Wie behandelt Ihr DSGVO und US Dienste bei Web-Produkten wie Shopify und Wix?
Hallo,
wie behandelt Ihr DSGVO und US Dienste bei Web-Produkten?
In meinem konkreten Fall wurde ich auf Shopify und Wix angesprochen.
Die nutzen Server in DE, US und JP zusammen mit Cloud-Flare.
Zu Shopify gibt es eine Leidensgeschichte eines Shopify-Users der Post vom Landesdatenschutzbeauftragter erhalten hat und schlussendlich den Shop dort aufgeben musste.
Die Datenschutzbehörde Rheinland Pfalz (Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland–Pfalz) schreibt ihm sinngemäß, dass eine Datenübermittlung in die USA nur in Ausnahmefällen möglich ist.
https://www.maxgreger.de/warum-shopify-nicht-dsgvo-konform-ist-und-2023- ...
https://lsww.de/shopify-illegal/
Ich habe dann beim neuen TADPF (Trans-Atlantic Data Privacy Framework) geschaut. Da ist Cloudflare und AWS gelistet, Shopify und Wix aber nicht.
https://www.dataprivacyframework.gov/
Ich wollte dann Shopify anschreiben und fragen wie deren Planung ist, musste aber feststellen, dass auf deren deutschen Seite es keine Kontaktmöglichkeit gibt. Das wäre ja ein eigener getrennter DSGVO-Verstoß.
Im Hintergrund sollte man auch den 1. Tritt mit den Google-Fonts vom Google-CDN im Hinterkopf behalten.
Da hat ein Gericht ja die Aussagen von Google, dass die Daten der Besuchern nicht genutzt werden als unglaubwürdig eingestuft und es verboten.
Wie seht Ihr solche Dinge?
Ich vermute mal, dass die meisten Nutzer es ignorieren solange es kein Gerichtsurteil gibt.
Viele Grüße
Stefan
wie behandelt Ihr DSGVO und US Dienste bei Web-Produkten?
In meinem konkreten Fall wurde ich auf Shopify und Wix angesprochen.
Die nutzen Server in DE, US und JP zusammen mit Cloud-Flare.
Zu Shopify gibt es eine Leidensgeschichte eines Shopify-Users der Post vom Landesdatenschutzbeauftragter erhalten hat und schlussendlich den Shop dort aufgeben musste.
Die Datenschutzbehörde Rheinland Pfalz (Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland–Pfalz) schreibt ihm sinngemäß, dass eine Datenübermittlung in die USA nur in Ausnahmefällen möglich ist.
https://www.maxgreger.de/warum-shopify-nicht-dsgvo-konform-ist-und-2023- ...
https://lsww.de/shopify-illegal/
Ich habe dann beim neuen TADPF (Trans-Atlantic Data Privacy Framework) geschaut. Da ist Cloudflare und AWS gelistet, Shopify und Wix aber nicht.
https://www.dataprivacyframework.gov/
Ich wollte dann Shopify anschreiben und fragen wie deren Planung ist, musste aber feststellen, dass auf deren deutschen Seite es keine Kontaktmöglichkeit gibt. Das wäre ja ein eigener getrennter DSGVO-Verstoß.
Im Hintergrund sollte man auch den 1. Tritt mit den Google-Fonts vom Google-CDN im Hinterkopf behalten.
Da hat ein Gericht ja die Aussagen von Google, dass die Daten der Besuchern nicht genutzt werden als unglaubwürdig eingestuft und es verboten.
Wie seht Ihr solche Dinge?
Ich vermute mal, dass die meisten Nutzer es ignorieren solange es kein Gerichtsurteil gibt.
Viele Grüße
Stefan
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 93067635867
Url: https://administrator.de/contentid/93067635867
Ausgedruckt am: 21.11.2024 um 13:11 Uhr
20 Kommentare
Neuester Kommentar
@StefanKittel
Es gibt die Datenschutzbeauftragten der Länder und des Bundes. Im Zweifel sollten die alle fragen beantworten können.
Leider sind die alle akut unterbesetzt, was das erschwert, wozu die eigentlich da sein sollten..
Kreuzberger
Es gibt die Datenschutzbeauftragten der Länder und des Bundes. Im Zweifel sollten die alle fragen beantworten können.
