vincentgdg
Goto Top

Nachweispflicht für Status-Emails?

Moin.

Mein Kollege und Datenschutzbeauftragter erfreut mich täglich mit neuen Auslegungen. Heute erklärt er mir, wir müssen die Status-Emails, die wir von Servern und Druckern über Füllstände, Backups und dergleichen erhalten, aufgrund einer Nachweispflicht aufbewahren, vermutlich 10 Jahre lang. Gibt es dafür rechtliche Grundlagen?

Viele Grüße
Thomas

Content-ID: 563725

Url: https://administrator.de/contentid/563725

Ausgedruckt am: 21.11.2024 um 16:11 Uhr

certifiedit.net
certifiedit.net 08.04.2020 um 09:28:40 Uhr
Goto Top
Hallo Thomas,

imho nein, aber der DSB hat ein Weisungsrecht.

Grüße,

Christian
Looser27
Looser27 08.04.2020 um 09:36:20 Uhr
Goto Top
Heute erklärt er mir, wir müssen die Status-Emails, die wir von Servern und Druckern über Füllstände, Backups und dergleichen erhalten, aufgrund einer Nachweispflicht aufbewahren, vermutlich 10 Jahre lang.

Dann lass Dir doch von ihm einfach mal die Stelle zeigen nach der er meint das müsse getan werden.
Wenn du anderer Meinung bist, lass es von der Chefetage entscheiden, denn es ist schließlich deren Risiko.

Wir sichern keinerlei Status-E-mails, da das teilweise hunderte pro Tag sind, sollte mal etwas nicht funktionieren.

Just my 2 Cents.

Looser
SlainteMhath
SlainteMhath 08.04.2020 um 09:40:55 Uhr
Goto Top
Moin,

da würde mich auch interessieren was er für die Grundlage seiner Forderung hällt.

lg,
Slainte
BernhardMeierrose
BernhardMeierrose 08.04.2020 um 09:41:09 Uhr
Goto Top
Zitat von @certifiedit.net:

imho nein, aber der DSB hat ein Weisungsrecht.

Moin,
hat er nicht. Wünschen sich zwar viele DSB, dafür gibt es aber keine rechtliche Grundlage.

Aber wenn Dich die rechtliche Grundlage interessiert würde ich den DSB mal befragen. Der muss ja schlüssig darlegen können, warum er etwas fordert. Und wenn die Forderung tatsächlich lautet, die Statusmeldungen zu Toner-Füllständen 10 Jahre zu archivieren bin ich sehr gespannt auf die Begründung.

Gruß
Bernhard
NordicMike
NordicMike 08.04.2020 um 09:41:59 Uhr
Goto Top
Es könnte evtl nützlich sein, dass man nachweisen kann, dass der Dienst funktioniert hat oder nicht funktioniert hat. Ein Fünkchen Wahrheit könnte also dabei sein diese aufheben zu sollen.
SlainteMhath
SlainteMhath 08.04.2020 um 09:45:03 Uhr
Goto Top
nachweisen kann, dass der Dienst funktioniert hat oder nicht funktioniert hat
Ja, da hast du ja Recht - aber was haben die Statusmeldungen denn bitte mit Datescnhutz zu tun?!
manuel-r
manuel-r 08.04.2020 um 09:46:23 Uhr
Goto Top
wir müssen die Status-Emails, die wir von Servern und Druckern über Füllstände, Backups und dergleichen erhalten, aufgrund einer Nachweispflicht aufbewahren

Mit welcher Begründung?

imho nein, aber der DSB hat ein Weisungsrecht

Wo steht das denn? Genau das Gegenteil ist der Fall. Er hat lediglich beratende Funktion gegenüber dem Verantwortlichen (i.d.R. Geschäftsführung). Was natürlich nicht ausschließt, dass hier oder da der Verantwortliche seine Weisungsbefugnis seinerseits auf den Datenschutzbeauftragten überträgt.

Im Ergenbis würde das für mich an Stelle der TO bedeuten, dass ich Kontakt zur Geschäftsführung aufnehme und denen meine Sicht der Dinge erkläre verbunden mit der Frage, ob sie das wirklich ernst meinen, da aus meiner Sicht nichts langfristig relevantes in diesen eMails steht.
Außerdem widerspricht es dem Datenschutz ganz eindeutig irgendwelche Daten länger als unbedingt notwendig aufzubewahren. Sobald nicht mehr benötigt sind personenenbezogene Daten nämlich zu löschen. Das einzige personenbezogene Datum das ich in solchen Statusmails aktuell sehe sind jedoch die Empfänger der eMails sofern diese eMails in persönliche Postfächer abgekippt werden und nicht in ein Funktionspostfach. Weiterhin natürlich die am Mailserver produzierten Logs über Mailempfang, -löschung, -weiterleitung, -abruf usw. Diese Logs sind schon mal gar nicht 10 Jahre aufzuheben.

Manuel
chiefteddy
chiefteddy 08.04.2020 aktualisiert um 10:12:57 Uhr
Goto Top
Hallo,

hat euer Datenschutzbeauftragte die rechtlichen Grundlagen seiner Forderung genannt?

Erste Frage: Was haben Status-Mails von technischen Geräten mit personengebundenen Daten zu tun?

