Löschpflicht trifft Speicherzwang

00:00:03: Hallo und herzlich willkommen in der Auslegungssache, dem CT-Datenschutz-Podcast.

00:00:20: Mein Name ist nicht Holger Bleich sondern mein Name ist Jörg Heidrich und ich habe heute mal den Job von Holger übernommen Und werde ein bisschen mehr Moderation machen weil Holger in seinem wohlverdienten Urlaub weilt.

00:00:32: Wir sind bei Folge onehundertsechzig.

00:00:37: Die wird veröffentlicht am zwölften sechsten Zeichnen eine Woche vorher auf und ich habe mir natürlich Ersatz im Studio geholt.

00:00:45: Und mir zunächst mal einen Co host angelacht, den ihr auch schon kennt der häufiger schonmal zu Gast war.

00:00:51: herzlich willkommen Silvester Trämme.

00:00:53: schön dass du da bist und dich hier schon wieder von uns in die Sendung eingeladen hast laden laden hast geladen haben hast usw.

00:01:03: Dass sie da ist

00:01:05: ja freut mich sehr.

00:01:06: Ich muss mich nicht mehr groß vorstellen ich tu es in einem Satz du hast informatik studiert und philosophie schöne kombinationen und du bist unter anderem den kann ich noch mal empfehlen host des unser schwester podcast quasi.

00:01:19: Das passwort was um IT sicherheit geht und was war schon ein paar mal hier und bis für so ein bisschen der, Holger Ersatz, wobei auch im Thema drin und unser Thema heute ist nämlich die Löschpflichten trifft.

00:01:35: weicher Zwang haben wir das mal überschrieben.

00:01:37: Es geht also um das Verhältnis dass wir auf der einen Seite gesetzliche Vorgaben haben, dass bestimmte Daten gespeichert werden müssen.

00:01:44: Protokolle zum Beispiel Logins auf der anderen Seite aber Lösch-Flichten haben eines der wichtigsten Rechte in der DSGVO.

00:01:52: Und was passiert, wenn die beiden aufeinander treffen?

00:01:55: Wer gewinnt?

00:01:56: muss sich alles löschen oder gelten die Pflichten das ich alle speichern muss.

00:02:01: Das ist eine durchaus komplizierte Abwägung und die wollen wir uns mal anschauen weil sie natürlich praktisch auch höchst relevant ist.

00:02:07: Und dazu haben wir uns einen Gast eingeladen der auch ein guter Freund des Heiseverlags ist.

00:02:14: Wir machen unter anderem seit über zwanzig Jahren zusammen Die heise Security Tour Und sind da jetzt auch gerade dieses Jahr wieder zusammen unterwegs, halt noch zusammen Vortrag.

00:02:24: Herzlich willkommen Dr.

00:02:25: Christoph Wegener!

00:02:26: Hallo Christoph, schön dass du da bist.

00:02:28: Ja, hallo in die Runde.

00:02:29: auch willkommen von meiner Seite.

00:02:32: Ich darf dich kurz vorstellen.

00:02:33: Du bist seit über twenty-fünf Jahren im Bereich Informationssicherheit und Datenschutz tätig Also quasi so ein ähnlicher Bereich, indem ich mich bewege und wir eben von der anderen Seite kommen nicht von der juristischen Seite sondern von der technischen Seite Arbeiten seit vielen, vielen Jahren.

00:02:47: Seit zwanzig Jahren zusammen halt mal Vorträge schreiben mal was und deine besondere Konzentration gerade so ein bisschen ist zwei.

00:02:57: Das ist glaube ich der Bereich wo du momentan am meisten unterwegs bist aber natürlich solche Bereiche über die W jetzt sprechen Protokollierung oder ähnliches.

00:03:04: damit beschäftigst Du Dich und wir auch uns beide im Team schon sehr sehr lange.

00:03:09: Ja genau vor allem der Querschnittsbereich-Rechtechnik hat es mir angetan.

00:03:13: das ist ein bisschen meine Passion Und das ist ja letztendlich auch der Grund, warum wir beide vor langer Zeit mal zusammengefunden haben, Jörg.

00:03:19: So ist es irgendwann zwanzig drei oder so, wenn man versucht zu rekonstruieren?

00:03:25: Genau!

00:03:26: Ja bevor wir anfangen mit unserem Thema habe ich einen Artikel gelesen, der mich einigermaßen irritiert hat den ich mit euch gerne noch kurz diskutieren möchte bevor es gleich inhaltlich mit unserem Hauptthema losgeht.

00:03:38: aber das fand ich schon heftig.

00:03:41: Nach den Jahren der DSGVO haben die europäischen Aufsichtsbehörden insgesamt sieben Komma Einsten Milliarden Euro an Bußgeldern verhängt.

00:03:53: Das ist eine bemerkenswerte Zahl, aber von diesen Sieben-Kommer-Eins-Milliarden-Bußgelder sind rund zwei Komma Acht Milliarden also knapp Vierzig Prozent sind entweder bereits annuliert oder werden gerade gerichtlich angefoch.

00:04:07: Das ist eine Studie von einer Cyber-Riskberatung, Lions Risk, denke ich.

00:04:13: Nenne ich eben auch, weil sie die Vorarbeit gemacht haben und Anlass war das im März, zwanzig sechsundzwanzig wieder zwei Bußgelder komplett aufgehoben wurden.

00:04:21: unter anderem ein großes des Luxemburger Verwaltungsgericht kassierte die siebenhundert sechsenvierzig Millionen Euro Sanktion gegen Amazon und sehr viel kleiner von der Höhe her aber nichtsdestotrotz relativ wichtige Entscheidung, fünfzehn Millionen Euro Bußgeld der italienischen Garante gegen Open Air.

00:04:43: Die hatten damals einen ziemlich frühen Verfahren gegen OpenAir eingeleitet und fünfzehnten Millionen Bußgelder verhängt also insgesamt siebenhundertsechzig Millionen Buessgeldbilanz in einem einzigen Monat die nicht umgesetzt wurden und das war nicht schon ziemlich heftig.

00:04:57: dann gibt es weitere große Buß Gelder die aktiv angefochten werden.

00:05:02: klar kann mit den Unternehmen Ja, kann man nicht gegen die Unternehmen verwenden.

00:05:06: Eins Komma zwei Milliarden wegen unzulässiger Datentransfers in die USA gegen Metta fünfhundertdreißig Millionen Tiktok wegen Transfers nach China.

00:05:14: dann zwei Meter Bußgelder zweieinhalbundsechzig und eine neunzig Millionen.

00:05:18: also es stehen gerade auch mal zwei Komma eins Milliarden Euro an Großaktion vor Gericht und die Aufhebungsgründe sind nicht immer inhaltlicher Art, sondern die beruhen zum Teil auch auf strukturellen Schwächen statt eben auf inhaltliche Rechtmäßigkeit.

00:05:33: Zum Beispiel in diesem Amazon-Fall mit den Wieselwarns zwei siebenhundert sechsenviertzig Euro war es so dass die zuständige Behörde hatte eine verschuldensunterhängige Haftung angenommen ohne die EuGH Rechtsprechung zu berücksichtigen wo es eine erforderliche Fahrlässigkeitsschwelle angenommen wird.

00:05:53: Und bei OpenAI-Sanktionen, die ist gefallen.

00:05:56: Weil die OpenAI eine indische... ...eine indische, eine indisch-aziazielle Schwangerschaft auch über eine irische Tochter gegründet hat und deswegen die dann einfach nicht mehr zuständig waren.

00:06:06: Das ist irgendwie Christoph, wir haben es schon mal kurz diskutiert.