Leider sind die alle akut unterbesetzt, was das erschwert, wozu die eigentlich da sein sollten..
Kreuzberger
Dumme Sache das.
Anlaufstelle wäre Datenschutzbeauftragter des Landes bzw. Bundes. Die Frage ist, wann man eine Antwort bekommt und vor allem, wie konkret wird die sein.
Möglicherweise gibt es für die fraglichen Unternehmen auch eine Instanz wie einen Prüfungsverband, den man anfragen kann. Aber ich fürchte, selbst da wirds keine konkrete Aussage geben.
Aus Admin-Sicht würde ich da alles unterlassen, was in die USA geht.
Aus Unternehmer-Sicht siehts wieder anders aus. Wo kein Kläger, da kein Richter. Aber wenns dann mal einen Kläger gibt, gibts dann einen Plan B?
Kommt dann irgendwie drauf an, wovon man ausgeht. Glaubt man, es kommt mal was, dann sollte es einen Plan B geben. Aber dann wäre es vielleicht sinnvoller, gleich jetzt auf Plan B umzusteigen.
Viele Cheffitäten werden dabei eher so damit umgehen, dass da erst mal einen kommen soll und sagen, was denn falsch ist und was man denn anstelle des Problems machen soll.
Ich persönlich gehe da auch von aus, dass da erst mal was angemahnt wird, auf das man reagieren kann.
Heißt für mich im Umkehrschluss: je essentieller so ein US-Shop ist, desto Plan B. Ist's nur sowas wie ein Anhängsel (à la Haben wir schon immer gehabt) kann man sich dann ja mal von trennen.
Anlaufstelle wäre Datenschutzbeauftragter des Landes bzw. Bundes. Die Frage ist, wann man eine Antwort bekommt und vor allem, wie konkret wird die sein.
Möglicherweise gibt es für die fraglichen Unternehmen auch eine Instanz wie einen Prüfungsverband, den man anfragen kann. Aber ich fürchte, selbst da wirds keine konkrete Aussage geben.
Aus Admin-Sicht würde ich da alles unterlassen, was in die USA geht.
Aus Unternehmer-Sicht siehts wieder anders aus. Wo kein Kläger, da kein Richter. Aber wenns dann mal einen Kläger gibt, gibts dann einen Plan B?
Kommt dann irgendwie drauf an, wovon man ausgeht. Glaubt man, es kommt mal was, dann sollte es einen Plan B geben. Aber dann wäre es vielleicht sinnvoller, gleich jetzt auf Plan B umzusteigen.
Viele Cheffitäten werden dabei eher so damit umgehen, dass da erst mal einen kommen soll und sagen, was denn falsch ist und was man denn anstelle des Problems machen soll.
Ich persönlich gehe da auch von aus, dass da erst mal was angemahnt wird, auf das man reagieren kann.
Heißt für mich im Umkehrschluss: je essentieller so ein US-Shop ist, desto Plan B. Ist's nur sowas wie ein Anhängsel (à la Haben wir schon immer gehabt) kann man sich dann ja mal von trennen.
Zitat von @StefanKittel:
Ich vermute mal, dass die meisten Nutzer es ignorieren solange es kein Gerichtsurteil gibt.
Gerichtsurteile binden ja zunächst mal die im Prozess beteiligten Parteien, niemanden sonst. Ich glaube nicht, das einzelne Urteile einen nennenswerten Effekt haben, dazu müssen es schon mehrere Gerichte und Verfahren sein, dann wird das unter Juristen gängig, und sie beraten auch dahingehend.Ich vermute mal, dass die meisten Nutzer es ignorieren solange es kein Gerichtsurteil gibt.
TADPF habe ich mir noch nicht angeschaut aber was soll hier wirklich anders sein? - Schrems III könnte kommen.
Ich finde es völlig verständlich das sich die Wirtschaft beklagt das es keine Rechtssicherheit gibt. Ich finde es allerdings nicht richtig, das immer wieder versucht, entweder Rechtsbrüche durch juristische Klimmzüge zu egalisieren oder das Recht anzupassen, um einfach das weiter machen zu können was am einfachsten ist. Durch den aktuellen Zustand wird halt weiter das genutzt was jeder nutzt und es ändert sich nichts, außer das es immer wieder gefordert wird doch endlich die Realität anzuerkennen und die Gesetze zu ändern - nicht umgekehrt.
