AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

DSGVO Verschärfungen

Ein Thema von Rollo62 · begonnen am 14. Jan 2018 · letzter Beitrag vom 11. Apr 2018
Antwort Antwort
Seite 2 von 3     12 3      
Rollo62

Registriert seit: 15. Mär 2007
4.116 Beiträge
 
Delphi 12 Athens
 
#11

AW: DSGVO Verschärfungen

  Alt 15. Jan 2018, 15:51
Ich dachte ursprünglich dabei an den einfachsten Fall, d.h. eine nicht-personenbezogene Anmeldung,
z.B. mit freiem Usernamen, Cookie, OHNE Email-Adresse, zur Verifikation lediglich Captcha.

So könnte sich ein User an ein System registrieren, ohne das er auch nur einen echten Teil seiner echten Identität angeben müsste.
Trotzdem wäre er eindeutig identifiziert, unter seinem Account, durch Cookies o.ä.

Ich habe solche Systeme schon öfter mal gesehen, und für sehr praktisch befunden.
Also wäre das nach der Begriffsbestimmung doch Alles schon eindeutig UNTER der DSGVO:
Zitat:
„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen;

als identifizierbar wird eine natürliche Person angesehen, die direkt
oder indirekt (ja, aber wäre nicht ohne mehrere Instanzen rückverfolgbar), insbesondere
mittels Zuordnung zu einer Kennung (ja, wäre aber nur ein Alias) wie einem Namen, zu einer Kennnummer (ja, aber anonym), zu Standortdaten, zu einer Online-Kennung (ja, aber anonym)

oder zu einem oder mehreren besonderen Merkmalen (wenn das zu dem Folgenden gehört ist das wohl nicht erfüllt) identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;
Die Frage wäre doch ob eine
"therese1799" oder ein "knallipulli33" eine IDENTIFIZIERBARE Person wäre, wenn diese sich über anyonyme Daten an ein System anmeldet, und dort nur ihre/seine eigenen Daten verwaltet.

Wäre dies identifizierbar ?
Mit Email: ja womöglich, wenn auch nur mit Hilfe vom Provider
Ohne Email: das wäre doch normalerweise auszuschliessen (mal abgesehen von Vorratsdatenspeicherung und Prism)

Wenn ich REST-Services für registierte Benutzer anbiete, ohne diese zu zwingen persönliche Daten anzugeben könnte man doch theoretisch ausserhalb des DSGVO Anwendungsfalls liegen.

Andererseits
Zitat:
„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen;
Selbst wenn Obiges für solche REST-Services zuträfe, und eine Ausnahme wären:
Dann könnte man trotdem nicht verhindern das Personen ihre echten Daten/Informationen eingeben und veröffentlichen statt bewusst anonym zu bleiben
(Der DAU soll ja geschützt werden).


So wie ich das verstehen müsste wäre wirklich JEDER Fall unter der DSGVO zu berücksichtigen, vermutlich nur mit unterschiedlicher Schärfe, je nach Relevanz der Daten und Indentifizierbarkeit der echten Person.

Andere Fälle wären wohl noch: (mal bewusst etwas weiter hergeholt)
- Gaming mit Online-Austausch der Scores (sind allgemeine, personenbezogenen Informationen)
- Browser-Historie (sind allgemeine, personenbezogenen Informationen)
- Desktop-App Setup (sind allgemeine, personenbezogenen Informationen)
- Intranet-Server App (sind allgemeine, personenbezogenen Informationen)
- Nutzung von VoiceCommand in Apps (wird i.d.R. personenbezogene Sprachinfo an Clouds in Drittländer (AWS, Google, Azure) liefern)
...
...

Dann sollte man sich wohl doch mal tiefer mit den ganzen Prozessen zum Datenschutz auseinandersetzen, und was das als Entwickler und Betrieben für solche Apps und Dienste wohl bedeuten mag
Ein einfacher Disclaimer zum Wegclicken wird vielleicht nicht mehr ausreichen.