00:06:09: Es ist irgendwie ein bisschen ernüchternd, oder?

00:06:12: Naja

00:06:12: also ich muss sagen.

00:06:13: Ich finde beide Zahlen bemerkenswert.

00:06:15: zum einen erst mal die Summe, die insgesamt verhängt worden ist.

00:06:17: aber eigentlich noch erstaunlicher oder vielleicht irritierender dann tatsächlich dass knapp vierzig Prozent sind das ja davon naja schon letztendlich weggenommen wurden oder zurückgezogen wurden von den Muskelern oder noch im Gerichtsverfahren anhängig sind.

00:06:31: Das ist ja eigentlich schon... Also es ist ja spannend.

00:06:33: ne weil man muss sich ja schon fragen wie kommt das?

00:06:35: und ich würde mich also auch noch mehr fragen Ja du hast es gerade angesprochen Wie kommt es zu diesem nennen das mal strukturellen Problemen, dass also auch in den Bescheiden offensichtlich solche formalen Fehler drin sind.

00:06:44: Dass dann aufgrund der Tatsache schon diese Bußgelder wieder einkassiert werden.

00:06:49: Aber ist es so?

00:06:50: Also ich meine die sehvierzig Prozent sind eben annuliert oder angefochten.

00:06:54: Genau,

00:06:54: soll nicht alles durch, aber einige

00:06:56: sind genau also annulliert.

00:06:57: Also wenn ich's richtig verstehe, sind von diesen zwei Komma acht Milliarden, zweikommer eins Milliarden vor Gericht und siebenhundert Millionen sind annuliert Also ein Zehntel.

00:07:07: Das ist schon mal eine ganz andere Prozentzahl und das jetzt irgendwie Meter, wenn Sie wieviel Milliarden Euro Bußgeld kriegen, dessen natürlich vor Gericht zerren... Die Gerichtskosten musste erst mal aufhäufen, dass du sagst es rentiert sich nicht mehr.

00:07:20: Wir akzeptieren das jetzt oder?

00:07:21: Ja natürlich also kann man natürlich auch nicht verdenken.

00:07:23: Das ist so ein jedes Unternehmen wirklich solche Busgelder in der Höhe angreifen.

00:07:28: Es ist nur auch ja in Deutschland überraschend wie häufig das bei Gericht durchkommt.

00:07:31: Also kaum eine Sanktion in Deutschland wurde jetzt von der Aussichtsbehörde verhängenden Höhe durchgewogen und gerade die großen Sachen wurden alle stark reduziert.

00:07:44: Ich bemerke da schon so einen gewissen Faden, der da durchgeht.

00:07:50: Das ist vielleicht dann für den Gerichten nicht ganz so heiß gegessen wie es gekocht wird oder so?

00:07:55: Ja genau!

00:07:56: Ich meine Silvester du hast natürlich recht.

00:07:58: also das ist natürlich ein Argument.

00:08:00: aber auf der anderen Seite finde ich's halt schon bemerkenswert wenn in Moosegeld gegen Amazon fast siebenhundertfünfzig Millionen Euro wenn das aufgrund eines Formalen und ich find jetzt eher einfach einen formalen Fehler dass das scheitert das ist ja vielleicht eine ehrige Annahme die ich da treffe.

00:08:14: Aber gerade bei solchen großen Buskerl dann hätte ich erwartet, dass die formalen Aspekte fünf und sechs mal geprüft werden.

00:08:20: Und nicht allein deswegen.

00:08:21: Ich meine, inhaltlich ist eine andere Frage da kann man sicher immer streiten.

00:08:25: also das finde ich irritierend und bin der deutschen Wohnenjörg.

00:08:28: Das habe ich glaube richtig im Kopf hatten wir Deutschland ja auch so ein Fall wo dann Naja, sagen wir mal interessante Einzelheiten dazu geführt haben dass das zumindest im ersten Anlaufjahr auch nicht umgesetzt wurde.

00:08:39: Ja oder man wird von der Staatsanwaltschaft vergessen irgendwas zu unterschreiben und das Verfahren endet dann also das ist schon alles bis so ein Squirrel.

00:08:48: Sind das dann Fälle wo die Aufsichtsbehörde nochmal kommen kann?

00:08:51: Und sagen kann okay wir haben die Formfehler sozusagen jetzt korrigiert und hier ist ein neues Bußgeld

00:08:56: in der Regel nicht weil sie ja in der Riegel es sich um diese Bußgeldbescheid dreht vor Gericht, den die Behörde erlassen hat.

00:09:05: Natürlich kann es sich Sachen anerkennen oder so was aber das machen sie glaube ich auch eher selten.

00:09:09: Ja also irritierende Zahlen fand ich jedenfalls.

00:09:11: wir werden das mal weiter verfolgen und ansonsten gehen wir weiter und kommen wie immer in dieser Stelle zum...

00:09:18: Das Buß Geld der Woche!

00:09:22: Unser Buß-Geld der Woche kommt aus Spanien und das leitet schonmal ein bisschen zu unserem Thema über.

00:09:28: Es geht nämlich um Datenlöschung, ich werde nicht versuchen das irgendwie spanish auszusprechen.

00:09:37: Empfänger ist, kann jemand so fertig spanisch von euch beiden?

00:09:42: Asnev Equifax, wie auch immer das ausspanisch ausgesprochen wird... Ich hatte nochmal nachgelesen dass es der Betreiber eines Bonitätssystems, also sowas ähnliches wie der Schufer und Was war da, also dieses Unternehmen Bußgeld zweihunderttausend Landspagnien verletzte rechte Artikel sechs und Artikel siebzehn.

00:10:05: Siebzehnt ist das löschungsrecht.

00:10:07: was war hier passiert?

00:10:09: Der dieser Buß Geld Empfänger betreibt dieses Bonitätssystem Asnev Und die Betroffene Person der wurde Ende zwanzig-einundzwanzig eine Restschuldbefreiung erteilt Und die wurde auch in den spanischen Verzeichnissen eingeteilt.

00:10:29: Daraufhin hat sich diese Person an dieses Asnev gewandt und gesagt, bitte löscht mich aus diesem Bonnitätssystem!

00:10:37: Weil das ist natürlich so, dass eine Ein-Tage-Systeme wie bei der Schufer immer problematisch ist.

00:10:44: Das hat er insgesamt dreimal versucht, zweimal hat es nicht geklappt beim dritten dann aber erst irgendwie sehr spät.

00:10:53: und die ersten zwei Anträge, da gab es nur eine Sperrung.

00:10:57: Und das war aber nicht ausreichend weil natürlich das Ergebnis dann immer noch negativ ist also zumindest beim dritten Part.

00:11:02: deswegen hat sich hier der Betroffene an die Datenschutzbehörde gewandt Die Asnev... Also der Betroffenen hat gesagt... Nicht der Betreffende, der Busker-Dempfänger hat gesagt, die Daten waren nie für Dritte sichtbar.

00:11:13: Ist auch ganz interessant, können wir uns gleich nochmal darüber unterhalten, Christoph was das für Auswirkungen hat?

00:11:17: Die Daten waren Nie für Dritten sichtbaar.

00:11:21: Dez.

00:11:22: vor Ablauf der Sperrfrisch gelöscht wurden.

00:11:24: Dennoch hat die spanische Behörde-Einsanktionsverfahren eingeleitet und zwei Bußgelder von je hunderttausend Euro einmal wegen Verstoß gegen die Löschfrist, und einmal wegen fehlender Rechtsgrundlage für die Speichung der Daten.