@Starmanager
Vielleicht solltest du die DSGVO einfach h noch mal lesen. Ich hab den Eindruck dass du den sinn der DSGVO noch nicht verstanden hast. Es ist mit das beste, das das Europäische Parlament je beschlossen hatte.
Ich selbst finde es ein graus, dass man bei den Datenschutzbeauftragten der Länder und des Bundes dauerhaft viel zu wenig Personal hat, um die vorhandenen Angelegenheiten zu bewältigen. Ich hab da eine Sache schon gut ein Jahr liegen in Hessen. (Deutsche Bank, eine Online-Banking-Überweisung von zb. Deutschland nach Deutschland gut nicht ohne Cookies von Adobe, da die als elementar nicht albwählbar sind.)
Solche Sachen gibt es massenweise, sogar deutsche Behörden bekommen das nicht auf die Reihe. Ich vermute auch, dass so gut wie alle Bewerberportale nicht der DSGVO entsprechen.
Kreuzberger
Meiner Meinung nach sollte die DSGVO wieder abgeschafft werden.
Vielleicht solltest du die DSGVO einfach h noch mal lesen. Ich hab den Eindruck dass du den sinn der DSGVO noch nicht verstanden hast. Es ist mit das beste, das das Europäische Parlament je beschlossen hatte.
Ich selbst finde es ein graus, dass man bei den Datenschutzbeauftragten der Länder und des Bundes dauerhaft viel zu wenig Personal hat, um die vorhandenen Angelegenheiten zu bewältigen. Ich hab da eine Sache schon gut ein Jahr liegen in Hessen. (Deutsche Bank, eine Online-Banking-Überweisung von zb. Deutschland nach Deutschland gut nicht ohne Cookies von Adobe, da die als elementar nicht albwählbar sind.)
Solche Sachen gibt es massenweise, sogar deutsche Behörden bekommen das nicht auf die Reihe. Ich vermute auch, dass so gut wie alle Bewerberportale nicht der DSGVO entsprechen.
Kreuzberger
@Starmanager
Wenn dieser „kleinste“ Betrieb zb eine Wohnungsvermietung /-verwaltung ist und jedes Klospülen in deiner Wohnung zuhause registriert, dann ist diese Kleinstbetrieb eben auch mal zu fragen, was das soll.
Es geht bei der DSGVO eben nicht um Kleinstbetrieb und Riesenkonzern, sondern um Privatperson und dessen Schutz der eigenen Daten und ist gegen sinnlose, massenweise Datensammelei gerichtet.
Kreuzberger
Mit der DSGVO wird sogar der kleinste Betrieb gegaengelt um alle Richtlinen einzuhalten.
Wenn dieser „kleinste“ Betrieb zb eine Wohnungsvermietung /-verwaltung ist und jedes Klospülen in deiner Wohnung zuhause registriert, dann ist diese Kleinstbetrieb eben auch mal zu fragen, was das soll.
Es geht bei der DSGVO eben nicht um Kleinstbetrieb und Riesenkonzern, sondern um Privatperson und dessen Schutz der eigenen Daten und ist gegen sinnlose, massenweise Datensammelei gerichtet.
Kreuzberger
+1 DSGVO
Die Umsetzung könnte sicherlich hier und da vereinfacht werden, da hätte ich nichts dagegen. Die DSGVO selbst ist aber wirklich simpel und logisch, und das bei einem Gesetz das Technologie betrifft.
Wichtig ist, das alle beteiligten verstehen und akzeptieren, worum es geht. Wenn der Anbieter keinen DSGVO-konformen Service anbieten kann oder will, dann kann man das halt nicht benutzen. Würde da konsequent gehandelt gäbe es auch nur noch konforme Dienste.
Die Umsetzung könnte sicherlich hier und da vereinfacht werden, da hätte ich nichts dagegen. Die DSGVO selbst ist aber wirklich simpel und logisch, und das bei einem Gesetz das Technologie betrifft.