2. Frage: Eine 10-jährige Aufbewahrungsplicht resultiert meistens aus der Steuergesetzgebung. Das betrifft aber nur geschäfts- bzw. steuerrelevante Daten. Was haben Statusmeldungen über ein erfolgreiches Backup mit der Steuer zu tun?
Wenn ein Drucker über einen Wartungsvertrag mit einer Fremdfirma selbständig per eMail fehlendes Verbrauchsmaterial bestellt, ist das das Auslösen eines steuerrelevanten Geschäftsvorganges (Kauf von Material mit anschließender Rechnungslegung usw.). Diese Mail ist natürlich aufbewahrungspflichtig. Aber eine reine Statusmail über den Stand des Verbrauchsmaterials aus meiner Sicht nicht.

Aber selbst wenn fällt das nicht in den Aufgabenbereich des Datenschutzbeauftragten, da keine personenbezogenen Daten betroffen sind. Das Finanzamt könnte bei der nächsten Steuerprüfung so etwas rügen bzw. fordern. Oder ihr fragt euren Steuerberaten.

@certifiedit.net
Das Weisungsreicht eines Verantwortlichen bezieht sich immer auf seinen Verantwortungsbereich. Wenn keine datenschutzrelevanten Daten (also personenbezogene Daten) betroffen sind, gibt es auch kein Weisungsrecht des Datenschutzbeauftragten.

Jürgen
certifiedit.net
certifiedit.net 08.04.2020 um 09:53:13 Uhr
Goto Top
Was natürlich nicht ausschließt, dass hier oder da der Verantwortliche seine Weisungsbefugnis seinerseits auf den Datenschutzbeauftragten überträgt.

was denn nun?

Es kommt immer auf die Ausgestaltung der Verträge an und hier ist eher die Regel als die Ausnahme, dass der DSB in Datenschutzthemen ein gewisses Weisungsrecht hat.

Die Sache mit den Druckerthemen, naja, gut, stell ich mal hinten an, Themen wie Sicherheitslogs o.ä können durchaus relevant sein.

Außerdem widerspricht es dem Datenschutz ganz eindeutig irgendwelche Daten länger als unbedingt notwendig aufzubewahren.

Nach dem Schema hat von der Leyen und Co wohl auch Ihr Handy zerstören lassen. Zur technischen Nachweisbarkeit gut, aber sicher nicht personenbezogen kritisch sind bsw Backuplogs, also durchaus gegeben. Ich lass das bei uns immer in ein extra Postfach schreiben.

Daher drehst du dich hier im Kreis, wenn du nichtmal weisst, auf welche Mails er sich bezieht. (ich vermute der TO hat das aus Wut/Irritation ohne Reflektion oder Rücksprache einfach mal ins Forum gekippt.).
certifiedit.net
certifiedit.net 08.04.2020 aktualisiert um 09:57:33 Uhr
Goto Top
@certifiedit.net
Das Weisungsreicht eines Verantwortlichen bezieht sich immer auf seinen Verantwortungsbereich. Wenn keine datenschutzrelevanten Daten (also personenbezogene Daten) betroffen sind, gibt es auch kein Weisungsrecht des Datenschutzbeauftragten.

Ich denke, wir beziehen uns nun eher auf die Themenbereiche, in denen eine gewisse Relevanz zum DSB besteht - Statusmails von Druckern, naja...seh ich da nicht darunterfallend (siehe Erläuterung im vorherigen Post).

Die 10 Jährige Vorhaltezeit ist ebenfalls bei medizinischen Daten die Schwelle. Bei steuerrechtlichen Daten sind es 6 oder 10, damit es nicht so einfach ist.

Bei allem anderen, bspw Firewalllogs, Backuplogs etc kann durchaus eine gewisse Relevanz zu sehen sein.

Aber ist zu müßig nach einem stille Post Spiel das zu erörtern

PS: Nutzername lautet certifiedit.net für die weitere Referenz.
manuel-r
manuel-r 08.04.2020 um 10:08:23 Uhr
Goto Top
was denn nun?
Es kommt immer auf die Ausgestaltung der Verträge an und hier ist eher die Regel als die Ausnahme, dass der DSB in Datenschutzthemen ein gewisses Weisungsrecht hat.

Das halte ich dann doch eher für ein Gerücht oder Wunschdenken. "Der Datenschutzbeauftragte" als Allgemeinbegriff hat zuerst einmal keinerlei Weisungsbefugnis. Wenn etwas anderes speziell vereinbart sein sollte kann der bestellte Datenschutzbeauftragte das auch belegen oder es wurde bei seiner Bestellung an die Belegschaft kommuniziert oder steht im QM-Handbuch. Seine bloße Aussage er wäre weisungsbefugt hat keinerlei Relevanz ganz einfach.

Nach dem Schema hat von der Leyen und Co wohl auch Ihr Handy zerstören lassen.

Ich weiß jetzt ehrlich gesagt nicht, wie es für Behörden und Regierung aussieht. In einem Unternehmen wäre aber jeder Geschäftsbrief der zur Anbahnung eines Geschäfts dient rechtssicher zu archivieren. Damit genau solche Aktionen a la "Huch. Wurde wohl versehentlich gelöscht." egal sind - es gibt ja das Archiv. Der Begriff "Brief" geht in dem Zusammenhang weit über bedrucktes Papier hinaus geht und auch elektronische Kommunikation umfasst.

Manuel
chiefteddy
chiefteddy 08.04.2020 um 10:09:55 Uhr
Goto Top
Hallo.

Themen wie Sicherheitslogs o.ä können durchaus relevant sein.