00:11:37: Beide Vergehen wurden nach dem spanischen System als sehr schwer eingestuft Und es wurde diesem Assnef vorgeworfen dass sie Anträge von den Betroffenen nicht selber beschieden haben, sondern nur an die Schuldner weitergeleitet haben.

00:11:54: Dann wurde ihnen vorgeworfen dass das Sperren nicht genügt.

00:11:57: Es muss insbesondere eine erneute Eintragung verhindert werden was nicht der Fall war und es wurde ein Verschulden bejaht spätestens dann wenn dieser Eintracht ja dann zum dritten Mal wieder neu eingetragen wurde.

00:12:10: dies hätte ASNEV einen Operationskennzeichen erkennen müssen.

00:12:14: fehlende Sichtbarkeit.

00:12:15: Kurze Dauer haben sie nicht entlastet, da die DSGVO auch ohne Schadensersatz einen Normverstoß sanktioniert.

00:12:22: Erschwerend kam hin zu Fahrlässigkeit und berufliche Nähe zur Datenverarbeitung.

00:12:27: das kann man bei diesem Unternehmen sagen.

00:12:30: Dann haben wir nochmal nachgelesen mit von Heuger übernommen.

00:12:33: was Sie denn für den Umsatz machen finde ich ja dann immer ganz spannend ne?

00:12:38: Busgeld Umsatz Kategorie genau weiß man es nicht.

00:12:41: umsatz kategorie über dreißig millionen euro aber der mutter konzern equifax hatte in weltweiten umsatzt von fünf zwei Milliarden Euro.

00:12:51: das ist natürlich eine ganze Menge und den müsste man ja eigentlich bewerten.

00:12:56: auf dein bauchgefühl angemessen nicht angemessen.

00:13:02: wie hält es sich damit dass die daten gar nicht abrufbar waren obwohl sie am mittel bar auf war?

00:13:07: wahrscheinlich durch das ranking.

00:13:10: Das ist wahrscheinlich genau das problem.

00:13:12: also weiß ja keiner so genau und wahrscheinlich auch nicht der betroffene in dem fall ob die daten obwohl sie nur für ihn noch nicht für dritte sichtbar war nicht vielleicht doch noch für bonitets scoreings irgendwie benutzt wurden kann man da Eigentlich nichts zu sagen, also ich meine die spannende Frage, die dahinter steckt ist ja da kommen wir vielleicht auch nachher noch mal draufzusprechen.

00:13:33: Die Eki Fax hat ja irgendwie gesagt sie hätten die Daten gesperrt.

00:13:36: und dieses Sperren von Daten was für ja im alten BDSG tatsächlich Mal auch als Ja Sachverhalt hatten Das gibt es ja eigentlich in der Datenschutz-Grundverordnung gar nicht mehr, sondern da gibt's ja tatsächlich nur das Löschen.

00:13:52: Also das ist ja schon mal bemerkenswert.

00:13:53: und dann ist natürlich auch die Frage was heißt denn gesperrt?

00:13:56: Also gesperrt für die Sicht vom Dritten oder gesperbt für die Verarbeitung in den eigenen Prozessen?

00:14:01: wenn ja in welchem Umfang?

00:14:03: also insofern ich finde die hunderttausend Euro oder die zwehntausend Euro Wenn man denn mal annimmt dass hier wirklich Fahrlässigkeit und irgendwie vielleicht auch Wir haben das geschrieben, berufliche Nähe zu Datenverarbeitung hätte eigentlich auch Sachkenntnis da sein müssen.

00:14:20: Also im Lichte der, wie viele Milliarden waren es die du gerade für den Mutterkonzernen in den Raum geworfen hattest?

00:14:26: Ja dann sind die Hunderttausend oder Zweihunderttaussend Euro ja eher glücklich für den Wikifax Konzern.

00:14:33: also so würde ich das mal einschätzen.

00:14:36: Besonders irritierend, ehrlicherweise muss ich sagen ist das da dreimal was eingetragen wurde.

00:14:40: Obwohl der ja offensichtlich vorher schon mal etwas gesagt hatte und dass es natürlich irgendwie wie sagen wir immer Jörg in unseren Webinaren auch?

00:14:45: Das zeugt von einem strukturellen Versagen der Datenschutzorganisationen.

00:14:50: Und auch in dem lichte glaube ich würdest du auch sagen sind die hunderttausend Euro dann eher klein angesetzt oder siehst du das anders

00:14:56: nicht?

00:14:57: würde schon aussehen.

00:14:57: also wäre eine der Kernaussagen, was wahrscheinlich auch jeder Datenschutz unterschreiben würde.

00:15:04: Die wir da treffen ist halt du kannst mal einen Fehler machen und menschlichen Fehler.

00:15:09: Es kann mal etwas schief gehen es kann mal falsch verschickt werden oder sowas.

00:15:13: schwierig wird's halt wenn du ne schlechte Organisation hast und deine Strukturen nicht funktionieren.

00:15:20: das war hier offensichtlich der Fall und wie du das sehen würdest Wester, Tut ich zweimal an die Schufe, wenn oder dreimal an der Schufer wenden würde es und das würde da immer wieder stehen.

00:15:30: Und du würdest wahrscheinlich dann auch immer wieder muss es ja in irgendeiner Form auch immer erfahren haben dass das darin steht.

00:15:36: Ich glaube das wird mich auch ziemlich ärgern.

00:15:37: Ich finde sie mit zweihunderttausend auch relativ gut weggekommen bei der Summe die hier im Raum für den Gesamtkonzern steht.

00:15:43: Ja also das würde mich natürlich massiv stören.

00:15:47: Muss aber auch sagen... Also es käme kaum unerwartet ne?

00:15:53: Ich kenne das von diversen anderen Organisationen, zum Beispiel meiner Bank, die ich deswegen jetzt mal nicht nennen habe.

00:15:59: Dass man immer und immer wieder mit dem gleichen Schmarrn in den gleichen Workflows im Kunden-Support läuft und nicht weiter kommt.

00:16:07: Und dass Zickanläufe braucht, dass man irgendwie einmal darüber hinauskommt.

00:16:11: Insofern überraschend.

00:16:13: Ich hab mich gefragt also wenn ich es richtig verstehe war das hier sozusagen ein Betroffener der geklagt hat.

00:16:19: Hat das eine Auswirkung auf das Bußgeld?

00:16:22: Also könnte jetzt zum Beispiel die Datenschutzbehörde hingehen und sagen, wir gucken einfach mal eure Datenverarbeitung insgesamt an.

00:16:27: Weil die scheinen strukturell kaputt zu sein und da sind vielleicht irgendwie tausend Leute noch mit dem Eintrag versehen, die da gar nicht drin seien sollten.

00:16:35: und würde es dann was ändern?

00:16:36: oder hat das auf dieses Buß Geld keinen Einfluss?

00:16:39: Also geklagt hat er nicht.

00:16:40: Er hatte eine Beschwerde gegenüber der Behörde abgegeben.

00:16:45: Das macht von der juristischen Bewertung letztendlich keinen Unterschied.

00:16:48: Praktisch macht das natürlich enorme Unterschied, weil eine Aufsichtsbehörde die tausend Meldungen hatte ist natürlich viel eher geneigt da tätig zu werden und da vielleicht auch hart tätig so werden als wenn er jetzt nur eine Beschwerde kommt.

00:17:00: aber von einer juristische Beurteilung macht es eigentlich keinen Unterschied.

00:17:03: eher so praktisch

00:17:04: dann.

00:17:05: Ist halt die Frage ob der sich einmal oder mehrfach beschert hat und die vielleicht dann auch gedacht haben hey wenn das jetzt zum dritten Mal nicht vernünftig funktioniert?

