DSGVO Synology

[Ghost108]

Hallo zusammen,

bin Kleinunternehmer und habe die spaßige Thema DSGVO an der Backe
Bislang liegen meine Kunden / Termine in der iCloud
Diese ist allerdings nicht DSGVO Konform und ab dem 25.05.2018 für mich "illegal"

Bedeutet: Ich brauche dringend eine Alternative.
Jetzt habe ich eine Synology DS718+ im Einsatz, über die ich auch einen "Sync-Server" für Kontakte und Termine bereitstellen kann.
Die NAS ist von extern erreichbar.

Wäre das rechtens?

 

[Arni]

3 sagen ja, 4 nein und 12 weiß nicht

Zitat aus einem Heise.de Artikel:

... Und Michael Ronellenfitsch, hessischer Datenschutzbeauftragter, warnt davor, auf die Horrorszenarien mancher Anwälte hereinzufallen. "In kaum einem Bereich ist die Kenntnis so defizitär."

Will damit sagen: Gerade zu diesem heiklen Thema darfst du hier keine rechts konforme Auskunft erwarten!!

 

[amarthius]

Apple hat schon Anpassungen bzgl. DSGVO umgetzt: https://www.datenschutz-praxis.de/fachnews/dsgvo-apple-passt-privatsphaeren-einstellungen-an/

Wie bereits von Arni geschrieben, frag lieber einen Anwalt zu dem Thema.

 

[docschelm]

Schwere Kost
Da wirst Du so schnell keine verbindlichen Aussagen bekommen.
Geh einmal aus einem anderen Blickwinkel an die Sache heran:

Was soll die DSGVO hauptsächlich verhindern? - Dass Deine Kundendaten öffentlich zugänglich und verfügbar sind
Teile Deinen Kunden mit, was Du über sie an Infos speicherst, am besten auf Deiner Webseite.
Ist Dein NAS gegen Zugriff anderer abgesichert?
Hat jemand Kenntnis, wie Du Deine Kundendaten nutzt?
Wo kein Kläger-da kein Richter.
Ich würde einen prviaten Server einrichten und dann abwarten, wie sich die Lage entwickelt. Da Du Unternehmer bist, kannst Du
doch ein Beratungsgespräch bei einem Anwalt steuerlich absetzen. Musst nur einen finden, der sich mit der DSGVO auskennt.

 

[Ghost108]

Was für einen Anwalt müsste ich hierfür ansprechen?

 

[docschelm]

Da frag mal bei Deiner Handelskammer nach, die sollten sich gut auskennen, Deutscher Anwaltverein oder Google mal
nach Anwalt für DSVGO

 

[Ghost108]

alles klar, danke

 

[Frogman]

Was soll die DSGVO hauptsächlich verhindern? - Dass Deine Kundendaten öffentlich zugänglich und verfügbar sind

Das halte ich für eine doch eher eingeschränkte Sicht der Dinge. Es geht da in Abgrenzung zu dem bestehenden Bundesdatenschutzgesetz um Information und Einwilligungen der Kunden über Verwendung und Weitergabe - "öffentlich" ist da gar nicht der Maßstab, es reicht schon aus, wenn ein Unternehmer eine email an zwei Kunden schickt und dabei die Adressen nicht ins BCC setzt.

Wo kein Kläger-da kein Richter. Ich würde einen prviaten Server einrichten und dann abwarten, wie sich die Lage entwickelt.

Keine Kläger? Es stehen ganze Heerscharen von Abmahnanwälten in den Startlöchern, was glaubst Du denn, was ab nächster Woche passiert? Von daher ist Deine Empfehlung "einrichten und abwarten" ja fast schon als fahrlässiger Vorsatz zu verstehen und bietet ein richtig schönes Ziel für die Anwälte.

 

[Puppetmaster]

Ich würde den Rat auch eher in die Richtung gehen lassen, dass du dich mindestens einmal am noch gültigen §3a BDSG orientierst und einfach Datensparsamkeit lebst. Alles, was nicht wirklich geschäftsnotwendig ist, würde ich gar nicht erst speichern bzw. erfassen.
Die Thematik wo diese Speicherung genau erfolgt ist m.E. der ganzen Thematik nachgelagert, bzw. muss hier der Hoster nachweisen können, dass er EU-DSGVO konform handelt.