Sofern sich in diesen Logs personenbezogene Daten befinden (davon gehe ich aus), ist das natürlich ein Thema für den Datenschutzbeauftragten.

Aber eher in dem Sinn, sie nicht länger aufzubewahren als nötig. Und das sind sicher keine 10 Jahre. Hier geht es ja zB. um illegale Downloads oä.
Da sind dann die Verjährungszeiträume aus dem Strafgesetz relevant und die liegen deutlich unter 10 Jahren. Dh. der Datenschutzbeauftragte muss sicherstellen, dass diese Logs nach Ablauf der Verjährung der Tat, gelöscht werden. Und nicht, dass sie unisono 10 Jahre aufbewahrt werden.

Jürgen
certifiedit.net
certifiedit.net 08.04.2020 um 10:13:49 Uhr
Goto Top
Das halte ich dann doch eher für ein Gerücht oder Wunschdenken. "Der Datenschutzbeauftragte" als Allgemeinbegriff hat zuerst einmal keinerlei Weisungsbefugnis. Wenn etwas anderes speziell vereinbart sein sollte kann der bestellte Datenschutzbeauftragte das auch belegen oder es wurde bei seiner Bestellung an die Belegschaft kommuniziert oder steht im QM-Handbuch. Seine bloße Aussage er wäre weisungsbefugt hat keinerlei Relevanz ganz einfach.

Ich spreche von den Verträgen, die ich gesehen habe und diese "Einräumung" ist durch aus gegeben.

Kommt natürlich auch immer drauf an ob intern oder extern, interne sind da i.d.R nicht so "weit".

Ich weiß jetzt ehrlich gesagt nicht, wie es für Behörden und Regierung aussieht. In einem Unternehmen wäre aber jeder Geschäftsbrief der zur Anbahnung eines Geschäfts dient rechtssicher zu archivieren. Damit genau solche Aktionen a la "Huch. Wurde wohl versehentlich gelöscht." egal sind - es gibt ja das Archiv. Der Begriff "Brief" geht in dem Zusammenhang weit über bedrucktes Papier hinaus geht und auch elektronische Kommunikation umfasst.

Ist mir durchaus bewusst und implizit stimm ich deiner Aussage hier zu, kann und darf nicht sein.

Christian
certifiedit.net
certifiedit.net 08.04.2020 um 10:15:48 Uhr
Goto Top
Ich tippe bei dem Gedankengang eher darauf: Nachweisbarkeit, dass Daten oder Systemtechnisch nichts kritisches anfiel. Kann natürlich auch sein, dass der Admin geschlampt hat und man sich nun absichern muss/will. Aber sind mutmaßungen. Wie gesagt, stille Post.
117471
117471 08.04.2020 um 10:16:05 Uhr
Goto Top
Hallo,

die aus der Archivierung herauszunehmen wäre aufwändiger als sie mitzusichern?!?

Gruß,
Jörg
NordicMike
NordicMike 08.04.2020 um 10:30:57 Uhr
Goto Top
aber was haben die Statusmeldungen denn bitte mit Datescnhutz zu tun?!
Ganz einfach, wenn in der Statusmeldung zu sehen ist, dass der Mailserver offline war, ist es ein unabhängiger Nachweis, warum in der Zeit keine Emails eingingen. Man könnte ja jemanden unterstellen, in der Zeit Emails entfernt zu haben.
manuel-r
manuel-r 08.04.2020 um 10:38:32 Uhr
Goto Top
Man könnte ja jemanden unterstellen, in der Zeit Emails entfernt zu haben.

Das ist aber kein Thema im Datenschutz. Denn beim Datenschutz geht es gerade darum Daten so früh wie möglich zu löschen. Also bspw dann wenn der Zweck der DV abgeschlossen oder nicht mehr vorhanden ist bzw. sobald die Rechtsgrundlage weggefallen ist.

Was du ansprichst ist Thema im Bereich Datensicherheit.

Manuel
142583
142583 08.04.2020 um 10:45:58 Uhr
Goto Top
Aber nicht per se!
Dann hat er beim Chef ein Stein im Brett oder schlimmer.

Unsere DSB arbeiten für und als Berater und wenn sie nicht Spuren, dann gibt es richtig viel Arbeit.
certifiedit.net
certifiedit.net 08.04.2020 um 10:46:35 Uhr
Goto Top
Zitat von @manuel-r:

Man könnte ja jemanden unterstellen, in der Zeit Emails entfernt zu haben.

Das ist aber kein Thema im Datenschutz. Denn beim Datenschutz geht es gerade darum Daten so früh wie möglich zu löschen. Also bspw dann wenn der Zweck der DV abgeschlossen oder nicht mehr vorhanden ist bzw. sobald die Rechtsgrundlage weggefallen ist.

Was du ansprichst ist Thema im Bereich Datensicherheit.

Manuel

Nein, Datenschutz ist auch Datenintegrität und Datensicherheit.

https://eu-datenschutz-grundverordnung.net/grundsatz-der-integritaet-und ...

Denke da musst du dich nochmals einarbeiten.
Dilbert-MD
Dilbert-MD 08.04.2020 um 11:16:23 Uhr
Goto Top
Zitat von @VincentGdG:
[...]
Datenschutzbeauftragter
[...]
Status-Emails, [...] über Füllstände, Backups und dergleichen
[...]
aufgrund einer Nachweispflicht aufbewahren, vermutlich 10 Jahre lang.

Hallo,

werden hier nicht 2 verschiedene Anforderungen durcheinandergewürfelt?