Wichtig ist, das alle beteiligten verstehen und akzeptieren, worum es geht. Wenn der Anbieter keinen DSGVO-konformen Service anbieten kann oder will, dann kann man das halt nicht benutzen. Würde da konsequent gehandelt gäbe es auch nur noch konforme Dienste.
Es geht bei der DSGVO eben nicht um Kleinstbetrieb und Riesenkonzern, sondern um Privatperson und dessen Schutz der eigenen Daten
Das ist sehr schon zusammen gefasst und auf den Punkt gebracht. Sehe ich auch so.In der Praxis ist es dennoch beschwerlich, wenn z.B. ein KU eine Mail versehentlich an Kunde 2 schickt, statt an Kunde 3 und das dann gleich ein meldepflichtiger Datenschutzvorfall ist, der das Unternehmen einige Stunden Arbeit kostet und auch für Klempner Röhricht schwer zu beantwortende Rechtsfragen aufwirft (wer den Meldevorgang schon mal durch hat, weiß, was ich meine) und bei der DSB dann letztlich nur ein Aktenzeichen angelegt wird. Es ist dann nicht mehr behördliche Korinthenzählerei, die letztlich die Kunden bezahlen. Fehler passieren. Auch früher wurde mal falsch gefaxt, ohne dass die Welt unterging. Hier wäre noch etwas Nachjustierung denkbar.
Viele Grüße, commodity
Zitat von @Starmanager:
Mit der DSGVO wird sogar der kleinste Betrieb gegaengelt um alle Richtlinen einzuhalten.
Sag mir, dass du nicht weißt, um was es bei DSGVO geht ohne zu sagen, dass du nicht weißt, worum es bei DSGVO geht.Mit der DSGVO wird sogar der kleinste Betrieb gegaengelt um alle Richtlinen einzuhalten.
Die DSGVO hat in Deutschland rein gar nix geändert. Tatsächlich hat sie mit Art. 6 Abs. 1 lit. f es für Unternehmen sogar noch einfacher gemacht, Kundendaten zu verarbeiten.
Die Grundsätze waren schon seit den 1970ern im BDSG festgeschrieben. Deutschland musste da von allen EU-Staaten am wenigsten machen.
Die DSGVO hat nun Rechtssicherheit gegeben. Und zwar über nationale Grenzen hinweg. Ein Gewinn für jeden privaten Bürger.
Zitat von @StefanKittel:
Siehe den Bericht von Christian im Link oben (https://lsww.de/shopify-illegal/)
Sowas ist den Chefs in der Regel egal. Der Durchschnittschef orientiert sich seltenst an Erfahrungsberichten, vor allem wenn dahinter eine Investition befürchtet wird. Da muss schon jemand von der Behörde kommen und was vorlegen. Darauf wird reagiert.Siehe den Bericht von Christian im Link oben (https://lsww.de/shopify-illegal/)
Das hat in der Vergangenheit ja auch immer gut funktioniert. Und ich bin überzeugt, dass das jetzt auch noch gut funktioniert. Da wird nix von jetzt auf gleich passieren. Zuerst wird man angemahnt, dann gelobt man Besserung, zeigt was man sonst schon alles gemacht hat und versucht dann den Mangel abzustellen.
Wenn man da mit den Behörden zusammenarbeitet wird man gute Karten haben. Direkt querstellen könnte blöd enden.
Ist aber wie gesagt nur eine Vermutung. DSGVO-mäßig gabs noch keinen Stress bei uns. Bei Problemen in anderen Bereichen lief es aber so ab. Von daher meine Extrapolation.
Das ist nicht gleich meldepflichtig.
Tja, das schreibt sich leicht.Und das soll Klempner Röhricht dann beurteilen? Ein falsches Fax und dann vorsorglich zum Anwalt?
