Die Aufsichtsbehörden haben ein Prüfschema für das Microsoft-Betriebssystem veröffentlicht. Nur bei einem tragbaren Restrisiko kann dieses verwendet werden.

Die Datenschutzbeauftragten von Bund und Ländern sehen wenig Spielraum, Microsofts Betriebssystem Windows 10 rechtskonform zu nutzen. "Es ist zunächst Aufgabe des Verantwortlichen sicherzustellen und zu dokumentieren, dass die datenschutzrechtlichen Anforderungen beim Einsatz von Windows 10 jederzeit eingehalten werden", schreiben sie in einem jetzt veröffentlichten Prüfschema. Dabei gelte es darauf zu achten, ob und gegebenenfalls "welche personenbezogenen Daten an Microsoft übermittelt werden" und ob für diese Transfers eine Rechtsgrundlage vorliege.
--> https://www.heise.de/newsticker/meldung/Datenschutzkonferenz-Hohe-Huerden-fuer-den-Einsatz-von-Windows-10-4584678.html

Link zum Prüfschema
--> https://tlfdi.de/mam/tlfdi/gesetze/orientierungshilfen/beschluss_zu_top_13_win10_prufschema.pdf

Könnte man durchaus so interpretieren, daß man als KMU ohne eigene IT-Abteilung (zum evaluieren/re-evaluieren & dokumentieren nach jedem Windows-Update) Windows10 eigentlich nicht DSGVO-Konform betreiben kann.

Bin mal gespannt, wie sich das in der Praxis gestaltet.

Als KMU kommt man oftmals um Windows ja nicht herum, weil es für die eingesetzte Software keine Alternative gibt.

Spannend.

Wir sind ja nur ein Mini-Unternehmen, aber wir haben alles auf Basis der LTSC 2019 Version angepasst (Custom Image). Die Datenschutz GPOs für Windows 10 und MS Office gehen komplett augeklappt über mehrere Seiten :x. Ebenfalls Pflicht: Hardware Firewall mit Proxy und Filterfunktionen (z.B. für die MS Tracker/Telemetrieserver etc.). Durch die LTSC Version sind schon viele fragwürdige Apps und Funktionen von vornherein gar nicht erst installiert/aktiviert. Für Unternehmen mit mehreren Arbeitsplätzen sind die Enterprise Lizenzen allerdings ein schon nicht zu vernachlässigender Kostenpunkt. Die meisten werden wohl mit einem kostenlosen Upgrade von einer Windows 7/8 prof. Version fahren und somit Windows 10 prof. nutzen.

Als KMU kommt man oftmals um Windows ja nicht herum, weil es für die eingesetzte Software keine Alternative gibt.



Die rechtliche Bewertung dürfte wahrscheinlich dahingehend ausgehen, das es eigentlich nich rechts-konform ist, allerdings in der Windows-Welt keine Alternativen zur Verfügung stehen und damit je nach eingesetzter Software keine andere Möglichkeit existiert. Sehr lustig. Sollte aber dennoch eigentlich den Anstoß geben, im professionellen Umfeld auf Linux zu wechseln.

"Lustig". Läuft Datev auf Linux? Nein.

Wobei das "nur" die Meinung der deutschen Aufsichtsbehörden ist. Sofern mein Geschäftszweck nicht die Verarbeitung besonderer Kategorien personenbezogener Daten ist oder die Daten bei Abfluss/Verlust besonderen Schaden anrichten können, würde ich mich persönlich vor einem entsprechenden Urteil des EuGH auf Art. 25 Abs. 1 DSGVO berufen:

"Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z. B. Pseudonymisierung –, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen."

Die DSGVO differenziert hier ja ausdrücklich nach Risiko, Kosten und Stand der Technik. Steht mir bestimmte Software nur für Windows zur Verfügung, muss es als organisatorische Maßnahme ausreichen, die Telemetrie nach bestem Wissen abzuschalten.

Als Nachweis der Methodik der Maßnahme habe ich mir dazu den Leitfaden des BSI abgespeichert:

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/SiSyPHus/Analyse_Telemetriekomponente.pdf?__blob=publicationFile&v=3

Außerdem ist die DSGVO europäisches Sekundärrecht, darüber steht z.B. noch die Grundrechtecharta. Da muss der Datenschutz dann mit anderen Rechten konkurrieren, wie z.B. dem auf Berufsfreiheit. Wenn ich z.B. bestimmte Software für meinen Beruf/Unternehmen benötige, kann man auch darüber argumentieren.

Wir haben in der Firma auch zig Programme von unseren Herstellern, die ausschließlich für Windows zur Verfügung stehen und keinerlei Macht oder Hebel, daran etwas ändern zu können.

Wobei das "nur" die Meinung der deutschen Aufsichtsbehörden ist.
Das speziell ja, aber anderswo ist man schon zuvor zum selben Schluss gekommen.

Sofern mein Geschäftszweck nicht die Verarbeitung besonderer Kategorien personenbezogener Daten ist oder die Daten bei Abfluss/Verlust besonderen Schaden anrichten können, würde ich mich persönlich vor einem entsprechenden Urteil des EuGH auf Art. 25 Abs. 1 DSGVO berufen:
Besondere Kategorien verschaerfen die Anforderungen nur. Das heisst nicht, dass ohne besondere Kategorien grundsaetzliche Anforderungen aus- oder aufgehoben sind. So kann man nicht argumentieren.

Die DSGVO differenziert hier ja ausdrücklich nach Risiko, Kosten und Stand der Technik.
Das ist richtig und wird oft uebersehen, bzw. sogar das Gegenteil behauptet. Danke dass du das einbringst ;)

Steht mir bestimmte Software nur für Windows zur Verfügung, muss es als organisatorische Maßnahme ausreichen, die Telemetrie nach bestem Wissen abzuschalten.
Nein, das kann man so nicht sagen. Es ist fuer die Aufsicht leicht zu argumentieren, dass du dann halt fuer diese spezielle Software gesonderte Geraete oder eine VM benutzen kannst. Muessen mit dieser Software ueberhaupt zwingend personenbezogene Daten verarbeitet werden? Oft ist das ja nichtmal der Fall, womit die Trennung sehr leicht faellt.

Dass du nach bestem Wissen handelst, schliesst du schon selbst in dem Satz aus, in dem du sagst, dass du an der Telemetrie schraubst. Damit ist dir voellig klar, dass sie sich nicht komplett deaktivieren laesst (und auch ohne diesen Umstand wuerde es nichts andern, da Torheit nicht vor Strafe schuetzt, und das wirklich sehr leicht nachzuvollziehen ist).

Zudem sind organisatorische Massnahmen dafuer gedacht, deine eigenen Prozesse abzusichern. Soll helfen, den Schaden bei "Datenklau", leichtsinnigen Umgang von Mitarbeitern usw. zu minimieren. Eine Rechtsgrundlage gibt es dir aber nicht und die ist nunmal Voraussetzung.

Außerdem ist die DSGVO europäisches Sekundärrecht, darüber steht z.B. noch die Grundrechtecharta. Da muss der Datenschutz dann mit anderen Rechten konkurrieren, wie z.B. dem auf Berufsfreiheit. Wenn ich z.B. bestimmte Software für meinen Beruf/Unternehmen benötige, kann man auch darüber argumentieren.
Schutz personenbezogener Daten steht auch in der Charta der Grundrechte. Und zwar davor ;p
Die DSGVO ist das Werk, dass den weiteren Rechtsrahmen um dieses Grundrecht bildet.

Nein, das kann man so nicht sagen. Es ist fuer die Aufsicht leicht zu argumentieren, dass du dann halt fuer diese spezielle Software gesonderte Geraete oder eine VM benutzen kannst. Muessen mit dieser Software ueberhaupt zwingend personenbezogene Daten verarbeitet werden? Oft ist das ja nichtmal der Fall, womit die Trennung sehr leicht faellt.

Es geht doch gerade darum, dass z.B. Datev und andere spezielle Programme, welche personenbezogene Daten verarbeiten nur mit Windows (10) lauffähig sind. Also muss es ausreichen, z.B. die Telemtrie von Windows mit einer Firewall/Router zu blockieren. Ansonsten können wir wieder zurück zu Papier und Stift.

