commodity
Goto Top

Ist VOIP DSGVO-Konform?

Liebe Kollegen,

in einem anderen Thread, den ich nicht kapern wollte, habe ich nebenbei die folgende Frage angesprochen:
Zitat von @commodity:
@aqui - zum rechtlichen Hinweis: Bei uns kam die Frage auf, ob nach der (m.E. zutreffenden) Einschätzung der Bremer Datenschutzbehörde zum Fax VOIP-Telefonie unverschlüsselt nicht auch die DSGVO verletzt. Da hilft das VLAN dann auch nicht mehr. Will aber den Thread nicht kapern, vielleicht kommen wir nochmal drauf.
Ein Kollege fragte mich darauf wie folgt:
Zitat von @148656:
kannst du mir kurz erklären, wie der VLAN-Tag die Verschlüsselung des Ethernet-Frames beeinflusst?
Sry, bin neu in der Materie und möchte es verstehen.
Was ich wie folgt beantwortete:
Zitat von @commodity:
face-smile Freitagsfrage?

Natürlich gar nicht. Der Punkt ist, dass VOIP sehr häufig unverschlüsselt läuft und die Bremer DSB Fax (FOIP) u.a. aus diesem Grunde für nicht DSGVO-Konform hält. Ein VLAN ändert daran nichts face-wink Sinnvoll ist es natürlich trotzdem und meine Anmerkung war nur genereller Natur.
Der Kollege blieb dran und fragte:
Zitat von @148656:
Was bitteschön ist eine Freitagsfrage?
und
Du bist also der Meinung, eine Segmentierung des Netzwerkes ist für die Netzwerksicherheit unerheblich, sobald man VoIP einsetzt? An wem liegt es, dass die VoIP-Netzwerke nicht verschlüsselt sind? An der Hardware+Firmware oder an dem zuständigen Admin der die Verschlüsslung, aufgrund solcher Aussage nicht aktiviert?

Bei der Formulierung meiner Antwort dachte ich, vielleicht besprechen wir das hier mal. Also nicht unseren Dialog, sondern die konkrete Ausgangsfrage. Also:

Wenn ich als Unternehmen über VOIP telefoniere und mit Dritten über Kunden/Patienten/Mandanten o.ä. spreche, also über schutzwürdige Daten, auch z.B. Mitarbeiter über das Telefon im Homeoffice, ist das ein DSGVO-Verstoß, wenn ich nicht gewährleisten kann, dass der volle Kommunikationsweg verschlüsselt ist?

Content-Key: 667158

Url: https://administrator.de/contentid/667158

Printed on: May 30, 2023 at 14:05 o'clock

Member: commodity
commodity May 28, 2021 at 16:40:59 (UTC)
Goto Top
Meine Antwort an den Kollegen noch:
Zitat von @148656:
Was bitteschön ist eine Freitagsfrage?
Das ist, wenn die Frage einen auf den Arm nehmen will. Kommt hier häufig freitags vor face-wink. Deine Frage fühlte sich so an.
Du bist also der Meinung, eine Segmentierung des Netzwerkes ist für die Netzwerksicherheit unerheblich, sobald man VoIP einsetzt? An wem liegt es, dass die VoIP-Netzwerke nicht verschlüsselt sind? An der Hardware+Firmware oder an dem zuständigen Admin der die Verschlüsslung, aufgrund solcher Aussage nicht aktiviert?
Du verstehst das immer noch falsch. Ist aber gut, dass Du dran bleibst face-smile
Natürlich ist Netzwerksegmentierung sinnvoll. Steht doch oben: "Sinnvoll ist es natürlich trotzdem"
Und es geht auch nicht darum, was Admin kann oder sollte, sondern um die gelebte Praxis. Die Frage war nicht technisch, sondern datenschutzpolitisch/rechtlich/faktisch gemeint. Steht auch oben. Eine unverschlüsselte Kommunikation wird nicht dadurch datenschutzkonform, dass man sie in ein VLAN packt.
Technisch ist dazu auch noch anzumerken, dass auch der ganz tolle Admin es nicht in der Hand hat, wie die Kommunikation über seinen Zugriffsbereich (Betrieb bis Provider) hinaus verschlüsselt wird. Man telefoniert im Business meist aber auch außerbetrieblich face-wink
Member: C.R.S.
Solution C.R.S. May 28, 2021 at 17:45:09 (UTC)
Goto Top
Fast nichts ist DSGVO-konform und es gibt nur einen Ausweg, den der Erwägungsgrund 27 aufzeigt:

Diese Verordnung gilt nicht für die personenbezogenen Daten Verstorbener.