00:17:11: Dann müssen wir vielleicht doch aufgrund dieses Ja, strukturellen Problems mal genauer hingucken.

00:17:17: Ich mich noch frage die ganze Zeit das stand aber auch ich hab das Ding mit Kai überarbeitet in den Busket Bescheid.

00:17:23: Habe ich da nicht gefunden?

00:17:24: Die Frage war der ist einfach.

00:17:26: dann wusste.

00:17:28: Kann eine Selbstauskunft machen kannst du bei der Schufe ja auch

00:17:31: kann sein.

00:17:31: Aber dann war es ja doch irgendwie abrufbar.

00:17:36: Genau nicht für Dritte.

00:17:37: also habe ich das verstanden und das heißt er dass er selber Einsicht nehmen konnte.

00:17:41: im Zweifel dann aber Eki Fax einfach gesagt hat, na ja diese Daten die du da siehst weil wir die ja gesperrt haben waren für andere Leute die eine Bonitätsauskunft bei uns sozusagen einholen wollten nicht sichtbar.

00:17:52: Die dann in Scoring eingeflossen sind oder so ist vielleicht noch mal ne ganz andere Frage.

00:17:56: ich mein wäre mir auch in Deutschland diese Diskussion gehabt das habt ihr beide mit Sicherheit auch mitbekommen dass die Schufa sagen wir mal ihre Geschäftsgeheimnisse bezüglich des Berechnens, das Corrings da nicht so richtig preisgeben wollte und dass natürlich auch eine ganz spannende Frage ist wie gehen die Daten überhaupt ein?

00:18:12: Und was kann ich denn als Betroffener dann überhaupt tun.

00:18:16: Was muss ich vielleicht auch tun um das neutral und wertrichtig zu halten?

00:18:22: Ja damit sind wir schon mitten in unserem Hauptthema nämlich...

00:18:27: Na ja ich wollte das fragen aber ich weiß nicht auf dem Thema.

00:18:31: also wie ist es denn wenn?

00:18:33: ich bin jetzt so eine Auskunftteil.

00:18:35: Ich kriege da irgendwelche Daten rein, berechne daraus meinen Score und dann hau' ich die Daten weg, baue ich ja nicht mehr.

00:18:41: Ich habe sozusagen jetzt einen Score.

00:18:44: Und wenn angenommen diese Eingabendaten waren ... Hau'n die nicht weg?

00:18:48: Nee aber also ein hypothetisches Szenario.

00:18:50: Die sagen brauchen wir nicht mehr, hau', ich weg!

00:18:53: Jetzt waren die Eingabe-Daten falsch, dadurch ist der Score falsch.

00:18:57: Habe ich da jetzt DSGVO-mäßig ne Handhabe weil... Die eigentlichen Daten, die zu korrigieren wären oder so.

00:19:05: Die sind ja gar nicht mehr vorhanden im Unternehmen.

00:19:07: Naja und die andere Frage ist ja woher weißt du denn dass die Daten falsch waren?

00:19:10: Manchmal bei der Schufe sind hier in der Selbstauskunft irgendwie drin.

00:19:14: Da könntest du jetzt noch reinschauen und sagen hey das stimmt aber nicht.

00:19:17: Keine Ahnung diesen Kreditantrag habe ich nie gestellt soll ja so Fälle gegeben haben Aber wenn sie weg sind dann fehlt es ja schon daran dass Du überhaupt kennst davon erlangs dass die vielleicht mit falschen Daten einen falschen Score berechnet haben.

00:19:29: also ist ja eigentlich noch schlimmer Da wäre ja die Transparenz überhaupt nicht mehr gegeben.

00:19:33: Und du kannst natürlich auch nicht, wenn du nur deinen Score kriegst, dass man ja nicht erklären kann zwar nicht einschätzen was da jetzt genau reinfließt.

00:19:39: Der Rechnung des Scores ist ja auch

00:19:42: schwierig.

00:19:43: Also

00:19:43: in der juristischen Theorie.

00:19:44: hast du einen Auskunftsanspruch was da reingegangen ist wie das alles funktioniert und so weiter.

00:19:50: Ich wollte mal wieder machen.

00:19:53: Wolltest du vielleicht mal für eine der nächsten Folgen mal wieder eine Selbstauskunft bei der Schufe oder vielleicht mal ein paar Selbst-Auskünfte und mal durchschauen?

00:20:01: Also

00:20:03: ich gucke tatsächlich regelmäßig in meinen Schuferprofil rein und muss sagen, da habe ich jetzt noch keine Daten gefunden die da nicht hingehörten.

00:20:10: Es gab einmal einen alten Mobilfunkvertrag den ich dann, darf ich dann gesagt ja so bitte gelöscht werden weil der längst abgelaufen war und auch keine Rolle mehr spielte letztendlich.

00:20:19: Den haben sie aber auch nach kurzer Zeit daraus geschmissen.

00:20:23: Aber das ist also ich kenne auch ganz andere Fälle wo Leute sich gerade bei der Kreditvergabe dann sehr damit rumgeärgert haben, welche Sachen da drin standen und die vielleicht auch dazu geführt haben dass der Kredit nicht so ausgefallen ist wie sie sich das vorgestellt haben.

00:20:37: Aber ganz allgemein dieses Recht auf Korrektur oder auf Richtigkeit von den Daten, das erstreckt sich sozusagen auch auf Folgedaten, die aus den Dingen berechnet werden Und die Schufa kann dann nicht sagen, sondern ja keine Ahnung Dann korrigiere ich halt.

00:20:51: sozusagen.

00:20:51: also dieser Score, der irgendwie magisch berechnet wird können Ich mein praktisch scheinbar schon, weil niemand weiß wie der berechnet wird.

00:20:58: Aber können sich zumindest juristisch nicht darauf zurückziehen zu sagen naja er bleibt jetzt so, weil es liegt irgendwie in den Innereien dieses magischen Scores wieder berechnet und dass wir irgendeine Eingabendatung jetzt korrigieren ändert nichts am Score oder so?

00:21:14: Die Frage ist ja Silvester warum sollten sie das tun?

00:21:17: Also wenn ich jetzt so eine Auskunft teil wäre und du würdest mir sagen, da war das Datum falsch.

00:21:22: Dann würde ich halt sagen okay keine Ahnung im nächsten Durchlauf ist der Score dann korrigiert mit dem richtigen Wert, der da eigentlich reingehört?

00:21:29: Das Problem sehe ich ja eher darin dass vielleicht auf Basis des Falschens scores schon Entscheidungen irgendwie getroffen sind die du nicht mehr revidieren kannst.

00:21:36: Wenn der Kredit abgelehnt wurde, wurde er abgelehnd und das ist ja dann auch also gerade in den Fällen häufig ein selbst verstärkender Prozess.

00:21:44: Ja klar, aber wir gingen es auch nicht darum von wegen die Tunis weil sie böse sind oder so sondern ich meine warum sollte hier die spanische Auskunftteil drei mal die Sache nicht löschen obwohl Sie löschnen sollen.

00:21:54: Es geht offensichtlich halt ja dann um Fälle wo irgendwie im Workflow was falsch läuft und die Frage ist können sich die sich darauf zurückziehen zu sagen naja was auch immer unsere Workflows sind eh intern geht dich nichts an und diesen Fehler sozusagen damit kaschieren dass man da nicht weiter kommt mit einem Kulturanspruch.

00:22:11: Da ist der Fall in Spanien glaube ich deswegen noch ganz spannend, weil ja da die Frage noch wäre.