Eine "verunglückte" Mail, ebenso ein Fax sind können immer meldepflichtig werden, wenn sie beim falschen Empfänger angekommen sind. Insbesondere wenn (und weil) man den Empfänger nicht kennt. Im von mir bearbeiteten Fall waren es Gesundheitsdaten, da war es noch etwas schwerwiegender. Es ist vom Handelnden eine eigene Beurteilung darüber vorzunehmen, ob voraussichtlich die
Verletzung des Schutzes personenbezogener Daten zu einem Risiko für die Rechte und Freiheiten natürlicher Personen
führt - und die ist faktisch bereits eingetreten, wenn persönliche Daten eines anderen gegenüber unbefugten Dritten offenbart wurden. Das Recht auf informationelle Selbstbestimmung ist ein anerkanntes Grundrecht. Wer wissen darf, dass ich da und da einkaufe oder dort zum Arzt gehe, bestimm ich als Grundrechtsträger, niemand sonst. Da reicht u.U. schon die Offenbarung von Name und Anschrift o.ä. gegenüber Fremden.Die DSGVO verlangt immerhin eine Abwägung - Selbsttest, wer das kann steht unten.
DSB Berlin:
Kam es bei Ihnen zu einem Datenschutzvorfall, sind Sie als Verantwortliche:r grundsätzlich verpflichtet, die Datenpanne unserer Behörde innerhalb von 72 Stunden zu melden und unter Umständen auch die von der Panne betroffenen Personen über den Vorfall zu informieren.
Gesetz:Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt
Hier für Interessierte ein Auszug aus der Prüfungsanleitung des DSB SH:
(hier zum selbst testen, wer eine falsche Mail mit Name, Anschrift, Telefonnummer und der Mitteilung, dass der Kaufbetrag für die Ware xy vom Konto zz abgebucht wurde. Und dann zur Übung machen wir aus xy
1. einen Kochtopf
2. koscheres Essen
3. einen Koran
4. Reizwäsche
5. ein Herzmedikament
6. ein Potenzmedikament
7. ein Hotelzimmer für zwei Personen
Und als Variation beachten wir auch den Fall, dass Empfänger und Falschempfänger sich kennen könnten...
Manche Admins machen ja sehr gern mal Jura, wenn es um die DSGVO geht. Am Ende sagt mir, ob ihr findet, dass
Hier wäre noch etwas Nachjustierung denkbar.
es unpassend ausdrückt Ich bin ja vielleicht einfach zu doof, aber ich finde es nicht so einfach. Da baue ich ein Netz auf Also los:
Zitat Anfang
Zu a.) Schäden für natürliche PersonenSchäden können nach der DS-GVO physischer, materieller oder immaterieller Natur sein (ErwGr. 75 Satz 1). Der Schadensbegriff ist somit in einem umfassenden Sinne zu verstehen und nicht auf monetär bezifferbare Schäden begrenzt.
Es müssen die negativen Folgen der geplanten Verarbeitung selbst betrachtet werden. Dazu gehören auch Einschränkungen von Rechten und Freiheiten, beispielsweise wenn betroffene Personen aus Angst vor Nachteilen auf die Ausübung ihrer Rechte verzichten (z. B. Verzicht auf Teilnahme an einer Demonstration aufgrund umfangreicher Überwachung).
Auch negative Folgen von Abweichungen von der geplanten Verarbeitung müssen betrachtet werden (z. B. Datenzugang durch unbefugte Personen oder Stellen, unbefugte Offenlegung oder Verknüpfung von Daten, zufällige Vernichtung von Daten, Ausfall oder Einschränkungen von vorgesehenen Prozessen, unbeabsichtigte oder vorsätzliche unbefugte Veränderung der Daten, Nichterfüllung eines Auskunftsanspruchs). Die Abweichungen können zu einer unrechtmäßigen oder einer die Datenschutzgrundsätze verletzenden Verarbeitung führen.
Durch jede Verarbeitung personenbezogener Daten erfolgt mindestens eine Beeinträchtigung des Grundrechts auf Schutz personenbezogener Daten (vgl. Art. 8 GrCh). Daneben können weitere Grundrechte betroffen sein, wie z. B. die Achtung des Familienlebens in Art. 7 GrCh oder die Meinungs- und Versammlungsfreiheit in Artt. 11 und 12 GrCh oder das Recht auf Nichtdiskriminierung in Art. 21 GrCh. Diese Beeinträchtigungen führen zu Schäden, wenn Sie nicht gerechtfertigt sind.