Solange die großen US-Techkonzerne wie Amazon, Facebook oder Google hier ihr Unwesen mit einem Geschäftsmodell, welches der DSGVO um 180 Grad entgegensteht treiben und dafür zudem kaum Steuern zahlen, nehme ich diese übertriebene Panikmache nicht ganz ernst. ;)

Mal eine Frage: Wenn die Server schon in VMs laufen (wo die personenbezogenen Daten gespeichert sind) ist dann "alles Gut" oder muss dennoch die Telemetrie blockiert werden?

Mal eine Frage: Wenn die Server schon in VMs laufen (wo die personenbezogenen Daten gespeichert sind) ist dann "alles Gut" oder muss dennoch die Telemetrie blockiert werden?
nur weil's in ner vm läuft, heißt das noch nicht, dass win10s telemetriefunktionen deaktiviert sind. ist die vm bzw. deren zugang zum netz nicht entsprechend konfiguriert, dann telefoniert auch ein win10 in ner vm nach hause.

Ich sag nur Office 365 für Firmen. Jeder User braucht einen Zwangs Microsoft Account. Das ist viel schlimmer als Windows 10 Telemetriedaten.

Ja, aber es ist immer noch keine Firma gezwungen O365 zu benutzen. Ausserdem hilft das dem TS in dem Fall auch nicht weiter.

Ansonsten können wir wieder zurück zu Papier und Stift.
Schliesst dich uebrigens nicht aus, solange die Akten halbwegs geordnet sind, denn dann gilt Technologieneutralitaet.

Solange die großen US-Techkonzerne wie Amazon, Facebook oder Google hier ihr Unwesen mit einem Geschäftsmodell, welches der DSGVO um 180 Grad entgegensteht treiben und dafür zudem kaum Steuern zahlen, nehme ich diese übertriebene Panikmache nicht ganz ernst. ;)
Uebertriebene Panikmache ist es auch, wenn immer vorgeworfen wird, GAFA seien die einzigen, die keine Steuern zahlten. Schau mal was hiesige Grosskonzerne international zahlen. Das hat mit deinen Rechten und Pflichten aber absolut gar nichts zu tun.

Uebrigens leben die rein von ihren Zulieferern. Und das sind u.a. unzaehlige Kleinbetriebe. Firmen, die auf ihre Homepage Analytics klatschen, ihre Daten auf Google Drive haben, alles nur noch auf AWS hosten oder Windows 10 und Office365 benutzen. Ueberleg dir das mal.

Besondere Kategorien verschaerfen die Anforderungen nur. Das heisst nicht, dass ohne besondere Kategorien grundsaetzliche Anforderungen aus- oder aufgehoben sind. So kann man nicht argumentieren.

Ich wüsste nicht, warum ich nicht so argumentieren können sollte. :) Nirgendwo in der DSGVO oder dem BDSG-neu steht, dass man kein Windows 10 verwenden darf oder Telemetrie verboten ist. Sofern die Datenverarbeitung an und für sich rechtmäßig ist, wäge ich daher nach Art. 25 Abs. 1 DSGVO ab, welcher Schutzbedarf für die zu verarbeitenden Daten besteht.

Nein, das kann man so nicht sagen. Es ist fuer die Aufsicht leicht zu argumentieren, dass du dann halt fuer diese spezielle Software gesonderte Geraete oder eine VM benutzen kannst. Muessen mit dieser Software ueberhaupt zwingend personenbezogene Daten verarbeitet werden? Oft ist das ja nichtmal der Fall, womit die Trennung sehr leicht faellt.

Die Telemetrie existiert in der VM oder auf einem separaten Gerät genauso. Die Frage, ob mit der jeweiligen Software überhaupt personenbezogene Daten verarbeitet werden müssen, ist natürlich berechtigt. In unserem Fall ist das so. Ohne z.B. Fahrgestellnummern zu verarbeiten, wären diverse Programme nicht nutzbar. (Fahrgestellnummern gelten als personenbezogene Daten.) Selbst wenn aber keine personenbezogenen Daten damit verarbeitet werden und es nur um andere Software auf dem gleichen Rechner geht, würde ich mir im Einzelfall anschauen, wie hoch der Schutzbedarf der Daten und in Relation die Kosten für VMs und extra Geräte wären.

Zudem sind die Aufsichtsbehörden nicht das alleinige Maß aller Dinge. Deren Aufgabe ist es richtigerweise, den Datenschutz besonders strikt auszulegen. Unter dem Strich zählt aber nur, was in der DSGVO bzw. dem BDSG-neu steht und wie die Gerichte das auslegen. Die Frage ist hier mehr, wie hoch meine Bereitschaft ist, das zur Not auch auszufechten, wenn halt noch nichts vom EuGH vorliegt.

Dass du nach bestem Wissen handelst, schliesst du schon selbst in dem Satz aus, in dem du sagst, dass du an der Telemetrie schraubst. Damit ist dir voellig klar, dass sie sich nicht komplett deaktivieren laesst (und auch ohne diesen Umstand wuerde es nichts andern, da Torheit nicht vor Strafe schuetzt, und das wirklich sehr leicht nachzuvollziehen ist).

Da würde ich widersprechen bzw. müsste „bestes Wissen“ weiter definiert werden. Grundsätzlich weiß ich von keiner Anwendung und von keinem Betriebssystem mit absoluter Sicherheit, was die im Hintergrund treiben. Ich muss auch nicht jede erdenkliche Maßnahme umsetzen, nur weil sie existiert. Deswegen ja „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken[…]“.

Und wenn das BSI schreibt, die Telemetrie lässt sich wirksam deaktivieren, siehe in obigem Beitrag verlinktes PDF, habe ich durchaus Argumente auch vor der Aufsichtsbehörde in der Hand.

Zudem sind organisatorische Massnahmen dafuer gedacht, deine eigenen Prozesse abzusichern. Soll helfen, den Schaden bei "Datenklau", leichtsinnigen Umgang von Mitarbeitern usw. zu minimieren. Eine Rechtsgrundlage gibt es dir aber nicht und die ist nunmal Voraussetzung.

Die Rechtsgrundlagen der Verarbeitung erhalte ich aus Art. 6 Abs. 1 DSGVO, Art. 9 DSGVO und § 26 BDSG. Die sind erst mal völlig unabhängig von den technischen und organisatorischen Maßnahmen, die ich treffen muss. Wie die auszusehen haben, kann ich dann aus Art. 5 und Art. 25 DSGVO ableiten. Hier wird dem Verantwortlichen durchaus Handlungsspielraum gegeben.

Schutz personenbezogener Daten steht auch in der Charta der Grundrechte. Und zwar davor ;p
Die DSGVO ist das Werk, dass den weiteren Rechtsrahmen um dieses Grundrecht bildet.

Die EU-GRCh ist in Titel aufgeteilt. Die Artikel innerhalb der Titel konkurrieren gleichwertig.

Letztendlich wird man da Klagen und Urteile abwarten müssen...

Ich stelle mir speziell die Frage, was das ganze für externe Dienstleister bedeutet.
Ich betreue einige, kleinere Betriebe ohne eigene EDV-Abteilung/Datenschutzbeauftragten.

Deren Besitzer lachen mich aus (überspitzt formuliert), wenn ich Anfange denen Windows-Updates und deren Dokumentation/Evaluierung/Reevaluierung bzgl. Telemetrie/DSGVO in Rechnung stelle.

Ich stelle mir speziell die Frage, was das ganze für externe Dienstleister bedeutet.
Ich betreue einige, kleinere Betriebe ohne eigene EDV-Abteilung/Datenschutzbeauftragten.

Deren Besitzer lachen mich aus (überspitzt formuliert), wenn ich Anfange denen Windows-Updates und deren Dokumentation/Evaluierung/Reevaluierung bzgl. Telemetrie/DSGVO in Rechnung stelle.

Die Verantwortlichen sind veranwortlich. Falls Du als externer Datenschutzbeauftragter agierst, weist Du Deine Kunden alle paar Monate mindestens in Textform darauf hin und machst Dir entsprechende Notizen. Du musst nur beraten und auf den Datenschutz hinwirken, nicht aktiv eingreifen. Bist Du reiner IT-Dienstleister und möchtest Geld damit verdienen, weist Du Deine Kunden auch einmal freundlich auf das Thema hin, vermeidest aber in Deinen Aufträgen/Verträgen/Rechnungen/Versprechungen alles, was als datenschutzrechtliche Beratung ausgelegt werden kann sowie Bestägigungen die irgendwelche Compliance garantieren. Du gibst dann einfach nur ein Protokoll darüber ab, was genau Du gemacht hast.

Die rechtliche Bewertung dürfte wahrscheinlich dahingehend ausgehen, das es eigentlich nich rechts-konform ist, allerdings in der Windows-Welt keine Alternativen zur Verfügung stehen und damit je nach eingesetzter Software keine andere Möglichkeit existiert. Sehr lustig. Sollte aber dennoch eigentlich den Anstoß geben, im professionellen Umfeld auf Linux zu wechseln.


Von München lernen heißt siegen lernen!

(tut mir leid, aber außer Sarkasmus fällt mir da nix mehr ztu ein)


Win10 ist nicht DSGVO konform (meiner Einschätzung nach). Kann es auch gar nicht sein mit dem ganzen nach Hause telefonieren. Win7 oder 8 auf neuestem Stand sind es eigentlich auch schon nicht. Die petzen auch fleißig. Aber bis deutsche oder andere EU Gerichte da reagieren gibt es schon Windows 23. Aber von dieser technologischen Unmündigkeit merkt man erst etwas wenn es zu spät ist. Genauso in den ganzen Firmen, die sich Office365 und W10 ausliefern. Und jene die shcon vor zwanzig Jahren davor gewarnt haben und bessere Alternativen aufgezeigt haben wurden natürlich ausgelacht.

Letztendlich wird man da Klagen und Urteile abwarten müssen...

Ich stelle mir speziell die Frage, was das ganze für externe Dienstleister bedeutet.
Ich betreue einige, kleinere Betriebe ohne eigene EDV-Abteilung/Datenschutzbeauftragten.

Deren Besitzer lachen mich aus (überspitzt formuliert), wenn ich Anfange denen Windows-Updates und deren Dokumentation/Evaluierung/Reevaluierung bzgl. Telemetrie/DSGVO in Rechnung stelle.


Gucken die nicht eher wie ein Auto, weil denen das ganze DSGVO Gedöns nicht klar ist?


Naja, zumindest mein Gas-Wasser-Scheiße-Heizung Mensch hat mir beim letzten Besuch so einen Infozettel dagelassen, was sie mit meinen Daten machen und Ich musste unterschreiben. Also selbst im Handwerk ist es bereits angekommen.

@keats
Das handhabe ich schon lange so, daß ich mir schriftlich geben lasse, daß ich nur für Einrichtung/Konfiguration zuständig bin, aber sicherer Betrieb/Datenschutz/Backups einem konkreten Ansprechpartner vor Ort obliegt.
Das sind aber imho auch alles nur relativ unsichere Floskeln, die nie ein RA geprüft hat.

@Benutzername
Angekommen ist das Thema DSGVO in den KMUs schon, aber speziell die KUs setzen es nur leidlich um, weil dort weder ausreichend Sach-&/Fachkompetenz vorhanden ist, noch EDV als potential betrachtet wird.
Gerade in den kleinen/kleinsten Betrieben wird EDV primär als ein nerviger Kostenfaktor betrachtet, speziell wenn der "Chef" keinerlei Affinität zu dem Thema hat.

Ich betrachte das immer analog zum Thema Datensicherungen -> zeitnahe, automatisierte, externe Backups/Full/Diff-Images kosten viel Geld und bringen wenig bis nichts, bis mal durch Diebstahl/Blitzeinschlag/Wasserschaden die komplette EDV platt ist, aber man dank selbiger die komplette Arbeitsumgebung wieder her stellen kann.

99,9% der Zeit kostet das nur unnötig Geld; wenn der relativ unwahrscheinliche 0,01% Fall eintritt, macht das oftmals den Unterschied zwischen -> in 2-3 Tagen wieder voll Arbeitsfähig (Hardwarebeschaffung/Images einspielen) und Insolvenz, weil Wochenlang nichts mehr geht...
:(

Beide Fälle (leider) schon erlebt...

"Lustig". Läuft Datev auf Linux? Nein.

Junge, DATEV läuft nicht mal richtig auf Windows.
Der Kasperverein gehört MMN von früh bis Spät ausgepeitscht und mit Eiswasser übergossen. Wie man so eine Scheiße zusammenprogrammieren kann, werd ich niemals verstehen.
"Oh Du willst den 2020er Kontenrahmen? Den gibts nicht vor KW51..."

@topic

MMN ist das kein Thema für den örtlichen Wald und Wiesen Admin sondern für Microsoft. Wenn man ein Produkt in Europa als "Professional" verkauft und es für den Einsatz im Unternehmen bewirbt, hat man MMN dafür sorge zu Tragen, das die Gesetzlichen Vorgaben für den Einsatz erfüllt sind.

Schau mal was hiesige Grosskonzerne international zahlen. Das hat mit deinen Rechten und Pflichten aber absolut gar nichts zu tun.
Hänge Dich bitte nicht an den Nebensächlichkeiten (Steuern) auf. Es geht um Geschäftsmodelle (Handel und Verkauf personenbezogener Daten), welche der DSGVO diametral entgegenstehen.

Mit Cambridge Analytica wurde aber noch mal ein ganz anderes Level erreicht:
https://www.youtube.com/watch?v=Q91nvbJSmS4

@ Joe
Nenne bitte eine vernünftige, also vom Steuerberater und Finanzamt akzeptierte und DSGVO-konforme Alternative zur Datev, dann können wir uns gerne über Zuverlässigkeit und Handhabung verschiedener Anbieter unterhalten.

Und für alle, die mich immer noch nicht verstanden haben, mal ganz einfach und anschaulich:
Solange als "Beigabe" zum neuen Telefonvertrag wenige Tage nach Abschluss gleich mal 20 bis 30 "unerwünschte Anrufe" mit dabei sind (kann man mit der Fritz!Box einfach blocken), werde ich als Unternehmer sicher nicht mehr für den Datenschutz machen als unbedingt nötig.

Aber ihr dürft natürlich gerne euren Servern nicht nur ein Server-Rack, sondern dem Raum obendrein eine Sicherheitstüre mit Wache davor spendieren. Kostet ja alles nichts.

@ drdope
Oder aber MS lenkt auf absehbare Zeit ein, weil sich die Unterhmen in der EU andernfalls nach Alternativen umsehen müssen und MS damit in Europa massiv Marktanteile verliert. Aber solange die Aufsichtsbehörden von uns noch nicht mal die schöne AVV-Sammlung sehen wollen, kommt Windows 10 erst mal nach unten auf die Liste. Wenn es sein muss, kann man immer noch die Enterprise(LTSC)-Version einsetzten und/oder die Telemetrie blocken.

Junge, DATEV läuft nicht mal richtig auf Windows.
Der Kasperverein gehört MMN von früh bis Spät ausgepeitscht und mit Eiswasser übergossen. Wie man so eine Scheiße zusammenprogrammieren kann, werd ich niemals verstehen.
"Oh Du willst den 2020er Kontenrahmen? Den gibts nicht vor KW51...

Waterboarding für Datev-Entwickler... würde ich persönlich begrüßen -> deren Software ist ein Haufen insuffizienter scheiße...
Das würd' aber zeitgleich deren Personalkosten massiv in die höhe Treiben und deren Rentabilität senken...
;)

@topic
MMN ist das kein Thema für den örtlichen Wald und Wiesen Admin sondern für Microsoft. Wenn man ein Produkt in Europa als "Professional" verkauft und es für den Einsatz im Unternehmen bewirbt, hat man MMN dafür sorge zu Tragen, das die Gesetzlichen Vorgaben für den Einsatz erfüllt sind.

Das doofe ist halt, daß man als "Wiesen-Admin", sich aktuell mit bürokratischen Hürden konfrontiert sieht, die man seinen Kunden (andere Selbstständige KUs) nicht mehr verkaufen/erklären (im Sinne von kosten durchreichen) kann...

Ich hab auch noch die andere Perspektive - > pflege meinen Grossvater, der Zeit seines Lebens, in seiner Immobilie gelebt hat und im Telefonbuch stand (Ende der 1960er war das Standard, Opa hat noch immer die selbe Nummer/Adresse)) -> ich vernichte/werfe ungeöffnet ca. 1-1,5kg gedruckte/kuvertierte/frankierte Werbung/Woche in den Müll, die lediglich darauf abziehlt, daß ein alter Mensch sich durch einen vorgedruckten Überweisungsschein genötigt sieht, selbigen auszufüllen...
Das bleibt unreguliert...

Was da an sinnlosen Papiermüll generiert wird, weil Einwohnermeldeämter angefangen haben ihre AdressDBs zu verkaufen mag ich gar nicht hoch rechnen...
Scheinbar rechnet sich daß Geschäft immer noch für die Versender...

Das steht für mich subjektiv im totalen Widerspruch zum Gedankender DSGVO... Opa hat niemanden die Erlaubnis erteilt, ihn ungefragt mit Werbung zu bombadieren...

Wenn das hier mit UEFI stimmt, setzt man seitens der Datenschützer bei Windows 10 eine Ebene zu "hoch" an:

https://www.heise.de/forum/heise-online/News-Kommentare/Datenschutzkonferenz-Hohe-Huerden-fuer-den-Einsatz-von-Windows-10/Re-Allerdings-faengt-das-Problem-schon-in-der-UEFI-IME-PSP-Firmware-an/posting-35591852/show/
"Sowohl UEFI als auch die Intel Management Engine, und im Grunde auch die AMD Variante davon (PSP) arbeiten unabhängig vom OS. Selbst wenn man Coreboot verwenden würde, die ME wäre weiterhin aktiv mit komplettem Zugriff auf den RAM und vom OS getrennter Netzwerkfunktionen.

Egal welches OS man laufen hat, egal welche Sicherheitsvorkehrungen man dort trifft: ein Intel-PC (AMD-PSP soll ähnlich sein, aber nichts genaues weiß man nicht) kann also jederzeit den kompletten Systemzustand inkl. aller heikler Daten abgreifen und über eigene Schnittstellen verschicken.

Das ist so krank und kaputt, dass einem als IT-Mensch das sofortige Kotzen kommen muss - nicht aus ideologischer Verbohrtheit, sondern aus einem technisch bedingten emotionalen Schockzustand, was wir als Grundlage für die Verwaltung des gesamten EU-Hoheitsgebietes und aller auch noch so sensiblen Hochsicherheitsindustrien akzeptieren.

Damit will ich nicht sagen, Linux bringt nichts. Natürlich bringt es was. Aber es ist eben nur die Spitze des Eisbergs, die man damit absichert.

Und außer einem Heise-Artikel alle paar Jahre wird dieses Thema nach wie vor einfach totgeschwiegen."


Sind die ganzen "Sicherheitslücken" in Intel CPUs wirklich solche oder nur bekannt gewordene "Hintertürchen" (für die Geheimdienste)?

Und was wird passieren? Außer ein paar "kosmetischen" Maßnahmen wenlg, weil viel zu viel Geld damit verdient wird und die Industriestaaten von moderner EDV abhängig sind.

@ Joe
Nenne bitte eine vernünftige, also vom Steuerberater und Finanzamt akzeptierte und DSGVO-konforme Alternative zur Datev, dann können wir uns gerne über Zuverlässigkeit und Handhabung verschiedener Anbieter unterhalten.

Es gibt tausend akzeptierte Buchungsprogramme die Konform sind und DATEV Kompatibel exportieren können. Es gibt nur keine Alternative, wenn Du selbst keine Kanzlei bist. DATEV ist echt ne Zumutung. Wenn deine Kanzlei nur "Mittelgroß" ist, ist das Jährliche Update schon ne Aktion von Freitag Morgen bis Sonntag Abend.

Ich wüsste nicht, warum ich nicht so argumentieren können sollte. :) Nirgendwo in der DSGVO oder dem BDSG-neu steht, dass man kein Windows 10 verwenden darf oder Telemetrie verboten ist. Sofern die Datenverarbeitung an und für sich rechtmäßig ist, wäge ich daher nach Art. 25 Abs. 1 DSGVO ab, welcher Schutzbedarf für die zu verarbeitenden Daten besteht.

Der Einsatz von Windows 10 ist eine Uebermittlung durch Offenlegung. Das ist ein eigener Verarbeitungsschritt, fuer den du eine extra Rechtsgrundlage brauchst und hat mit dem Schutzbedarf deiner restlichen Verarbeitung nichts zu tun.

Die Telemetrie existiert in der VM oder auf einem separaten Gerät genauso.
Es hilft nichts die Frage seperat und ohne Kontext zu beantworten. Wenn auf der Kiste dann keine PBD sind, ist es was anderes.

Fahrgestellnummern gelten als personenbezogene Daten.
Solange du nicht von Privatfahrzeugen sprichst, nein, gelten sie per se nicht. Ein moeglicher Personenbezug entsteht durch die etwaige Verknuepfung von dem Fahrzeug auf eine Person, z.B. ueber ein Fahrtenbuch. Wenn es keine solche Zuordnung gibt, kannst du mit den Daten machen was du willst.

Selbst wenn aber keine personenbezogenen Daten damit verarbeitet werden und es nur um andere Software auf dem gleichen Rechner geht, würde ich mir im Einzelfall anschauen, wie hoch der Schutzbedarf der Daten und in Relation die Kosten für VMs und extra Geräte wären.
Ist auch gut und richtig, aber dann halt nicht mehr Thema des Datenschutzes.

Zudem sind die Aufsichtsbehörden nicht das alleinige Maß aller Dinge. Deren Aufgabe ist es richtigerweise, den Datenschutz besonders strikt auszulegen. Unter dem Strich zählt aber nur, was in der DSGVO bzw. dem BDSG-neu steht und wie die Gerichte das auslegen. Die Frage ist hier mehr, wie hoch meine Bereitschaft ist, das zur Not auch auszufechten, wenn halt noch nichts vom EuGH vorliegt.
Jeder tut gut daran, die Aufsichtsbehoerden als zustaendige Instanz fuer die Anwendung als Massstab zu nehmen.


Da würde ich widersprechen bzw. müsste „bestes Wissen“ weiter definiert werden. Grundsätzlich weiß ich von keiner Anwendung und von keinem Betriebssystem mit absoluter Sicherheit, was die im Hintergrund treiben.
Das ist solange voellig irrelevant, solange du weisst, dass MS Dinge macht, die du nicht wollen kannst und nicht dazu bereit ist, was daran zu aendern. Das steht ja sogar schon im Lizenzvertrag, dass das nichts taugt.
Du stehst auf jeden Fall schon besser da, wenn dir jemand ein OS verkauft, das nicht solche Klauseln hat und dir einigermassen nachvollziehbar glaubwuerdig versichert, dass du damit konform arbeiten kannst.
Dann kommst du wieder mit der Verhaeltnismaessigkeit. Du musst dann nicht erstmal das OS reverse engineeren. Aber wenn dir einer schon eine Klausel schreibt von wegen "wenn ich Lust habe, uebertrage ich deine Daten zu mir", dann disqualifiziert es sich halt von vorne herein so offensichtlich wie es ueberhaupt geht.

Und wenn das BSI schreibt, die Telemetrie lässt sich wirksam deaktivieren, siehe in obigem Beitrag verlinktes PDF, habe ich durchaus Argumente auch vor der Aufsichtsbehörde in der Hand.
Das BSI ist keine Datenschutzaufsichtsbehoerde.

Die EU-GRCh ist in Titel aufgeteilt. Die Artikel innerhalb der Titel konkurrieren gleichwertig.
Ja, das ist mir klar. Deshalb war da auch ein Smiley dabei ;)

Und jene die shcon vor zwanzig Jahren davor gewarnt haben und bessere Alternativen aufgezeigt haben wurden natürlich ausgelacht.
Ja und hinterher wird nur gejammert, dass es ja nur Exchange und Windows Admins gibt und niemand sonst was anbietet.

Destruktiver gegenueber ansaessiger IT geht's kaum, aber was will man machen.

Hänge Dich bitte nicht an den Nebensächlichkeiten (Steuern) auf. Es geht um Geschäftsmodelle (Handel und Verkauf personenbezogener Daten), welche der DSGVO diametral entgegenstehen.
Tue ich nicht, deshalb ist das auch nur nebensaechlich gefallen. Der 2. Satz ist war aber der wichtige.

Der whataboutismus ("aber die anderen machen es auch nicht richtig") bringt dir genau nichts.

Es gibt tausend akzeptierte Buchungsprogramme die Konform sind und DATEV Kompatibel exportieren können. Es gibt nur keine Alternative, wenn Du selbst keine Kanzlei bist. DATEV ist echt ne Zumutung. Wenn deine Kanzlei nur "Mittelgroß" ist, ist das Jährliche Update schon ne Aktion von Freitag Morgen bis Sonntag Abend.
Ich habe die Bitte geäußert, funktionierende Alternativen zur Datev zu nennen - die "Spielzeug-Software" Lexoffice online Buchhaltung (mit 500er Grenze bei Buchungen) ist keine.

Nur auf die Datev schimpfen bringt einen nicht weiter.

Ich nenne mal eine Alternative: Agenda

Vielen Dank, das sieht wirklich nach einer brauchbaren Alternative aus. Mit 500 Buchungen würden wir max. ein bis zwei Wochen weit kommen. Das ist vielleicht etwas für einen kleinen Laden. ;) Allerdings gefällt mir schon die Beschreibung fürs Bank-Online nicht: "Mit Bank Online lesen Sie Kontoauszugsdaten Ihrer Mandanten in die Agenda Finanzbuchführung ein". Klingt sehr nach Zuschnitt für eine Steuerkanzlei, wir sind aber als Unternehmen "Endkunde".

Allerdings habe ich persönlich ("nebenbei" IT-Administration im Hause) keine Probleme mit der Datev (es sind deutlich weniger Arbeitsplätze als in einer Steuerkanzlei). Aktuell hat nur das Service-Tool der Version (DVD) 13.0 bei Win 10 1903/1909 gemeckert, dass das Sicherheitspaket "repariert" werden muss (funktioniert hat es aber). Gab eine neuere Version (vom 07.10.2019) des Sicherheitspakets 6.41 zum Download und die rote Lampe war weg. Musste dazu nicht mal den Datev-Systembetreuer bemühen. Und "Pachtes" einspielen muss man woanders auch. Zudem ist es über die Jahre auch viel einfacher geworden. Früher musste man noch die Schriftart und Größe der Eingabeaufforderung ändern und andere kleine Scherze.

@ Joe
Laut Aussage meiner Buchhaltung können Steuerkanzleien auch andere Produkte wie z.B. SAP einsetzten. Wenn die Datev so fürchterlich ist, dann nutzt halt etwas anderes.

Um wieder zum Thema zu kommen. Datev ist definitiv DSGVO-Konform und hat sogar die Freigabe für MacOS, falls man Win10 in der Zukunft tatsächlich nicht mehr verwenden dürfte. Da die Daten aber am Server liegen, müsste man ja auch ein anderes OS für die Server (VMs) einsetzen...

Der Einsatz von Windows 10 ist eine Uebermittlung durch Offenlegung. Das ist ein eigener Verarbeitungsschritt, fuer den du eine extra Rechtsgrundlage brauchst und hat mit dem Schutzbedarf deiner restlichen Verarbeitung nichts zu tun.

Dann weißt Du wesentlich mehr, als die DSGVO und die bisherige Rechtsprechung. :) Außerdem setzt Du einfach voraus, dass die Telemetriedaten tatsächlich personenbezogene Daten beinhalten, was bisher ja nicht einmal die DSK macht. Das wäre aber die Voraussetzung, um sich überhaupt eine Rechtsgrundlage suchen zu müssen. Aber selbst wenn man das hypothetisch in den Raum stellt, würde ich je nach Art der zu verarbeitenden Daten erst mal den Weg über eine Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO gehen, die ausdrücklich auch Dritte beinhaltet. Möglicherweise würde ein Gericht dann später sagen, dass die Interessenabwägung nicht zu meinen Gunsten ausfällt, weil die Interessen der Betroffenen überwiegen. Das ist möglich, jedoch alles andere als selbstverständlich. Ferner ist in der DSGVO im Gegensatz zum BDSG-alt auch die Übermittlung durch Offenlegung nur noch der weit gefasste Begriff der Verarbeitung. Wenn diese Verarbeitung zur Vertragserfüllung notwendig ist, was mangels anderer im rechtlichen Sinn geeigneter Maßnahmen durchaus gegeben sein kann, reicht vielleicht sogar Art. 6 Abs. 1 lit. b) DSGVO. Viele haben ja auch ein inniges Verhältnis zu Einwilligungen nach Art. 6 Abs. 1 lit. a). Das wäre sicher für die Dauer der Wirksamkeit im Bereich von nahezu absoluter Sicherheit. Nur was mache ich, wenn ein Kunde seine Einwilligung widerruft. Wäre ich dann überhaupt rein praktisch in der Lage, seine Daten aus den fraglichen Systemen zu entfernen? Eher eine schlechte Alternative.

Allerdings spekuliere ich mal und sage, dass wir es vermutlich so und so nie zu einer verbindlichen Entscheidung schaffen werden, weil Microsoft vorher irgendwelche Optionen integriert, bei deren Aktivierung garantiert wird, dass keine personenbezogenen Daten übermittelt werden. Oder sie machen irgendwas wie Facebook mit gemeinsamer Verantwortlichkeit. Zumindest wurde ja schon mal angedeutet, dass bei Office 365 irgendwas passieren wird. Übrigens tun dann tatsächlich alle so, als wenn solche Garantien inhaltlichen Wert hätten, wie auch alle (noch) so tun, als ob Privacy Shield einen ausreichenden Datenschutz bei in den USA verarbeiteten Daten bedeutet.

Der Es hilft nichts die Frage seperat und ohne Kontext zu beantworten. Wenn auf der Kiste dann keine PBD sind, ist es was anderes.

Der Kontext des Threads geht meines Erachtens recht eindeutig von personenbezogenen Daten aus. Im anderen Fall hatte ich ja bereits in meiner vorherigen Antwort an Dich geschrieben, dass ich auch dann keinen Automatismus sehe, sondern nach Art. 25 Abs. 1 DSGVO abwägen würde. Natürlich kann man zu unterschiedlichen Ansichten gelangen. Mangels Rechtsprechung gibt es für den Moment aber kein richtig oder falsch. Sicher ist jedoch, dass die DSGVO keine Vorgabe zu konkreten Maßnahmen macht.

Solange du nicht von Privatfahrzeugen sprichst, nein, gelten sie per se nicht. Ein moeglicher Personenbezug entsteht durch die etwaige Verknuepfung von dem Fahrzeug auf eine Person, z.B. ueber ein Fahrtenbuch. Wenn es keine solche Zuordnung gibt, kannst du mit den Daten machen was du willst.

Die einzige Ausnahme sind Fahrzeuge, die auf Kapitalgesellschaften zugelassen sind. Bei Personengesellschaften sind die Fahrzeuge auf natürliche Personen zugelassen, die somit unter die DSGVO fallen. Die Kapitalgesellschaften fallen aber auch nur dann (vielleicht) aus, so lange Du in Deinem Kundendatensatz tatsächlich nur die Unternehmensdaten stehen hast. Erscheinen dort auch Ansprechpartner, Fahrer, Durchwahlen oder persönliche Mailadressen, wird die Fahrgestellnummer sofort wieder zu einem persönlichen Datum, weil sie natürliche Personen nach Art. 4 Abs. 1 DSGVO identifizierbar macht. In der Literatur ist übrigens umstritten, ob ein Datum nur dann ein personenbezogenes Datum ist, wenn der Verantwortliche es zu einer natürlichen Person auflösen kann oder es bereits ausreicht, wenn das irgendwo, irgendwann, irgendwer kann.

Nur als Anekdote nebenbei: Noch zu Zeiten des BDSG-alt haben wir eine bestimmte Verarbeitung mal unserer Landesdatenschutzbehörde vorgelegt. Für die war es gar keine Frage, ob Fahrgestellnummern personenbezogenen Daten sind. Sind sie. Nur weil von wegen die Aufsichtsbehörden haben immer Recht und so. ;)

Jeder tut gut daran, die Aufsichtsbehoerden als zustaendige Instanz fuer die Anwendung als Massstab zu nehmen.

Ich bin mir nicht sicher, ob ich das einfach als persönliche Meinung so stehen lassen soll. Selbstverständlich ist Dir diese Position unbenommen und Dein gutes Recht. Wenn es mir nur um eine maximale Minimierung des Haftungsrisikos geht, würde ich das vielleicht sogar so unterschreiben. Aber der Maßstab sind hier definitiv die Gerichte und in letzter Konsequenz auch nur der EuGH. Zumal die Landesaufsichtsbehörden teilweise stark voneinander abweichende Positionen vertreten. So glauben z.B. nur NRW und BW aus wilden Gründen, dass Steuerberater Auftragsverarbeiter seien. Nimmt man hier noch die Aufsichtsbehörden anderer EU-Länder mit ins Boot, hat man ein einziges Chaos an Meinungen und Auslegungen von strikt bis beiläufig. Vergleiche nur mal unsere Positionen mit der der CNIL. Und da es EU-Recht ist, sind die Meinungen und Ansichten all dieser Stellen tatsächlich gleichberechtigt. Während die Rechtsprechung zur DSGVO noch mager ist, hat die Erfahrung mit dem BDSG-alt zudem gezeigt, dass die Gerichte vieles oftmals erheblich lockerer als die Aufsichtsbehörden sehen. Vorauseilender Gehorsam ist daher meines Erachtens nicht angebracht bzw. muss man hoffen, dass es genug Unternehmen auf Prozesse ankommen lassen, um Rechtssicherheit zu schaffen.

Das ist solange voellig irrelevant, solange du weisst, dass MS Dinge macht, die du nicht wollen kannst und nicht dazu bereit ist, was daran zu aendern. Das steht ja sogar schon im Lizenzvertrag, dass das nichts taugt. Du stehst auf jeden Fall schon besser da, wenn dir jemand ein OS verkauft, das nicht solche Klauseln hat und dir einigermassen nachvollziehbar glaubwuerdig versichert, dass du damit konform arbeiten kannst. Dann kommst du wieder mit der Verhaeltnismaessigkeit. Du musst dann nicht erstmal das OS reverse engineeren. Aber wenn dir einer schon eine Klausel schreibt von wegen "wenn ich Lust habe, uebertrage ich deine Daten zu mir", dann disqualifiziert es sich halt von vorne herein so offensichtlich wie es ueberhaupt geht.

Dafür, dass wir keine entsprechende Rechtsprechung haben und das in der DSGVO oder den Erwägungsgründen zur DSGVO nicht im Detail ausgeführt wird, sind mir da zu viele Absolutismen und persönliche Prämissen drin. Es ist nicht so, dass ich Dir da persönlich oder moralisch widersprechen würde. Ich sehe nur nicht wirklich, woher man das alles so verbindlich rechtlich ableiten sollte.

Das BSI ist keine Datenschutzaufsichtsbehoerde.

Korrekt, nur dass die Aufsichtsbehörde eben genauso wenig über richtig oder falsch entscheidet, wie auch Staatsanwälte keine Schuld sprechen und das Finanzamt nicht unfehlbar ist. Das klärt ein Gericht, wo die Position der Aufsichtsbehörde auf die des Verantwortlichen trifft, der seine dann mit einem Paper des BSI stützt und damit mindestens belegt, dass eine Interessenabwägung sowie technische Maßnahmen tatsächlich stattgefunden haben. Das Gericht wird dann anhand der vorgetragenen Informationen entscheiden, ob die Betroffenenrechte in Anbetracht der verarbeiteten Daten ausreichend berücksichtigt wurden oder nicht. Ferner ist das BSI auch nicht irgendwer, sondern die Aufsichtsbehörden finden meist alles klasse, was von dort kommt. IT-Grundschutz als Stichwort.

Persönliche nicht maßgebliche Randnotiz auf Basis sehr weniger Kontakte: Auch Mitarbeiter der Aufsichtsbehörden reagieren in der Regel sehr positiv, wenn man belegt, dass man sich Gedanken gemacht hat. Das sind tatsächlich auch Menschen, die mit sich sprechen lassen. :)

@all
Was Unternehmenslösungen und Software für Steuerberater etc. betrifft, hat jemand Erfahrungen mit Addison?

In der Literatur ist übrigens umstritten, ob ein Datum nur dann ein personenbezogenes Datum ist, wenn der Verantwortliche es zu einer natürlichen Person auflösen kann oder es bereits ausreicht, wenn das irgendwo, irgendwann, irgendwer kann.
Ich sehe nicht, dass das umstritten sei. Das ist fuer mich schon aus den Begriffsbestimmungen voellig klar. Hast du mir einen Literaturhinweis, der sich genau darauf bezieht und zum gegenteiligen Schluss kommt?

Prominentes Beispiel ist wohl die IP-Adresse als personenbezogenes Datum, und die Entscheidung stammt vom EuGH. Fuer keinen normalen Webseitenbetreiber waere alleine durch die IP-Addresse ein Personenbezug herstellbar, aendert aber nichts daran, dass er besteht.

Nur weil von wegen die Aufsichtsbehörden haben immer Recht und so. ;)
Das habe ich nicht gesagt, sondern dass man gut daran tut, sich an ihnen zu orientieren. Dass impliziert das obige aber nicht.

Aber der Maßstab sind hier definitiv die Gerichte und in letzter Konsequenz auch nur der EuGH.
Das will ich nicht bestreiten. Aber es gibt nunmal noch nicht wahnsinnig viele Urteile. Und in den Aufsichtsbehoerden ist mehr Sachverstand als in den meisten Unternehmen, und wenn doch mal jemand mehr Ahnung hat, braucht er solche Ratschlaege nicht ;) . Daher bleibe ich bei dem allgemeinen Hinweis.

Vorauseilender Gehorsam ist daher meines Erachtens nicht angebracht bzw. muss man hoffen, dass es genug Unternehmen auf Prozesse ankommen lassen, um Rechtssicherheit zu schaffen.
Da wird es schnell subjektiv. Kommt auch stark darauf an, wie du Geschaefte machen willst. Muss man immer alles ausreizen was der Gewinnmaximierung dient oder versucht man auch mal kundenfreundlich oder mit geringem Risiko zu agieren? Was uebrigens keine gegensaetzlichen Ziele sind.


Persönliche nicht maßgebliche Randnotiz auf Basis sehr weniger Kontakte: Auch Mitarbeiter der Aufsichtsbehörden reagieren in der Regel sehr positiv, wenn man belegt, dass man sich Gedanken gemacht hat. Das sind tatsächlich auch Menschen, die mit sich sprechen lassen. :)
Ich habe dieselbe Erfahrung gemacht.
Nach anfaenglicher Skepsis habe ich dort insbesondere auch mehr technischen Sachverstand vorgefunden, als ich es erwartet haette.

Ich sehe nicht, dass das umstritten sei. Das ist fuer mich schon aus den Begriffsbestimmungen voellig klar. Hast du mir einen Literaturhinweis, der sich genau darauf bezieht und zum gegenteiligen Schluss kommt?

Prominentes Beispiel ist wohl die IP-Adresse als personenbezogenes Datum, und die Entscheidung stammt vom EuGH. Fuer keinen normalen Webseitenbetreiber waere alleine durch die IP-Addresse ein Personenbezug herstellbar, aendert aber nichts daran, dass er besteht.

Hmm, Du hast doch einen Beitrag früher geschrieben:

„Ein moeglicher Personenbezug entsteht durch die etwaige Verknuepfung von dem Fahrzeug auf eine Person, z.B. ueber ein Fahrtenbuch. Wenn es keine solche Zuordnung gibt, kannst du mit den Daten machen was du willst.“

Das würde Deiner jetzigen Aussage doch diametral widersprechen oder habe ich das falsch verstanden?

Davon aber abgesehen ist das insofern umstritten, als dass diskutiert wird, ob die DSGVO einen relativen oder absoluten Personenbezug verfolgt. Musst Du mal nach googeln, gibt es viele Seiten zu. Ich habe dazu unterschiedliche Meinungen in diversen Rechtskommentaren gelesen. Ohne Frage mit Überhang zum absoluten Ansatz. Aber wer genau da jetzt welche Meinung hatte, da muss ich passen bzw. habe keine wirkliche Lust, das aus den Wälzern herauszusuchen. Unter anderem wurde häufig auf die Erwägungsgründe abgestellt, die bei der Auslegung der DSGVO helfen sollen, und da widerspricht z.B. der Erwägungsgrund 26 (https://dsgvo-gesetz.de/erwaegungsgruende/nr-26/) direkt zumindest der deutschsprachigen Fassung von Art. 4 Abs. 1 DSGVO. Persönlich halte ich den absoluten Bezug aber in der Tat für zutreffend.

Das will ich nicht bestreiten. Aber es gibt nunmal noch nicht wahnsinnig viele Urteile. Und in den Aufsichtsbehoerden ist mehr Sachverstand als in den meisten Unternehmen, und wenn doch mal jemand mehr Ahnung hat, braucht er solche Ratschlaege nicht ;) . Daher bleibe ich bei dem allgemeinen Hinweis.

Meines Erachtens verkennt das die Rolle der Aufsichtsbehörden. Während solche kuriosen Standpunkte wie Auftragsverarbeitung bei Steuerberatern ausschließlich in NRW und BW durchaus am Sachverstand zweifeln lassen, ist es ohne Frage so, dass dort fähige Leute sitzen. Nur ist deren Aufgabe nicht die Beratung oder verbindliche Auslegung, sondern das Durchsetzen und Überwachen des Datenschutzes. Alles was noch nicht höchstrichterlich entschieden ist, wird dabei besonders strikt ausgelegt. Das ist auch in Ordnung so, anders geht es nicht. Die Aufsichtsbehörde ist im Prinzip der Antagonist zu den Unternehmen, die eigene Interessen haben. Im durch die DSGVO abgesteckten Rahmen ergibt sich dann im Zusammenspiel mit den Gerichten das verbindliche Ergebnis. Um den Bogen zurück zum Threadanfang zu nehmen: Seine komplette IT umzustellen, Prozesse zu verlängern oder in Alternativen zu investieren, weil Windows 10 im jetzigen Zustand möglicherweise nicht eingesetzt werden darf, ist doch eher overkill. Selbst wenn das so kommt und man das große Pech hat, zu denen zu gehören, die dann für die Präzedenz verantwortlich sind, dürfte sich das finanzielle Risiko in Grenzen halten. Aufgrund der Umsatzbindung für Kleine wie für Große. Will man dagegen wildes Profiling betreiben, weil man meint, dass das die Interessenabwägung schon hergibt, sollte man vielleicht besser ähnliche Mittel wie Facebook und Google haben. Geht es einem nur um ein abstraktes Sicherheitsgefühl, wäre man mit der Beratung durch einen Fachanwalt oder ggf. der Benennung eines externen DSB wahrscheinlich besser beraten, selbst wenn keine Pflicht dazu besteht. Selbst an der DSGVO/BDSG-neu oder den Aussagen der Aufsichtsbehörden zu orakeln wäre mit diesem Anspruch dann sowieso nicht der Weg.

Da wird es schnell subjektiv. Kommt auch stark darauf an, wie du Geschaefte machen willst. Muss man immer alles ausreizen was der Gewinnmaximierung dient oder versucht man auch mal kundenfreundlich oder mit geringem Risiko zu agieren? Was uebrigens keine gegensaetzlichen Ziele sind.

Ohne Frage, nur ist der Bereich zwischen „alles ausreizen“ und „geringes Risiko“ mindestens ein Lichtjahr groß, wie auch der zwischen Gewinnmaximierung und ökonomischem Handeln. Selbst den Begriff Kundenfreundlichkeit würde ich völlig separat behandeln, dafür geht vielen Kunden das Thema zu sehr auf die Nerven. Den würde ich eher gegen Transparenz austauschen.

Im Erwägungsgrund 47 gibt es diesen schönen Satz:

„Insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, könnten die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen.“

Ich habe dieselbe Erfahrung gemacht. Nach anfaenglicher Skepsis habe ich dort insbesondere auch mehr technischen Sachverstand vorgefunden, als ich es erwartet haette.

Ich denke, das ist wie fast überall. Wie man mit den Menschen umgeht, wird man in der Regel auch selber behandelt. :)

Wenn ich ehrlich bin, glaub ich Ihr habt von der Realität in KMUs so wenig Ahnung wie die Typen, die Aufsichtsbehörden.
Da wird hier wieder Haarspaltung betrieben über irgend einen Schmarrn, wenn in meinem Kundenkreis locker vier von fünf ein in den USA gehostetes Cloud CRM und/oder ERP nutzen :lol:
Wenn Jeder der Waren Exportiert täglich mehrfach automatisiert massen Kundendaten in irgendwelche Zoll und Logistiksysteme pumpt und wenn von Firmen KI getriebene Videoüberwachung mit Kennzeichen und Gesichtserkennung einsetzt wird und die Daten ohne zu Zögern an Dritte übermittelt werden z.B. an Versicherungen oder Zulieferer für Schadensforderungen.

Ja dann ist das Pöse Pöse Windows 10 das größte Problem in unserem Land :rolleyes:

Ich habe die Bitte geäußert, funktionierende Alternativen zur Datev zu nennen - die "Spielzeug-Software" Lexoffice online Buchhaltung (mit 500er Grenze bei Buchungen) ist keine.

Nur auf die Datev schimpfen bringt einen nicht weiter.

Du könntest z.B. die Clasic Line von Sage nehmen (fast so schlimm wie DATEV) oder halt das Passende FiBu Modul zu deinem ERP System z.B. SelectLine

Hmm, Du hast doch einen Beitrag früher geschrieben:

„Ein moeglicher Personenbezug entsteht durch die etwaige Verknuepfung von dem Fahrzeug auf eine Person, z.B. ueber ein Fahrtenbuch. Wenn es keine solche Zuordnung gibt, kannst du mit den Daten machen was du willst.“

Das würde Deiner jetzigen Aussage doch diametral widersprechen oder habe ich das falsch verstanden?

Die IP Adresse wird durch den Provider an einen seiner Kunden vergeben und hat daher von vorneherein ihren Personenbezug. Davor ging es um Geschaeftsfahrzeuge. Die haben keinen m.E. keinen Personenbezug per Definition. Ich weiss auch nicht, was daran jetzt widerspruechlich sein kann.


Meines Erachtens verkennt das die Rolle der Aufsichtsbehörden. Während solche kuriosen Standpunkte wie Auftragsverarbeitung bei Steuerberatern ausschließlich in NRW und BW durchaus am Sachverstand zweifeln lassen, ist es ohne Frage so, dass dort fähige Leute sitzen. Nur ist deren Aufgabe nicht die Beratung oder verbindliche Auslegung, sondern das Durchsetzen und Überwachen des Datenschutzes.
Die Aufsichtsbehoerden haben selbstverstaendlich auch unterstuetzende und beratende Funktion. Die DSGVO reisst es nur nebenbei, z.B. ueber die vorherige Konsultierung an, im BDSG-neu steht das explizit.

Kannst du mal ausfuehren, warum du es kurios findest, dass ein Steuerberater als AV gesehen wird? Ich hatte damit noch nicht zu tun, aber im ersten Gedanken erscheint mir das grundsaetzlich schluessig. Es kommt aber darauf an, was der Mandant von ihm will.


Um den Bogen zurück zum Threadanfang zu nehmen: Seine komplette IT umzustellen, Prozesse zu verlängern oder in Alternativen zu investieren, weil Windows 10 im jetzigen Zustand möglicherweise nicht eingesetzt werden darf, ist doch eher overkill.
Das kann schon sein. Es gibt aber auch sonst mehr als genug Gruende, Windows loszuwerden. Da kaeme mir das Sprungbrett nur recht :tongue:



Selbst den Begriff Kundenfreundlichkeit würde ich völlig separat behandeln, dafür geht vielen Kunden das Thema zu sehr auf die Nerven. Den würde ich eher gegen Transparenz austauschen.

Das mache ich davon abhaengig, was dein Geschaeftsmodell ist.
Wenn du Dienstleistung oder Produkte an deine Kunden verkaufst und dabei einigermassen anstaendig arbeitest, wirst du eh nach dem Prinzip der Datenminimierung vorgehen. Da bekommt man das idR. ordentlich hin ohne dem Kunden ueberhaupt auf die Nerven gehen zu muessen.

Wenn dein Geschaeftsmodell ist, deine "Kunden" zu monetarisieren, ist es nur gut und richtig, dass du ihm erstmal damit auf die Nerven gehen musst. Das ist dann ein Geschaeftsmodell in Richtung Facebook, das aus meiner Sicht sowieso nicht mehr als Kundenfreundlich bezeichnet werden kann, egal wie transparent man ist, das sollte dann sowieso selbstverstaendlich sein.


Wir schweifen auch stark ab. Ich diskutiere gerne weiter mit dir, aber das sollte man vielleicht woanders hin verschieben.

Wenn ich ehrlich bin, glaub ich Ihr habt von der Realität in KMUs so wenig Ahnung wie die Typen, die Aufsichtsbehörden.
Da wird hier wieder Haarspaltung betrieben über irgend einen Schmarrn, wenn in meinem Kundenkreis locker vier von fünf ein in den USA gehostetes Cloud CRM und/oder ERP nutzen :lol:

In Schulen ist das auch sehr spannend... die stellen ihren Mitarbeitern idR keine gemanagte EDV -> es werden Privatgeräte genutzt, inkl. Dropbox/Onedrive/iClouddrive... Whats-App-Gruppen für Schüler/Lehrer und Lehrer/Eltern...
Hab ein paar Lehrer im Bekanntenkreis... was man da so sieht... huihuihui...
:eek:

Die IP Adresse wird durch den Provider an einen seiner Kunden vergeben und hat daher von vorneherein ihren Personenbezug. Davor ging es um Geschaeftsfahrzeuge.

Nö, ging es nicht. Ich habe ohne Einschränkungen geschrieben, dass wir Fahrgestellnummern verarbeiten und das personenbezogene Daten sind. Darauf hast Du geantwortet:

„Solange du nicht von Privatfahrzeugen sprichst, nein, gelten sie per se nicht. Ein moeglicher Personenbezug entsteht durch die etwaige Verknuepfung von dem Fahrzeug auf eine Person, z.B. ueber ein Fahrtenbuch. Wenn es keine solche Zuordnung gibt, kannst du mit den Daten machen was du willst.“

Du hast eine eigene vorher nichtexistierende Bedingung aufgestellt und anhand dieser Bedingung eingeschränkt erklärt, dass das keine personenbezogenen Daten sind.

Die haben keinen m.E. keinen Personenbezug per Definition. Ich weiss auch nicht, was daran jetzt widerspruechlich sein kann.

Widersprüchlich daran ist, dass Du selber den absoluten Personenbezug vertreten hast, also die Auslegung, dass es ausreicht, wenn irgendjemand anhand eines Datums eine natürliche Position identifizieren kann und selbst noch als Beispiel die IP-Adressen genannt. Davor hast Du jedoch obiges geschrieben, nämlich, dass der Personenbezug erst durch die Verknüpfung entsteht, sprich relativer Ansatz. Nach dem absoluten Ansatz sind Fahrgestellnummern jedoch immer personenbezogene Daten, da nur natürliche Personen Fahrzeuge führen können und die auch "mit vernünftiger Erwartung" immer von jemandem ermittelt werden können. Ein bisschen verklausoliert haben sich die Aufsichtsbehörden und der VDA sogar darauf geeinigt.

Die Aufsichtsbehoerden haben selbstverstaendlich auch unterstuetzende und beratende Funktion. Die DSGVO reisst es nur nebenbei, z.B. ueber die vorherige Konsultierung an, im BDSG-neu steht das explizit.

Mit der vorherigen Konsultation hast Du natürlich vollkommen Recht. Ich betrachte das nicht als Beratung, weil sie auf Anfrage nur ihre Ansicht zur Rechtmäßigkeit einer Verarbeitung abgeben, Dich aber nicht grundsätzlich zu Deinen Geschäftsprozessen und Umsetzung des Datenschutzes beraten. Das ist ja die Aufgabe des DSB. Ich muss aber zugeben, dass das letztendlich Wortklauberei wäre. Die Aufsichtsbehörden haben eine beratende Funktion. Das stimmt.

Kannst du mal ausfuehren, warum du es kurios findest, dass ein Steuerberater als AV gesehen wird? Ich hatte damit noch nicht zu tun, aber im ersten Gedanken erscheint mir das grundsaetzlich schluessig. Es kommt aber darauf an, was der Mandant von ihm will.

Auftragsverarbeiter sind nur dann solche, wenn sie ggü. dem Verantwortlichen weisungsgebunden sind, letzterer also Zweck und Mittel der Verarbeitung bestimmt. Steuerberater üben nach § 32 Abs. 2 StBerG einen freien Beruf aus und sind ausdrücklich weisungsfrei. Das ist elementarer Teil derer berufsständischen Pflichten. Anwälte sind z.B. aus demselben Grund keine Auftragsverarbeiter. Diese Berufe in ihrer Eigenschaft als solche und Auftragsverarbeitung stehen sich diametral gegenüber. Das sind eigene Veranwortliche, die nach Art. 6 Abs. 1 f) über das Mandantenverhältnis beauftragt werden. Mit Berufsgeheimnisträgern sind auch sonst keine weiteren Vereinbarungen notwendig. Hier auch die Position der anderen Landesdatenschutzbehörden vom BayLDA zusammengefasst: https://www.lda.bayern.de/media/FAQ_Steuerberater_keine_ADV.pdf Ist man in NRW oder BW ansässig, hat man ein echtes Problem, wenn man denn der Ansicht der Aufsichtsbehörde folgen möchte, der Steuerberater aufgrund seiner eigenen Auflagen aber keinen AVV unterschreiben wird. Noch besser wird es dann natürlich, wenn Dein Unternehmen Standorte z.B. in Bayern und NRW hat.

Wir schweifen auch stark ab. Ich diskutiere gerne weiter mit dir, aber das sollte man vielleicht woanders hin verschieben.

Ja, einigen wir uns darauf, dass wir uns in diesen Punkten uneinig sind. Das sind eher weltanschauliche Dinge, bei denen es sowieso kein richtig oder falsch gibt. :)

Wenn ich ehrlich bin, glaub ich Ihr habt von der Realität in KMUs so wenig Ahnung wie die Typen, die Aufsichtsbehörden.

Da hast Du vermutlich Recht. :D Persönlich habe ich da auch volles Verständnis für, also für die KMUs.

Und wir haben auf Grund der lieben DSGVO WhatsApp auf den dienstlichen Mobiltelefonen komplett deaktiviert. :D

Das kann schon sein. Es gibt aber auch sonst mehr als genug Gruende, Windows loszuwerden. Da kaeme mir das Sprungbrett nur recht :tongue:


2020 wird das Jahr des Linux Desktops!