DSGVO & German Angst

[Bootdiskette]

Leute,
ich hab die letzten Tage ziemlich viel mit der DSGVO zu tun gehabt, und vor allem bedeutete das, dass ich mit hysterischen Vollidioten zu tun hatte, die sich einerseits ins Hemd machten und andererseits auf die EU ("die da oben in Brüssel") schimpften. Faktenwissen war nonexistent, selbst einigermaßen seriöse Tageszeitungen beteiligen sich an der Panikmache. Dass in den ÖR Sendern jede Menge Un- und Halbwahrheiten verbreitet wurden war dann zwar einerseits nicht überraschend, aber irgendwie schon, denn typischerweise neigen ARD und ZDF ja eher zu einer "wir berichten nichts was die Bürger übermäßig verstören könnte wenn es sich ignorieren lässt"-Linie, auch bekannt als Hofberichterstattung.
Wenn man bedenkt, dass die DSGVO maßgeblich nach dem Vorbild des Deutschen Datenschutzes gestaltet wurde, dann wundere ich mich schon warum sich gerade die Deutschen so aufregen. Erstens gab es zwei Jahre Zeit zur Implementierung, zweitens ändert sich––gerade für Deutsche Firmen––gar nicht so viel.
Wenn man hier irgendwen kritisieren muss, dann die Firmen die gepennt haben und die Vereine die sich darauf verlassen haben, dass sie wie bisher einfach und ohne Konsequenzen vor sich hin wurschteln können. Sich über sich ändernde Rechtsvorschriften zu informieren ist eine Holpflicht jeder Person in einem solchen Amt, imho gibt es da keine Entschuldigungen.

Auch diskutiert werden darf––damit die Foren-AfD was beizutragen hat: "Datenschutz ist Täterschutz. Pro Aufkündigung der Privatsphäre und Einführung einer neuen Sicherheitspolizei des Staates die geheim sein könnte."

 

[piko]

Als Privatnutzer finde ich die DSGVO überwiegend gut. Gerade sowas wie die Auskunftspflicht und das Recht auf "Vergessenwerden" sind wichtige Anker. Ich hab von Freunden, die im IT-Bereich arbeiten, mitbekommen, dass manche Firmen wenige Tage vor dem Inkrafttreten des Gesetzes auf die Idee kamen, ihre Infrastruktur auf den Stand zu bringen. Hat eher nicht so gut funktioniert.

 

[Syzygy]

Ich hab von dem ganzen Thema zugegebenermaßen wenig Ahnung, möchte mich aber bei der EU aus vollem Herzen für die neue Datenschutzverordnung bedanken! In den letzten Tagen hat mich jede Firma, egal ob Forum, Shop, Autohaus oder sonstwer angeschrieben und mir mitgeteilt, dass sie mir in Zukunft ihre dämlichen Newsletter, Sonderangebote und Gewinnspielaktionen nicht mehr aufschwatzen dürfen, es sei denn ich würde HIER KLICKEN. Was ich natürlich nicht tue, damit ich endlich meine Ruhe habe. Ja, ich hätte auch schon in der Vergangenheit bei drölfzig Anbietern manuell auf die Newsletterabmeldung (die in gefühlten 90% der Fälle nicht funktioniert hat) klicken können, aber so bin ich das alles auf einmal los.

Ich persönlich finde es gut, wenn Unternehmen Kundendaten *ausschließlich* für die Abwicklung ihres Kerngeschäfts nutzen könnten und jede Weitergabe an sonstwen oder Analyse für irgendwas verboten ist. Ob das neue Gesetz das macht, keine Ahnung, wahrscheinlich nicht. Auf den ersten Blick fühlt es sich für mich aber so an, als wäre meine Position gestärkt worden.

Mit "sicherheitsrelevantem" Datenschutz aka Behördenbefugnisse sollte man das imho nicht in einen Topf werfen. Da kann man durchaus zwei völlig unterschiedliche Blickwinkel drauf haben. Ich persönlich wünsche mir, dass die Ermittlungsbehörden eines modernen Staates eben auch mit der Zeit gehen und dazu gehört die Auswertung verfügbarer Daten in sinnvollem Rahmen. Vor allem die Behördenvernetzung. Besonders kann es nicht sein, dass ein Opfer nicht zu seinem Recht kommt, weil der Täter sich über den Datenschutz rauswurstelt, also ein ganz klarer Schuldbeweis existiert, auf den man dann aber nicht zugreifen darf. Oder Täter an x Stellen gleichzeitig Leistungen abgreifen, weil niemand in der Lage ist, mal zu prüfen ob das denn alles so korrekt ist, was er erzählt.