00:22:16: Wer hat denn dieses Merkmal bei Equifax eingetragen und von wem ist das denn gekommen?

00:22:21: Und da hat der Gläubiger offensichtlich eine starke Mitwirkung gehabt, formulieren wir es mal so.

00:22:27: Und Equifx hat deswegen gesagt Wir sind gar nicht dafür zuständig.

00:22:30: also ich glaube da gießt weniger darum dass sie das nicht hätten machen wollen.

00:22:33: Sie haben eher gesagt Also das ist nicht unsere Baustelle Weil eigentlich müsste der Glöubiger das rausnehmen, der das auch eingetragen hat.

00:22:41: ist das letztendlich dann zu diesem Problem geworden.

00:22:43: Ist ja immer eine Frage, ob man da von einer gemeinsamen Verantwortung ausgeht oder nicht und das ist ja sowieso korrigierbar, wenn ich falsch liege.

00:22:49: aber eine der Größen- und Baustellen sowieso im Datenschutz, diese gemeinsame Verantwortlichkeit.

00:22:55: Hier waren die Spanierburgs von Gemeindenverantwortlichen ausgeladen.

00:22:59: Ja, aber da sind wir mitten im Thema.

00:23:01: Wir machen es nochmal ein bisschen auf.

00:23:03: Eine Sache, die in meinem Alltag sehr häufig vorkommt... Nicht immer Vergangenungssteuerpflichtig, ein Betroffener verlangt die Löschung seiner Daten beim Heiser Verlag.

00:23:17: Machen wir jeden Tag.

00:23:19: Was ja auch völlig in Ordnung ist, ne?

00:23:20: Wir haben entsprechende Prozesse.

00:23:22: Dann wird als nächstes geguckt bei uns im Prozess.

00:23:26: dürfen wir das überhaupt oder stehen diesen Löschbegierern nicht zwingend der gesetzliche Verpflichtungen gegenüber die uns... aufgeben diese Daten zumindest für einen bestimmten Zeitraum zu speichern.

00:23:40: Und das kommt eigentlich fast immer vor, weil die meisten dieser Menschen, die irgendwas löschen waren irgendwann mal Abonnenten haben irgendwann mal was gekauft.

00:23:51: wenn wir jetzt nur eine online Zugang hatten wo sie nichts bezahlt haben dann können wir es natürlich sofort löschnen aber in dem moment wo sie mal kunde waren müssen wir das aufheben zwischen sieben und zehn jahren.

00:24:02: meistens.

00:24:03: die gekauften Sachen ist jetzt ein bisschen verkürzt Aber wir dürfen das meiste gar nicht löschen.

00:24:09: So, dann ist der Punkt wo es meistens meine Aufgabe ist das den Leuten zu erklären und ich kann sagen die Leute sind nicht besonders empfänglich darüber.

00:24:18: meistens und Es is ein steter Quell von Frustration auf beiden Seiten weil wir gar keine Tasse daran haben diese Daten zu speichern.

00:24:27: wenn der Kunde nichts mit uns tun haben will ne?

00:24:29: Dann würden wir gerne löschnen dürfen.

00:24:32: so da kommen wir an einen Punkt, wo zwei Rechte gegeneinander knallen.

00:24:38: Und das ist jetzt hier noch ... Ich hab was gekauft!

00:24:41: Ist noch der einfachste Fall.

00:24:42: Der, dem wir uns jetzt so ein bisschen näher widmen wollen, da is' irgendetwas protokolliert... Da is' irgendwas in nem Lock-File... Da iss' irgendwas im Archiv.

00:24:54: Dafür gibt es meistens aber nicht immer juristische Gründe.

00:24:57: und dann kommt jemand und sagt ich möchte dass gelöscht haben.

00:25:01: also sprich die eine norm gebietet das löschen meistens der artikel siebzehn dsg vo.

00:25:07: Die andere verbietet es zum beispiel irgendwas in der abgabenordnung gesetzt dass man eben diese informationen auf eben muss auch e-mails zb als handelsbriefe und ähnliches.

00:25:21: so ja also genau dieser la getrifft jedes unternehmen.

00:25:24: login backups compliance system das ist absoluter alt Alltag.

00:25:30: die Leitfrage ist, was passiert denn wenn jemand diese Löschung verlangt.

00:25:34: Die aber in einem System liegen dass man gar nicht löschen darf und vor allen Dingen vielleicht auch technisch gar nicht löschend darf.

00:25:39: Insbesondere Backups.

00:25:41: Da wollen wir jetzt mal einsteigen.

00:25:42: und erste Frage an Christoph.

00:25:46: Warum überhaupt Logging-Protokollierung?

00:25:49: Jetzt dann eher vielleicht als Service Juristen.

00:25:52: Logging Protokollierungen warum ist das im IT-System unverzichtbar?

00:25:57: Ja, wir können das ja vielleicht auch aufhängen an den neuen regulatorischen Vorgaben.

00:26:01: Also NIST II ist ja in aller Munde und nicht nur bei NISTII sondern auch schon früher.

00:26:06: in den Regelungen vom IT-Sicherheitsgesetz ging es ja auch darum jetzt endlich Sicherheitsvorfälle zu erkennen und die anschließend auch beim BSI zu melden.

00:26:15: und dann hat man natürlich direkt einen der Hauptgründe warum man vielleicht auch Logging und Protokollierung irgendwie im IT Betrieb haben möchte um Anomalien, jeglicher Art irgendwie frühzeitig zu erkennen und dann im Zweifel auch diese Informationen zu benutzen.

00:26:29: Um beispielsweise im Kontext eines zwei Regulatorik eben den Sicherheitsvorfall beim BSI zu melken.

00:26:34: also es gibt aus meiner Sicht zwei wesentliche Ankerpunkte.

00:26:39: das eine ist vielleicht so eine intrinsische Motivation des IT Betriebs die ja vielleicht irgendwie auch ein Interesse daran haben zumindest in der Regel dass die IT gut läuft und deswegen viele Infos haben wollen, um festzustellen ob das denn eben auch alles so läuft wie man sich das vorstellt oder ob man vielleicht irgendwie was machen muss.

00:26:57: Und das zweite ist dann vielleicht noch der besondere Fall davon, dass tatsächlich sicherheitsrelevante Ereignisse irgendwie stattfinden.

00:27:03: Das wären aus meiner Sicht die beiden Hauptmotivatoren.

00:27:06: Jetzt hast du ja gerade in deinem Beispiel ich finde schon das glückliche Beispiel gewählt, dass es da tatsächlich auch gesetzliche Vorgaben für die Aufbewahrungsfristen gibt Denn das ist natürlich bei der Protokollierung und beim Logging jetzt aus dem rein IT-technischen Bereich heraus, aus meiner Sicht – und das erleben wir ja in den Webinaren auch immer wieder eine der größeren Baustellen.

00:27:27: Also eben eine fehlende konkrete Vorgabe in den diversen Gesetzen.

00:27:32: Wie lange ich denn diese Lock-und-Protokoll Dateien tatsächlich aufbewahren soll bzw.

00:27:37: muss?

00:27:37: Oder

00:27:38: darf!

00:27:39: Darf ja auch, stellt sich natürlich auch nur die Frage.

00:27:42: Ich mache das aus IT-Sicherheitsgründen.

00:27:45: Das ist ja gerade bei den Vorträgen noch mal ein paar Mal abgefragt haben, vielleicht kannst du das kurz nochmal zusammenfassen?

00:27:51: wie viele von euch protokollieren überhaupt?

00:27:54: Ja genau also.

00:27:54: das ist so eine Sache.

