Diskussion DSGVO

[Anton Korduan]

Großartig - danke für Deine Unterstützung, Odde23!

[Tomasu]

Hallo!

Ich möchte mich in die Unterhaltung hier kurz einbringen.
Wie seht ihr das mit Zertifizierungen nach ISO 27001? Natürlich kann ein Dienstleister sich nur auf bestimmte Teilbereiche eines Unternehmens zertifizieren lassen, aber gehen wir davon aus, dass hier keine Einschränkung vorgenommen wurde. Nach BDSG-alt wurden solche Zertifizierungen, soweit mir das bekannt ist, üblicherweise als Bestätigung eines angemessenen Datenschutzniveaus herangezogen, wenn es um die Kontrollpflichten in Sachen ADV ging und konnten dementsprechend als Nachweis der Kontrollpflicht geführt werden.
Die DSGVO bringt natürlich weitere Verpflichtungen mit sich, da wären zum einen die Grundsätze nach Art. 5 Abs. 1, die Rechenschaftspflicht nach Art. 5 Abs. 2 sowie die Informationspflichten aus Artt. 13, 14 wie auch die zahlreichen Betroffenenrechte aus Artt. 15-22. Die sind so natürlich nicht in der ISO 27001 fixiert, aber wie würdet ihr nun hierbei herangehen, um der Rechenschaftspflicht nach DSGVO in Sachen Kontrolle des Dienstleisters nachzukommen, ohne dass das hier zu einem Kontrolltourismus in Rechenzentren ausartet?

[Ossi2612]

Eine Frage, bzw. Anregung an DF:


Kann man im Endkundenmenü für den Kunden einen Bereich einrichten, wie man ihn von z.B. Online-Bankkonten kennt? Oft Dokumenten-Box genannt. da finden sich dann z.B. die Kontoauszüge oder Steuerbescheinigungen.

Meine Absicht: Ich sinne gerade darüber nach, wie ich dem Kunden sicher Zugangsdaten zukommen lassen könnte. Oft z.B. vergessen die ihr Joomla-Passwort etc. Die anderen Passwörter zu DF finden die Kunden ja auch in diesem Menü, dann wäre es super, wenn man auch "fremde" dort ablegen könnte.

Was meint ihr?

[Odde23]

Wie seht ihr das mit Zertifizierungen nach ISO 27001?

Ich bin gerade auf dem Sprung, daher nur kurz:
Meiner Meinung nach ist ISO 27001 ein super Ding um die Sicherheit der Verarbeitung nachzuweisen. Was halt fehlt, ist die Komponente hinsichtlich des Datenschutzes. Eine sichere Verarbeitung garantiert leider keine datenschutzkonforme Verarbeitung. Auch wenn, durch die Sicherung der Verarbeitungssysteme schon eine große Hürde bei den TOM genommen wurde. Vergleichbar ist CRITIS, ein RZ das die Anforderungen von CRITIS erfüllt, ist top. Allerdings müssen die organisatorischen Maßnahmen darum auch passen.

Für die DS-GVO ist das gut, aus technischer Sicht, erledigt ist damit aber nicht alles und organisatorisch schon gar nicht. Einfacher wird es damit aber schon, vor allem wenn man Verarbeitungen in "großem Umfang" macht.

[Nils Dornblut]

Hallo zusammen,

aus Übersichtsgründen habe ich die Postings aus dem anderen Thread verschoben. Dann können wir hier eine Diskussion von Kunden/Resellern machen. Für Fragen an uns direkt, bitte den Thread nutzen:

https://www.df.eu/forum/threads/8226...l=1#post528027

Mit freundlichen Grüßen

Nils Dornblut
Communityservice

[Section31]

Hallo Leute,

Hm ... stimmt. Ich kenne diesen Passus auch.

Und die Liste "das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung ..." bedeutet doch aber tatsächlich, dass DF ein Auftragsverarbeiter, sprich Subunternehmer ist, weil DF personenbezogene Daten speichert.

Die personenbezogenen Daten beziehen sich zum einen auf die IP-Adressen aus den Logs und zum anderen aus den Daten, die ich in der MySQL-Datenbank ablege.

Wobe ich genau hier unsicher bin: Denn im Grunde speichere ja ich die Daten in der MySQL-Datenbank - Domainfactory stellt die Struktur nur zur Verfügung. Dann wären wir wieder beim Postign von Kemewepe: https://www.df.eu/forum/threads/7770...l=1#post528061

Wenn ich als Privatperson ein Forum betreibe, das über eine MySQL-Datenbank innerhalb meines Hosting-Vertrags mit DomainFactory läuft, dann werden personenbezogene Daten (Emailadressen) in der MySQL-Datenbank gespeichert. Muss ich dann mit DomainFactory einen Auftragsverarbeitungs-Vertrag abschließen?

Nach dem, was ich hier gelesen habe, würde ich sagen "ja". Ich habe aber nicht verstanden, was die Formulierung "Gegenstand des Vertrages ist nicht die originäre Nutzung oder Verarbeitung von personenbezogenen Daten durch den Auftragnehmer." bedeutet. Was ist eine "originäre" Nutzung? Allein die Speicherung ist ja anscheinend eine Nutzung im Sinne der DSGVO, demzufolge nutzt/verarbeitet (weil speichert) DF die Daten doch immer. Und demzufolge ist auch immer ein AV-Vertrag zu schließen, oder?

Viele Grüße,
Section31

[jelox]

Was ist eine "originäre" Nutzung?

Originär zielt darauf ab, das df Dir allgemein Hosting zur Verfügung stellt und z.B. nicht Webapplikationen für Dir betreibt, wo Dritte direkt persönliche Daten eintragen (z.B. Onlineshop, Ticketbuchung, CRM, etc.).

Wenn 2019 mal die ersten Urteil auf Basis von DS-GVO gelaufen sind, sind wir alle schlauer.
Bei einen Telefonanschluss habe ich keine AV. Reine Übermittlung und Fernmeldegeheimnis fallen da als Stichworte. Bei vielen Anschlüssen ist aber auch ein netzbasierter Anrufbeantworter dabei. Falls das auch nicht unter AV fällt, warum dann z.B. E-Mail. Wobei ja "Vistenkartendruck für Mitarbeiter" auch eine AV ist. Druckerei wird erstaunt sein.

Welchen Stand hat der df-Vertrag denn? Ich hatte eine AV für Jiffybox angefragt, aber da wurde noch auf Überarbeitung hingewiesen.

[Nils Dornblut]

Welchen Stand hat der df-Vertrag denn? Ich hatte eine AV für Jiffybox angefragt, aber da wurde noch auf Überarbeitung hingewiesen.

Der eigentliche Vertrag ist jetzt an die DSGVO angepasst und aktuell. Details hier:

https://www.df.eu/forum/threads/8226...ekten-Download

Eine spezielle Version für JiffyBox wird es nach meinem Stand nicht geben und ist auch nicht nötig.

Mit freundlichen Grüßen

Nils Dornblut
Communityservice