Letztlich müssen alle denkbaren negativen Folgen der Datenverarbeitung für die Rechte und Freiheiten natürlicher Personen, ihre wirtschaftlichen, finanziellen und immateriellen Interessen, ihren Zugang zu Gütern oder Dienstleistungen, für ihr berufliches und gesellschaftliches Ansehen, für ihren gesundheitlichen Zustand und für alle ihre sonstigen legitimen Interessen betrachtet werden.
Beispiele möglicher Schäden sind unter anderem:
Diskriminierung
Identitätsdiebstahl oder -betrug
finanzieller Verlust
Rufschädigung
wirtschaftliche oder gesellschaftliche Nachteile
Erschwerung der Rechtsausübung und Verhinderung der Kontrolle durch betroffene Personen
Ausschluss oder Einschränkung der Ausübung von Rechten und Freiheiten
Profilerstellung oder -nutzung durch Bewertung persönlicher Aspekte
körperliche Schäden infolge von Handlungen auf der Grundlage fehlerhafter oder offengelegter Daten
Zitat Ende
Für Vergnügungssüchtige: Das war erst Teil a.) der Prüfung. Es gibt dann noch b.) und c.) und auch ein 2. (denn abc waren 1.). Und am Ende steht für Klempner Röhricht dieses schöne Abwägungsbild:Quelle nochmals: https://www.datenschutzzentrum.de/artikel/1225-Kurzpapier-Nr.-18-Risiko- ...
Have fun!
Viele Grüße, commodity
Nanana...man muss da jetzt kein Drama draus machen.
Irrläufer eines Klempners sind in der Regel nicht meldepflichtig. Oftmals sind da auch keine schützenswerten Daten mit dabei. Man mag mal ein Telefonbuch (auch digital) aufschlagen.
Gesunder Menschenverstand hilft tatsächlich. ich weiß, ist aus der Mode gekommen. Da müsste man ja selber und kann nicht auf andere zeigen.
Außerdem gibt es nicht umsonst ein unternehmerisches Risiko. Wenn man Unternehmer sein will, dann muss man auch ein bisschen was dafür tun. Ist halt mal so. Übersteigt der Einsatz, den man machen muss, den Gewinn, dann ist die Unternehmung vielleicht gar nicht so gut.
Und wie gesagt...das BDSG gibts seit den 1970ern....
Irrläufer eines Klempners sind in der Regel nicht meldepflichtig. Oftmals sind da auch keine schützenswerten Daten mit dabei. Man mag mal ein Telefonbuch (auch digital) aufschlagen.
Gesunder Menschenverstand hilft tatsächlich. ich weiß, ist aus der Mode gekommen. Da müsste man ja selber und kann nicht auf andere zeigen.
Außerdem gibt es nicht umsonst ein unternehmerisches Risiko. Wenn man Unternehmer sein will, dann muss man auch ein bisschen was dafür tun. Ist halt mal so. Übersteigt der Einsatz, den man machen muss, den Gewinn, dann ist die Unternehmung vielleicht gar nicht so gut.
Und wie gesagt...das BDSG gibts seit den 1970ern....
Ich bin ganz bei Dir. Man sollte es nicht so heiß löffeln, wie es gekocht ist. Aber der oben vom Kollegen geäußerte Gedanke, dass die Kleinen hier leichter in die Falle tappen und greifbarer sind als die Großen ist so falsch nicht. Ab Vorhandensein einer Rechtsabteilung ist's dann wurscht.
Viele Grüße, commodity
.das BDSG gibts seit den 1970ern....
gab's da eine geahndete Meldepflicht für eigene Verstöße?Viele Grüße, commodity
+1 für deine Ausführung, sehr fachlich. Der Dramatik mag ich mich aber nicht so recht anschließen.
Ich behaupte das jeder, mit ein wenig Bereitschaft und Grundverständnis für den Datenschutz, sehr gut beurteilen kann wann ein E-Mail Irrläufer wirklich problematisch sein kann für den Empfänger. Wenn ich nachweisen kann, das ich mit plausiblen Argumenten keine Gefährdung gesehen habe, dann dreht mir da auch keiner einen Strick draus. Vielleicht frage ich auch mal den betroffenen, wenn ich so ein inniges Verhältnis zu ihm habe.