00:27:55: die muss man jetzt für die Zurschaft sagen.

00:27:57: wir machen es schon seit vielen Jahren dass wir immer wieder bei Vorträgen ins Publikum fragen, wer von euch protokolliert denn beispielsweise IT-Adressen oder sonstige personenbezogene Daten?

00:28:08: und dann melden sich regelmäßig irgendwie ninety fünf Prozent des Auditoriums.

00:28:14: Und die Folgefrage?

00:28:15: Wer wertet diese Daten den Ziel gerichtet aus und hat sich denn auch vorher mal überlegt wie lange darf er die überhaupt speichern und löscht sie dann auch nach der entsprechlichen Entspeicherfrist?

00:28:24: da ist dann doch die Rückmeldung ja zurückhaltend.

00:28:27: Ich würde sagen vielleicht zehn Prozent des Auditoriums, die da regelmäßig sich melden was uns dann immer zu der Pointe bringt dass wir sagen Ja okay aber dann habt ihr offensichtlich gar keinen Zweck für die Speicherung.

00:28:36: und das bringt natürlich aus der DSGV oder schon das erste Riesenproblem mit sich weil ohne entsprechende Erforderlichkeit dürfte ich ja die personenbezogenen Daten die in den Lockfalls mit drin sind eigentlich überhaupt nicht erheben und erst recht nicht lange speichern.

00:28:51: Glaubt Ihr Also diese fünf Prozent, die angeblich keine IP-Adressen protokollieren.

00:28:58: Dass sie das wirklich nicht tun oder dass die nicht zugelettet haben?

00:29:01: Das habe

00:29:02: ich

00:29:05: auch jedes Mal

00:29:05: tatsächlich... Die sich jetzt nicht gemeldet haben, haben nicht zugehört weil Sie gerade mit Ihrem Handy beschäftigt waren oder die Frage nicht akustisch nicht verstanden haben.

00:29:13: ja also hast du völlig recht

00:29:15: Aber vielleicht auch als die, an dich.

00:29:16: die Frage ist da.

00:29:18: Als IT-Lower, woher kommt diese Protokolleritis?

00:29:21: Warum habe ich unter technischen Gesichtspunkten diese Idee, dass sich möglichst so lange wie möglich speichern möchte?

00:29:30: Ach, ich weiß gar nicht ob so viel so lange wir mögen... Also soviel wie möglich?

00:29:33: Na ja!

00:29:34: Aber grundsätzlich ist es halt so wenn ich irgendeine Software habe dann hat ein gewisses Risiko das da was schief geht Und das kriege ich dann erst mit, wenn es schon schief gegangen ist.

00:29:47: Dann ist es meistens sehr schwierig aus dem Scherbenhaufen zu rekonstruieren, wo eigentlich das Problem war und deswegen ist es halt eine sehr gute Praxis, dass so soft der LOX anfertigt.

00:29:58: Das heißt während sie arbeitet halt so mitprotokolliert was sie gerade so treibt, sodass man dann, wenn's halt auseinander fällt auf dieses Protokoll gucken kann und sehen kann ach guck an hier ist es auseinander gefolgen.

00:30:08: kurz davor ist das passiert, das war wohl der Auslöser.

00:30:13: Denke schon, man braucht es in der Regel nicht super lange und die meiste Software ist auch nicht so aufgesetzt dass sie von Haus aus alles was ihr rausschreiben kann, raus schreibt weil das einfach nur unglaublich viel Platz frisst.

00:30:30: Jetzt aber schon ein Problem das sowas vergessen wird.

00:30:32: also man installiert diese Software die schreibt standardmäßig irgendwo Protokoll hin, man weiß es gar nicht interessiert sich gar nicht dafür.

00:30:39: Das kann dann sogar das Extrem annehmen, dass dann halt irgendwie drei Jahre später die ganze Maschine umfällt.

00:30:43: Weil die Platte voll ist mit Protokoll-Daten.

00:30:47: Also ich glaube bei der schieren Menge ist oft einfach nicht Wissen und sich nicht zum kümmern einen Faktor.

00:30:53: Ich glaube, dass es Selbstschutz ist der Atmens also was du gerade beschrieben hast eine frühzeitig zu erkennen, dass was nicht funktioniert bevor ja Kunde in Anführungstrichen das irgendwie merkt.

00:31:03: Was wir vielleicht so als kleines Problem haben Betriebssystemen, aber auch Softwarekomponenten natürlich das Logging per default irgendwie aktiviert ist.

00:31:12: Vielleicht nicht immer im vollem Umfang wie du gesagt hast, aber das ist ja häufig kein Opt-in sondern es für die Admin Sehren opt out das komplett abzuschalten.

00:31:19: und manchmal denke ich an Windows Telemetriedaten kriegst du das sowieso gar nicht richtig weg.

00:31:24: also was da so alles vielleicht von Microsoft intern protokolliert und auch weiter kommuniziert wird.

00:31:29: Aber wir nennen jetzt mal Weitergabe der Protokoll.

00:31:32: dann noch ein ganz anderes Thema.

00:31:33: dass würde den Rahmen heute sprengen.

00:31:36: Wir haben gleich einen Blick auf so typische Protokolle, typische Logs.

00:31:42: Diese Bekannte sind die klassischen Lockfiles von Web-Server und IP-Adressen, Zugriffstaten usw.

00:31:50: gespeichert werden, die wohl immer noch ganz herrschen.

00:31:53: in meinem Geht davon aus dass IP Adressen personenbezogen sind gibt es gerade ein paar neue Diskussionen die ich auch mit Interesse verfolge, wobei ich diese ganze Diskussion aus etwa zwanzig Jahren irgendwie führe.

00:32:05: Ich habe meine eigene Theorie dazu entwickelt, ob inwieweit IP-Adressen personenbezogene Daten sind?

00:32:13: Es gibt eine neue Tendenz durch ein OIG-Urteil, das ein bisschen sagt, naja sie sind personen bezogen aber eben nicht für jeden und wenn ich keine weiteren Identifikationsmöglichkeiten habe, dann sind Sie wahrscheinlich eher nicht personen bezogen.

00:32:25: Hören wir das jetzt mal so aufs Lockfall von einem Heiseverlag überträgt wäre es für mich frag würde ich, ob die tatsächlich alle per se personen bezogen sind.

00:32:38: Es werden sicherlich einige sein nämlich die im vorm angemeldet sind.

00:32:42: Die werde ich mit Sicherheit relativ einfach wenn sie sich über meine letzten jahre mal eingelockt haben identifizieren können darf ich aber wahrscheinlich nicht unbedingt so dass wir nochmal ein anderes problem Ähm, alle waren aber vor dem.

00:32:53: neunzig Prozent werden wir halt nicht identifizieren können.

00:32:57: Und da gibt's Christoph hier eine relativ bizarre Begründung der es OGH nämlich dass ich das ja rausfinden kann indem ich eine Anzeige bei der Polizei mache.

00:33:06: Das fand ich schon immer wenig überzeugend.

00:33:08: die Argumentation

00:33:10: Ja also ist glaube ich auch eher so eine Einzelfall Betrachtung.

00:33:14: das mag mal funktionieren.

00:33:15: Ich meine das funktioniert in anderen Fällen auch wenn man jetzt mal das Pendant das kfz kennzeichnen und dann kann man auch sagen, ja da hat jemanden verursacht.

00:33:23: Ich würde von meiner Versicherung gerne mal wissen wer der Halter ist weil ich den kontaktieren möchte.

00:33:26: also solche Sachen gibt es da ja auch.

