expertenaustausch > soc.* > soc.datenschutz

Sascha Flörchinger (27.06.2003, 10:57)
Hallo!

Ich bin betrieblicher Datenschutzbeauftragter in einem
Großhandelsunternehmen.

Kann mir jemand empfehlenswerte und praxisnahe Literatur nennen, die mir bei
der Aufgabe hilft? Ideal wäre es, wenn es so etwas mit Mustervorlagen und
Checklisten gibt.

Gruss

Sascha Flörchinger
Roland Waidhas (29.06.2003, 17:27)
Hallo Sascha,

> Kann mir jemand empfehlenswerte und praxisnahe Literatur nennen, die mir bei
> der Aufgabe hilft? Ideal wäre es, wenn es so etwas mit Mustervorlagen und
> Checklisten gibt.

Kuck doch mal bei Datakontext.de da findest Du bestimmt was. Ansonsten gibts
verschiedense Kommentare zum BDSG im Buchhandel.

Tschuess Roland
Guni Abel (30.06.2003, 12:21)
x-no-archive:yes
Hallo Sascha,
>Ich bin betrieblicher Datenschutzbeauftragter in einem
>Großhandelsunternehmen.
>Kann mir jemand empfehlenswerte und praxisnahe Literatur nennen, die mir bei
>der Aufgabe hilft? Ideal wäre es, wenn es so etwas mit Mustervorlagen und
>Checklisten gibt.


Klar, no Prob.

1) Deine *Bibel*


2) Die Arbeitsanleitung

( Kann ich Dir auch Mailen, bzw. wenn groesseres, allgemeines
Interesse besteht, aufs Web legen ( ca. 11MB PDF 2.194 Seiten ;-)

3) Als Einstieg
koenntest Du gleich mal bei dem Web-Server https, bei Uebertragung
von Personendaten einfuehren.

4) Noch ne persl. Frage
Wie war Deine *Pruefung* nach BDSG § 36 Abs. 2

5) Wenn Interesse besteht kann ich mal , nach Absprache, einen
*Angriff* fahren. ( Portscan & Exploits)

Oje, was seh ich da:
NT4/Windows 98 Microsoft-IIS/4.0 5-Oct-2001

HTH&HAND
Roland Waidhas (30.06.2003, 23:30)
Hallo Guni,

> 1) Deine *Bibel*
>

LOL.....bist ja ein richtiger Profi. Diese Version ist seit Mai 2001 nicht
mehr gültig. Du solltest Deine Links ab und zu mal überprüfen.

> 3) Als Einstieg
> koenntest Du gleich mal bei dem Web-Server https, bei Uebertragung
> von Personendaten einfuehren.

Ja....klar. Ist ja auch das wichtigste für einen frischen DSB. Schon mal was
von Verfahrensverzeichnis und Mitarbeiterschulung gehört?

> 4) Noch ne persl. Frage
> Wie war Deine *Pruefung* nach BDSG § 36 Abs. 2 Welcher §36? Das ist schon ne ganze Zeit lang der §4f.


> 5) Wenn Interesse besteht kann ich mal , nach Absprache, einen
> *Angriff* fahren. ( Portscan & Exploits)

Wenn Dir das genauso wenig Probleme wie der Datenschutz macht dann nur zu.
Mit was fährst Du die Angriffe? Ich nehme an mit ner richtig fetten
Hackerkiste.

> Oje, was seh ich da:
> NT4/Windows 98 Microsoft-IIS/4.0 5-Oct-2001

Du bist sicher einer der mit Tux per Du ist? Klar ist ja auch das richtige
System für Profis. :))

Tschuess Roland
Roland Waidhas (01.07.2003, 22:47)
Hallo Guni,

> Mal die neue Fassung im schattigen Biergarten reinziehen ;-)
> Ist ja auf den ersten Blick nicht besser geworden. Dann kuck dir gleich die neueste Version vom Januar 2003 an.


> >von Verfahrensverzeichnis und Mitarbeiterschulung gehört?

> Nette Umschreibung für: Inventarliste und F-1 Taste.
> ..duerfte so die weitlaeufige Praxis sein.

