Wie behandelt Ihr DSGVO und US Dienste bei Web-Produkten wie Shopify und Wix?

@StefanKittel

Es gibt die Datenschutzbeauftragten der Länder und des Bundes. Im Zweifel sollten die alle fragen beantworten können.
Leider sind die alle akut unterbesetzt, was das erschwert, wozu die eigentlich da sein sollten..

Kreuzberger

Dumme Sache das.
Anlaufstelle wäre Datenschutzbeauftragter des Landes bzw. Bundes. Die Frage ist, wann man eine Antwort bekommt und vor allem, wie konkret wird die sein.
Möglicherweise gibt es für die fraglichen Unternehmen auch eine Instanz wie einen Prüfungsverband, den man anfragen kann. Aber ich fürchte, selbst da wirds keine konkrete Aussage geben.

Aus Admin-Sicht würde ich da alles unterlassen, was in die USA geht.
Aus Unternehmer-Sicht siehts wieder anders aus. Wo kein Kläger, da kein Richter. Aber wenns dann mal einen Kläger gibt, gibts dann einen Plan B?
Kommt dann irgendwie drauf an, wovon man ausgeht. Glaubt man, es kommt mal was, dann sollte es einen Plan B geben. Aber dann wäre es vielleicht sinnvoller, gleich jetzt auf Plan B umzusteigen.

Viele Cheffitäten werden dabei eher so damit umgehen, dass da erst mal einen kommen soll und sagen, was denn falsch ist und was man denn anstelle des Problems machen soll.
Ich persönlich gehe da auch von aus, dass da erst mal was angemahnt wird, auf das man reagieren kann.
Heißt für mich im Umkehrschluss: je essentieller so ein US-Shop ist, desto Plan B. Ist's nur sowas wie ein Anhängsel (à la Haben wir schon immer gehabt) kann man sich dann ja mal von trennen.

Meiner Meinung nach sollte die DSGVO wieder abgeschafft werden. Egal wie ich mich im Internet bewege, die Daten werden immer an irgendwelche Server geschickt. Reine Buerokratie und Zeitverschwendung. Katz- und Mausspiel der Datenkraken.

Gerichtsurteile binden ja zunächst mal die im Prozess beteiligten Parteien, niemanden sonst. Ich glaube nicht, das einzelne Urteile einen nennenswerten Effekt haben, dazu müssen es schon mehrere Gerichte und Verfahren sein, dann wird das unter Juristen gängig, und sie beraten auch dahingehend.

TADPF habe ich mir noch nicht angeschaut aber was soll hier wirklich anders sein? - Schrems III könnte kommen.

Ich finde es völlig verständlich das sich die Wirtschaft beklagt das es keine Rechtssicherheit gibt. Ich finde es allerdings nicht richtig, das immer wieder versucht, entweder Rechtsbrüche durch juristische Klimmzüge zu egalisieren oder das Recht anzupassen, um einfach das weiter machen zu können was am einfachsten ist. Durch den aktuellen Zustand wird halt weiter das genutzt was jeder nutzt und es ändert sich nichts, außer das es immer wieder gefordert wird doch endlich die Realität anzuerkennen und die Gesetze zu ändern - nicht umgekehrt.

@Starmanager


Vielleicht solltest du die DSGVO einfach h noch mal lesen. Ich hab den Eindruck dass du den sinn der DSGVO noch nicht verstanden hast. Es ist mit das beste, das das Europäische Parlament je beschlossen hatte.

Ich selbst finde es ein graus, dass man bei den Datenschutzbeauftragten der Länder und des Bundes dauerhaft viel zu wenig Personal hat, um die vorhandenen Angelegenheiten zu bewältigen. Ich hab da eine Sache schon gut ein Jahr liegen in Hessen. (Deutsche Bank, eine Online-Banking-Überweisung von zb. Deutschland nach Deutschland gut nicht ohne Cookies von Adobe, da die als elementar nicht albwählbar sind.)
Solche Sachen gibt es massenweise, sogar deutsche Behörden bekommen das nicht auf die Reihe. Ich vermute auch, dass so gut wie alle Bewerberportale nicht der DSGVO entsprechen.

Kreuzberger

Mit der DSGVO wird sogar der kleinste Betrieb gegaengelt um alle Richtlinen einzuhalten. Die Grossen machen eh was sie wollen. Die Kleinen bekommen gleich eine Abmahnung. In meinen Augen ist das Internet ein Freiraum wo eh jeder macht was er will. Jeder muss sich vor Allem schuetzen.

@Starmanager


Wenn dieser „kleinste“ Betrieb zb eine Wohnungsvermietung /-verwaltung ist und jedes Klospülen in deiner Wohnung zuhause registriert, dann ist diese Kleinstbetrieb eben auch mal zu fragen, was das soll.