 

[Schico]

habe mich mit der DSGVO jetzt nicht en detail auseinandergesetzt, aber auch nach meiner einschätzung hat sich für deutschland (und eigentlich auch für den rest von europa) tatsächlich nicht viel geändert, weswegen auch ich die derzeitige aufregung nicht verstehe. auch vorher galt, dass jede verarbeitung eines personenbezogenen datums der zustimmung des betroffenen bedurfte oder gewissen voraussetzungen entsprechen musste. auch vorher gab es den auskunftsanspruch nach § 34 BDSG a.F., auch vorher gab es bekanntlich das "recht auf vergessenwerden", judiziert durch den EuGH.

das wovor jetzt alle panik haben ist, dass den aufsichtsbehörden jetzt ein schöner bußgeldrahmen zur verfügung gestellt wurde und dass die datenverarbeitung protokolliert werden muss. aber das ist leider auch nur mehr drohung als waffe. denn genauso wie schon zuvor haben die aufsichtsbehörden überhaupt gar keine kapazitäten, irgendwelche kack protokolle von KMU oder beschwerden derer kunden zu überprüfen. das wurde auch wiederholt betont, dass diese maßnahmen für unternehmen wie facebook und co geschaffen wurden und nicht für arztpraxis dr. meier.

dennoch imo ein schöner effekt, dass die panikmache zu mehr awareness führt. bis sich wieder herausstellt, dass sich eigentlich nichts geändert hat und das datenschutzrecht an einigen stellen mehr als unpraktikabel ist, sowieso keine gefahr besteht und es wieder in alte verhaltensmuster zurückfällt.

 

[Shihatsu]

...zweitens ändert sich––gerade für Deutsche Firmen––gar nicht so viel...

Das ist so nicht richtig. Ja, viele der grundsätzlichen Geschichten in der DSVGO waren auch schon im BDSG. ABER!
Erstens haben diese Firmen jetzt erst wirklich Schmerzen bei nicht-Einhaltung, und zweitens hat fast niemand die neue Version des BDSG vor Augen, die zeitgleich rechtlich bindend wurde. Und dadrin sind nochmal richtig geile Schmankerl versteckt. Ab §32 (NEU) geht es da richtig ab.

 

[Bootdiskette]

Shi: Jo, agree. Ich nahm obvsly an, dass die Firma bisher schon gesetzeskonform gearbeitet hat und sich deshalb mehr um die Pflichten als um die Sanktionen Gedanken macht. Was bin ich froh, dass ich nur b2b mache und das auch nur mit einer Handvoll wichtiger und einigermaßen professioneller Kunden.

Das Einzige was ich nervig fand und finde: Zweithandy bzw. Zweitaddressbuch für die geschäftlichen Telefonnummern oder WhatsApp löschen oder alle einzeln anschreiben und informieren sowie absegnen lassen. Letzteres hat zwar geklappt, war aber nervig. Würden nicht alle WA nutzen, sondern sinnvolle Alternativen, hätte ich mir das auch sparen können.

 

[Shihatsu]

Joa, zweithandy muss leider sein :/

 

[TheGreatEisen]

Das ist doch unausgegorener Käse. Einige meiner Mandanten zählen auch zum Freundeskreis. Wenn irgendwas ist hauen die mich auch mal über whatsapp an. Wayne...

 

[Btah]

Am geilsten fand ich wie von der Regierung nach dem ganzen Panikgeschiebe 10 Tage vor dem magischen Datum mal ne Reaktion kam. Die aber nach dem Motto war "hm irgendwie sind ja viele überfordert, müssen wir ggf doch was tun. Aber naja das wird in 10 Tagen nix"

 

[Deleted_228929]

Gibt es dazu irgendwo eine gute Übersicht/Erläuterung für uns Laien? Kenne mich mit Juristischem allgemein und mit Datenschutzbestimmungen im Besonderen quasi Null aus. Aber da gerade viel Bohai drum gemacht wird, interessiert es mich doch ein wenig.

 

[ViperDK]

Finde das sehr zweischneidig. Einerseits machen sowas wie Auskunftsrechte schon Sinn, andererseits ist es halt ein aufwändiges Bürokratiemonster. Ich würde jetzt mal (wild guess) schätzen, dass die Umsetzung der DSGVO, Dokumentierung und Anpassung der Prozesse (Rechtsgrundlagen zur Adressaufbewahrung - oder auch nur IPs- dokumentieren und pflegen, Löschprozesse für alles mögliche mit Adressdaten entwickeln) eine durchschnittliche Firmen-IT bzw. jeden Business-ISV für ein halbes Jahr auslastet. Zeit die sonst in die Weiterentwicklung von Produkten anstatt reine Beschäftigung mit Compliance gesteckt werden würde.