Ich bin der Meinung, dass ein Verfahrensverzeichnis weit mehr als eine
Inventarliste ist. Es geht darin nicht um eingesetzte Hard- und Software
sondern um die eingesetzten Datenschutzverfahren. Die haben IMHO wenig mit
eingesetzter Hard- und Software gemeinsam.

> Daten verschluesselt uebers Netz zu senden. Stichwort SSL
> Also da seh ich schon einen Mangel an Sicherheit/Schutz
> ...meiner würdigen Belange.
> Designmangel beim Web-Server sowieso.

Ich denke, dass das nicht die vordringlichste Aufgabe eines Datenschützers
sein muss. Es gibt erst einmal wichtigeres als eine SSL Verschlüsselung.

> Anlage (zu § 9 Satz 1) Abs. 4
> *.........zu gewährleisten, dass personenbezogene Daten bei der

[...]
Ja sicher. Aber erst mal die oben angesprochenen Aufgaben und dann eins nach
dem anderen.

> Wenn Du nen Buch-Tip hast, Kommentare zum BDSG,
> nur her damit.

Kommentar zum Datenschutzrecht von Bermann, Möhrle, Herb. Gibts in drei
Ordnern die ständig erweitert werden.
Oder der Kommentar vom Datenschutzguru Spiros Simitis.

Tschuess Roland
Sascha Flörchinger (02.07.2003, 11:38)
Ich sehe dies im Moment auch so: Eins nach dem anderen. Zumal ich dies nicht
in Vollzeit mache, sondern "nebenbei" und somit nicht an einem Tag das ganze
Unternehmen nach dem BDSG überprüft und umgekrempelt habe.

Das mit dem Imagegewinn kann man so pauschal nicht sagen. Unser Klientel
legt da nicht besonders viel Wert darauf.

Wie kommst Du eigentlich auf "NT4/Windows 98 Microsoft-IIS/4.0
5-Oct-2001"?

Nochmal Danke für die Quellen!

Gruss

Sascha Flörchinger
[..]
Sascha Flörchinger (02.07.2003, 15:07)
Ich glaube, da bist Du auf dem Holzweg:

Die Homepage liegt nicht auf einem Webserver in unserem Netz sondern bei
einem Dienstleister. Was der für einen Webserver nutzt, ist mir relativ
egal, das ist sein Problem.

"Guni Abel" <mailliste> schrieb im Newsbeitrag
news:ovrj
[..]
Sascha Flörchinger (02.07.2003, 15:18)
Hallo Guni!

> 3) Als Einstieg
> koenntest Du gleich mal bei dem Web-Server https, bei Uebertragung
> von Personendaten einfuehren.

Wieso sollte ich auf unserer Site https einführen? Da werden keine
personenbezogenen Daten übermittelt. In den Bereichen, wo personenbezogene
Daten übermittelt werden, gibt es auch eine https-Verschlüsselung.

> 4) Noch ne persl. Frage
> Wie war Deine *Pruefung* nach BDSG § 36 Abs. 2 BDSG § 36 Abs 2? Gibts nicht mehr. Was willst Du genau wissen?


> 5) Wenn Interesse besteht kann ich mal , nach Absprache, einen
> *Angriff* fahren. ( Portscan & Exploits) Nicht nötig, Danke!


Gruss

Sascha Flörchinger
Guni Abel (03.07.2003, 09:30)
x-no-archive:yes
Hallo Sascha,

>Wieso sollte ich auf unserer Site https einführen? Da werden keine
>personenbezogenen Daten übermittelt. In den Bereichen, wo personenbezogene
>Daten übermittelt werden, gibt es auch eine https-Verschlüsselung. hab ich so gesehen, kann mich aber auch taeuschen.


>BDSG § 36 Abs 2? Gibts nicht mehr. Was willst Du genau wissen?

Wollte wissen, wie Deine Pruefung war.
Ist aber nicht wichtig.
Roland Waidhas (03.07.2003, 20:58)
Hallo Guni,

> >BDSG § 36 Abs 2? Gibts nicht mehr. Was willst Du genau wissen?

> Wollte wissen, wie Deine Pruefung war.
> Ist aber nicht wichtig.

Wie kommst du eigentlich darauf, dass man als Datenschutzbeauftragter eine
Prüfung braucht? Oder verstehe ich Dich da falsch?

