
Man stelle sich nur vor, man könnte sich auf einer BSI-Website seine Daten-Kategorien und Mengen angeben und darauf eine verbindliche Auskunft über die umzusetzenden Maßnahmen bekommen, das Ganze dann ggf. EU-weit.
So wie das aktuell wieder ist, ist es ganz große Grütze und wird in Chaos und bescheuerten Urteilen gipfeln ;)
Ich kann die "schwammig"-Kritik nicht ganz nachvollziehen. Natürlich ist es für einen Menschen mit technischem Sachverstand ein leichtes einen Problemfall zu ersinnen. Anderer Seits kann so ein Gesetz gar nicht dermaßen konkret sein wie von dir gefordert. Es wäre veraltet bevor es verabschiedet wird und vor allem, bevor du es komplett gelesen hättest.
Die Intention in dem Gesetz läßt sich aus meiner Sicht sehr gut herauslesen und die Grundidee finde ich richtig und wichtig. Jetzt habe ich natürlich auch jede Menge Fragen und arbeite mich noch daran ab aber soviel neues steht gar nicht drin in den Berreichen in denen ich betroffen bin. Ich bin aber froh wenn dort eine Formulierung wie "nach Stand der Technik" steht, stell dir mal vor die würden dir DeMail oder son Quatsch vorschreiben.
Wenn du eine verschlüsselte Datei nimmst (7zip) kannst du sie gewissenhaft als Datenmüll betrachten solange du nicht im Besitz des Schlüssels bist und die Verschlüsselungs-Methode nicht bekanntlich als zu schwach, in naher Zukunft zu schwach oder fehlerhaft anzusehen ist. Du handelst gewissenhaft und Aufwand und Kosten sind vertretbar.
Dein Beispiel StVO § 1:
(1) Die Teilnahme am Straßenverkehr erfordert ständige Vorsicht und gegenseitige Rücksicht.
(2) Wer am Verkehr teilnimmt hat sich so zu verhalten, dass kein Anderer geschädigt, gefährdet oder mehr, als nach den Umständen unvermeidbar, behindert oder belästigt wird.
Natürlich werden konkrete Aspekte definiert von Dingen, die in der StVO unter Strafe stehen, das kann auch jedes Land im Datenschutz konkret ausführen. Der §1 gilt aber immer und ist alles andere als eine detailierte Handlungsanweisung. Nur weil du 70 fahren darfst kannst du nicht einen Fussgänger ummähen der die Fahrbahn kreuzt.
Zum §76 BDSG neu:
Du wirst keine Software finden die das für alle deine bereits im Einsatz befindliche Software machen kann. Die müsste alle deine Programme (und deren Anpassungen) kennen, Zugriff auf alle Datenbanken haben und jedes Update oder jede Veränderung berücksichtigen. Das ist utopisch und natürlich nur möglich wenn du jetzt z.B. nur Produkte eines Herstellers einsetzt und dieser soetwas anbietet. Der Regelfall wird sein das deine Software Protokollfunktionen mit bringt und du diese nutzt, der Aufwand ist zumutbar.
E-Mails müssen tatsächlich schon lange archiviert werden und da gibt es unzählige Lösungen in allen Facetten. Viel kniffliger fand ich die Frage nach dem Auskunftsanspruch und dem Anspruch auf Löschung, wenn diese Vorschriften kollidieren. Dazu: "Auskunftsrecht besteht nicht bei Daten, die zum Zwecke der Datensicherung oder zur Erfüllung von Aufbewahrungsvorschriften gespeichert werden und deren Verarbeitung zu anderen Zwecken ausgeschlossen ist" (§ 34 Abs. 1 Nr. 2).
Die Intention in dem Gesetz läßt sich aus meiner Sicht sehr gut herauslesen und die Grundidee finde ich richtig und wichtig. Jetzt habe ich natürlich auch jede Menge Fragen und arbeite mich noch daran ab aber soviel neues steht gar nicht drin in den Berreichen in denen ich betroffen bin. Ich bin aber froh wenn dort eine Formulierung wie "nach Stand der Technik" steht, stell dir mal vor die würden dir DeMail oder son Quatsch vorschreiben.
Wenn du eine verschlüsselte Datei nimmst (7zip) kannst du sie gewissenhaft als Datenmüll betrachten solange du nicht im Besitz des Schlüssels bist und die Verschlüsselungs-Methode nicht bekanntlich als zu schwach, in naher Zukunft zu schwach oder fehlerhaft anzusehen ist. Du handelst gewissenhaft und Aufwand und Kosten sind vertretbar.