Es geht bei der DSGVO eben nicht um Kleinstbetrieb und Riesenkonzern, sondern um Privatperson und dessen Schutz der eigenen Daten und ist gegen sinnlose, massenweise Datensammelei gerichtet.

Kreuzberger

+1 DSGVO

Die Umsetzung könnte sicherlich hier und da vereinfacht werden, da hätte ich nichts dagegen. Die DSGVO selbst ist aber wirklich simpel und logisch, und das bei einem Gesetz das Technologie betrifft.

Wichtig ist, das alle beteiligten verstehen und akzeptieren, worum es geht. Wenn der Anbieter keinen DSGVO-konformen Service anbieten kann oder will, dann kann man das halt nicht benutzen. Würde da konsequent gehandelt gäbe es auch nur noch konforme Dienste.

Das ist sehr schon zusammen gefasst und auf den Punkt gebracht. Sehe ich auch so.

In der Praxis ist es dennoch beschwerlich, wenn z.B. ein KU eine Mail versehentlich an Kunde 2 schickt, statt an Kunde 3 und das dann gleich ein meldepflichtiger Datenschutzvorfall ist, der das Unternehmen einige Stunden Arbeit kostet und auch für Klempner Röhricht schwer zu beantwortende Rechtsfragen aufwirft (wer den Meldevorgang schon mal durch hat, weiß, was ich meine) und bei der DSB dann letztlich nur ein Aktenzeichen angelegt wird. Es ist dann nicht mehr behördliche Korinthenzählerei, die letztlich die Kunden bezahlen. Fehler passieren. Auch früher wurde mal falsch gefaxt, ohne dass die Welt unterging. Hier wäre noch etwas Nachjustierung denkbar.

Viele Grüße, commodity

Das ist nicht gleich meldepflichtig. Du unterliegst einer Dokumentationspflicht und musst eine Risiko-Abschätzung treffen. Der Inhalt der Mail ist dabei natürlich maßgeblich.

Sag mir, dass du nicht weißt, um was es bei DSGVO geht ohne zu sagen, dass du nicht weißt, worum es bei DSGVO geht.

Die DSGVO hat in Deutschland rein gar nix geändert. Tatsächlich hat sie mit Art. 6 Abs. 1 lit. f es für Unternehmen sogar noch einfacher gemacht, Kundendaten zu verarbeiten.
Die Grundsätze waren schon seit den 1970ern im BDSG festgeschrieben. Deutschland musste da von allen EU-Staaten am wenigsten machen.

Die DSGVO hat nun Rechtssicherheit gegeben. Und zwar über nationale Grenzen hinweg. Ein Gewinn für jeden privaten Bürger.


Sowas ist den Chefs in der Regel egal. Der Durchschnittschef orientiert sich seltenst an Erfahrungsberichten, vor allem wenn dahinter eine Investition befürchtet wird. Da muss schon jemand von der Behörde kommen und was vorlegen. Darauf wird reagiert.
Das hat in der Vergangenheit ja auch immer gut funktioniert. Und ich bin überzeugt, dass das jetzt auch noch gut funktioniert. Da wird nix von jetzt auf gleich passieren. Zuerst wird man angemahnt, dann gelobt man Besserung, zeigt was man sonst schon alles gemacht hat und versucht dann den Mangel abzustellen.
Wenn man da mit den Behörden zusammenarbeitet wird man gute Karten haben. Direkt querstellen könnte blöd enden.
Ist aber wie gesagt nur eine Vermutung. DSGVO-mäßig gabs noch keinen Stress bei uns. Bei Problemen in anderen Bereichen lief es aber so ab. Von daher meine Extrapolation.

Tja, das schreibt sich leicht.
Und das soll Klempner Röhricht dann beurteilen? Ein falsches Fax und dann vorsorglich zum Anwalt?

Eine "verunglückte" Mail, ebenso ein Fax sind können immer meldepflichtig werden, wenn sie beim falschen Empfänger angekommen sind. Insbesondere wenn (und weil) man den Empfänger nicht kennt. Im von mir bearbeiteten Fall waren es Gesundheitsdaten, da war es noch etwas schwerwiegender. Es ist vom Handelnden eine eigene Beurteilung darüber vorzunehmen, ob voraussichtlich die
führt - und die ist faktisch bereits eingetreten, wenn persönliche Daten eines anderen gegenüber unbefugten Dritten offenbart wurden. Das Recht auf informationelle Selbstbestimmung ist ein anerkanntes Grundrecht. Wer wissen darf, dass ich da und da einkaufe oder dort zum Arzt gehe, bestimm ich als Grundrechtsträger, niemand sonst. Da reicht u.U. schon die Offenbarung von Name und Anschrift o.ä. gegenüber Fremden.