Und vor allem das Beispiel E-Mail ist gut. Die Risiko-Abschätzung zielt meiner Meinung nach gar nicht so sehr auf eine Meldung ab. Die zielt viel mehr darauf ab, das ich mir Gedanken machen muss. Wieso z.B. verschicke ich denn Gesundheitsdaten per E-Mail? Unverschlüsselt? Ist ja pauschal gar nicht zulässig. Wieso verschicke ich den Bestellbestätigungen vom Koran mit manueller Adressauswahl? Aus welchem gigantischen Adresspool denn? Wenn solche Prozesse in meinem TOMs stehen, oder womöglich auch nicht, was entgeht mir eigentlich? Das geht besser, i.S.d. DSGVO sowie im technischen und eigenorganisatorischem Sinne.
HTTPS ist heute Überall, weil der Gesetzgeber dafür gesorgt hat. Der ist zwar dumm und träge aber viele Dinge ändern sich einfach nicht wenn man es der Industrie überlässt. Datenschutz, Umweltschutz, Verbraucherschutz - keiner kann mir sagen das das Erfindungen des Kapitalismus sind oder das der Kunde das mit seiner Kaufkraft besser beeinflussen kann.
Ich behaupte das jeder, mit ein wenig Bereitschaft und Grundverständnis für den Datenschutz, sehr gut beurteilen kann wann ein E-Mail Irrläufer wirklich problematisch sein kann für den Empfänger. Wenn ich nachweisen kann, das ich mit plausiblen Argumenten keine Gefährdung gesehen habe, dann dreht mir da auch keiner einen Strick draus. Vielleicht frage ich auch mal den betroffenen, wenn ich so ein inniges Verhältnis zu ihm habe.
Und vor allem das Beispiel E-Mail ist gut. Die Risiko-Abschätzung zielt meiner Meinung nach gar nicht so sehr auf eine Meldung ab. Die zielt viel mehr darauf ab, das ich mir Gedanken machen muss. Wieso z.B. verschicke ich denn Gesundheitsdaten per E-Mail? Unverschlüsselt? Ist ja pauschal gar nicht zulässig. Wieso verschicke ich den Bestellbestätigungen vom Koran mit manueller Adressauswahl? Aus welchem gigantischen Adresspool denn? Wenn solche Prozesse in meinem TOMs stehen, oder womöglich auch nicht, was entgeht mir eigentlich? Das geht besser, i.S.d. DSGVO sowie im technischen und eigenorganisatorischem Sinne.
HTTPS ist heute Überall, weil der Gesetzgeber dafür gesorgt hat. Der ist zwar dumm und träge aber viele Dinge ändern sich einfach nicht wenn man es der Industrie überlässt. Datenschutz, Umweltschutz, Verbraucherschutz - keiner kann mir sagen das das Erfindungen des Kapitalismus sind oder das der Kunde das mit seiner Kaufkraft besser beeinflussen kann.
Ich stimme Dir in der Sache absolut zu und ich denke, das ist auch klar geworden.
Und die Rechtsabteilung von BMW eben ein besser aufgestellter Gegner für den DSB als die Arztpraxis, die natürlich die Befunde nur auf ausdrücklichen Wunsch des Patienten per Mail verschickt. Und trotzdem keine Fehler machen darf. Klar kann man auch da strukturell was verbessern. Aber erklär mal der
a) der ohnehin am Limit arbeitenden MFA und
b) der 70jährigen Oma, die zwar noch Gmail bedienen kann
den Einsatz von PGP oder die Nutzung eines verschlüsselten Downloads. Ihre Daten gehören dennoch ihr und ich darf nicht falsch mailen.
Muss es ihm aber auch so nett und entspannt nahe bringen, wie Du das oben machst. Und sich dran halten. Versteht der Meister nämlich die Welt nicht mehr, setzt er sich meckernd in seinen SUV, auf dem Beifahrersitz die Bild, die seinen Ärger täglich befeuert, und wählt die Populisten. Und wir sind wieder schneller zurück im Turbokapitalismus, als wir ein Bußgeldverfahren rechtskräftig abschließen können.