Dein Beispiel StVO § 1:
(1) Die Teilnahme am Straßenverkehr erfordert ständige Vorsicht und gegenseitige Rücksicht.
(2) Wer am Verkehr teilnimmt hat sich so zu verhalten, dass kein Anderer geschädigt, gefährdet oder mehr, als nach den Umständen unvermeidbar, behindert oder belästigt wird.
Natürlich werden konkrete Aspekte definiert von Dingen, die in der StVO unter Strafe stehen, das kann auch jedes Land im Datenschutz konkret ausführen. Der §1 gilt aber immer und ist alles andere als eine detailierte Handlungsanweisung. Nur weil du 70 fahren darfst kannst du nicht einen Fussgänger ummähen der die Fahrbahn kreuzt.
Zum §76 BDSG neu:
Du wirst keine Software finden die das für alle deine bereits im Einsatz befindliche Software machen kann. Die müsste alle deine Programme (und deren Anpassungen) kennen, Zugriff auf alle Datenbanken haben und jedes Update oder jede Veränderung berücksichtigen. Das ist utopisch und natürlich nur möglich wenn du jetzt z.B. nur Produkte eines Herstellers einsetzt und dieser soetwas anbietet. Der Regelfall wird sein das deine Software Protokollfunktionen mit bringt und du diese nutzt, der Aufwand ist zumutbar.
E-Mails müssen tatsächlich schon lange archiviert werden und da gibt es unzählige Lösungen in allen Facetten. Viel kniffliger fand ich die Frage nach dem Auskunftsanspruch und dem Anspruch auf Löschung, wenn diese Vorschriften kollidieren. Dazu: "Auskunftsrecht besteht nicht bei Daten, die zum Zwecke der Datensicherung oder zur Erfüllung von Aufbewahrungsvorschriften gespeichert werden und deren Verarbeitung zu anderen Zwecken ausgeschlossen ist" (§ 34 Abs. 1 Nr. 2).
Die Intention in dem Gesetz läss sich aus meiner Sicht sehr gut herauslesen und die Grundidee finde ich richtig und wichtig.
Korrekt, so sehe ich das auch. Mir gefallen besonders die zementierten Rechte. Die Pflichten ergeben sich dann. Nur "gut gemeint" ist halt "###e umgesetzt".Es wäre veraltet bevor es verabschiedet wird und vor allem, bevor du es komplett gelesen hättest.
Also das allgemeine Problem bei den Gesetzten der Neuzeit? Dann sollte man eventuell da etwas mehr Agilität und Realitätstreue einfließen lassen? Dann müssen die vorgegebenen TOMs halt jedes Jahr aktualisiert werden um ihre Verbindlichkeit zu behalten. Der realitätsferne BSI-Grundschutz-Katalog (in Hinblick auf kleine Firmen) verfehlt hier vollends.Und so umfangreich ist das gar nicht. Hier ein Beispiel:
- kleine Firma, 2 Mitarbeiter, 200 Kontaktdaten / Auftragsdaten = Normale Schutzstufe = TOMs (Rechner mit Passwort, Verschlossene Räumlichkeiten, Rechte-Struktur, Firewall für eingehende Verbindungen, usw.)
- Mittelstand, 100 Mitarbeiter, 10000 Kontaktdaten / Auftragsdaten, besondere Daten der Mitarbeiter = Hohe Schutzstufe = TOMs (+ Firewall ausgehende Verbindungen, Zentrale Rechteverwaltung,
Ich habe die TOMs aktuell in einer Checkliste zusammengetragen und auf aktuellen Stand gebracht, sind irgendwie 2-3 Seiten. Und die Behörden sollen jetzt keine verbindliche, realitätsnahe, sinnvolle Einteilung anhand von Anzahl und Kategorie von Daten vorgeben können? Das wäre eines der ersten Sachen die ich veröffentlichen würde. Klare Vorgaben, klares Prüfvorgehen. Aktuell ist einfach nur ein Sumpf aus könnte, hätte, müsste, möchte ...
Viel kniffliger fand ich die Frage nach dem Auskunftsanspruch und dem Anspruch auf Löschung, wenn diese Vorschriften kollidieren.