Rollo
  Mit Zitat antworten Zitat
Benutzerbild von Codehunter
Codehunter

Registriert seit: 3. Jun 2003
Ort: Thüringen
2.272 Beiträge
 
Delphi 10.4 Sydney
 
#12

AW: DSGVO Verschärfungen

  Alt 15. Jan 2018, 20:59
Email-Adressen fallen in die Kategorie "Allgemeine Personendaten". Bei Login-Daten versteht sich das fast von selbst - da geht es ja ganz ausdrücklich darum, dass sich eine Person gegenüber einem (Online-)System identifizieren soll.
Grundsätzlich ist doch inzwischen alles mögliche ein Personendatum, weil sich in Zeiten von Big Data alles irgendwie zu einem Gesamtbild verknüpfen lässt. Selbst ein Foto ohne jegliche weitere Information lässt sich über die biometrischen Datenbanken von G & FB als personenbezogenes Datum sehen. Das wird noch interessant werden, wenn ich an die Persönlichkeitsrechte von Katalogmodels denke.

Letztens habe ich was gelesen, dass NFC-fähige Smartphones durch die Diebstahldetektoren an Supermarkttüren dazu gebracht werden, ihre IMEI auszuspucken. Ähnlich verhält es sich mit NFC-gepimpten Karten wie e-Perso, eGK usw. Rein physikalisch kann man mit Hochgewinnantennen die regelmäßig ausgesendeten Signale an den Supermarkttüren auch aus größerer Distanz noch mitlesen. Reicht schon wenn man die in der Hosentasche hat und durch das aktivierende Induktionsfeld läuft. Selbst ohne konkrete Kommunikation könnten sich dadurch Rückschlüsse auf konkrete Personen ergeben. Ob sich die Supermärkte darüber schon Gedanken gemacht haben? Oder die Hersteller der Karten?

Das ganze Ding Datenschutz in der angedachten Form kommt IMHO viele Jahre zu spät. Geht man restriktiv und streng nach Vorschrift an die Sache ran, kriminalisiert man ganz alltäglich gewordene Technologien und Verfahren. Nimmt man es auf die leichte Schulter, fällt man irgendwann auf die Nase. Profitieren werden von alldem am Ende wohl wieder nur Außer-EU-Firmen.
Ich mache grundsätzlich keine Screenshots. Schießen auf Bildschirme gibt nämlich hässliche Pixelfehler und schadet der Gesundheit vom Kollegen gegenüber. I und E zu vertauschen hätte den selben negativen Effekt, würde aber eher dem Betriebsklima schaden
  Mit Zitat antworten Zitat
mensch72

Registriert seit: 6. Feb 2008
838 Beiträge
 
#13

AW: DSGVO Verschärfungen

  Alt 15. Jan 2018, 22:30
Lasst mal aktuelles NFC & RFID hier aus dem Spiel...

auch ganz ohne "Alu-Hut" senden/veröffentlichen aktuelle Chips nur noch eine "RandomUID" als quasi SessionKEY... ISO-14443/4 sowie ISO18xxx lassen das zu, bzw. sehen sogar explizit nun so vor!

An die echte "UniqueID" des Transponders/der Karte kommt man nur nach komplettem ISO konformen "Select" und aktivem mehrstufigem Verbindungsaufbau... definitiv nicht für mal 100 beliebige einfach im Vorbeigehen binnen ein paar Millisekunden.
Und mithören "richtiger Verbindungen" macht da dann wegen (3)DES/AES gesicherter Übertragung auch mit noch so guten Antennen einfach wenig Sinn

Zufällig mache ich das RFID Zeug hauptberuflich auf Bitebene... DE-Ausweis, DE-Reisepass, DE-Gesundheitskarte und die neuen VISA-Karten sind gut(gegen NDA) dokumentiert und somit "per offenem Design sicher".
Klar gibt es böse Tools für einfache Speicherkarten oder das "geknackte"MifareClassic... aber nun die MifareDesfireEV1/EV2 wie im Reisepass oder Ausweis sind "technisch sicher", außer es man glaubt an böse Mächte mit einem Hardware Masterkey/Backdoor... und ja deshalb steckt auch mein Perso weiter in einer Funk dichten Hülle Ich verbiete es niemandem das Ding zu lesen, ich möchte aber einfach nur wissen wann sich wer dafür interessiert


Aber es stimmt, das "haben oder nicht haben" so einer "deutschen RFID-Karte" wird bereits aktiv z.B. bei Zutritt zu XY automatisch abgefragt und wer es "nicht hat", muss sich einer besonderen manuellen Überprüfung stellen. Das ist OK, denn es ist z.B. das Hausrecht eines Veranstalters nur Leute mit vorhandener el. "DE"-Identifikation oder nur nach persönlicher Prüfung rein zu lassen.
(DSGVO ist da völlig wurscht, max. ist das diskriminierend gegen "Nichtbesitzer" oder "abschirmende Aluhutträger"... aber eben wegen letzterer ist es doch gegenüber allen legal!)