00:33:29: aber Also die Idee zu sagen Es kommt schon auf die persönlichen Mittel desjenigen an der jetzt dieser IP Adresse vorliegen hat ob er daraus jetzt einen Personbezug herstellen kann oder nicht.

00:33:41: Die finde ich halt durchaus auch Ja, gar nicht so schlecht.

00:33:46: Das würde man in anderen Fällen ja vielleicht auch irgendwie unterstellen.

00:33:49: aber was mich irritiert ist eben diese Unterscheidung.

00:33:52: also bei Konto-Nummern beispielsweise oder bei Telefon-Nummern oder auch bei KFZ Kennzeichen habe ich noch nie die Diskussion gehört dass sie als Nichtperson bezogenes Merkball oder Personbeziehbares merkmal gehandelt werden sollen.

00:34:04: da ist man sich eigentlich einig und ich verstehe den Unterschied zu Alpierdresse einfach nicht In dem Fall.

00:34:10: Das ist sicherlich ein Thema wobei Das ist auch nur ein Randaspekt.

00:34:14: Denn du hast ja völlig richtigerweise gesagt, wenn ihr an euren Block oder an euer Forum denkt, da habt ihr ja auch noch weitere Informationen mit denen ihr das relativ schnell zusammenführen könnt und das gilt natürlich für alle Unternehmen die zumindest in irgendeiner Art und Weise vielleicht einen Webshop haben wo derjenige gerade angemeldet ist dann habe ich eine direkte Zuordnung davon.

00:34:34: Wenn er jetzt nur auf meiner Webseite surft Dann hab' ich dem Zweifel nicht.

00:34:39: Aber wir haben ja damals diese Infektionstheorie deswegen auch aufgestellt, weil wir gesagt haben es gibt immer noch den Sonderfall der statischen IP-Adressen.

00:34:46: Wo ich im Zweifel eben auch nachgucken kann, wem dieser IP-Addressblock zugeordnet ist und die sind in meinem großen Pool von allen IP Adressen drin und verseuchen sozusagen all die wo ich vielleicht tatsächlich

00:34:57: eine

00:34:58: Anzeige bei der Polizei machen müsste um dann irgendwann in der Auskunft dann zu wissen wer ist der Anschlussinhaber?

00:35:04: Aber komme ich nicht sowieso in Teufels Küche, wenn ich mich auf dieses Argument einlasse zu sagen naja es kommt drauf an welche Hand habe ich habe weil.

00:35:13: Also das kann sich ja ändern.

00:35:15: jetzt hab ich eine Lockpfeil.

00:35:16: da sind die Daten nicht Personen bezogen.

00:35:19: also kann ich das irgendwie jemandem anderen weitergeben.

00:35:22: aber bei dem sind sie dann plötzlich Personen bezogen oder?

00:35:26: Oder Ich kaufe mir in der Zwischenzeit ein anderes Unternehmen ein wo der Kunde halt mit einer gleichen Adresse angemeldet war.

00:35:31: Jetzt habe ich plötzlich Meine Datenpersonen beziehbar gemacht.

00:35:35: Also, da komme ich auch nicht ganz komisch hin?

00:35:38: Ja genau!

00:35:40: Das sind eine gute Frage.

00:35:41: Es gibt sicherlich tausend Möglichkeiten die das Ganze noch verkonkrizieren.

00:35:46: Bleiben wir mal um es nicht unnötig konkriziert zu machen so bei dem Regelfall.

00:35:49: Ich bin Website-Betreiber.

00:35:51: Ich mache ein Lock-File für meine Besucher und habe jetzt keine Möglichkeit durch das DVD irgendwie ohne weiteres zurückzulesen.

00:36:01: Da ist halt die spannende Frage, ist das Person bezogen oder nicht?

00:36:04: Ich würde im Moment davon ausgehen.

00:36:06: Weil noch die haste Meinung kann mir aber durchaus vorstellen dass die auch mal wieder kippt.

00:36:10: Die ist glaube ich schon zwei oder drei Mal gekippte in den letzten zwanzig Jahren mit der nächsten neue H-Entscheidung.

00:36:16: Schauen wir mal was da weiter passiert.

00:36:18: Aber bisweilen bleiben wir hier mal bei der Annahme, dass es personenbezogen ist weil sonst wäre unsere Diskussion jetzt hier am Ende.

00:36:25: Was ja blöd wär.

00:36:26: und warum.

00:36:28: Also warum will ich log files und warum brauche ich log file?

00:36:33: Es gibt ja eine ganze Menge christoph, eine ganze menge gesetzliche vorlagen die mich auch verpflichten dazu.

00:36:39: Log files zu machen und auch weg abzubeckers kommen wir gleich noch ein bisschen ähnliches probleme bis hin anders gelegen.

00:36:44: aber bleiben wir erstmal bei log files.

00:36:46: also wenn wir dieses beispiel web server betrieb nehmen dann dient die log file dazu zum einen vielleicht an bestmöglich in organisierter Form eine Zugriffstatistik zu erstellen, die mir vielleicht einfach hilft meine Webseite zu optimieren.

00:37:00: Dann ist aber schon die spannende Frage muss ich dafür Personenbezug in den IP-Adressen haben oder darf ich sie schon kürzen?

00:37:05: Oder kann ich sich schon kützen dafür?

00:37:07: Aber der ganz andere Fall wenn wir ja gerade schon auch in der Diskussion mit Silvester schon so ein bisschen thematisiert ist halt die Frage läuft mein Apache Webserver beispielsweise ordnungsgemäß oder gibt es da irgendwo Fehler die in einer gewissen Konstellation aufgetreten sind?

00:37:20: und dann will ich das halt bestmöglich, schnellstmöglich beheben können.

00:37:23: Ja also deswegen erstelle ich diese Lockfalls.

00:37:25: da ja eigentlich Abfallprodukt oder vielleicht auch manchmal das Hauptprodukt sind sicherlich auch Zugriffstatistiken.

00:37:32: Das wird man einfach tun und man hat sich da so ein bisschen drauf geeinigt.

00:37:36: Das kennen wahrscheinlich viele der Zuhörer von den entsprechenden Datenschutzerklärungen auf den Webseiten dass man hier einfach sagt, dass diese Lockfals nach sieben Tagen gelöscht werden weil man dann im Zweifel Keine personenbezogenen Informationen zumindest mehr braucht und über die reden wir ja gerade.

00:37:54: Und dann kann man das sozusagen wegtun.

00:37:57: Das ist aber eher so eine, denn dass man Speicherdauer, die sich im Laufe der Zeit ein bisschen rausgeprägt hat.

00:38:03: Grundsätzlich du hast gerade gefragt was gibt es für gesetzliche Grundlagen vielleicht oder Vorgaben?

00:38:09: Ich hatte schon gesagt sowas wie dines zwei Regulatorik.

00:38:12: also wenn ich Sicherheitsvorfälle erkennen will da muss ich überhaupt erst mal Infos darüber haben.

00:38:16: Das sind typischerweise eben auch System- oder Anwendungslocks, die ich dafür heranziehe um dann eben auch sicherheitsrelevante Ereignisse auszuwerten.

00:38:24: Es gibt vom BSI beispielsweise auch ein Mindeststandard der beschäftigt sich auch mit der Erkennung von Sicherheitsvorfällen wo dann auch drin steht Protokollierung gehört letztendlich dann darüber auch zum Stand der Technik.

00:38:38: aber die wirklich spannende Frage ist wie lange darf man speichern?

00:38:41: Oder wie lange muss man speicher?

00:38:43: in den Vorgaben nach

00:38:44: Und darüber rätseln wir seit vielen, vielen Jahren oder das zumindest keine klare gesetzliche Vorgabe gibt.