Status-Emails können personenbezogene Daten enthalten. Zum Beispiel "Das Dokument 'Hausaufgagben_Klaus_Meier_6b.pdf' von user 'Annegret' konnte am 20. 02. 2020 um 12:02Uhr nicht gedruckt werden. Grund: Fehler 47110815 am Gerät PR02_HR_Geb12"
Hier: Thema Datenschutz personenbezogene Daten

"Nachweispflicht aufbewahren, vermutlich 10 Jahre lang"
Hier: Thema Geschäftsbriefe, Handelsbriefe, Rechnungen, ... --> Finanzamt und AO

Das Passt auch nicht zusammen, wenn z. B. eine Löschanforderung kommt für personenbezogene Daten und dann eine Kollision entsteht mit der Aufbewahrungspflicht. Es gibt dann "Daten als gelöscht markieren", ist aber schon etwas aufwändig zu realisieren.

Und was ein Füllstand mit Datenschutz zu tun hat, kann der DSB ja erläutern, ebenso warum flüchtige "nur zum Zweck der Verarbeitung [hier Ausdrucken] " erforderliche Daten 10 Jahre aufbewahrt werden sollen ebenso.

Gruß
certifiedit.net
certifiedit.net 08.04.2020 um 11:17:36 Uhr
Goto Top
Und was ein Füllstand mit Datenschutz zu tun hat, kann der DSB ja erläutern, ebenso warum flüchtige "nur zum Zweck der Verarbeitung [hier Ausdrucken] " erforderliche Daten 10 Jahre aufbewahrt werden sollen ebenso.

Ich denke, das könnte an der Stillen Post liegen, bist doch auch schon paar Tage hier im Forum.
SlainteMhath
SlainteMhath 08.04.2020 um 11:45:19 Uhr
Goto Top
@certifiedit.net
Nein, Datenschutz ist auch Datenintegrität und Datensicherheit.
Ja, aber nur bei Daten die auch dem Datenschutz unterliegten. Und das tun technischen Daten idR nicht

Denke da musst du dich nochmals einarbeiten.
Denke du könnest dich manchmal etwas zurücknehmen. Das fällt langsam tats. unangenehm auf.
certifiedit.net
certifiedit.net 08.04.2020 um 11:54:02 Uhr
Goto Top
Zitat von @SlainteMhath:

@certifiedit.net
Nein, Datenschutz ist auch Datenintegrität und Datensicherheit.
Ja, aber nur bei Daten die auch dem Datenschutz unterliegten. Und das tun technischen Daten idR nicht

Aber technische Daten beeinflussen persönliche Daten ggf. man möge mich dafür kreuzigen, aber ich setze ein Datenschutzkonzept nicht nur mit Hinsicht auf die pers. Daten auf, sondern auch für alle anderen Daten. Ist dann zwar nicht mehr unbedingt unter dem Bereich des DSB, aber in gewisser Hinsicht zählen elementare Anforderungen des DS auch zu elementaren Anforderungen des IT-Grundschutzes.

Denke da musst du dich nochmals einarbeiten.
Denke du könnest dich manchmal etwas zurücknehmen. Das fällt langsam tats. unangenehm auf.

Wie hier bisweilen mit Datenschutz,Sicherheit und Unternehmensbackbones umgegangen wird bzw wozu geraten wird kann ich nur sagen, dito.
137960
137960 08.04.2020 um 12:03:56 Uhr
Goto Top
Ich verweise auf die Einlassungen von certified.net hier, die ich - aus Erfahrung/Praxis - unterstütze. Zusätzlich möchte ich noch das hier anmerken:

1. Ein DBA hat erst einmal Prüf- und Beratungspflichten. Ein Weisungsrecht im Allgemeinen ("Ich DBA, Du tust, was ich sage") gibt weder die DSGVO noch das BDSG n.F. her. Es kann aber durchaus sein, dass im Rahmen von Arbeitsverträgen, Dienstleistungsverträgen, Betriebsvereinbarungen o.ä. dem DBA ein Weisungsrecht zugestanden wird.
Persönlich würde ich davon abraten bzw. das Weisungsrecht stark einschränken. Ansonsten besteht die Gefahr, dass der DBA sich selbst prüfen müsste (Interessenkonflikt = Ärger mit Aufsichtsbehörde).

2. Eine direkte Anweisung, automatisch generierte Mails generell zu archivieren, gibt weder die DSGVO noch das BDSG n.F. her. Dem gegenüber stehen können aber Bundesgesetze, Landesgesetze oder andere (EU-)Verordnungen, die eine Aufbewahrungspflicht vorsehen. Je nach Anwendungsfall können das z.B. 6, 10 oder 30 Jahre sein.

3. Die DSGVO beinhaltet auch Themen der Datensicherheit einschließlich Archivierung, Backups, Datenwiederherstellung nach Crash, etc. und beschäftigt sich nicht ausschließlich mit personenbezogenen Daten.

4. Eine Vermeidung, Daten zu sammeln, ist im Sinne der DSGVO zu bevorzugen. Dementsprechend würde __ICH__, wäre ich Dein DBA, erst einmal gucken, ob es irgendeinen rechtlichen Tatbestand gibt, der das Unternehmen zwingt, eine Statusmail zu archivieren. Wenn "nein", dann würde ich im Gegenteil darauf drängen, dass der Mist sofort gelöscht wird. Erst recht, wenn sich dort personenbezogene Daten drin befinden (z.B. "User XXX hat diese Seiten gedruckt").
Und das würde ich auch nur machen, wenn es um kritische Daten geht - die aus meiner Sicht eigentlich nicht in eine Statusmail gehören. Mir fallen da spontan nur extreme Fallkonstellationen ein. Z.B.eine Statusmail, dass die automatischen Tests eines medizinischen Systems erfolgreich abgeschlossen wurden (wie erwähnt - sowas gehört eigentlich nicht in eine Statusmail, sondern eher in ein elektronisches Zertifikat). Oder bei den Dreibuchstabenbehörden (BND, MAD, BfV), wo es vielleicht eine "alles-archivieren-Regel" gibt.

5. Im Sinne der von der DSGVO verlangten Datensparsamkeit sollte man erst einmal davon ausgehen, dass die Daten gelöscht werden können, bis eine Veordnung etwas anderes verlangt. Der Ansatz "wir haben DSGVO und jetzt müssen wir alles speichern und protokollieren" ist und bleibt falsch.

6. Die Löschaktionen der Handydaten unserer Lieblingspolitiker stehen sehr Wahrscheinlich außerhalb von DSGVO oder Verordnungen, weil für die - speziell für Bundestagsabgeordnete und Bundesminister - andere Regeln gelten. Ohnehin sind Verstöße gegen die DSGVO im öffentlichen Dienst nur schwer zu ahnden und die DBAs der Behörden haben noch weniger als nix zu melden (siehe "Weisungsrecht"). Jedenfalls: wäre ich Sicherheitsbeauftragter des Bundestags, würde ich gezielt und per Zwang alle Handydaten regelmäßig und automatisiert löschen lassen. Vor allem Chatverläufe. face-smile Die Gefahr ist zu groß, dass Unbefugte auf die Daten zugreifen könnten.
Penny.Cilin
Penny.Cilin 08.04.2020 um 13:20:22 Uhr
Goto Top
Zitat von @chiefteddy:

Hallo,

hat euer Datenschutzbeauftragte die rechtlichen Grundlagen seiner Forderung genannt?

Erste Frage: Was haben Status-Mails von technischen Geräten mit personengebundenen Daten zu tun?

2. Frage: Eine 10-jährige Aufbewahrungsplicht resultiert meistens aus der Steuergesetzgebung. Das betrifft aber nur geschäfts- bzw. steuerrelevante Daten.
Das stimmt so nicht. Geschäftsrelevante Daten sind 10 Jahre aufzubewahren. Steuerrelevante Daten sogar 30 Jahre.

Jürgen
Gruss Penny.
Penny.Cilin
Penny.Cilin 08.04.2020 um 13:21:50 Uhr
Goto Top
Zitat von @certifiedit.net:

@certifiedit.net
Das Weisungsreicht eines Verantwortlichen bezieht sich immer auf seinen Verantwortungsbereich. Wenn keine datenschutzrelevanten Daten (also personenbezogene Daten) betroffen sind, gibt es auch kein Weisungsrecht des Datenschutzbeauftragten.

Ich denke, wir beziehen uns nun eher auf die Themenbereiche, in denen eine gewisse Relevanz zum DSB besteht - Statusmails von Druckern, naja...seh ich da nicht darunterfallend (siehe Erläuterung im vorherigen Post).

Die 10 Jährige Vorhaltezeit ist ebenfalls bei medizinischen Daten die Schwelle. Bei steuerrechtlichen Daten sind es 6 oder 10, damit es nicht so einfach ist.
Patientendaten sind 30 Jahre aufzubewahren. Genauso wie steuerrelevante Daten.

Gruss Penny.
monstermania
monstermania 08.04.2020 um 13:35:39 Uhr
Goto Top
Die Aufbewarungsfrist von Daten kann auch vom Betrieb selbst bzw. durch Kundenanforderungen abhängig sein!
Bei militärischen Aufträgen oder auch bei Gütern die eine lange Laufzeit haben (z.B. Schiffbau/Flugzeugbau/Maschinenbau) sind 30 Jahre Aufbewahrungszeit absolut üblich. Inbesondere für Alles was irgendwie mit Fertigung/Qualität/Ersatzteilen/Wartung zu tun hat!

Aber zurück zum Topic.
Wüßte nicht warum Status-Emails irgendwie aufbewahrungspflichtig wären.
manuel-r
manuel-r 08.04.2020 aktualisiert um 13:47:23 Uhr
Goto Top
Wir reden hier doch immer noch über Datenschutz und wie irgendwelche Statusmail diesbezüglich behandelt werden müssen.

Damit der DSB überhaupt dazu was zu sagen hat muss das Thema in seinen Bereich fallen. Der ist in der DSGVO schwarz auf weiß definiert:

Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Und damit es keine Diskussionen über Begrifflichkeiten gibt hat man natürlich auch eine Begriffbestimmung gemacht:

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;

„Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;

Somit ist zuerst einmal zu prüfen, ob die DSGVO bzw. BDSG Anwendung findet / finden muss. Sind in den fraglichen Daten(-sätzen) keine personenbezogenen Daten laut Definition enthalten ist der DSB raus. Außer natürlich man hat auch alle anderen Daten, Datenverarbeitungen und Prozesse zu seinem Thema erklärt.

Wenn der DSB meint die besagten eMails fallen in seinen Zuständigkeitsbereich, dann soll er begründen wie er darauf kommt. Das wird ihm ja nicht schwer fallen, da er immerhin für sich bereits entschieden hat, dass sie zu seinem Thema gehören. Er muss also nur seine Entscheidungsgrundlage kund tun.


Manuel
142583
142583 08.04.2020 um 13:46:33 Uhr
Goto Top
30 Jahre nach Produktionende ;)
certifiedit.net
certifiedit.net 08.04.2020 um 14:38:38 Uhr
Goto Top
Hi Penny,

bitte nähere Erläuterung, welche steuerrelevanten Daten du meinst.

Allgemeine steuerrelevante Belege
Die Aufbewahrungsfristen für Buchhaltungsunterlagen sind gesetzlich festgeschrieben und liegen zwischen 6 und 10 Jahren. Sie können diese in der Abgabenordnung, Paragraph 147, einsehen.
Grundsätzlich gilt:
Buchungsbelege, Jahresabschlüsse, Eröffnungsbilanzen, Handels- und Geschäftsbücher, Aufzeichnungen, Arbeitsanweisungen und Organisationsunterlagen müssen 10 Jahre aufbewahrt werden.
Handels- und Geschäftsbriefe sowie sonstige Unterlagen müssen 6 Jahre archiviert werden.

...?
certifiedit.net
certifiedit.net 08.04.2020 um 14:39:43 Uhr
Goto Top
i.d.S bitte doch den TO darum, dass er schwarz auf weiss präsentiert, was gefordert wurde, am besten mit dem Hintergrund.
manuel-r
manuel-r 08.04.2020 um 15:20:41 Uhr
Goto Top
Wozu? Bin ich sein DSB oder seine GL?
Er hat hier nach Hilfestellung gefragt und bekommen.

BTW: Immer wieder schön, wie du für dich in Anspruch nimmst die Weisheit mit Löffeln gefressen zu haben und alle anderen hinstellen zu wollen als wären sie kleine Jungs, noch feucht hinter den Ohren und völlig ahnungslos..

@Frank
Was macht eigentlich die Ignore-Funktion?
certifiedit.net
certifiedit.net 08.04.2020 um 15:28:23 Uhr
Goto Top
Ne, aber ansonsten bringt einem das darauf herumreiten relativ wenig.

Daher drehst du dich hier im Kreis, wenn du nichtmal weisst, auf welche Mails er sich bezieht. (ich vermute der TO hat das aus Wut/Irritation ohne Reflektion oder Rücksprache einfach mal ins Forum gekippt.).

sagte ich ja schon weit oben. Also wenn du mit Definitionen kommst ist das super (wirklich), bringt aber relativ wenig, wenn du nicht weisst, was der Hintergrund ist.

Was macht eigentlich die Ignore-Funktion?

gute Frage.
digdpr
digdpr 09.04.2020 um 11:52:39 Uhr
Goto Top
Hallochen ...

Ich bin nicht wirklich überrascht, dass so viel Halb- oder gar Nichtwissen bezüglich DSGVO und BDSG im Bereich der IT besteht.

Weiter oben benannte Stellung des DBAs ist nach alter Regelung.

Bezüglich neuer Regelung (DSGVO) zitiere ich von https://www.datenschutzbeauftragter-info.de/datenschutz-grundverordnung- ...

"Vielmehr wird er zukünftig in stärkerem Maße auch für die Umsetzung der von ihm vorgeschlagenen Maßnahmen verantwortlich sein."

D.h., der DBA hat mittlerweile eine gewisse Weisungsbefugnis. Ansonsten kann er seinen Job nicht ausführen.

Sollte dieser Anweisung nicht gefolgt werden, dann muss er zum obersten Chef und die Weisung dort wiederholen. Liegt ein Datenschutzverstoß vor, dann muss er diesen an den zuständigen Datenschutzbeauftragten des Landes melden.

Argumente zur Speicherung von allen Vorgangsdaten (Log-Dateien):
- Jede Veränderung von persönlichen Daten muss protokolliert werden ( ... Löschung von ...)
- email ist Papier gleichgestellt
- Datenschutz des Betriebs (Geschäftsdokumente, Entscheidungsgrundlage des Einkaufs: Toner, ...)
- Wer soll die Log-Dateien wie so auseinanderdröseln, dass er nicht versehentlich ein aufbewahrungspflichtiges Dokument löscht?
- Wie soll das nachvollziehbar sein, wenn aufbewahrungspflichtige Dokumente gelöscht wurden?

Insbesondere die letzten Punkte können auch Mails im Spamfolder betreffen. Ich habe in meiner Praxis schon erlebt, dass in den gängigsten Blacklists Vodafone komplett gesperrt war. Wenn plötzlich die Mails von 100 oder mehr Kunden nicht mehr ankommen, dann wird das lustig. Besonders für den betreffenden Lieferanten.

Bezüglich Kenntnisse im Datenschutz:
Ich bin sein den 80er Jahren sowohl als Entwickler als auch als Admin auf allen Ebenen tätig. Da ich mich selbst bezüglich DSGVO unsicher fühlte habe ich mir bereits 2017 ein entsprechendes Zertifikat "gegönnt" (mit den entsprechenden Folgeverpflichtungen).

Ansonsten kann ich nur sagen: Google kann manchmal ein Freund sein.

cu, di
137960
137960 09.04.2020 um 12:16:04 Uhr
Goto Top
Zitat von @digdpr:

Bezüglich neuer Regelung (DSGVO) zitiere ich von https://www.datenschutzbeauftragter-info.de/datenschutz-grundverordnung- ...

"Vielmehr wird er zukünftig in stärkerem Maße auch für die Umsetzung der von ihm vorgeschlagenen Maßnahmen verantwortlich sein."

D.h., der DBA hat mittlerweile eine gewisse Weisungsbefugnis. Ansonsten kann er seinen Job nicht ausführen.

Sollte dieser Anweisung nicht gefolgt werden, dann muss er zum obersten Chef und die Weisung dort wiederholen. Liegt ein Datenschutzverstoß vor, dann muss er diesen an den zuständigen Datenschutzbeauftragten des Landes melden.


Der DBA meldet gar nix. Er/sie hat die Verantwortlichen für die Verarbeitung von personenbezogenen Daten auf die Missstände hinzuweisen (Prüf- und Beratungspflicht). OB dann ein "Datenschutzverstoß" an die Aufsichtsbehörden gemeldet wird, entscheiden einzig und allein die Verantwortlichen. Die Verantwortung lässt sich auch nicht delegieren (und auf andere "abschieben"). Und schon gar nicht auf einen DBA.
Die Verantwortlichen dürfen auch von ihrer Ignoranz Gebrauch machen und einen offensichtlichen und vom DBA angemahnten Datenschutzverstoß NICHT melden. Ist ihre Sache und ihr Problem.

Man kann einem internen oder externen DBA eine Weisungsbefugnis übertragen - das birgt aber das große Risiko, dass sich der DBA selber prüfen müsste, sobald personenbezogene Daten (Mailadresse oder Telefon reicht schon) ins Spiel kommen. Das wäre ein Interessenkonflikt, der dazu führen kann, dass eine Aufsichtsbehörde einen DBA von Amts wegen von seinem Amt enthebt. Für den DBA kann das arbeitsrechtliche Folgen haben (Kündigunsgschutz bei DBA-Pflicht eines Unternehmens) oder dienstvertragliche (externer DBA verliert seinen Auftrag). Für die Verantwortlichen bedeutet sowas meist Bußgeld, wenn das Unternehmen die Pflicht hat, einen DBA zu bestellen (der in dem Augenblick nicht vorhanden ist).

Aber nochmal, um es sehr deutlich zu machen:
Ein DBA meldet von sich aus nichts an eine Aufsichtsbehörde. Die Verantwortlichen können ihn bitten, im Rahmen seiner Beratungspflicht "sich drum zu kümmern" (oder es zu lassen). Handelt ein DBA eigenmächtig bzw. ist sein Handeln nicht durch Arbeits- oder Dienstvertrag gedeckt, macht er sich eventuell Schadenersatzpflichtig bzw. begeht ein Vertragsbruch gegenüber seinem Arbeitgeber oder Auftraggeber.
Verantwortliche bleiben verantwortlich.

Die Aussage "dann muss er zum obersten Chef und die Weisung dort wiederholen" kann ich allerdings unterschreiben. Wobei ich "Weisung" durch "MItteilung" ersetzen würde. Und alles per Mail oder schriftlich machen würde.
chiefteddy
chiefteddy 09.04.2020 um 13:33:47 Uhr
Goto Top
- Wer soll die Log-Dateien wie so auseinanderdröseln, dass er nicht versehentlich ein aufbewahrungspflichtiges Dokument löscht?

Hallo,

natürlich kann man das "auseinanderdröseln": man arbeitet mit unterschiedlichen Postfächern für die verschiedenen Kategorien von Statusmails.

Die einen Postfächer archiviert man, die Anderen eben nicht.

- Jede Veränderung von persönlichen Daten muss protokolliert werden ( ... Löschung von ...)

So etwas fällt ja eher unter das Auditing und wird in der Regel nicht über Status-Mails realisiert.

Jürgen
amaugg
amaugg 13.04.2020 um 18:35:04 Uhr
Goto Top
Nein, das (Weisungsrecht) genau hat er nicht. Der DSB ist auch nicht verantwortlich für die *Durchführung* des Datenschutzes im Unternehmen. Verantwortlich und weisungsbefugt ist der Unternehmer und die von ihm Delegierte. Mit einem Weisungsrecht besteht die Gefahr, dass der DSB in einen Interessenskonflikt kommt. ("Eigentlich sollte ich X machen, aber dafür habe ich keine Leute / Material / Geld / Zeit, also mache ich Y, auch wenn es nicht so ganz sauber ist").
Der DSB hat Stellung des verlängerten Arms der Aufsichtsbehörde. (Landes- / Bundes-DSB). In dieser prüft er die Einhaltung der *gesetzlichen* Vorschriften. Er kann - wenn er "auf stur" stellt, den Verantwortlichen ein Vorgehen (begründet) als unzureichend oder gesetzeswidrig melden und Nachbesserung / Änderung fordern. Bei kollegialer Zusammenarbeit ist es sicherlich vorteilhaft, wenn er die Richtung der Verbesserung vorschlägt.
Üblicherweise erstellt der DSB das Verfahrenshandbuch. Dieses sollte im Unternehmen - so, wie das vielleicht vorhandene Handbuch des (Qualitäts-) Managementsystems - den Mitarbeitern bekannt sein (woher sollen sie sonst wissen, was sie tun und lassen müssen). Zugehörige Arbeitsanweisungen gehören aus demselben Grund geschult. Wenn er auf die Archivierung der Status Mails besteht, sollte in seinen Verfahren / Anweisungen etwas zu finden sein.

Das BDSG wie die DSGVO beschäftigen sich hauptsächlich mit personenbezogenen oder besonders schützenswerten Daten. Das sind biespielsweise Adressen von Personen, Zeichnungen der Entwicklung, Finanzdaten etc., natürlich gehören auch die Mails für Geschäftsvorfälle und einige andere dazu.
Mit Verlaub - ob einem Drucker der Toner ausgegangen ist, dürfte IMHO aber nicht dazu gehören. Es wäre wirklich interessant, welche Begründung Euer DSB dafür liefert.
Etwas anderes sind z.B. Logs über fehlerhafte Logins (Stichwort Hinweise auf Missbrauch ab einer gewissen Intensität), DOS von Servern (Anlass zur Überprüfung, ob ein Datenleck vorliegt) etc.

Das sind aber Meldungen, auf deren Speicherung Administratoren meistens ohnehin bestehen und die Rechner automatisch durchführen. Mail als per se unzuverlässiges Medium dürfte hier im Zweifel zu hinterfragen sein, was auch Überlegungen für die Sinnhaftigkeit einer Archivierung über 10 Jahre nach sich ziehen sollte und sicherlich auch eine Frage von Betriebssystem, Aussagefähigkeit der Logs und der Überwachungspraxis ist.
VincentGdG
VincentGdG 14.05.2020 um 14:24:42 Uhr
Goto Top
Wenn ich jedes Mal, wenn ich Wut empfinde, etwas ins Forum schreiben würde, wäre ich ja nur noch am Tippen. face-smile

Die genannten Mails bestehen aus
  • Füllstandsmeldungen von Druckern - diese bekommt auch die Supportfirma und sendet Nachschub
  • Meldungen über erfolgreiche/fehlgeschlagene Backups von Servern und NAS - die meist nur interessant sind, wenn sie aktuell sind.

Ich sehe ein, dass Emails, die Bestellungen auslösen, schon aufgrund der Nachweisbarkeit archiviert werden sollten. Aber der DSB - der unglücklicherweise gleichzeitig mein IT-Vorgesetzter ist - geht nach dem Prinzip vor: "Lieber zuviel, als zuwenig, man könnte es ja irgendwann einmal brauchen, um irgendetwas zu beweisen."

Leider macht mein Vorgesetzter meist nicht deutlich, ob er jetzt als ITler oder als DSB spricht. Das macht es nicht gerade einfach für mich und ich stehe quasi immer auf der "Feindesseite", weil es für ihn datenschutzmäßig 100%ig sein soll, aber ich auch noch das System am Laufen halten muss.

Da ich sonst keinen Ansprechpartner für diese Themen habe, wollte ich hier Meinungen lesen. Und das hat ja geklappt, vielen Dank dafür.
BernhardMeierrose
BernhardMeierrose 14.05.2020 um 14:32:03 Uhr
Goto Top
Zitat von @VincentGdG:
Aber der DSB - der unglücklicherweise gleichzeitig mein IT-Vorgesetzter ist - geht nach dem Prinzip vor: "Lieber zuviel, als zuwenig, man könnte es ja irgendwann einmal brauchen, um irgendetwas zu beweisen."

Leider macht mein Vorgesetzter meist nicht deutlich, ob er jetzt als ITler oder als DSB spricht. Das macht es nicht gerade einfach für mich und ich stehe quasi immer auf der "Feindesseite", weil es für ihn datenschutzmäßig 100%ig sein soll, aber ich auch noch das System am Laufen halten muss.

Je nachdem, welche Funktion Dein Vorgesetzter genau hat, kann es sich dabei um eine Fehlbesetzung handeln:
https://www.bvdnet.de/datenschutzbussgeld-weil-unternehmen-it-leiter-zum ...

Gruß
Bernhard
chiefteddy
chiefteddy 14.05.2020 um 16:21:36 Uhr
Goto Top
Hallo,

die Bedenken sind mir auch gleich eingefallen, als ich das gelesen habe:

Aber der DSB - der unglücklicherweise gleichzeitig mein IT-Vorgesetzter ist

Eine Funktion im administrativen IT-Bereich und Datenschutzverantwortlicher schließen sich aus!! Der DSB kann sich ja schlecht selber kontrollieren - schwerer Interessenskonflikt.

Jürgen
amaugg
amaugg 14.05.2020 um 16:48:50 Uhr
Goto Top
Normalerweise bin ich Qualitäter, und die schreiben auch lieber eins zu viel als eins zu wenig, was grundsätzlich Ärgerpotenitial bietet.
Ein probates Mittel ist eine Risikoabschätzung (FMEA) für die einzelnen Positionen natürlich schriftlich.
Am Tisch sitzen jene, die darunter "leiden". (Interdisziplinäres Team). Hier z.B. der DSB, der normale Admin, Mitarbeiter der am Meistenbetroffenen Abteilungen (z.B. Büromitteleinkauf) und eine Vertretung der GL.
Am Ende kommt meist ein brauchbarer Kompromiss heraus, weil die Risikoprioritätszahl für Mails von Bestellungen, Rechnungen etc. hoch ist, wenn man die nicht vorschriftsmäßig archiviert, aber bei Statusmeldungen ist sie niedrig.
Der DSB ist dann auch fein raus, weil ggf die GL mitentschieden hat, dass Statusmeldungen zB. Nach 2 Wochen automatisch aus dem System fliegen. Kritische muss sich der Verantwortliche halt selber archivieren.