Das ist wiederum klar geklärt. Eine Auskunft ist jederzeit zu erteilen, spätestens innerhalb eines Monates (ohne Fristverlängerung). Ist eine Löschung gewünscht und diese kollidiert mit Aufbewahrungsfristen oder eigenen Interessen (z.B. Verteidigung eines Rechtsstreites), wird derjenige über den Grund der Verweigerung informiert, sowie dass die Löschung für den nächst möglichen Termin, welchen man mitteilt, vorgesehen ist.D.h. wenn du im Rechtsstreit mit der Person bist, musst du auf dessen Wunsch NICHT dessen Daten löschen. Sondern erst, wenn der Rechtsstreit ausgefochten ist, bzw. wenn keine weiteren Prozesse zu erwarten sind + Aufbewahrungsfrist.
Ich würde sagen das Gesetz ist nicht so sehr das Problem sondern eher die Datenschutzbehörden, die ja sehr wohl dazu ermächtigt sind auch konkrete Anfragen zu beantworten und Lösungen und Konzepte für Datenschutzkonform zu erklären. Soetwas gibt es ja tendenziell schon durch Zertifizierung, wenn auch technisch etwas, naja, anspruchslos.
Die abstrakteste Ebene ist die DSGVO, dann kommen die nationalen Gesetzgeber und tunen das ein bischen aber (technisch) konrekt wird es erst durch die Zertifizierung oder die Datenschutzbehören. Und bevor die nicht ausreichend Know-how und Kapazität haben wird es von denen nur Wischi-Waschi geben.
Das kann man sich natürlich auch zu Nutze machen. Wenn die mir auf meine Anfrage keine konkrete Auskunft zur Zulässigkeit geben und ich gewissenhaft Maßnahmen zum Schutz ergriffen habe dann ist denen der Sachverhalt ja bekannt. Dann kann nicht ein Jahr später einer um die Ecke kommen und irgendwelche absurden Strafen verhängen. Ich gehe davon aus das das erstmal Panik-Mache ist und sich, zumindest Deutsche Behörden, mit Strafen zurück halten. Zur Not muss es dann eben ein Richter entscheiden.
Die abstrakteste Ebene ist die DSGVO, dann kommen die nationalen Gesetzgeber und tunen das ein bischen aber (technisch) konrekt wird es erst durch die Zertifizierung oder die Datenschutzbehören. Und bevor die nicht ausreichend Know-how und Kapazität haben wird es von denen nur Wischi-Waschi geben.
Das kann man sich natürlich auch zu Nutze machen. Wenn die mir auf meine Anfrage keine konkrete Auskunft zur Zulässigkeit geben und ich gewissenhaft Maßnahmen zum Schutz ergriffen habe dann ist denen der Sachverhalt ja bekannt. Dann kann nicht ein Jahr später einer um die Ecke kommen und irgendwelche absurden Strafen verhängen. Ich gehe davon aus das das erstmal Panik-Mache ist und sich, zumindest Deutsche Behörden, mit Strafen zurück halten. Zur Not muss es dann eben ein Richter entscheiden.
schwirren hier nur Mitarbeiter von Behörden rum, oder warum macht ihr euch um diesen Paragraphen Gedanken?
Weiß nicht , ich verstehe den § auch als nicht Beamter ganz gut 
Bei der Stadt haben sie mich damals nicht genommen, also sind es bei mir nicht soviele § die mich interessieren.
Bei der Stadt haben sie mich damals nicht genommen, also sind es bei mir nicht soviele § die mich interessieren.
fein. Dann weißt du, dass du den verstehst und solltest wissen, dass der für dich nicht gilt
Sauturion fragte explizit dannach.
Ich bin gerade am querlesen, was so alles beim DSGVO noch alles auftaucht und bin über die Frage gestolpert.
Der Paragraph interessiert nur, wenn es sich um eine automatisierte Datenverarbeitung handelt. Sprich um Prozesse, bei denen alles über einen Algorithmus entschieden wird. Beispiel wäre hier z.B. die Kreditzusage bzw. -ablehnung aufgrund eingegebener Daten bei Banken. Da sitzt in vielen Fällen kein Entscheider, sondern es findet eine Blackbox-Berechnung statt.
Das muss dann protokolliert werden. Bei den entsprechenden Datenverarbeitungen in Deutschland findet das meines Wissens auch bereits überall statt.
Ist hingegen noch irgendein Entscheider da, dann ist dasn eben keine automatisierte Datenverarbeitung.