Geändert von mensch72 (15. Jan 2018 um 22:48 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von Codehunter
Codehunter

Registriert seit: 3. Jun 2003
Ort: Thüringen
2.272 Beiträge
 
Delphi 10.4 Sydney
 
#14

AW: DSGVO Verschärfungen

  Alt 15. Jan 2018, 22:57
An die echte "UniqueID" des Transponders/der Karte kommt man nur nach komplettem ISO konformen "Select" und aktivem mehrstufigem Verbindungsaufbau...
Zugegeben, ein etwas weit hergeholtes Beispiel. Wobei es leider schon oft so war dass selbst das beste offene Design sich später als unzureichend heraus stellt. Stichwort Heartbleed beim OpenSSL.

Am eigentlichen Problem ändert das jedoch nichts. Du hast einfach eine nahezu unüberschaubare Menge an Wegen, wie du Informationen sammeln kannst. Nicht mal immer absichtlich. Das wollte ich damit eigentlich sagen: Personenbezogene Daten können auch zufällig anfallen, ohne das dies geplant wäre.

Nehmen wir handelsübliche Webhosting-Angebote. Du bastelst dir einen einfachen REST-Service mit einem LAMP-Backend. Du dokumentierst sämtliche Informationswege wunderbar und streng nach Vorschrift. Irgendwann stellt sich heraus, dein Webhoster hat sein automatisiertes Mysql-Backup bei irgendeinem Cloudservice ausgelagert und von dort sind deine Kundendaten "verdunstet".

Oder du betreibst einen Webshop, hast viel Geld für Anwälte und AGB + Datenschutzerklärung ausgegeben und deine Magento-Agentur klemmt dir mal fix Google Analytics ins Shoptemplate, weil man die SEO-Plugins evaluieren will. Nur dass das in deinen teuer eingekauften Unterlagen nicht vorgesehen war.

Das Problem dabei ist, dass immer den letzten die Hunde beißen. Und der darf dann sehen wie er die Verantwortlichkeitskette nach oben aufgedröselt bekommt.

Darum finde ich den ursprünglichen Ansatz der hier im Thread genannt wurde, das Prinzip der Datensparsamkeit, immer noch den sichersten. Weniger für den Kunden/Nutzer, dem das sowieso meist piepegal ist sondern mehr für den Anbieter.
Ich mache grundsätzlich keine Screenshots. Schießen auf Bildschirme gibt nämlich hässliche Pixelfehler und schadet der Gesundheit vom Kollegen gegenüber. I und E zu vertauschen hätte den selben negativen Effekt, würde aber eher dem Betriebsklima schaden
  Mit Zitat antworten Zitat
Rollo62

Registriert seit: 15. Mär 2007
4.116 Beiträge
 
Delphi 12 Athens
 
#15

AW: DSGVO Verschärfungen

  Alt 16. Jan 2018, 09:01
Zitat:
das Prinzip der Datensparsamkeit, immer noch den sichersten.
Das versuche ich ja auch, aber wenn man den Gesetzestext sehr streng auslegt kann eben Alles drunterfallen.

Kennt vielleicht jemand irgendwelche Präzedenzfälle wo soetwas schonmal offiziell bewertet worden ist ?
Oder gibt es eine "Guideline" von offizieller Stelle, so wie bei den EU-Richtlinien üblich ?

Rollo
  Mit Zitat antworten Zitat
Benutzerbild von Codehunter
Codehunter

Registriert seit: 3. Jun 2003
Ort: Thüringen
2.272 Beiträge
 
Delphi 10.4 Sydney
 
#16

AW: DSGVO Verschärfungen

  Alt 16. Jan 2018, 09:38
Kennt vielleicht jemand irgendwelche Präzedenzfälle wo soetwas schonmal offiziell bewertet worden ist ?
Wie denn? Das entsprechende Gesetz ist doch noch nicht mal in Kraft getreten

Oder gibt es eine "Guideline" von offizieller Stelle, so wie bei den EU-Richtlinien üblich ?
Ich habe schon viele verschiedene Texte gelesen. Manches wurde ja hier schon verlinkt. Allen gemeinsam scheint aber zu sein, dass es kaum bis gar keine Praxisbeispiele gibt.