Die DSGVO verlangt immerhin eine Abwägung - Selbsttest, wer das kann steht unten.

DSB Berlin:
Gesetz:


Hier für Interessierte ein Auszug aus der Prüfungsanleitung des DSB SH:
(hier zum selbst testen, wer eine falsche Mail mit Name, Anschrift, Telefonnummer und der Mitteilung, dass der Kaufbetrag für die Ware xy vom Konto zz abgebucht wurde. Und dann zur Übung machen wir aus xy

1. einen Kochtopf
2. koscheres Essen
3. einen Koran
4. Reizwäsche
5. ein Herzmedikament
6. ein Potenzmedikament
7. ein Hotelzimmer für zwei Personen

Und als Variation beachten wir auch den Fall, dass Empfänger und Falschempfänger sich kennen könnten...

Manche Admins machen ja sehr gern mal Jura, wenn es um die DSGVO geht. Am Ende sagt mir, ob ihr findet, dass
es unpassend ausdrückt Ich bin ja vielleicht einfach zu doof, aber ich finde es nicht so einfach. Da baue ich ein Netz auf

Also los:

Zu a.) Schäden für natürliche Personen

Schäden können nach der DS-GVO physischer, materieller oder immaterieller Natur sein (ErwGr. 75 Satz 1). Der Schadensbegriff ist somit in einem umfassenden Sinne zu verstehen und nicht auf monetär bezifferbare Schäden begrenzt.

Es müssen die negativen Folgen der geplanten Verarbeitung selbst betrachtet werden. Dazu gehören auch Einschränkungen von Rechten und Freiheiten, beispielsweise wenn betroffene Personen aus Angst vor Nachteilen auf die Ausübung ihrer Rechte verzichten (z. B. Verzicht auf Teilnahme an einer Demonstration aufgrund umfangreicher Überwachung).

Auch negative Folgen von Abweichungen von der geplanten Verarbeitung müssen betrachtet werden (z. B. Datenzugang durch unbefugte Personen oder Stellen, unbefugte Offenlegung oder Verknüpfung von Daten, zufällige Vernichtung von Daten, Ausfall oder Einschränkungen von vorgesehenen Prozessen, unbeabsichtigte oder vorsätzliche unbefugte Veränderung der Daten, Nichterfüllung eines Auskunftsanspruchs). Die Abweichungen können zu einer unrechtmäßigen oder einer die Datenschutzgrundsätze verletzenden Verarbeitung führen.

Durch jede Verarbeitung personenbezogener Daten erfolgt mindestens eine Beeinträchtigung des Grundrechts auf Schutz personenbezogener Daten (vgl. Art. 8 GrCh). Daneben können weitere Grundrechte betroffen sein, wie z. B. die Achtung des Familienlebens in Art. 7 GrCh oder die Meinungs- und Versammlungsfreiheit in Artt. 11 und 12 GrCh oder das Recht auf Nichtdiskriminierung in Art. 21 GrCh. Diese Beeinträchtigungen führen zu Schäden, wenn Sie nicht gerechtfertigt sind.

Letztlich müssen alle denkbaren negativen Folgen der Datenverarbeitung für die Rechte und Freiheiten natürlicher Personen, ihre wirtschaftlichen, finanziellen und immateriellen Interessen, ihren Zugang zu Gütern oder Dienstleistungen, für ihr berufliches und gesellschaftliches Ansehen, für ihren gesundheitlichen Zustand und für alle ihre sonstigen legitimen Interessen betrachtet werden.

Beispiele möglicher Schäden sind unter anderem:

Diskriminierung
Identitätsdiebstahl oder -betrug
finanzieller Verlust
Rufschädigung
wirtschaftliche oder gesellschaftliche Nachteile
Erschwerung der Rechtsausübung und Verhinderung der Kontrolle durch betroffene Personen
Ausschluss oder Einschränkung der Ausübung von Rechten und Freiheiten
Profilerstellung oder -nutzung durch Bewertung persönlicher Aspekte
körperliche Schäden infolge von Handlungen auf der Grundlage fehlerhafter oder offengelegter Daten

Für Vergnügungssüchtige: Das war erst Teil a.) der Prüfung. Es gibt dann noch b.) und c.) und auch ein 2. (denn abc waren 1.). Und am Ende steht für Klempner Röhricht dieses schöne Abwägungsbild:

Quelle nochmals: https://www.datenschutzzentrum.de/artikel/1225-Kurzpapier-Nr.-18-Risiko- ...
Have fun!

Viele Grüße, commodity

Nanana...man muss da jetzt kein Drama draus machen.
Irrläufer eines Klempners sind in der Regel nicht meldepflichtig. Oftmals sind da auch keine schützenswerten Daten mit dabei. Man mag mal ein Telefonbuch (auch digital) aufschlagen.
Gesunder Menschenverstand hilft tatsächlich. ich weiß, ist aus der Mode gekommen. Da müsste man ja selber und kann nicht auf andere zeigen.

Außerdem gibt es nicht umsonst ein unternehmerisches Risiko. Wenn man Unternehmer sein will, dann muss man auch ein bisschen was dafür tun. Ist halt mal so. Übersteigt der Einsatz, den man machen muss, den Gewinn, dann ist die Unternehmung vielleicht gar nicht so gut.

Und wie gesagt...das BDSG gibts seit den 1970ern....

Ich bin ganz bei Dir. Man sollte es nicht so heiß löffeln, wie es gekocht ist. Aber der oben vom Kollegen geäußerte Gedanke, dass die Kleinen hier leichter in die Falle tappen und greifbarer sind als die Großen ist so falsch nicht. Ab Vorhandensein einer Rechtsabteilung ist's dann wurscht.

gab's da eine geahndete Meldepflicht für eigene Verstöße?

Viele Grüße, commodity

+1 für deine Ausführung, sehr fachlich. Der Dramatik mag ich mich aber nicht so recht anschließen.

Ich behaupte das jeder, mit ein wenig Bereitschaft und Grundverständnis für den Datenschutz, sehr gut beurteilen kann wann ein E-Mail Irrläufer wirklich problematisch sein kann für den Empfänger. Wenn ich nachweisen kann, das ich mit plausiblen Argumenten keine Gefährdung gesehen habe, dann dreht mir da auch keiner einen Strick draus. Vielleicht frage ich auch mal den betroffenen, wenn ich so ein inniges Verhältnis zu ihm habe.

Und vor allem das Beispiel E-Mail ist gut. Die Risiko-Abschätzung zielt meiner Meinung nach gar nicht so sehr auf eine Meldung ab. Die zielt viel mehr darauf ab, das ich mir Gedanken machen muss. Wieso z.B. verschicke ich denn Gesundheitsdaten per E-Mail? Unverschlüsselt? Ist ja pauschal gar nicht zulässig. Wieso verschicke ich den Bestellbestätigungen vom Koran mit manueller Adressauswahl? Aus welchem gigantischen Adresspool denn? Wenn solche Prozesse in meinem TOMs stehen, oder womöglich auch nicht, was entgeht mir eigentlich? Das geht besser, i.S.d. DSGVO sowie im technischen und eigenorganisatorischem Sinne.

HTTPS ist heute Überall, weil der Gesetzgeber dafür gesorgt hat. Der ist zwar dumm und träge aber viele Dinge ändern sich einfach nicht wenn man es der Industrie überlässt. Datenschutz, Umweltschutz, Verbraucherschutz - keiner kann mir sagen das das Erfindungen des Kapitalismus sind oder das der Kunde das mit seiner Kaufkraft besser beeinflussen kann.

Ich stimme Dir in der Sache absolut zu und ich denke, das ist auch klar geworden.
Dies ist dennoch immer noch zu stark vereinfacht. Wenn es die DSBen so sehen, ok. Fakt ist aber dass am Ende Juristen drüber gehen und dann ist der gesunden Menschenverstand eben nicht das Kriterium.

Und die Rechtsabteilung von BMW eben ein besser aufgestellter Gegner für den DSB als die Arztpraxis, die natürlich die Befunde nur auf ausdrücklichen Wunsch des Patienten per Mail verschickt. Und trotzdem keine Fehler machen darf. Klar kann man auch da strukturell was verbessern. Aber erklär mal der
a) der ohnehin am Limit arbeitenden MFA und
b) der 70jährigen Oma, die zwar noch Gmail bedienen kann
den Einsatz von PGP oder die Nutzung eines verschlüsselten Downloads. Ihre Daten gehören dennoch ihr und ich darf nicht falsch mailen.

Bin ich ganz bei Dir. Man darf es nicht einmal Klempner Röhricht zu leicht machen
Muss es ihm aber auch so nett und entspannt nahe bringen, wie Du das oben machst. Und sich dran halten. Versteht der Meister nämlich die Welt nicht mehr, setzt er sich meckernd in seinen SUV, auf dem Beifahrersitz die Bild, die seinen Ärger täglich befeuert, und wählt die Populisten. Und wir sind wieder schneller zurück im Turbokapitalismus, als wir ein Bußgeldverfahren rechtskräftig abschließen können.

Viele Grüße, commodity