Viele Grüße, commodity
Ich behaupte das jeder, mit ein wenig Bereitschaft und Grundverständnis
Dies ist dennoch immer noch zu stark vereinfacht. Wenn es die DSBen so sehen, ok. Fakt ist aber dass am Ende Juristen drüber gehen und dann ist der gesunden Menschenverstand eben nicht das Kriterium.Und die Rechtsabteilung von BMW eben ein besser aufgestellter Gegner für den DSB als die Arztpraxis, die natürlich die Befunde nur auf ausdrücklichen Wunsch des Patienten per Mail verschickt. Und trotzdem keine Fehler machen darf. Klar kann man auch da strukturell was verbessern. Aber erklär mal der
a) der ohnehin am Limit arbeitenden MFA und
b) der 70jährigen Oma, die zwar noch Gmail bedienen kann
den Einsatz von PGP oder die Nutzung eines verschlüsselten Downloads. Ihre Daten gehören dennoch ihr und ich darf nicht falsch mailen.
viele Dinge ändern sich einfach nicht wenn man es der Industrie überlässt. Datenschutz, Umweltschutz, Verbraucherschutz - keiner kann mir sagen das das Erfindungen des Kapitalismus sind oder das der Kunde das mit seiner Kaufkraft besser beeinflussen kann.
Bin ich ganz bei Dir. Man darf es nicht einmal Klempner Röhricht zu leicht machen Muss es ihm aber auch so nett und entspannt nahe bringen, wie Du das oben machst. Und sich dran halten. Versteht der Meister nämlich die Welt nicht mehr, setzt er sich meckernd in seinen SUV, auf dem Beifahrersitz die Bild, die seinen Ärger täglich befeuert, und wählt die Populisten. Und wir sind wieder schneller zurück im Turbokapitalismus, als wir ein Bußgeldverfahren rechtskräftig abschließen können.
Viele Grüße, commodity
Oh sorry Stefan, ich hatte ganz aus dem Blick verloren, dass das kein DSGVO-Thread ist
Ich fand diesen Ansatz hier ganz charmant:
Damit lässt sich sogar wahrscheinlich richtig Geld verdienen: Als Wettbewerber darf man ja Rechtsverstöße anderer Wettbewerber abmahnen. Das ist häßlich, aber 20 solcher Fälle in der Öffentlichkeit und Shopify wird zügig weich werden.
Ansonsten: So schwer es sein mag: Umsteigen auf eine andere Lösung. Das gilt für alle Fertig-Lösungen: Beim Einstieg an den Ausstieg denken. So habe ich zB lange getüftelt, um mein Dokumentenmanagement, Wissensmanagement, Passwortmanagement & Co. halbwegs "Generationensicher" zu machen. Das ist bei einem Shop natürlich ungleich komplexer - aber wer damals auf ein heute "falsches" Pferd gesetzt hat und den Umstieg nicht mit im Blick hatte, guckt heute unglücklich aus der Wäsche, wenn er rechtskonform handeln möchte.
Viele Grüße, commodity
Ich fand diesen Ansatz hier ganz charmant:
Wenn ein unfreundlicher eine Liste erzeugt kann er sich bei den Datenschutzbehörden für alle einzeln beschwerden und alle müssten zumachen.
In dem Moment hätte Shopify ja einen Grund beim TADPF mitzumachen Damit lässt sich sogar wahrscheinlich richtig Geld verdienen: Als Wettbewerber darf man ja Rechtsverstöße anderer Wettbewerber abmahnen. Das ist häßlich, aber 20 solcher Fälle in der Öffentlichkeit und Shopify wird zügig weich werden.
Ansonsten: So schwer es sein mag: Umsteigen auf eine andere Lösung. Das gilt für alle Fertig-Lösungen: Beim Einstieg an den Ausstieg denken. So habe ich zB lange getüftelt, um mein Dokumentenmanagement, Wissensmanagement, Passwortmanagement & Co. halbwegs "Generationensicher" zu machen. Das ist bei einem Shop natürlich ungleich komplexer - aber wer damals auf ein heute "falsches" Pferd gesetzt hat und den Umstieg nicht mit im Blick hatte, guckt heute unglücklich aus der Wäsche, wenn er rechtskonform handeln möchte.
Viele Grüße, commodity