wenn man den Gesetzestext sehr streng auslegt kann eben Alles drunterfallen
Ich denke, genau das ist auch damit beabsichtigt. Denn ob etwas personenbezogen ist, hängt vom konkreten Anwendungsfall ab. Wenn man z.B. um zwei, drei Ecken ein Cookie doch wieder mit einer Postanschrift verknüpfen kann, ist es personenbezogen. Gibt es nirgends etwas, das man einer Person zuordnen kann, dann nicht.
Ich mache grundsätzlich keine Screenshots. Schießen auf Bildschirme gibt nämlich hässliche Pixelfehler und schadet der Gesundheit vom Kollegen gegenüber. I und E zu vertauschen hätte den selben negativen Effekt, würde aber eher dem Betriebsklima schaden
  Mit Zitat antworten Zitat
Rollo62

Registriert seit: 15. Mär 2007
4.116 Beiträge
 
Delphi 12 Athens
 
#17

AW: DSGVO Verschärfungen

  Alt 17. Jan 2018, 07:08
Zitat:
Wie denn? Das entsprechende Gesetz ist doch noch nicht mal in Kraft getreten
Ja richtig, aber Datenschutz gab es vorher auch schon.
Es könnte ja etwas z.B. zu Sammeln von Daten im Web oder in der Cloud entschieden worden sein.
Da würde man ja mögliche Argumente für uns wider sehen können.

Ich habe nur etwas von den ganz großen Fällen gehört (Google, Amazon, etc.), aber da gibt es doch bestimmt noch etwas Realeres dazwischen.

Rollo
  Mit Zitat antworten Zitat
Benutzerbild von Codehunter
Codehunter

Registriert seit: 3. Jun 2003
Ort: Thüringen
2.272 Beiträge
 
Delphi 10.4 Sydney
 
#18

AW: DSGVO Verschärfungen

  Alt 17. Jan 2018, 12:46
Ich habe die Erfahrung gemacht, dass man sich mit solchen Fragen durchaus an den nächst zuständigen öffentlichen Datenschutzbeauftragten wenden kann. Jedes Bundesland hat einen, manchmal auch die Verwaltungsebenen darunter. Die wissen es zu schätzen, wenn sie mal einer fragt. Da wird einem nicht gleich ein Strick draus gedreht. Dafür müssen i.d.R. medienwirksam FB & Co. herhalten.
Ich mache grundsätzlich keine Screenshots. Schießen auf Bildschirme gibt nämlich hässliche Pixelfehler und schadet der Gesundheit vom Kollegen gegenüber. I und E zu vertauschen hätte den selben negativen Effekt, würde aber eher dem Betriebsklima schaden
  Mit Zitat antworten Zitat
Rollo62

Registriert seit: 15. Mär 2007
4.116 Beiträge
 
Delphi 12 Athens
 
#19

AW: DSGVO Verschärfungen

  Alt 17. Jan 2018, 16:16
Super Tipp, dankesehr
Ich werde mich mal umhören.

Hätte ich auch selber drauf kommen können
"(Teil)Verursacher zu Beteiligten machen" ist eigentlich auch mein Motto.

Rollo
  Mit Zitat antworten Zitat
Benutzerbild von bernau
bernau

Registriert seit: 1. Dez 2004
Ort: Köln
1.295 Beiträge
 
Delphi 12 Athens
 
#20

AW: DSGVO Verschärfungen

  Alt 18. Jan 2018, 12:13
Ich habe die Erfahrung gemacht, dass man sich mit solchen Fragen durchaus an den nächst zuständigen öffentlichen Datenschutzbeauftragten wenden kann. Jedes Bundesland hat einen, manchmal auch die Verwaltungsebenen darunter. Die wissen es zu schätzen, wenn sie mal einer fragt. Da wird einem nicht gleich ein Strick draus gedreht. Dafür müssen i.d.R. medienwirksam FB & Co. herhalten.
Ich stehe auf dem Schlauch. Wo soll ich den "öffentlichen Datenschutzbeauftragten" finden. In Google finde ich dann nur den Datenschutzbeauftragten für den öffentlichen Dienst. Aber der wird ja wohl nicht gemeint sein.
Gerd
Kölner Delphi Usergroup: http://wiki.delphitreff.de
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 2 von 3     12 3      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 15:54 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz