Aktuelles

[Sammelthread] Der DSGVO | Datenschutz Laberthread

Kuzorra

Enthusiast
Mitglied seit
03.01.2009
Beiträge
3.505
Ort
ein unbeugsames Dorf im Rheinland
Also John und Karen werden in der Mail von Privacy Bee schon mit einem vollständigen Namen, einer Anschrift und einer Mailadresse identifiziert.

@DragonTear
Wir haben natürlich (weitestgehend) geregelte Prozesse und eine Übersicht darüber im VVT - aber ich kann ja nicht ausschließen, dass irgendein random dude aus dem Internet mal einen der 400 Mitarbeiter angeschrieben hat. Deren Internetadressen sind ja teilweise in Publikationen oder auf der Homepage zu finden. (Wir sind ein Behörde mit eher wenig Bürgerkontakt, zumindest in den allermeisten Bereichen gilt das so.)

Dann lande ich quasi automatisch bei dem was @konfetti sagte. Im Sinne der Datensparsamkeit wäre es ja albern, wenn jeder Mitarbeiter jeden Kontakt von einer neuen Adresse an eine zentrale Stelle meldet.
(Das die IT da vielleicht reinschauen könnte, was aber natürlich nicht passieren darf/soll, steht auf einem anderen Blatt....)

Einfach ignorieren oder es auf den Spamfilter schieben finde ich auch irgendwie schräg. Mittlerweile habe ich schon überlegt, ob ich die Privacy-Bienchen nicht einfach mal anschreibe und darum bitte, dass wir aus derem Verteiler gestrichen werden. Meine Vermutung ist, dass die einfach für jeden ihrer Kunden automatisiert 1 Million Adressen Datenschutz@abcde.789 bzw privacy@12345.abc etc anschreiben und sich gar keine Gedanken darüber machen, wo das überall landet.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.

konfetti

Enthusiast
Mitglied seit
10.08.2006
Beiträge
1.719
Ort
Lower East Bavaria
wobei, wenn ihr eine Behörde seid, interessiert euch das mit dem Datenschutz in Form von Strafe ja nicht ;)
Behörden können nämlich nicht auf Vergehen gegen die DSGVO verklagt werden, oder hat sich das mittlerweile geändert?

Eine Mail von Tante Emma ist aber an sich ja keine Datenerheben - sonst müsste man ja jeden Absender eines Briefes auch bei sich mit aufnehmen... - macht doch keiner, sofern das in "Rundablage P" landet.
 

Kuzorra

Enthusiast
Mitglied seit
03.01.2009
Beiträge
3.505
Ort
ein unbeugsames Dorf im Rheinland
Die Behörde ist "bußgeldfdest", aber der einzelne könnte (in seltenen Fällen) Schadenersatzpflichtig werden.

Eine Mail bekommen (noch schlimmer: beantworten) ist im strengen Sinne des Art 4 DSGVO eine Verarbeitung, dann geht das ja noch in Deine Autovervollständigung von Outlook ein, die Mails wandern ins automatische Backup....

Wenn es einfach irrelevant wäre, dann wäre das Leben leichter ;-)
 

boomab

Enthusiast
Mitglied seit
27.10.2010
Beiträge
405
Den Tag will ich erleben, an dem Amtshaftung gegen einen Beamten wegen Datenschutzverstößen durchgesetzt wird ;) BTW siehe Polizei Berlin, sehr gutes Beispiel für die Handlungsfähigkeit von Landesdatenschutzbeauftragten wenn es um andere Behörden geht.
 

Kuzorra

Enthusiast
Mitglied seit
03.01.2009
Beiträge
3.505
Ort
ein unbeugsames Dorf im Rheinland
Alles richtig
 

konfetti

Enthusiast
Mitglied seit
10.08.2006
Beiträge
1.719
Ort
Lower East Bavaria
Eine Mail bekommen (noch schlimmer: beantworten) ist im strengen Sinne des Art 4 DSGVO eine Verarbeitung, dann geht das ja noch in Deine Autovervollständigung von Outlook ein, die Mails wandern ins automatische Backup....
nicht zu vergessen, das ja ggf. auch die Provider dazwischen dann abzufragen wären, sofern die Mail nicht verschlüsselt übertragen wurde...

Ja, die Sache mit dem Backup... <-> vs. Recht auf vergessen bzw. Löschung der Daten.
Interessant bei "WORM"-Bändern - und wieso sollte man die Daten von einem 8 Jahre alten Band löschen...
Hier ist dann der Sperrvermerk der richtigere... - aber dank dem ganzen Rechtsverdreher-Deutsch ist das halt Auslegungssache...
 

boomab

Enthusiast
Mitglied seit
27.10.2010
Beiträge
405
Die Frage ist eher, warum personenbezogene Daten überhaupt für 8 Jahre in ein Backup wandern? Entweder man unterliegt dafür einer gesetzlichen Aufbewahrungsfrist oder hat sonst einen triftigen Grund, ansonsten haben die da schon im Vorfeld nichts zu suchen, da ist nicht das Recht auf Löschung das Problem.
 

Kuzorra

Enthusiast
Mitglied seit
03.01.2009
Beiträge
3.505
Ort
ein unbeugsames Dorf im Rheinland
Ist im Prinzip richtig - aber in der Praxis wird ja nicht in jeder Datei eines regelmäßig zu sichernden Nutzerrofils nachgeschaut, was potentiell an personenbezogenen oder nur entfernt personenbeziehbaren Daten drin steckt, bevor die Datei ins Backup wandert
 

DragonTear

Enthusiast
Mitglied seit
06.02.2014
Beiträge
14.048
Ort
Im sonnigen Süden
Die Frage ist eher, warum personenbezogene Daten überhaupt für 8 Jahre in ein Backup wandern? Entweder man unterliegt dafür einer gesetzlichen Aufbewahrungsfrist oder hat sonst einen triftigen Grund, ansonsten haben die da schon im Vorfeld nichts zu suchen, da ist nicht das Recht auf Löschung das Problem.
Das nicht zu tun ist halt technisch aufwendig. Zumindest für kürzere Zeiträume willst du die Daten schon speichern und d.h. du müsstest nach z.B. 6 Monaten die Backups zerpflücken um da die personenbezogenen Daten raus zu löschen bevor der Rest ins lang-zeit Backup geht...
 

Kuzorra

Enthusiast
Mitglied seit
03.01.2009
Beiträge
3.505
Ort
ein unbeugsames Dorf im Rheinland
Wie zwei Posts vorher gesagt, halte ich das auch für technisch etwas irre. Theoretisch muss man das aber machen, sobald der Verarbeitungszweck erledigt ist.

Das wird auch ein großer Spaß, wenn in der Bundesverwaltung mal flächendeckend (aber trotzdem in 1000 individuellen Spielarten) die verschiedenen Systeme zur e-Akte eingeführt werden.
Je nach System lassen sich aus den e-Akten nämlich gar keine Daten löschen - wo ich als BfDI ganz sicher mal draufhauen würde!
 

konfetti

Enthusiast
Mitglied seit
10.08.2006
Beiträge
1.719
Ort
Lower East Bavaria
Naja, wo sind denn i.d.R. Personenbezogene Daten? - in der Datenbank vom CRM oder ERP, wenn man damit alles macht - ggf. noch in einem Revisionsicheren Dokumentenarchiv
Da bekommt man die nicht raus, bzw. würde bei der Datenbank an sich ggf. auch Probleme machen, Zuordnung und Auswertung / Vertragsablage - auch wenn man die Daten aktiv nicht mehr braucht, müssen die Verträge bis 10J nach Ende des Vertragsverhältnisses noch aufbewahrt werden.

Da ist der Sperrvermerk sinniger und über eine DSGVO-Schnittstelle auch mit 4-Augenprinzip absicherbar.
Backups auf WORM-Bändern lassen sich übrigens nicht mehr ändern ^^ - nur komplett löschen.

Auf der anderen Seite, ist es manchmal ja auch ganz gut, wenn man Personalakten noch aufbewahrt -> bei einem früheren AG kam mal die Rentenversicherung mit einer Anfrage an den AG, weil von einem ehemaligen AN etwas gebraucht wurde, das schon 14J zurück lag.
Da zu der Zeit, die Backups der Technischen Dokumentation noch nicht vom Rest getrennt war, hatte man die Daten noch im Backup des Lohnprogramms und konnte die mit sehr viel Aufwand wieder herausholen - da ging es wohl um die Berechnung der Rentenpunkte...

Ich möchte das nicht generell gut heißen, aber Theorie und Praxis sind halt doch 2 paar Schuhe...
 

Kuzorra

Enthusiast
Mitglied seit
03.01.2009
Beiträge
3.505
Ort
ein unbeugsames Dorf im Rheinland
Richtig.
Aber wenn Dir da einer an den Karren pissen will, dann wird die "Theorie/Praxis"-Unterscheidung zwar gewichtet und berücksichtigt, reißt es aber nicht raus, wenn es hart auf hart kommt und Du gegen die Regeln der DSGVO verstößt.

ERP und CRM sind aber auch längst nicht alles. Personaldaten sind eh ein spannendes Thema, wir haben aber beispielsweise auch Bürgeranfragen, geben Auskunft nach IFG, geben/stimmen Stellungnahmen ab.....

Das sollte zwar alles nach geregelten Prozessen laufen - aber Theorie und Praxis: Da fragt man halt doch, statt dem Prozesse zu folgen, mal schnell einen den man kennt, der Fachmann zu einem Thema ist, und leitet schonmal die Dokumente und den kompletten Mailverkehr weiter - das kriegst Du nie wieder eingefangen.
Wenn da jemand nach Jahren fragt "was habt Ihr denn eigentlich an Daten über mich"....

....und die fiesesten Anfragen kommen eh nicht von irgendwem extern, der es nicht besser weiß und sich mit einer Auskunft zumeist auch zufrieden geben muss. Wenn ein Mitarbeiter vom Typ Querdenker im Streit geht oder gegangen wird, dann kann der Dir richtig auf die Eier gehen, weil er im Zweifelsfall ganz gut weiß, ob eine Auskunft vollständig ist oder ob es sich lohnt weiter zu bohren und zu stänkern
 

Kuzorra

Enthusiast
Mitglied seit
03.01.2009
Beiträge
3.505
Ort
ein unbeugsames Dorf im Rheinland
Hi ho und frohes Neues ;-)

Neue (völlige Gaga-)Frage: Auf welcher Grundlage werden eigentlich Mailadressen verarbeitet?

Hintergrund:
  • Bei uns läuft ein übers Web erreichbarer Dienst*, bei dem keine personenbeziehbaren Daten verarbeitet werden, sondern andere technische Daten ohne Personenbezug.
  • Verschiedene Firmen/Behörden nutzen diesen Dienst, manche weil sie die Daten gerne nutzen wollen, andere weil sie "müssen". (Ist nicht gesetzlich definiert, aber "de facto" ist es so.)
  • Die jeweiligen Nutzer registrieren sich mit ihrer Mailadresse - was erstens üblich ist und zweitens erforderlich, um Helpdesk und Ticket-System zu ermöglichen.
  • Jetzt kommt eine neue Behörde als Nutzer dazu und will uns eine AVV aufzwingen - wegen der Mailadressen** ihrer Mitarbeiter!?!
Deren Argumentation:
Ohne AVV hätten wir keine Rechtsgrundlage um die Mailadressen zu verarbeiten. Vertragsverhältnis nach Art. 6(1)b DSGVO kommt nicht infrage, da die Betroffenen (also die jeweiligen Mitarbeiter, die sich mit ihrer Mailadresse anmelden müssten), ja gar nicht unser Vertragspartner sind, sondern nur die Behörde. Die wäre aber nicht weisungsbefugt und kann ihre Mitarbeiter nicht zwingen, Ihre pbz. Daten zu offenbaren.

Berechtigtes Interesse nach Art. 6(1)f DSGVO ist unsererseits auch nicht wirklich drin, da wir selbst Behörde sind. Ich denke §3 BDSG greift hier zumindest mal als Rückfallebene, sehen die aber nicht so.

Das ganze hat nie jemand in Frage gestellt, auch andere Behörden nicht.
Wir liegen da nun leicht im Clinch, ich bin mit meinem Latein ein wenig am Ende....

*der technische Betrieb ist an einen Auftragnehmer vergeben
**Sie könnten sich vorstellen "einen großen Account" für alle anzumelden - was technisch nicht geht, da sie nicht mit einem Account gleichzeitig mehrfach angemeldet sein können - und selbst wenn wir das zuließen, würden solche Eingaben im eigentlichen Dienst zu Fehlern führen. Daher müssen sie in jedem Fall mehrere Accounts nutzen, Funktionspostfächer wollen sie aber auch nicht nutzen, das wäre zu leicht zuzuordnen.
 

craxity

Enthusiast
Mitglied seit
09.05.2008
Beiträge
5.037
Ort
Hadamar
@Kuzorra
Mir fallen jetzt spontan verschiedene Möglichkeiten ein.

- Ihr habt ja einen Registrierungsprozess für jeden Benutzer. Die könnten also ein eigenes Nutzungsverhältnis begründen, was dann der Vertrag für Art 6 Abs. 1 b DSGVO wäre. Alternativ könntet ihr bei der Registrierung eine Einwilligung einholen.

- Ihr könnt aber auch die AVV abschließen und für die andere Behörde verarbeiten. Die müssten sich dann um die Rechtmäßigkeit der Datenverarbeitung kümmern.

- Wie du schon sagtest, könnt ihr euch auf § 3 BDSG berufen. Ihr müsstet dann doch bei der Registrierung den jeweiligen Nutzer über die Verarbeitung informieren.
 

taeddyyy

Experte
Thread Starter
Mitglied seit
20.01.2017
Beiträge
2.382
Ohne AVV hätten wir keine Rechtsgrundlage um die Mailadressen zu verarbeiten.
Geht es hier explizit um die Mailadressen und nichts weiter oder könnten während der Nutzung des Dienstes weitere pbD verarbeitet werden?

Verschiedene Firmen/Behörden nutzen diesen Dienst, manche weil sie die Daten gerne nutzen wollen, andere weil sie "müssen". (Ist nicht gesetzlich definiert, aber "de facto" ist es so.)
Heruntergebrochen auf den Laden der sich jetzt querstellt: Ist die Nutzung eures Dienstes "ein Pflichtprogramm" für deren MAs, also etwas was zwangsläufig durch die MAs genutzt werden muss, damit diese ihren Arbeitsvertrag erfüllen können? Oder haben die Mitarbeiter die Wahl ob die eure Dienste in Anspruch nehmen?
Sollte es grundlegender Bestandteil sein sehe ich einen AVV als gerechtfertigt an, andernfalls reicht die Einwilligung des jeweiligen Nutzers bei der Registrierung.

Edit: Auch dir ein frohes neues :d
 

Kuzorra

Enthusiast
Mitglied seit
03.01.2009
Beiträge
3.505
Ort
ein unbeugsames Dorf im Rheinland
Was für ein ungeahntes Aktivitätslevel in diesem Thread ;-)

@craxity
1) Die Nutzungsbedingungen sind tatsächlich ein möglicher Hebel, die sind in diesem Fall aber nicht so perfekt bzw. eindeutig, was das angeht. Wir haben auch andere Dienste, wo wir mit der gleichen Behörde im Clinch lagen, wo wir deren Quatschideen letztlich über die Nutzungsbedingungen erfolgreich abschmettern konnten. Einwilligung ist halt blöd, weil sie zurückgezogen werden kann und weil außerdem die Freiwilligkeit da irgendwie fraglich ist.
2) Mit der AVV ginge aber ein Weisungsrecht einher, wir wären dann nur die "verlängerte Werkbank" der einen Behörde, welche dann über Zwecke und Mittel der Datenverarbeitung entscheiden würde.
Das ist aber keine Exklusiv-Beziehung, wir bieten den Dienst ja auch für andere an, die kein Weisungsrecht haben/wollen. Das wäre eine komische Schieflage, da wir dann auch die pbz. Daten anderer auf einmal entsprechend verarbeiten würden, wenn die fragliche Behörde uns Vorgaben macht, die wir dann am Dienst anpassen müssen.
Außerdem fordert die DSGVO auch bei Auftragsverarbeitern eine "Verarbeitung im Einklang mit den Anforderungen dieser Verordnung" - und das bezieht sich auf pbz. Daten. Bei dem Dienst ja gar nicht um die Verarbeitung pbz. Daten, die sind nur marginale Randerscheinung. Daher ist....
3) ....derzeit meine päferierte Variante.

@taeddyyy
1) Naja, neben Mailadressen wird vermutlich noch die IP-Adresse etc geloggt, aber das hätten sie auch bei dem "einen Großaccount für alle". Aber neben der Mail gibt es nix explizites, also "referatABC123@behörde.de" wäre mMn hinreichend Pseudonym (auch wenn das für den helpdesk blöd wäre) - wollen sie aber eh nicht.

2) Das müssen nicht alle MA nutzen, nur ein verschwindend geringer Bruchteil der MA. Irgendwer muss halt dafür sorgen, dass die fraglichen Daten der Behörde in diesen Dienst eingespielt werden (und es ist mehr als einer, da es verschiedene Datenarten, verschiedene Regionen und verschiedene Niederlassungen gibt).

Das mit der "Wahl" ist ein interessanter Aspekt: Die Behörde kann/muss doch wohl jedem MA sagen "Das ist Deine Aufgabe, wenn Du hier Gehalt bekommen willst!" - da hat der MA keine Wahl.
Aber die Behörde kann angeblich, weil man sich mit einer dienstlichen Mailadresse irgendwo anmelden muss, dem MA nicht sagen "Deine Aufgabe beinhaltet, dass Du folgende Daten in folgendes System reinkloppst, an Du Dich anmelden musst!" ?!?
Seriously, what the Fuck?!?

Wenn diese Interpretation Schule macht, dann arbeitet bald keiner mehr, also zumindest von denen, die nicht wollen. Dann kann ich auch leider keine Fortbildungen mehr machen - die wollen nämlich auch meine Mail-Adresse haben.
 

Hexcode

Moderator
Hardwareluxx Team
Mitglied seit
12.07.2009
Beiträge
8.424
Ort
Königswinter
Solange die "dienstlichen Mailadresse" eine Kombination aus Vorname, Nachname ist - was ja durchaus üblich ist wären das tatsächlich personenbezogene Daten so das die DSGVO greift. In meinen Augen ist es dann unerheblich ob privat oder dienstlich. Von daher wunderte mich gerade das du das mit der Mail so hervorhebst
 

taeddyyy

Experte
Thread Starter
Mitglied seit
20.01.2017
Beiträge
2.382
Irgendwer muss halt dafür sorgen, dass die fraglichen Daten der Behörde in diesen Dienst eingespielt werden
Das wäre für mich aber ein Punkt, der einen AVV rechtfertigen würde. Welche Art von Daten werden denn abseits der MA E-Mail Adressen durch euch erfasst (von denen eingegeben)?
Wie gesagt, sobald das Portal essentiell für deren Betrieb ist, kann ich die Vorgabe verstehen.
Ist das Portal aber nur ein "on top" Produkt welches durch einige Mitarbeiter genutzt werden kann, reicht eine Einwilligung bei der Registrierung.

Mal ein Beispiel wie ich das verstehe:
Wir betreiben Software A -> für den Helpdesk müssen wir uns bei einem Drittanbieterportal anmelden um technischen Support zu bekommen. Der Hersteller bietet keine andere Möglichkeit. Weiterhin gibt es nur einen berechtigten Personenkreis, welcher das Portal nutzen darf, diese müssen sich gegenüber dem Anbieter authentifizieren um Support zu erhalten. Dann sehe ich einen AVV nicht als zwingend an, aber ich könnte ihn theoretisch verlangen.
Wir betreiben Software B -> Das Produkt ist Open Source, entsprechend gibt es viele Stellen sowie Drittanbieter, an die ich mich zwecks Hilfestellung wenden kann. Wo ich das tue ist mir überlassen, ich habe die Wahl.
Entsprechend wäre hier eine Einwilligung ausreichend.

Wenn ich hier auf dem Holzweg bin sagt das ruhig, ist ja ein Diskussionsthread :d


In meinen Augen ist es dann unerheblich ob privat oder dienstlich.
Naja wenn eine Behörde seine MAs dazu verdonnert, sich mit privaten E-Mail Adressen auf irgendwelchen betrieblich genutzten Portalen anzumelden, läuft generell was schief...
 

Hexcode

Moderator
Hardwareluxx Team
Mitglied seit
12.07.2009
Beiträge
8.424
Ort
Königswinter
Ja aber es ist diesbezüglich unerheblich ob private oder ne Behördenmail - die DSGVO greift. Genau genommen selbst bei Pseudonym-Mailadressen solange sie eindeutig eine Nutzer zugewiesen sind.
 

Kuzorra

Enthusiast
Mitglied seit
03.01.2009
Beiträge
3.505
Ort
ein unbeugsames Dorf im Rheinland
Mir ist schon klar, dass eine Mailadresse natürlich personenbeziehbar ist (egal ob Vorname.Nachname oder wildes Pseudonym) und unter die DSGVO fällt.
Die eigentlich Frage (ganz oben drüber) ist:
Warum gibt es denn überhaupt dienstliche Adressen, wenn man auf dem Standpunkt steht: "Ohne AVV darf man die für nix verwenden, was über die rein interne Kommunikation hinausgeht!" ?

Ich muss sicherheitshalber nochmal in unsere Dienstvereinbarungen reinschauen, aber so ein abstruses Verhalten ist mir noch nicht untergekommen - und wir arbeiten mit vielen Behörden zusammen!
Darunter auch BSI und BfDI, keiner macht so einen Aufriss, selbst die anstrengendsten BfDI-ler nicht.

@taeddyyy

1613688720500.png

Die Daten sind im weitesten Sinne GIS-Daten und Metadatenbeschreibungen anhand standardisierter Kategorien, alles ohne jeden Personenbezug. Das "muss" bezieht sich lediglich darauf, dass die fragliche Behörde ein Interesse daran hat, dass ihre Daten dort reinkommen, und sie wollen auch Daten anderer nutzen - daher wollen sie sich ja an den Dienst andocken - und dafür "muss" halt eine Registrierung erfolgen und irgendjemand "muss" den Dienst entsprechend den Wünschen der Behörde konfigurieren.
...will Herr Müller für seine Niederlassung Datenstream A abonnieren und wählt daraus Datenkategorie 1, Hr. Meier aus einer anderen Niederlassung will aber aus Datenstream A nur die Datenkategorie 2 und Hr. Schmitz in der Zentrale will gar nix aus Datenstream A sondern nur den kompletten Datenstream B. Wenn die da alle gleichzeitig in einem einzigen Account rumpfuschen und vielleicht auch noch alle gleichzeitig als dümmste anzunehmende User den Helpdesk nerven, dann ist das zum Scheitern verurteilt.....und Datenlieferanten mit unterschiedlichen Streams und Kategorien sind Müller-Meier-Schmitz im Auftrag ihrer jeweiligen Niederlassungen ja vielleicht auch noch - das geht auch in diese Richtung nicht.
Ob das für die Behörde und die jeweiligen Niederlassungen nun der Herr Müller-Meier-Schmitz macht ist völlig egal, von mir aus auch ReferatABC@behör.de oder Funktionsmail123@xyz.de - aber die können nicht für alle Niederlassungen und alles was sie machen wollen nur einen Account anlegen, der dann gleichzeitig/überlappend/konkurrierend von Müller-Meier-Schmitz genutzt wird.
AVV sehe ich aber auch nicht, denn diese eine Behörde entscheidet nicht über Zwecke und Mittel der Verarbeitung pbz Daten im Rahmen dieses Dienstes.
Ist das so ein wenig klarer beschrieben?
Alle Nutzer des Dienstes profitieren davon, dass sie dort teilnehmen, ihren Kram einspeisen und Daten anderer Nutzer ("Datenlieferanten") finden können, es ist also ein Geben und Nehmen.


In Deinem ersten Beispiel mit "Software A" bleibst Du vage: Ich kann eine AVV verlangen, aber ich muss nicht?!
Wenn ich eine AVV brauche, um eine saubere Grundlage zu haben, dann muss ich sie auch fordern.
Wenn ich sie aber nicht unbedingt brauche, dann muss ich eine andere Grundlage haben. --> Wäre das dann nur die Einwilligung? Ich würde halt die Softwarenutzung sehen, allerdings sind die Nutzungsbedingungen nicht so zwingend formuliert, wie wir es in einem anderen Fall schon durchexerziert haben.

Und ja, es gibt nur einen gewissen berechtigten Personenkreis für den Helpdesk - registrierte Nutzer. Die können auch anrufen, aber dann hab ich ja die Telefonnummer als pbz Datum.
 
Zuletzt bearbeitet:

craxity

Enthusiast
Mitglied seit
09.05.2008
Beiträge
5.037
Ort
Hadamar
@Kuzorra Ich habe mir das nochmal durch den Kopf gehen lassen und finde, dass eine AVV keinen Sinn macht. Ihr verarbeitet die Daten für eure internen Zwecke und nicht bim Auftrag. Das macht ja keinen Sinn, dass die andere Behörde irgendwann ankommt und euch z.B. auffordert alle Daten zu löschen.

Wie schon gesagt, entweder man konstruiert ein Nutzungsverhältnis und b raucht für dessen Abwicklung die Adresse oder eben § 3 BDSG. In beiden Fällen müsst ihr ja den Nutzer hinweisen und das am besten bei der Registrierung. Das individuelle Nutzungsverhältnis wäre meine präferierte Lösung. Bei § 3 BDSG könnte man sich m.E. fragen, ob die Nutzung der ppD wirklich erforderlich ist. Das Fass würde ich gar nicht aufmachen wollen. Müsstest dann ja dem Nutzer erklären, dass er seine individuelle Mail-Adresse angeben uss, obwohl auch eine Gruppenandresse auch funktionieren könnte. Ob das noch erforderlich ist?

Habt ihr eigentlich irgendwelche Regelungen, falls ein Nutzer irgendwelchen Quatsch macht, dass ihr den kicken könnt? Wenn das so ist, habt ihr auf jeden Fall ein Nutzungsverhältnis des Benutzers, unabhängig von irgendeiner Verpflichtung zur Zugangsgewährung ggü einer anderen Behörde.
 

Kuzorra

Enthusiast
Mitglied seit
03.01.2009
Beiträge
3.505
Ort
ein unbeugsames Dorf im Rheinland
Perfekt - ich hab hier ja nur geschrieben, um meine Meinung weitestgehend bestätigt zu bekommen ;-)

Die Möglichkeiten zur "misbehaviour detection" bzw. Sanktionierung muss ich nochmal in den Nutzungsbedingungen nachschauen. (Fachlich hab ich von dem Dienst ja eigentlich keine Ahnung, ich bin jetzt nur dazu gekommen, ewil die Partout auf einer AVV zu bestehen scheinen und die fachlich Verantwortlichen nicht wussten/wissen, wie sie damit umgehen sollen.)
 

konfetti

Enthusiast
Mitglied seit
10.08.2006
Beiträge
1.719
Ort
Lower East Bavaria
Deren Argumentation:
Ohne AVV hätten wir keine Rechtsgrundlage um die Mailadressen zu verarbeiten. Vertragsverhältnis nach Art. 6(1)b DSGVO kommt nicht infrage, da die Betroffenen (also die jeweiligen Mitarbeiter, die sich mit ihrer Mailadresse anmelden müssten), ja gar nicht unser Vertragspartner sind, sondern nur die Behörde. Die wäre aber nicht weisungsbefugt und kann ihre Mitarbeiter nicht zwingen, Ihre pbz. Daten zu offenbaren.
Ähm, Melden die MA sich mit ihren PRIVATEN Mailadressen dort an, oder mit denen, die der AG, also die Behörde dem MA zur Verfügung stellt?
Bei einer Dienstlich genutzten Mailadresse besteht zwar auf Seiten des AG das Postgeheimnis, sofern die Privatnutzung nicht explizit verboten ist (ist ja normal), da sonst ja keine Stellvertretungen möglich sind...
Die Dienstliche Mailadresse gehört also dem AG, der dem User die Benutzung gestattet - scheidet der User aus dem Unternehmen/Behörde aus, verfällt ja die Mailadresse auch - die nimmt ja niemand mit.

Das wäre also der Punkt der mich hier am meisten in der Argumentation stutzig macht.

- Um das zu "anonymisieren" gibt es z.B. auch große Firmen, die haben keinen Namen als Mailadresse, sondern z.B. einen Personenschlüssel - da bekommt man dann eine Mail von 6223456@Firmenname.com
Den Namen hat man dann quasi nur über die Signatur... - also kann der Dienst ja quasi Anonym genutzt werden...
Beitrag automatisch zusammengeführt:

Ja aber es ist diesbezüglich unerheblich ob private oder ne Behördenmail - die DSGVO greift. Genau genommen selbst bei Pseudonym-Mailadressen solange sie eindeutig eine Nutzer zugewiesen sind.
Die Frage ist hier aber, wer kann das zuweisen? - sofern das nur der kann, der die Mailadressen im eigenen System verwaltet und nicht die Verarbeitende Stelle, also das "Portal" ist das ja unerheblich...
 

Kuzorra

Enthusiast
Mitglied seit
03.01.2009
Beiträge
3.505
Ort
ein unbeugsames Dorf im Rheinland
Naja, "anonym" ist die 62...@firma.de natürlich nicht - nur pseudonym.

Aber die von Dir geschilderte Sicht ist durchaus interessant. Die argumentieren halt, dass sie ihre MA nicht dazu zwingen können sich mit ihren dienstlichen, personenbeziehbaren Adressen anzumelden. Das würde für mich im Umkehrschluss heißen, dass sie ihren MA überhaupt keine Bedingungen stellen, unter denen die von der Behörde bereitgestellten Mailadresse zu nutzen sind.
Sinngemäß "du musst die zur Kommunikation mit externen nutzen" sollte da schon drin stehen..... Ich geh dem mal nach.
 

craxity

Enthusiast
Mitglied seit
09.05.2008
Beiträge
5.037
Ort
Hadamar
@Kuzorra Wie legitimieren sich die Nutzer eigentlich bei der Registrierung?

Ähm, Melden die MA sich mit ihren PRIVATEN Mailadressen dort an, oder mit denen, die der AG, also die Behörde dem MA zur Verfügung stellt?
Spielt doch eigentlich keine Rolle, oder? E-Mail-Adressen muss man doch immer als pbD behandeln. Pseudonymisierung setzt ja voraus, dass man extra Vorkehrungen trifft, dass man die Informationen nicht zusammenführen kann. Nur weil die E-Mail-Adresse nicht gleich den Namen enthält, wird sie nicht pseudonymisiert.

EDIT: Es wäre doch auch irgendwie unpraktikabel, wenn man da unterscheidet. Man müsste dann E-Mail-Adressen mal als pbD und mal als npbD behandeln.
 

konfetti

Enthusiast
Mitglied seit
10.08.2006
Beiträge
1.719
Ort
Lower East Bavaria
Naja, "anonym" ist die 62...@firma.de natürlich nicht - nur pseudonym.

Aber die von Dir geschilderte Sicht ist durchaus interessant. Die argumentieren halt, dass sie ihre MA nicht dazu zwingen können sich mit ihren dienstlichen, personenbeziehbaren Adressen anzumelden. Das würde für mich im Umkehrschluss heißen, dass sie ihren MA überhaupt keine Bedingungen stellen, unter denen die von der Behörde bereitgestellten Mailadresse zu nutzen sind.
Sinngemäß "du musst die zur Kommunikation mit externen nutzen" sollte da schon drin stehen..... Ich geh dem mal nach.

Also wenn der Arbeitgeber keine Dienstanweisung hat, wie mit den Kommunikationsmitteln umzugehen ist, wundert mich das bei einer Behörde natürlich eher weniger, eigentlich ein trauriges Bild.
Bei uns gibt es ganz klare Anweisungen - keine Private Verwendung der Mailadressen, etc. - zum einen wegen der Vertreterregelung und zum anderen auch wegen dem "Postgeheimnis".

Es gibt auch Dienstanweisungen für Internetnutzung und Telefon - das ist ja eigentlich normal.

Wegen der Rolle, ob die sich mit der privaten oder dienstlichen Mail-Adresse anmelden - es gibt ja immer noch Sonderformen im Bezug auf B2B und B2C Kontakte, gerade was die Verarbeitung der Daten zum Grunde der Authentifizierung als "Berechtigter Nutzer der Plattform" angeht.
Daher würde ich gerade bei so einer Plattform ja auch nicht jede Mail-Domain akzeptieren - ist auch ein gängiges Mittel z.B. in Support-Portalen bei HW-Herstellern.

Wir hatten bei meinem früheren AG mal einen Abteilungsleiter beim Kunden, der wollte mit seiner privaten Mail-Adresse Zugriff auf die Tickets der Firma haben - wurde von seinem AG aber abgelehnt.
Die User konnten sich mit ihrer Firmen-Mailadresse registrieren und nach Freischaltung durch deren Admin dann entweder nur Tickets aufmachen, oder auch andere Tickets sehn - damit hatten wir außer im Fehlerfall auch keine Berührung an Daten, die dort drin lagen.
 

Kuzorra

Enthusiast
Mitglied seit
03.01.2009
Beiträge
3.505
Ort
ein unbeugsames Dorf im Rheinland
Zum einen wird auf die Domains geschaut, zum anderen ist die Behörde an sich registriert und benennt (zumindest mal den ersten Schwung) Adressen/Mitarbeiter, so dass ein Basissatz an Acounts angelegt werden kann. Weitere Nachmeldungen folgen analog, zum einen über die Behörde und der Check über die Mail-Domain
 
Oben Unten