Grüße
Richard
Member: commodity
commodity May 28, 2021 at 18:05:30 (UTC)
Goto Top
­čśé
Mitglied: 148656
148656 May 28, 2021 at 18:21:20 (UTC)
Goto Top
Zitat von @commodity:

Meine Antwort an den Kollegen noch:
Zitat von @148656:
Was bitteschön ist eine Freitagsfrage?
Das ist, wenn die Frage einen auf den Arm nehmen will. Kommt hier häufig freitags vor face-wink. Deine Frage fühlte sich so an.
nene, die Frage ist schon ernst gemeint.
Meine Freitagsfrage an dich würde lauten. Was ist eine Commodity-Falle? face-smile
Du bist also der Meinung, eine Segmentierung des Netzwerkes ist für die Netzwerksicherheit unerheblich, sobald man VoIP einsetzt? An wem liegt es, dass die VoIP-Netzwerke nicht verschlüsselt sind? An der Hardware+Firmware oder an dem zuständigen Admin der die Verschlüsslung, aufgrund solcher Aussage nicht aktiviert?
Du verstehst das immer noch falsch. Ist aber gut, dass Du dran bleibst face-smile
Natürlich ist Netzwerksegmentierung sinnvoll. Steht doch oben: "Sinnvoll ist es natürlich trotzdem"
Und es geht auch nicht darum, was Admin kann oder sollte, sondern um die gelebte Praxis. Die Frage war nicht technisch, sondern datenschutzpolitisch/rechtlich/faktisch gemeint. Steht auch oben.
Ahh…wenn alle vom Hochhaus springen, muss ich das auch? Versteh ich nicht. face-sad

Eine unverschlüsselte Kommunikation wird nicht dadurch datenschutzkonform, dass man sie in ein VLAN packt.
Mir wurde beigebracht.
Ein (V)LAN, egal ob für VoIP, Server, Backup, Monitoring, Client usw. ist ein "Netzwerkdesignelement". Die Sicherheit wird durch die Zugriffkonzepte erreicht. Thema Sicherheitskonzepte, ich bevorzuge Zero-Trust.
But, I like to be taught better face-smile
Technisch ist dazu auch noch anzumerken, dass auch der ganz tolle Admin es nicht in der Hand hat, wie die Kommunikation über seinen Zugriffsbereich (Betrieb bis Provider) hinaus verschlüsselt wird. Man telefoniert im Business meist aber auch außerbetrieblich face-wink
Ich kenne Netzwerker, die verdrehen jetzt die Augen … VPN? SSL? STUN-Server? face-smile

Be Happy
C.C.
Member: commodity
commodity May 28, 2021 at 18:55:52 (UTC)
Goto Top
Zitat von @148656:
Ahh…wenn alle vom Hochhaus springen, muss ich das auch? Versteh ich nicht. face-sad
a) Es geht nicht um Dich. Oder bist Du 15, dann ist das ok face-wink
b) Ich kann Dir die Frage nicht besser erklären. Du jedenfalls hast sie leider nicht verstanden. Auch da ist Deine Perspektive vielleicht im Weg.
c) Deinen sicherheitstechnischen Ansatz finde ich total super.

Nochmals schönes WE face-smile
Member: Pitti259
Pitti259 May 28, 2021 at 19:19:19 (UTC)
Goto Top
Also, dann versuche ich mal eine ernsthafte Antwort.
Auch dann, wenn die VoIP-Telefonie innerhalb des Unternehmens bleibt, stellt sich die Frage wer diese denn mithören könnte. Natürlich die Administration, aber sicherlich auch IT-afine Mitarbeiter mit einem Sniffer an der LAN-Dose. Stellt sich die Frage, neben dem Thema Postgeheimnis (TKG), sind die VoIP-Informationen durch die VLAN-Aufteilung angemessen geschützt? Schließt sich die Frage an, was ist angemessen?

1. NORMALE personenbezogene Daten. Diese können im Regelfall innerhalb eines Unternehmens unverschlüsselt laufen, weil die normalen Sicherheitsmechanismen der Unternehmen diese angemessen schützen sollten. Die Aufteilung in VLANs ist ein Schmankerl oben drauf.
1a). Wenn unterschiedliche Standorte angebunden werden setze ich hier VPN voraus! Sonst streiche vorherigen Absatz.
1b). Wenn die VoIP-Verbindung das Unternehmen verlässt, muss diese ab Firmengrenze selbstverständlich verschlüsselt sein. Sollte aber eigentlich Standard bei den Providern sein.