§3a BDSG
1Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. 2Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.

Ich gebe @Frogman insofern Recht, als dass einfach zu befürchten ist, dass, analog zur Abmahnwelle bei den vermeintlichen Urheberrechtsverstößen, eine auf DSGVO "geschulte" Anwaltschaft nur darauf wartet, losrennen zu können.

 

[Arni]

.. und schon geht die Diskussion los, zu der ich auch gerne noch was beisteuern möchte:

[Halbwissen on]
Die DSGVO sieht vor, dass lediglich die "Aufsichtsbehörden, unmittelbar Betroffene sowie gemeinnützige Vereine wie etwa die Verbraucherzentrale" gegen mögliche Verstöße vorgehen dürfen. Dieser neue europäische Rechtsrahmen sollte eigentlich keine Grundlage für Abmahnanwälte bieten.
[/Halbwissen off]

 

[Puppetmaster]

Mein Anliegen war jetzt gar nicht, hier zu diskutieren, dazu fehlt mir aktuell auch der große notwendige Durchblick bei der neuen Lage.

Unterstreichen möchte ich die Aussage, dass dazu besser fachlich kompetenter Rat an anderer Stelle eingeholt (eingekauft) wird, und nicht hier.

Bzw. halte ich es natürlich auch nicht für unbedingt geschickt, die Thematik 2 Tage vor der Umsetzung der Rechtsgrundlage anzugehen.

 

[Arni]

Bzw. halte ich es natürlich auch nicht für unbedingt geschickt, die Thematik 2 Tage vor der Umsetzung der Rechtsgrundlage anzugehen.

+1

 

[NormalZeit]

Bzw. halte ich es natürlich auch nicht für unbedingt geschickt, die Thematik 2 Tage vor der Umsetzung der Rechtsgrundlage anzugehen.

Ist halt wie Weihnachten, das ist auch immer plötzlich und unerwartet schon übermorgen.

 

[tproko]

Bzw. halte ich es natürlich auch nicht für unbedingt geschickt, die Thematik 2 Tage vor der Umsetzung der Rechtsgrundlage anzugehen.

Wir beschäftigen uns in der Bude auch mit Dsgvo und raten natürlich auch unseren Kunden dazu, hier seit langem aktiv zu werden.
Aber das mit 2 Tage vorher beginnen und so, entspricht gerade leider allzuoft der Realität

Ab jetzt auch viel Halbwissen on :
Fängt ja schon damit an, dass die Verordnung schon seit 2 Jahren bekannt ist, nur jetzt wird sie geltend... also eigentlich viel Zeit.

Ich bin mir auch sicher, dass genug Leute am Freitag von den verschiedensten Seiten eine Beauskunftung fordern werden, aber dann müssen sie erst wieder die 4 Wochen Antwortfrist abwarten.

Da es sich um personenbezogene Daten handelt und das wohl Vollmachten benötigt, sehe ich hier für die Abmahnanwälte keinen allzugroßen Spielräume. Grundsätzlich muss sich der Antragsteller ausweisen können.

Bei uns hat die WKO das Thema für Unternehmer relativ simpel ohne viel Juristenblabla mal als Art FAQ verfasst, falls es wer durchkauen will hier

 

[Matthieu]

Denkt bitte daran, dass wir als Forum keine Rechtsberatung geben dürfen. Ist in Deutschland per Gesetz verboten (grob vereinfacht). Bitte nur eigene Erfahrungen schildern oder Tipps geben.

MfG Matthieu

 

[blotto82]

Bevor ich ein extra Thread aufmache, eine ganz bescheidene Frage.
Meine Photostation ist via DYNDNS erreichbar. Da muss jetzt nicht extra so ein Hinweis usw reingeschrieben werden?
Zählt ja eigentlich auch wie eine Website, oder ?

 

[Frogman]

Dazu ist vielleicht dieser Fachbeitrag des Webportals 'Datenschutzbeauftragter-info.de' sehr informativ.