Tschuess Roland
Dirk Nimmich (03.07.2003, 21:44)
Roland Waidhas schrieb:
> Hallo Guni,
>> >BDSG § 36 Abs 2? Gibts nicht mehr. Was willst Du genau wissen?

>> Wollte wissen, wie Deine Pruefung war.
>> Ist aber nicht wichtig.

> Wie kommst du eigentlich darauf, dass man als Datenschutzbeauftragter eine
> Prüfung braucht?


Nach § 36 II BDSG alt bzw. § 4f II BDSG neu muß man als DSB die
"erforderliche Fachkunde" besitzen. Die kann man u. a. durch eine
Prüfung nachweisen.
Roland Waidhas (04.07.2003, 10:13)
Hallo,

> >Nach § 36 II BDSG alt bzw. § 4f II BDSG neu muß man als DSB die
> >"erforderliche Fachkunde" besitzen. Die kann man u. a. durch eine
> >Prüfung nachweisen.

Die Betonung liegt auf kann. Es muss niemand eine Prüfung der Fachkunde
vorweisen.

> genau, und diese *Fachkunde* prueft naemlich niemand nach.
> Und das seh ich als Mangel an. Wer sagt denn das? Schon mal besuch von der Aufsichtsbehörde gehabt?


> Mit der Erweiterung *Person ausserhalb der verantwortlichen Stelle*
> kann es _uebertrieben gesagt_ auch die Putzfrau sein.

Klar...wenn die Putzfrau die benötigte Fachkunde und Zuverlässigkeit hat
sehe ich da kein Problem.

> Obwohl ich mich sonst gegen Reglementierungen wehre, denke ich
> hier schon an eine Pruefung, durch z.B. IHK.

Mir fällt momentan nur eine Organisation ein, die geprüfte
Datenschutzbeauftragte hervorbringt und das ist die UDIS in Ulm. Wer den
dreiwöchigen Kurs und die anschliessende Abschlussprüfung bestanden hat
bekommt ein Zeugnis über die Qualifikation als Datenschutzbeauftragter.
Dieses Zeugnis gilt als Nachweis der Fachkunde nach §4f BDSG.

Tschuess Roland
Guni Abel (07.07.2003, 07:40)
x-no-archive:yes
Hallo Roland,

>Die Betonung liegt auf kann. Es muss niemand eine Prüfung der Fachkunde
>vorweisen. Genau.
>> genau, und diese *Fachkunde* prueft naemlich niemand nach.
>> Und das seh ich als Mangel an.

>Wer sagt denn das? Schon mal besuch von der Aufsichtsbehörde gehabt?

Jetzt machst Du mich allerdings neugierig.
Nein, hatte ich in >14 Jahren Datenschleuderei noch nie!
Hab das auch noch nie gesehen/gehoert, bei Kunden auch nicht.
Was wollen die denn prüfen?
Unbefugter Zugang? SQL Abfragen? Besuch im Data Warehouse?
Datenbestand? Gesetzestexte abfragen?

>Mir fällt momentan nur eine Organisation ein, die geprüfte
>Datenschutzbeauftragte hervorbringt und das ist die UDIS in Ulm. Wer den
>dreiwöchigen Kurs und die anschliessende Abschlussprüfung bestanden hat
>bekommt ein Zeugnis über die Qualifikation als Datenschutzbeauftragter.
>Dieses Zeugnis gilt als Nachweis der Fachkunde nach §4f BDSG.


Hab ich mir angesehen, im Web.
Das ist IMHO schon ein Schritt in die richtige Richtung.
Wenngleich ein 16 taegiges Seminar, fuer Klein und Mittelstaendler
schon fast ueberdimensioniert erscheint.
Die Kosten sind ja auch nicht ohne.
(Kursgebuehr+Lohn+Verpflegung/Uebernachtung)
Waer ja nicht schlecht, wenn das die lokalen Unis anbieten wuerden,
jammern ja eh uebers Geld.
Roland Waidhas (08.07.2003, 23:09)
Hallo Guni,

> Jetzt machst Du mich allerdings neugierig.
> Nein, hatte ich in >14 Jahren Datenschleuderei noch nie!
> Hab das auch noch nie gesehen/gehoert, bei Kunden auch nicht.
> Was wollen die denn prüfen?
> Unbefugter Zugang? SQL Abfragen? Besuch im Data Warehouse?
> Datenbestand? Gesetzestexte abfragen?


In der Regel kommen die Mitarbeiter der Aufsichtsbehörden nicht einfach so
vorbei. Es hat entweder eine Beschwerde eines Betroffenen oder des
Betriebsrats gegeben. Vielleicht hast Du die Diskussion um Wiso Mein Geld 4
mitverfolgt? Da wurde die Aufsichtsbehörde nach etlichen Beschwerden der
Mein Geld Benutzer tätig.
Nuja....als erstes kommt dann der Datenschutzer drann. Fachkunde,
Verfahrensverzeichnis und Tätigkeitsnachweise sind gefragt. Nuja...und dann
gehts um den konkreten Fall. Eventuell auch noch um allgemeine
Datenschutzthemen wie Anhang zum §9.
Ich gehe davon aus, dass sich die Vorgehensweisen der einzelnen
Aufsichtsbehörden unterscheiden.

Tschuess Roland
Guni Abel (11.07.2003, 11:53)
x-no-archive:yes
Hallo Roland,

>In der Regel kommen die Mitarbeiter der Aufsichtsbehörden nicht einfach so
>vorbei. Es hat entweder eine Beschwerde eines Betroffenen oder des
>Betriebsrats gegeben. Vielleicht hast Du die Diskussion um Wiso Mein Geld 4
>mitverfolgt? Da wurde die Aufsichtsbehörde nach etlichen Beschwerden der
>Mein Geld Benutzer tätig.

ja, das hab ich gelesen.
<Ironie>
Die wollten aber _nur_ validieren.
Dass man daraus auch ein Profil erstellen kann ist Ihnen sicher nicht
aufgefallen.
</Ironie>
Merkst Du was? ..nach etlichen Beschwerden..
Schnell sind die nicht, und von selbst machen die auch nicht soviel.

>Nuja....als erstes kommt dann der Datenschutzer drann. Fachkunde,
>Verfahrensverzeichnis und Tätigkeitsnachweise sind gefragt. Nuja...und dann
>gehts um den konkreten Fall. Eventuell auch noch um allgemeine
>Datenschutzthemen wie Anhang zum §9.
>Ich gehe davon aus, dass sich die Vorgehensweisen der einzelnen
>Aufsichtsbehörden unterscheiden.


Da laeuft gerade ein sehr aktuelles Beispiel ab
Message-ID: <message-id>

Da ist *angeblich* TeleInfo in eine Spam-Falle getappt.
Wenn ich mir die Presseerklärung dazu anschaue, wird da aufgeführt:
[Zitat an...]
Fakt ist: §4f(1) Verpflichtung zur schriftliche Bestellung eines
qualifizierten Beauftragten für den Datenschutz spätestens 4 Wochen
nach Aufnahme der Tätigkeit. Falls das nicht geschehen ist, dann gilt
§4d. Auch §5 Datengeheimnis ist zu beachten. Weiterhin §9 Technische
und organisatorische Massnahmen. §4g(2) regelt die Dokumentation zur
Information an jedermann (Datenverarbeitungsregister).
[...Zitat aus]

Ich interpretier das so:
§4f(1) trifft nicht zu, da Einzelperson.
§4d trifft auch nicht zu wegen Abs. 3
§9 leider auch nicht
§4g(2) seh ich auch keinen Sinn

Es geht hier um IP Nummern, und die sind, da sie zu einer
juristischen Person gehoeren, keine personenbezogenen Daten.

In diesem Zusammenhang kommen mir ernste Zweifel
zu § 4f(2), wer IMHO, solche falschen § anfuehrt,
der kann doch gar keine Fachkenntnis haben, oder?

Da diese Firma auch die ganzen Haeuser in der BRD
abfotografiert hat, ein sensibler Datenbestand,
wuerde ich gerne mal die o.g. Verfahrenweise, bei denen
mal Anwenden.

Der NRW Datenbeauftragte hat sich mit denen ja schon mal beschaeftigt.
#

Hier noch die relevanten Links:
#
#
#

Schoenes WoEn.
Ähnliche Themen