2. Art. 9 DSGVO Verarbeitung besonderer Kategorien personenbezogener Daten. Unverschlüsselte VoIP - Never ever - No go

Also stellt sich jetzt die letzte Frage, wer telefoniert über welche Themen mit welchen Leuten innerhalb oder außerhalb des Unternehmens?
Member: SeaStorm
SeaStorm May 28, 2021 updated at 19:34:33 (UTC)
Goto Top
Hi

das hat mit der DSGVO IMHO absolut garnix zu tun. Aber wenn das laut der DSB ein Problem ist: Wo war er denn dann all die Jahre bei der klassischen telefonie? Die ist ja auch nicht verschlüsselt. Interessiert auch keinen.

Und übrigens hat eigentlich jede Telefonanlage die Option mit TLS bzw SRTP zu verschlüsseln
Member: commodity
commodity May 28, 2021 at 19:39:41 (UTC)
Goto Top
Danke @Pitti259,

die interne Unternehmenstelefonie ist DSGVO-mäßig meiner Meinung nach irrelevant, die Einwilligung des Betroffenen zur Datenverarbeitung (Kunden/Patienten/Mandanten) sollte da ja vorliegen.

Für das externe Unternehmensnetz stimme ich Dir zu.

Wie ist es aber, wenn Unternehmen A einen Dienstleister B anruft, z.B. der Anwalt einen Kollegen, der Arzt ein Krankenhaus, der Händler ein Inkasso über ein Problem mit dem Kunden C spricht. Gibt bestimmt noch bessere Beispiele. Für das Verhältnis Datenverarbeitung A-B gibt es ja an sich eine Einwilligung von C. Die schließt aber nur die Datenverarbeitung der beiden ein, nicht die ungesicherte Kommunikation über Dritte (hier Provider).
Unternehmen A kann seine Verschlüsselung zum Provider sicher stellen. Provider von A zu Provider von B? Da hoffe ich mal das Beste. Der Dienstleister (B) hat aber vielleicht einen mickrigen Telekom-Anschluss ohne Verschlüsselung, davon weiß A ja nichts und er kann auch nicht sicher stellen, dass das anders ist. Oder kennt da jemand wen, der vorher fragt (außer Mafia/Staastregierungen o.ä.) In dem Moment wo A also mit B über den Kunden/Mandanten/Patienten kommuniziert, könnte das ein DSGVO-Verstoß sein. Oder vielleicht auch nicht. Das ist ja die Frage.

Aus der Praxis: Ich kenne weder einen Unternehmer, auch keinen Arzt, Apotheker oder einen Anwalt, der mir jemals von verschlüsselter Telefonie berichtet hätte. Und ich kenne gar nicht so wenige Art. 9 - Dienstleister. Hat jemand da vielleicht bessere Erfahrungen?
Member: commodity
commodity May 28, 2021 updated at 19:44:43 (UTC)
Goto Top
Danke auch Dir
Zitat von @SeaStorm:
Aber wenn das laut der DSB ein Problem ist: Wo war er denn dann all die Jahre bei der klassischen telefonie?
Die "klassische Telefonie" basierte imho auf dezidierten Leitungen. Wie auch das Fax. Liest Du bei den Bremern oben zu.
Und übrigens hat eigentlich jede Telefonanlage die Option mit TLS bzw SRTP zu verschlüsseln
a) wer macht das außerhalb von (wirklich) größeren Unternehmen? (super, wenn)
b) es geht nicht um die "Leitung" Unternehmer-Provider". Da wäre das kein Problem. Aber die "Leitung" Dienstleister-Provider zu Dienstleister, die kennst Du eben nicht.
Member: em-pie
em-pie May 28, 2021 at 19:53:47 (UTC)
Goto Top
Zitat von @commodity:

Danke auch Dir
Zitat von @SeaStorm:
Aber wenn das laut der DSB ein Problem ist: Wo war er denn dann all die Jahre bei der klassischen telefonie?
Die "klassische Telefonie" basierte imho auf dezidierten Leitungen. Wie auch das Fax. Liest Du bei den Bremern oben zu.
Und die waren/ sind auch nicht weniger abhörsicherer: Schlechte Schirmung und/ oder ein unbemerktes Manipulieren (Stichwort: Induktion) der Leitung lässt ein Mithören zu. Und Irgendwelche Jungs in Schaltzentralen hätten so auch massenweise Mitlauschen können....
Member: commodity
commodity May 28, 2021 at 20:03:23 (UTC)
Goto Top
Danke @em-pie
Das mag zutreffen, was Du schreibst.
Die Verbindung über Internet wird aber nicht nur von der Bremer Datenschutzbehörde als deutlich risikoreicher angesehen.
Wenn es nicht so ist, super, dann beweisen wir es denen einfach. Ich fürchte aber, das ist eben doch so.
Member: SeaStorm
SeaStorm May 28, 2021 updated at 20:27:14 (UTC)
Goto Top
OK das hatte ich nicht verstanden das es um den Internet Part geht.
Da gibts aber auch nur 2 Szenarien: SIP Provider über den man direkt verbindet oder eigene Telefonanlage, die das dann den Provider übergibt.
Und vom Provider geht es dann ja weiterhin in das Festnetz bis zum nächsten Provider. Hier ist definitiv der gleiche Stand wie immer. Da ist schon seit vielen Jahren keine Analoge Leitung mehr sondern das wird alles digital übertragen. Auch hier darf man von verschlüsselung ausgehen.

Was die rechtliche Absicherung angeht ist das IMHO ziemlich stumpf (IANAL!): Den Provider anschreiben und fragen: Ist die Verbindung verschlüsselt und ist das DSGVO Konform? Siehe Meinung DSB. Bitte schriftlich antworten.

Antwort abheften und gut ist.

a) wer macht das außerhalb von (wirklich) größeren Unternehmen? (super, wenn)
Wohl jeder, ohne das er das weiss. Das ist Standard. Da muss die Anlage schon echt sau alt sein.

[EDIT]
Ähm ... bei deinem Link geht es um FAX. Nicht um VOIP
Mitglied: 148656
148656 May 29, 2021 updated at 06:01:42 (UTC)
Goto Top
Ich frage mich, wer hier die Freitagsfragen stellt.
Wenn ich 15 Jahre alt wäre, würde dies gegen die Nutzungsbestimmungen verstoßen.

Für die Internetseiten der Administrator Technology GmbH, Stand Mai 2018
Änderung am 25.05.2018: Wir haben in unseren Nutzungsbedingungen das Min­dest­al­ter von 13 auf 16 Jahren angehoben.

Den aufmerksamen Nutzern dieses Forum, ist sicher nicht entgangen, dass dieses Thema bereits vor wenigen Tagen hier intensiv besprochen wurden.
In Anbetracht der Tatsache, dass du Arztpraxen und KMUs betreust. Empfehle ich dir eindringlich, Art. 82 erneut zu lesen.
unbenannt


Art. 82 DSGVO
Haftung und Recht auf Schadenersatz

1. Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
2 . Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.
3. Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
4. Ist mehr als ein Verantwortlicher oder mehr als ein Auftragsverarbeiter bzw. sowohl ein Verantwortlicher als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt und sind sie gemäß den Absätzen 2 und 3 für einen durch die Verarbeitung verursachten Schaden verantwortlich, so haftet jeder Verantwortliche oder jeder Auftragsverarbeiter für den gesamten Schaden, damit ein wirksamer Schadensersatz für die betroffene Person sichergestellt ist.
5. Hat ein Verantwortlicher oder Auftragsverarbeiter gemäß Absatz 4 vollständigen Schadenersatz für den erlittenen Schaden gezahlt, so ist dieser Verantwortliche oder Auftragsverarbeiter berechtigt, von den übrigen an derselben Verarbeitung beteiligten für die Datenverarbeitung Verantwortlichen oder Auftragsverarbeitern den Teil des Schadenersatzes zurückzufordern, der unter den in Absatz 2 festgelegten Bedingungen ihrem Anteil an der Verantwortung für den Schaden entspricht.
6. Mit Gerichtsverfahren zur Inanspruchnahme des Rechts auf Schadenersatz sind die Gerichte zu befassen, die nach den in Artikel 79 Absatz 2 genannten Rechtsvorschriften des Mitgliedstaats zuständig sind.

Schön dass du diese Frage bereits als Gelöst markiert hast. So nimmst du den Mods die Arbeit ab.