Gerade mittlere Unternehmen dürften da gut zu schaffen haben. Zu groß um zu hoffen, dass sie keine Probleme bekommen aber ohne die etablierte Bürokratie von irgendwelchen Konzernen.

 

[saistaed]

Ja sorry, aber vieles davon hätten sie eigentlich eh längst haben müssen und es ist auch nicht erst seit gestern klar, dass es diesen Stichtag gibt.
Ich hab da wenig Mitleid. Es werden schon genug sinnvolle Reformen nicht gemacht, weil alle rumheulen, dass man es der Wirtschaft nicht zumuten kann.

 

[Lorias]

So siehts aus. Es ist ja auch nicht so, dass alle die nicht auf 100% sind direkt 4% ihres Jahresumsatzes abdrücken müssen (bzw überhaupt geprüft werden, die Mitarbeiterzahl der Behörden in dem Bereich ist lächerlich klein).

Wir sollten aber froh sein, dass jetzt schon von Lenkerseite Stellung bezogen wird, was mit unseren Daten gemacht werden kann und was nicht. Denn "muss man ja nicht machen, selber schuld" ist eine recht dämliche Position, die auch denen die sie vertreten früher oder später auf die Füße fallen wird, wenn aus "kann" irgendwann ein "muss" geworden ist.

 

[Shihatsu]

eine durchschnittliche Firmen-IT bzw. jeden Business-ISV

Diese Vereine sind aber fast grundsätzlich ISO9001 oder 2001 oder British OSA /Arbeitssicherheit oder oder oder zertifiziert. Die haben schon für alles mögliche an Dokumentenverwaltungs-Prozesse, Schnittstellen und Leute (je nach Größe ganze Abteilungen) die sich nur darum kümmern. Und das kam ja nicht gerade überraschend. Ich kenne den Datenschutzbeauftragten eines MDAX-Unternehmens ziemlich gut, und dieser hat seit anderthalb Jahren das ganze Unternehmen für die DSGVO fit gemacht. Neben dem Tagesgeschäft. Wenn mans richtig macht, ist das kein Problem. Bitter ists halt für die ganzen kleinen Klitschen, 1 Mann Betriebe, Start Ups und ähnliches Getier. Genau die die es als Unternehmen ohnehin am schwersten haben, leiden am meisten unter dem Prozess- bzw Dokumentationswahnsinn.

 

[Scorn4]

FIch würde jetzt mal (wild guess) schätzen, dass die Umsetzung der DSGVO, Dokumentierung und Anpassung der Prozesse (Rechtsgrundlagen zur Adressaufbewahrung - oder auch nur IPs- dokumentieren und pflegen, Löschprozesse für alles mögliche mit Adressdaten entwickeln) eine durchschnittliche Firmen-IT bzw. jeden Business-ISV für ein halbes Jahr auslastet. Zeit die sonst in die Weiterentwicklung von Produkten anstatt reine Beschäftigung mit Compliance gesteckt werden würde.

Gerade mittlere Unternehmen dürften da gut zu schaffen haben. Zu groß um zu hoffen, dass sie keine Probleme bekommen aber ohne die etablierte Bürokratie von irgendwelchen Konzernen.

Unser Unternehmen beschäftigt 19 festangestellte Mitarbeiter inkl. Werkstudentin. Unsere Verantwortliche für Marketing hat das Thema etwa 4 Monate lang mehr oder minder nebenher betrieben und innerhalb der gesetzen Frist umgesetzt.

 

[Mackiavelli]

Ich finde es auf der einen Seite ganz nett, dass verantwortungsbewusster mit Daten umgegangen werden muss und man ein Recht auf "Vergessenwerden" hat, aber der Aufwand ist schon immens.
Am behindertsten finde ich, dass man mit jedem Geschäftspartner einen eigenen Vertrag in Papierform abschließen muss. Das sind Millionen von dicken Verträgen die per Post hin und her verschickt werden müssen und nun sinnlos in irgendwelchen Ordnern vor sich hingammeln, damit auch jeder sich abgesichert hat. Das ist ein Bürokratie-Monster par ecellence.

 

[nuttencrack3r]

ja schon, aber auch völlig weltfremd zu glauben, dass das so umgesetzt wird

 

[Benrath]

Ich finde es auf der einen Seite ganz nett, dass verantwortungsbewusster mit Daten umgegangen werden muss und man ein Recht auf "Vergessenwerden" hat, aber der Aufwand ist schon immens.
Am behindertsten finde ich, dass man mit jedem Geschäftspartner einen eigenen Vertrag in Papierform abschließen muss. Das sind Millionen von dicken Verträgen die per Post hin und her verschickt werden müssen und nun sinnlos in irgendwelchen Ordnern vor sich hingammeln, damit auch jeder sich abgesichert hat. Das ist ein Bürokratie-Monster par ecellence.

Gibt dafür nen Belege außer deinem Post?

 

[Bootdiskette]

Das dachte ich mir auch. Die Papierform wird da nirgendwo vorgeschrieben.

 

[Gelöschtes Mitglied 137386]

eine einwilligung zur datenverwertung nach DSGVO kann schriftlich, elektronisch oder sogar mündlich erfolgen. insofern ist da keine besondere änderung zur alten rechtslage.

ich finde die verordnung an sich nicht wirklich problematisch. schwieriger finde ich, dass bei verantwortlichen politikern nach wie vor ein nur sehr begrenztes verständnis über datenökonomie vorherrscht und entsprechend sehr undifferenziert über das thema diskutiert wird. beispielsweise die unzutreffenden analogien (daten als "öl" des 21 jh. war ca. die metapher des forschungsstandes von 2012, mittlerweile hat man verstanden, dass es erhebliche unterschiede gibt, dass daten eben kein unveränderlicher rohstoff mit einer endlichen fördermenge sind, sondern vielmehr 1. massiv an wert in sehr kurzer zeit verlieren 2. der wert von der qualität = personenbezogenheit der daten abhängt und 3. daten nicht endlich sind, sondern unerschöpflich generiert werden). daher ist eine "besteuerung von datenverwertung" wie merkel sie ins gespräch gebracht hat wohl wenig hilfreich und mutet eher wie ein versuch an einem phänomen (marktmacht datenverarbeitender unternehmen), das man nach wie vor nicht richtig verstanden hat, aber irgendwie abstrakt als etwas gefährliches ansieht, herr zu werden.

 

[parats']

Klassisch EU, der Datenschutz auf Verbraucherebene wird gestärkt während der BND weiterhin am DE CIX mit prismen den Datenverkehr rausleitet und versucht deutsche Bürger dabei zu filtern.
Vielleicht sollten Prioritäten mal etwas anders gesetzt werden, da die Datenerhebung durch Dienste im Netz seit jeher auf der eigenen Zustimmung basiert. Das rausleiten von peering traffic an einem der Hauptknoten der Welt ist hingegen konform, weil es keine eindeutige Gesetzeslage gibt.

 

[Shihatsu]

Naa, es benötigt schon etwas mehr als einen "mündlichen" Vertrag - Hintergrund ist die Auskunftsbegehren und das Verarbeitungsverzeichnis. Klar kann man versuchen sich das zu merken - aber wenn der Vertrag auf etwas geschäftlichem beruht (ansonsten hätte man meist kein Recht darauf die Daten aufzuheben weil man keinerlei berechtigtes Interesse hat) und Geld fliesst das steuerlich relevant ist (10 Jahres Frist...), MUSS man sich das irgendwo ablegen, damit man innerhalb der Fristen auf ein Auskunftsbegehren antworten kann. Das macht man dan entweder Dokumentensicher in Papierform oder sicher elektronisch.

 

[Bootdiskette]

Klassisch EU, der Datenschutz auf Verbraucherebene wird gestärkt während der BND weiterhin am DE CIX mit prismen den Datenverkehr rausleitet und versucht deutsche Bürger dabei zu filtern.
Vielleicht sollten Prioritäten mal etwas anders gesetzt werden, da die Datenerhebung durch Dienste im Netz seit jeher auf der eigenen Zustimmung basiert. Das rausleiten von peering traffic an einem der Hauptknoten der Welt ist hingegen konform, weil es keine eindeutige Gesetzeslage gibt.

Die DSGVO ist ein massiv durch Deutsche Datenschützer beeinflusstes Unternehmen der EU, das Urteil des Bundesverwaltungsgerichts zu BND/DE-CIX hat keine direkten Bezüge zur EU. wtf :???:

Datenerhebung bei Clients basiert übrigens eher darauf, was der client antwortet, und das ist teilweise sehr viel mehr als das wozu der Mensch der dransitzt seine Einwilligung gegeben hat. Unter anderem kann man über Javascript (bin nicht auf dem neuesten Stand aber Du schreibst ja "seit jeher") Auflösung des Bildschirms, Betriebsystem Größe des Browserfensters, und viele andere zur Identifikation des Geräts und der Person interessanten Daten abgreifen ohne, dass da ein Widerspruch möglich wäre/war.

 

[deleted_24196]

Klassisch EU, der Datenschutz auf Verbraucherebene wird gestärkt während der BND weiterhin am DE CIX mit prismen den Datenverkehr rausleitet und versucht deutsche Bürger dabei zu filtern.

Deswegen zieht DE-CIX ja auch vor BVerG.

 

[parats']

Deswegen zieht DE-CIX ja auch vor BVerG.

Ja, wobei sich mir der Sinn nicht erschließt. Aktuell müsste entsprechende Gesetze so gestaltet werden, dass hier ein Gericht nicht in den Zwang einer Entscheidung zu Gunsten des BNDs gedrängt wird. Hier würse ich mir ein wesentlich bestimmteres Auftreten ser EU wünschen als bei der DSGVO.

 

[Bootdiskette]

https://www.golem.de/news/dsgvo-la-liga-app-ueberwacht-umfeld-per-mikrofon-1806-134887.html

DSGVO wirkt

Die spanische La Liga App überwacht ihre Nutzer per Mikrofon. So einen krassen Gestapo-Shit kann man sich kaum ausdenken. Und die denken es wäre vollkommen legal und von der Privatsphäre her unbedenklich

 

[Shihatsu]

Jo, das Ding hab ich auch gefeiert und abuse hart als pro-Argument wenn sich mal wieder wer über meine "Korintenkackerei" aufregt

 

[drwilly]

…aber denkt doch mal jemand an die Kinder Vereine.

 

[Shihatsu]

Einseitiges Verfahrensverzeichnis. Dem deutschen Datenschutz von 2004 entsprechende Datenschutzerklärung auf der Homepage. Anschreiben an alle Mitglieder. GG, no re. Der durchschnittlie Vorsitzende vom 1. FC Fussballhausen schafft in der Zeit die er dafür braucht nicht mal ne Kiste Bier zu Ende...

 

[zimms]

Beim Vorsitzenden des 1. FC Fussballhausen stellt sich mir jetzt die Frage, ob du dessen IT-Kompetenz über-, oder seine Schluckkraft unterschätzt.

 

[Bootdiskette]

Das geht auch mit Schreibmaschine, Papier und Leitz-Ordner. Bei den meisten ist das einfach der Unwillen sich an Recht und Gesetz zu halten weil (a) vorher ging es doch auch, und (b) das ist voll aufwendig!

 

[Shihatsu]

Beim Vorsitzenden des 1. FC Fussballhausen stellt sich mir jetzt die Frage, ob du dessen IT-Kompetenz über-, oder seine Schluckkraft unterschätzt.

Wer sich vorher nicht an Recht und Gesetz gehalten hat tut es vielleicht hinterher weil es jetzt weh tut. Aber das ist kein Argument für oder wieder die DSGVO, sondern gegen den 1. Vorsitzenden. Neu dazugekommen ist ja letzlich nur das Verfahrensverzeichnis und eine aktualisierte Datenschutzerklärung.

Das geht auch mit Schreibmaschine, Papier und Leitz-Ordner. Bei den meisten ist das einfach der Unwillen sich an Recht und Gesetz zu halten weil (a) vorher ging es doch auch, und (b) das ist voll aufwendig!

This.

 

[Kquarso]

Heute von der "bundesweiten Zentralstelle" für DSGVO Beschwerde gehört, die E-Mails verschickt, dass ein Mitbewerber abgemahnt hat. Man hat 21 Tage Zeit, das Problem zu beheben (wird natürlich nicht benannt), aber man bietet eine kostenlose Erstberatung an. Wenn man deren Seite aufruft, kommt man zu "Whats App Marketing" und im Impressum steht irgendein Amidude Gibt auch nirgendwo eine Telefonnummer zum Anrufen, aber sie wollen einen Anprechpartner haben.

 

[Crazy Kenny]

Smells like Spam/Scam.

 

[Bootdiskette]

Smells like extrem schlecht gemachter Spam/Scam auf den die gleichen reinfallen die immer noch auf ihre Million vom unbekannten verstorbenen Erbonkel warten.

fixed.


Leider gibt's ja ziemlich viele Menschen in diesem Schlauheitsbracket. Wenn es dann noch in deren Vorurteilsraster ("Die da oben" … "Brüssel") passt, dann geht das ziemlich schnell.