Darcoons Grafikfooter

  • Ist behoben. Bevor hier noch jemand den Datenschutzbeauftragten deswegen konsultiert.

    Ausnahmsweise können wir den bei diesem "Vergehen" mal außen vor lassen :)


    Aber Eurer Datenschutzprobleme ( keine HTTPS, kein TLS 1.2 bei Emails ) solltet Ihr echt zügig in den Griff bekommen. Alles so Sachen die in Minuten erledigt sein könnten.

  • Nur das es hier - wenn überhaupt - allenfalls um Datensicherheit und nicht um Datenschutz geht (weil bei Datenschutz geht um den Schutz des einzelnen Menschen vor dem Mißbrauch etc. seiner persönlichen Daten).


    Ja, viel zuviele haben die DSGVO für noch mehr Fehl- und Desinformation mißbraucht (aus verschiedenen Gründen - mEn meistens halt aus purer Inkompetenz/Unwissenheit, gewisse Branchen können mit FUD Geld machen, ...).

    Burning Eyes, Rath, Bew100/Kr100/Ku100/Dr100/Sch100/M74 - Kettenträger FTW^^

    If you get the number one, the only way is down! --- Adam Ant

    Cojones kann man nicht kaufen! --- unknown

    Losers always whine about their best. Winners go home and fsck the prom queen. --- John Patrick Mason

    For I was talking aloud to myself. A habit of the old: they choose the wisest person present to speak to; the long explanations needed by the young are wearying. --- Gandalf, the White

  • Ich gebe DIr insofern Recht, als das sehr viel Blödsinn bezüglich DS GVO im Umlauf ist, aber in diesem Fall "Leider Pech gehabt." .


    Artikel 32 der DS GVO definiert, daß Datenverarbeitung und der Transport von P.D. geschützt ablaufen muß, was bei Anwendungen, die "potentiell" P.D. transportieren können, auf HTTPS Zwang bei WebFormularen und TLS Zwang bei Emails hinausläuft. (Konsequenterweise auch auf Festplattenvollverschlüsselung, aber soweit habe ich Jungs noch nicht. )


    Und bevor jemand meint, er wüßte das besser, es wurde bereits im Mai vom Bundesdatenschutz bestätigt und im 1.Q. 2019 wirds nochmal öffentlich.


    Das gibt ne lustige Abmahnwelle wegen UWG, da bin ich mir ganz sicher. Es läßt sich nämlich automatisch ( denken die Ab. ) austesten und so massenhaft zum Abmahnen missbrauchen. Und tatsächlich entsteht beim Verstoß ein erheblicher Wettbewerbsvorteil. Das wird für eine Beteiligte ein sehr teures Erwachen geben.

    "But... I told you so.."

  • Artikel 32 der DS GVO definiert, daß Datenverarbeitung und der Transport von P.D. geschützt ablaufen muß,

    Artikel 32 DSGVO:

    "...Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

    1. die Pseudonymisierung und Verschlüsselung personenbezogener Daten;..."


    Da steht nirgends das es verschlüsset sein muss. Also locker bleiben und nich iwas behaupten was so nicht drin steht.

  • ähm... "--> Verschlüsselung <--- personenbezogener Daten;"


    Dazu fällt mir nicht mehr viel ein .. noch deutlicher geht nicht. "Gegebenenfalls" ist aufgrund von:


    --

    Stand der Technik: TLS 1.2/1.3


    Implementierungsaufwand: praktisch keiner, und da spreche ich aus Erfahrung. Weder Web- noch Mailserver stellen besondere Hürden auf, i.d.R. gibt man drei Optionen für das Cert, das CARoot und den PrivatKey an, sagt noch, daß er TLS aktivern soll und ist fertig. Das Cert gibts gratis bei Lets Encrypt oder andere.


    Was an PD könnte man uns schicken ? "Ähm, alles vom Lebenslauf bis zum Naktfoto", weil Menschen Mails schicken und daher muß man mit D. rechnen.

    Jetzt Fachlich: Da im Voraus nicht klar ist, was an P.D. per Mail gesendet werden wird, muß vom WorstCasefall ausgegangen werden und alle Übertragungen geschützt werden.
    Jetzt technisch: Spielt eh keine Rolle, ob ich eine oder alle Übertragungen schütze, der Basisaufwand ist gleich. Am Ende ist sogar "für alle" einfacher zu realisieren.

    --


    Und der Mangel an Aufwand macht es für jeden Datenschutzverpflichteten zumutbar.

    Es ist merkwürdig, daß in den Medien über Webformulare mit HTTPS gesprochen und dies unisono akzeptiert wurde, aber bei Mails hatte man irgendwie Scheuklappen auf. Zum Glück hat das bald ein Ende.


    Ich kann nur jedem empfehlen, der das noch nicht auf seinem Mailserver aktiviert hat( und ja, so Leute gibts wirklich ), das schnell nachzuholen. Die IT-Fachkräfte werden im 1Q2019 rar, weil alle Verschlafenen dann anrufen werden.


    Es steht natürlich jedem frei, darauf zu hören oder halt nicht, aber ich habe Post von BDS der meine Meinung bejaht, Ihr für Eure auch ? ;)