Viel Glück,
C.C.
Member: Vision2015
Vision2015 May 29, 2021 at 07:12:27 (UTC)
Goto Top
moin...
Zitat von @commodity:

Danke @em-pie
Das mag zutreffen, was Du schreibst.
Die Verbindung über Internet wird aber nicht nur von der Bremer Datenschutzbehörde als deutlich risikoreicher angesehen.
was die bremer datenschutzbehörde risikoreich ansehen oder nicht, ist den meisten egal.....
wenn es nicht ausdrücklich in der DSGVO grundverordnung steht, und von Richtern bestätigt ist, ist es nur schall und rauch!
Wenn es nicht so ist, super, dann beweisen wir es denen einfach. Ich fürchte aber, das ist eben doch so.
wiso machst du dir eigentlich gedanken darüber? wiso willst du "denen" etwas beweisen?
apotheken, praxen, krankenhäuser bekommen heute noch täglich 100te faxe... und so schnell wird das auch keiner abstellen!
jetzt kommst du mit telefonie..... klar, ab sofort wird auch nicht mehr telefoniert... wozu auch, stört eh nur face-smile
mach den vorschlag deinen kunden, und ich glaube du machst es nicht lange als dienstleister!
übrigens... in spanien, italien und portugal bekommst du als dienstleister prügel für das wort "DSGVO" face-smile

Frank
Member: commodity
commodity May 29, 2021 updated at 10:18:45 (UTC)
Goto Top
Hi Frank,

Ich sehe das im praktischen wie Du. Keiner macht es, keiner will es, vielleicht braucht es auch keiner. Klar will ich kein Fax abschalten und kein Telefon. Darum geht es ja gerade. Wege finden, damit umzugehen. Die DSGVO ist aber nun einmal Gesetz. Das ist es wert, sich damit auseinander zu setzen. Ich kann ja auch nicht nach dem Prinzip "Mein oder Dein, das sind doch total bürgerliche Kategorien" nachher meinen Einkauf beim Edeka umsonst mitnehmen.

Die Frage steht nach der Fax-Beurteilung aber zunächst erst einmal (nicht mehr nur) akademisch im Raum und ich fand es auch für uns Praktiker mal interessant, vorausschauend darüber nachzudenken. Immerhin ist die Fax-Position der Bremer ja nicht ganz von der Hand zu weisen. Ich mag halt mit dem Denken nicht warten, bis die ersten Bußgelder fließen. Wenn wir aber für uns feststellen, dass damit die gesamte Kommunikationspraxis auf diese Weise nicht mehr funktioniert, reichen die zur Verfügung stehenden TOM eben nicht aus und dann wäre der status quo ja wahrscheinlich sogar DSGVO-Konform.

Ich möchte gern meinen (überwiegend Art. 9 DSGVO)-Kunden eine möglichst datenschutzkonforme Basis anbieten, zumindest drüber beraten können. Für FOIP und VOIP ist dabei eben schnell klar, dass man zwar im eigenen Haus kehren könnte, das aber nicht über den eigenen Provider hinaus geht.

An dieser Stelle wird mal wieder klar, dass die aktuelle Entwicklung insgesamt nicht endbenutzerkonform gedacht ist. So gern ich VOIP technisch mag - es wird die gesamte technische und datenschutzrechtlche Verantwortung zum Endbenutzer verschoben. Anders als früher, wo man nur ein Kabel stecken musste, den Rest hat der Anbieter erledigt. Für uns Admins (überflüssige) Arbeitsbeschaffung, für den Endbenutzer ein Grauen. Der Weg führt diese dann klar in die Cloud (Stichwort Cloud-Telefonie) und ob das ein Segen wäre...?
Member: Vision2015
Vision2015 May 29, 2021 at 12:06:22 (UTC)
Goto Top
moin...
Zitat von @commodity:

Hi Frank,

Ich sehe das im praktischen wie Du. Keiner macht es, keiner will es, vielleicht braucht es auch keiner. Klar will ich kein Fax abschalten und kein Telefon. Darum geht es ja gerade. Wege finden, damit umzugehen. Die DSGVO ist aber nun einmal Gesetz. Das ist es wert, sich damit auseinander zu setzen. Ich kann ja auch nicht nach dem Prinzip "Mein oder Dein, das sind doch total bürgerliche Kategorien" nachher meinen Einkauf beim Edeka umsonst mitnehmen.
Nein, die DSGVO ist kein Gesetz, sondern eine EU-Verordnung - also eine Vorschrift!


Die Frage steht nach der Fax-Beurteilung aber zunächst erst einmal (nicht mehr nur) akademisch im Raum und ich fand es auch für uns Praktiker mal interessant, vorausschauend darüber nachzudenken. Immerhin ist die Fax-Position der Bremer ja nicht ganz von der Hand zu weisen. Ich mag halt mit dem Denken nicht warten, bis die ersten Bußgelder fließen.
ich schon... denn selbst die bußgelder sind anfechtbar!
im falle vom Fax, würde ich sogar auf verfahren drängen, alleine um aufzuzeigen das der nachweis nicht erbracht werden kann!
der absender mag ja ein fax sendeprotokoll haben, aber nicht den nachweis ob ich das fax überhaubt erhalten habe, geschweige ob dort personenbezogener daten verarbeitet wurden... im zweifel habe ich ein fax bekommen, allerdings mit lauter XXXXXXXen...
und jetzt beweise mir mal das gegenteil.....

Wenn wir aber für uns feststellen, dass damit die gesamte Kommunikationspraxis auf diese Weise nicht mehr funktioniert, reichen die zur Verfügung stehenden TOM eben nicht aus und dann wäre der status quo ja wahrscheinlich sogar DSGVO-Konform.
jo... selbst örtlichen gerichte dürften dann nicht mehr faxen... das wird witzig face-smile

Ich möchte gern meinen (überwiegend Art. 9 DSGVO)-Kunden eine möglichst datenschutzkonforme Basis anbieten, zumindest drüber beraten können. Für FOIP und VOIP ist dabei eben schnell klar, dass man zwar im eigenen Haus kehren könnte, das aber nicht über den eigenen Provider hinaus geht.
ne ne... beraten sollst du besser mal nicht, du bist dafür haftbar! dazu gibbet die netten externe datenschutzbeauftragten, der ja nicht gleichzeitig dienstleister sein darf...


An dieser Stelle wird mal wieder klar, dass die aktuelle Entwicklung insgesamt nicht endbenutzerkonform gedacht ist. So gern ich VOIP technisch mag - es wird die gesamte technische und datenschutzrechtlche Verantwortung zum Endbenutzer verschoben. Anders als früher, wo man nur ein Kabel stecken musste, den Rest hat der Anbieter erledigt. Für uns Admins (überflüssige) Arbeitsbeschaffung, für den Endbenutzer ein Grauen. Der Weg führt diese dann klar in die Cloud (Stichwort Cloud-Telefonie) und ob das ein Segen wäre...?
nun, cloud-telefonie ist für uns ein warmer regen...es werden immer mehr kunden, die sich davon abwenden... face-smile

Frank
Mitglied: 148656
148656 May 29, 2021 updated at 13:26:42 (UTC)
Goto Top
Zitat von @commodity:
...
Die DSGVO ist aber nun einmal Gesetz. Das ist es wert, sich damit auseinander zu setzen. Ich kann ja auch nicht nach dem Prinzip "Mein oder Dein, das sind doch total bürgerliche Kategorien" nachher meinen Einkauf beim Edeka umsonst mitnehmen.

Die DSGVO ist kein Gesetzt, sondern wie der Name bereits vermuten lässt eine Verordnung.
Gesetze werden vom Parlament, der Legislative, gemacht. Eine Verordnung aber wird durch die ausführende Gewalt, durch die Verwaltung erlassen. Dieser Unterschied ist bedeutsam. Gesetze legen fest, was passieren soll, Verordnungen legen fest, wie Gesetze umgesetzt werden sollen. Quelle
Weitere Infos, extra für dich aus dem Gesundheitsministerium unter.
https://www.bundesgesundheitsministerium.de/service/gesetze-und-verordnu ...

Die Frage steht nach der Fax-Beurteilung aber zunächst erst einmal (nicht mehr nur) akademisch im Raum und ich fand es auch für uns Praktiker mal interessant, vorausschauend darüber nachzudenken. Immerhin ist die Fax-Position der Bremer ja nicht ganz von der Hand zu weisen.
Was steht da im Raum?
Kern des Problems ist "die Gegenseite": Absenderinnen oder Absender können sich nie sicher sein, welche Technik auf der Empfangsseite eingesetzt wird.
Logisch, früher wurde eine Direktverbindung zwischen 2 Fax-Geräten aufgebaut und ein Bild mit bis zu 33.600 bit/s Punkt zu Punkt übertragen. Noch einen Versandbericht erstellt und wieder aufgelegt.
Meist stand das Faxgerät in einem gesonderten Bereich, zudem nur ein ausgewählter Personenkreis zutritt hatte.
Wie in der Kneipe, so auch beim Arzt… hinterm Tresen hat kein Kunde etwas verloren.
Doch wie läuft es jetzt ab?
... Wenn wir aber für uns feststellen, dass damit die gesamte Kommunikationspraxis auf diese Weise nicht mehr funktioniert, reichen die zur Verfügung stehenden TOM eben nicht aus und dann wäre der status quo ja wahrscheinlich sogar DSGVO-Konform.
Wenn deine TOM's nicht mehr ausreichen, hast du Art. 82 an der Backe. Da kommt Status Quo nur noch aus den Lautsprechern (In the Army Now).
Ich möchte gern meinen (überwiegend Art. 9 DSGVO)-Kunden eine möglichst datenschutzkonforme Basis anbieten, zumindest drüber beraten können.
Sorge dafür, dass nur Personen, welche nach Abs.3 für den Zugriff berechtigt sind, Zugriff erhalten.
Die in Absatz 1 genannten personenbezogenen Daten dürfen zu den in Absatz 2 Buchstabe h genannten Zwecken verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt.

Für FOIP und VOIP ist dabei eben schnell klar, dass man zwar im eigenen Haus kehren könnte, das aber nicht über den eigenen Provider hinaus geht.
Die Provider wollen auch nicht, dass irgendein Knallfrosch an der Leitung hängt und mithört. Deshalb vergraben Sie auch meist die Leitungen und haben Trigger auf den Ports im Verteilerschrank. Und noch andere nette Features...
An dieser Stelle wird mal wieder klar, dass die aktuelle Entwicklung insgesamt nicht endbenutzerkonform gedacht ist. So gern ich VOIP technisch mag - es wird die gesamte technische und datenschutzrechtlche Verantwortung zum Endbenutzer verschoben. Anders als früher, wo man nur ein Kabel stecken musste, den Rest hat der Anbieter erledigt. Für uns Admins (überflüssige) Arbeitsbeschaffung, für den Endbenutzer ein Grauen. Der Weg führt diese dann klar in die Cloud (Stichwort Cloud-Telefonie) und ob das ein Segen wäre...?
Es ist Samstag und du stellst eine Freitagsfrage… niedlich face-big-smile
Mitglied: 148656
148656 May 29, 2021 at 13:22:50 (UTC)
Goto Top
Unter dem Aspekt, sind Gerichtsmediziner das perfekte Klientel für so manche "IT-Fachkraft" face-big-smile
Member: Vision2015
Vision2015 May 29, 2021 at 14:42:42 (UTC)
Goto Top
moin...
Zitat von @148656:

Unter dem Aspekt, sind Gerichtsmediziner das perfekte Klientel für so manche "IT-Fachkraft" face-big-smile
und das sind pathologen... das sind sehr anspruchsvolle kunden- nix für den kistenschieber von nebenan!

Frank
Mitglied: 148656
148656 May 29, 2021 at 14:58:05 (UTC)
Goto Top
Zitat von @Vision2015:

moin...
Moin moin,
Zitat von @148656:

Unter dem Aspekt, sind Gerichtsmediziner das perfekte Klientel für so manche "IT-Fachkraft" face-big-smile
und das sind pathologen... das sind sehr anspruchsvolle kunden- nix für den kistenschieber von nebenan!
die weisen ja auch (fast) täglich, einem Aufschneider einen Kunstfehler nach face-smile
Frank
C.C.
Member: commodity
commodity May 29, 2021 at 19:47:31 (UTC)
Goto Top
Zitat von @Vision2015:
Nein, die DSGVO ist kein Gesetz, sondern eine EU-Verordnung - also eine Vorschrift!
Aha?
Es ist in der Sache zwar völlig egal, denn auch an (was Du meinst: Rechts-)"Verordnungen" sollte man sich halten. Dennoch sei darauf hingewiesen, dass EU-Verordnungen in allen Ländern der EU unmittelbare Gesetzeskraft entfalten.
Im deutschen Recht sind Verordnungen hingegen Exekutivregelungen, also nicht vom Parlament beschlossen (aber zwingend von diesem legitimiert). Und "Vorschrift" ist beides, Gesetz und Verordnung.
Merke: EU != D. Ende Exkurs Staatsrecht erstes Semester. Muss man als Admin nicht drauf haben. Hauptsache, man hält sich dran face-wink
Literaturhinweise:
https://www.europarl.europa.eu/germany/de/europ%C3%A4isches-parlament/ge ...
https://de.wikipedia.org/wiki/Rechtsetzung_der_Europ%C3%A4ischen_Union
Kurzzitat:
"Nach Art. 288 Vertrag über die Arbeitsweise der Europäischen Union (AEUV) werden EU-Rechtsakte nach ihren Rechtswirkungen eingeteilt in:
- Verordnungen (allgemeine Regelung mit unmittelbarer innerstaatlicher Geltung; entspräche im staatlichen Recht einem Gesetz)
..."


Ansonsten ist die Ausgangsfrage ja nun hinreichend behandelt und ich gebe den Link mal nach Bremen. Vielleicht besteht dort ein Interesse, sich mal mit der praktischen Seite zu befassen, was - so verstehe ich diesen Thread, durchaus geboten erscheint. Was anders herum vielleich auch ein Ansatz wäre. Mit konstruktivem Miteinander werden Dinge erreicht.

Besten Dank für die Beiträge
Mitglied: 148656
148656 May 30, 2021 at 06:19:58 (UTC)
Goto Top
Zitat von @commodity:
Literaturhinweise:
Schöner Übergang face-smile

IT-Sicherheit und Datenschutz im Gesundheitswesen
Leitfaden für Ärzte, Apotheker, Informatiker und Geschäftsführer in Klinik und Praxis
Authors: Darms, Martin, Haßfeld, Stefan, Fedtke, Stephen

Wertvoller Leitfaden, um dem IT-Sicherheitsmanagement gerecht zu werden
unbenannt4
Publisher: Springer Vieweg
ISBN 978-3-658-21588-0
https://www.springer.com/gp/book/9783658215880


Datenschutz in der ärztlichen Praxis
Authors: C. Dochow | B.-S. Dörfer | B. Halbe | M. Hübner | J. Ippach | J. Schröder | J. Schütz | J. Strüve

Leitfaden zur DS-GVO und dem BDSG mit Praxistipps, Musterdokumenten und Checklisten
unbenannt5
Publisher: Deutscher Ärzte-Verlag GmbH
ISBN 978-3-7691-3689-0
https://shop.aerzteverlag.de/praxismanagement/2937-datenschutz-in-der-ae ...


Die Arztpraxis - Datenschutz und Datensicherheit nach der neuen Datenschutzgrundverordnung
Author: Spyra

Schutz und Sicherheit von Patientendaten: das verlangt die DSGVO
unbenannt3
Publisher: ecomed Medizin
ISBN 978-3-609-16521-9
https://www.ecomed-storck.de/Medizin/Abrechnung-Management-aerztlicher-L ...
Member: Vision2015
Vision2015 May 30, 2021 at 15:32:46 (UTC)
Goto Top
moin...

Wertvoller Leitfaden, um dem IT-Sicherheitsmanagement gerecht zu werden

na dann sollen sich die Datenschutzbeauftragten das mal reinziehen face-smile....

Frank
Mitglied: 148656
148656 May 30, 2021 at 16:05:42 (UTC)
Goto Top
Zitat von @Vision2015:

moin...

Wertvoller Leitfaden, um dem IT-Sicherheitsmanagement gerecht zu werden

na dann sollen sich die Datenschutzbeauftragten das mal reinziehen face-smile....
Die lesen keine Anleitungen... Die schreiben sie nur :D

Frank
C.C:
Member: Vision2015
Vision2015 May 30, 2021 at 17:07:51 (UTC)
Goto Top
moin...
Zitat von @148656:

Zitat von @Vision2015:

moin...

Wertvoller Leitfaden, um dem IT-Sicherheitsmanagement gerecht zu werden

na dann sollen sich die Datenschutzbeauftragten das mal reinziehen face-smile....
Die lesen keine Anleitungen... Die schreiben sie nur :D
dann sollen die ihren kram erstma selber lesen...

Frank
C.C:
Frank
Mitglied: 148656
148656 May 30, 2021 at 17:37:13 (UTC)
Goto Top
Wir drehen uns im Kreis face-smile
Mitglied: 137960
137960 May 31, 2021 at 12:08:58 (UTC)
Goto Top
Ich würde es aus dem "Stand der Technik" betrachten. Den kenne ich bei VoIP leider nicht zu 100%.
Wenn der Stand der Technik eine Ende-zu-Ende-Vollverschlüsselung ist und Du nicht verschlüsselst, dann ist es ein Verstoß gegen die DSGVO. Geht es um Daten von Beschäftigten, dann ist es auch ein Verstoß gegen das BDSG n.F.

Wenn der Stand der Technik keine Ende-zu-Ende-Verschlüsselung vorsieht, dann würde ich unverschlüsselte Kommunikation NICHT als DSGVO-Verstoß werten, wenn sich dazwischen ein analoger Übertragungswert befindet (also normales Analog-Telefon). Allerdings würde ich - in Bezug auf die Bremer Aufsichtsbehörde - bei reinen VoIP-Übertragungen eine Verschlüsselung erwarten.

Was immer gerne übersehen wird:
1. Eventuell muss man die Frage weiter "vorne" ansetzen. Also z.B.: Ist es ein DSGVO-Verstoß, wenn ich überhaupt besonders schutzwürdige Daten über das Medium "Telefon" austausche?
2. Die Pflicht zur Implementierung einer Technik endet dort, wo die Implementierung vom Aufwand und von den Kosten her alle Dimensionen sprengen würde.