00:38:50: Es gibt einige in speziellen Bereichen, es gibt zum Beispiel indem von mir so hart geliebten AI-Akt der KI Verordnung gibt es eine Verpflichtung Eingabe und Ausgabendaten der KI sechs Monate zu speichern was ja relativ viel ist.

00:39:05: da steht dann drin die DSG verurteilt unberührt also Belöst euch das Problem einfach selber, liebe Praktiker.

00:39:13: Wir haben da nichts für euch vorbereitet so auch nicht sehr hilfreich und es gibt eine ganze Reihe von wie wir ja schon gesagt haben vom gesetzlichen Verpflichtung diese Daten zu speichern, auch Backups zu speuchern.

00:39:26: dann gibt es aber eben den Rechtsrahmen der DSGVO die das teilweise auch fordert insbesondere Back-Upsfordert.

00:39:35: in Artikel Bordart steht jetzt nicht explizit drin, aber kann man da sicherlich auch auslesen dass das zu den auf jeden Fall zu Date of the Art Stand der Technik gehört.

00:39:49: Dann gibt es die Zweckbindung und Datenminimierung so wenig und so kurz wie möglich.

00:39:55: Das knallt hier natürlich dann auch damit ein bisschen zusammen, vielleicht gleich mal kurz über sie und solche Sachen sprechen Wie sich das damit verträgt, dann brauche ich irgendwie eine Rechtsgrundlage.

00:40:06: Das kann die Einwilligung sein, das kann aber hier häufig eher das berechtigte Interesse sein, wo man eben sagt naja es ist natürlich Artisicherheit im berechtigtes Interesse und dagegen kann man jetzt auch nicht wirklich hart argumentieren.

00:40:20: aus betroffenen Sicht also da würde Artisichheit wahrscheinlich fast immer gewinnen.

00:40:25: Marketing aber zum Beispiel nicht.

00:40:27: Ich kann ja auch zu Marketingzecken erweisen aufbewahren.

00:40:31: Und dann ist es auf der Waage, der Interessen habe ich relativ viel auf der Protokollierungseite.

00:40:41: Ich hab eine Anforderung, vielleicht ein paar Rechtsgrundlagen aber auf der anderen Seite der Waagel liegt eben Artikel.

00:40:59: gibt es zwei Anforderungen, zwei Möglichkeiten.

00:41:04: Das erste ist die Durchablauf von Zeit.

00:41:08: also wenn ich zum Beispiel sage muss irgendwas sieben Jahre aufhebeheben aus Protokollierungsgründen dann muss sich das halt nach Ende dieser sieben jahre automatisiert löschen.

00:41:17: dafür brauche ich eine Löschkonzept.

00:41:19: schwierige Geschichte haben viele Unternehmen.

00:41:21: nichts muss automatisiert sein.

00:41:23: den verlassen wir jetzt mal weg.

00:41:24: aber es gibt den oder.

00:41:26: Der ist aufwichtig, aber wir wollen jetzt mal in den zweiten Fall.

00:41:28: Nämlich Löschenaufzuruf habe ich es mal genannt.

00:41:30: Jemand kommt zu dir und sagt, ich möchte das löschen.

00:41:34: Das ist was gegenüber Lockfalls, was bei uns ab und zu mal vorkommt, was wenn man zu ziemlich großer Verzweiflung führt weil das natürlich wahnsinnig aufwendig ist Und wie es möglicherweise auch gar nicht dürfen, weil wir möglicherweise auf der anderen Seite eben auch gesetzliche Bebauungspflichten haben.

00:41:53: Wie geht man damit um?

00:41:56: Christoph, man versucht wahrscheinlich erstmal verzweifeln in der Rechtsgrundlage.

00:41:59: Ja genau das ist natürlich der erste Punkt und ich meine wir haben ja teilweise auch Rechtsgrundlagen.

00:42:04: du hast eben die Abgabenordnung des HGB jetzt für diese Handelsbriefe und Geschäftsbriefer oder geschäftsrelevante Unterlagen erwähnt.

00:42:10: aber auch wenn wir den Telekommunikationsbereich gucken.

00:42:12: also da haben wir ja rechts Grundlage dass wir Informationen zu Sicherheitszwecken benutzen dürfen selbst sogar wenn sie vom Fernmelde Geheimnis besonders geschützt sind.

00:42:26: Das heißt aber natürlich nicht, dass ich die unbegrenzt speichern darf.

00:42:30: Und da laufen wir jetzt genau in das Problem rein wie lange darf ich die Speichern versus der Frage, da kommt jemand und er möchte die gelöscht haben?

00:42:39: Also das sind ja nochmal zwei verschiedene Aspekte.

00:42:42: Gehen wir erstmal auf den zweiten Aspekt ein.

00:42:43: du hast gerade gefragt Wie geht man damit um?

00:42:45: also wenn das sicherheitsrelevante Locks sind dann würde ich in der Regel sagen Ich habe mir für die Speicherdauer eine gute Begründung überlegt und innerhalb dieser Speichedauer lösche ich da nichts raus.

00:42:57: Und danach ist es egal, weil dann sind sie ewig.

00:43:00: Das Problem entsteht glaube ich hauptsächlich deswegen, weil wie wir eben auch zu Beginn schon festgestellt haben vielleicht so ne Logitis irgendwo da ist und dann auch diese sicherheitsrelevanten Locks vielleicht eher über Monate oder sogar Jahre aufbewahrt werden.

00:43:13: um man sich natürlich zurecht fragen muss hat in Sonnenfall wenn das vielleicht ohne sinnvolle Begrünnung erfolgt Solange Silvester hat es erwähnt, bis die Platte voll ist und irgendwann vielleicht der ganze Dienst nicht mehr funktioniert.

00:43:27: Hat da der Betroffene einen Anspruch darauf, dass diese Daten dann vorzeitig aus diesen Logs rausgelöscht werden?

00:43:34: Ich glaube in dem Moment würde ich das bejahen weil das zeigt ja eigentlich, dass man sich vorher gar keine gute Überlegungen gemacht hat.

00:43:43: warum speichere ich überhaupt wie lange brauche ich die Daten für diesen Zweck?

00:43:47: Und dann eben auch schlussendlich gesagt hat, danach würde ich sie dann auch löschen.

00:43:50: Da habe ich dann wie du gesagt hast ein Löschkonzept.

00:43:52: was da versorgt keine Ahnung das in meinen Log Dateien alle dreißig Tage die Daten einfach zumindest anonymisiert werden also jeglicher Personenbezug entfernt wird.

00:44:01: Auch das ist ja schon eine Herausforderung wenn man so Fälle nimmt dass vielleicht auch mit weiteren Daten irgendwann korreliert werden könnte und der dann wieder einen Personenbezug dadurch entsteht gerade mit Big Data in der früheren Zeit und heute vielleicht auch AI konstruken ist da ja viel denkbar.

00:44:19: Und ja, da muss man dann einfach gucken.

00:44:22: Lass nochmal einen Schritt zurückgehen und bleiben wir bei dem Beispiel Lockfiles.

00:44:26: die spannende Frage wie lange darf ich das kleine Service anhalt?

00:44:29: Wie lange darf Ich die denn eigentlich aufheben?

00:44:31: Da bauen wir gerne im Rahmen unserer gemeinsamen Vorträge auf ein BGHO Teil was sehr alt ist Neunzehn?

00:44:42: Was für ein neunzehnt.

00:44:43: Nee,

00:44:44: zwanzigviertzehn ist es tatsächlich.

00:44:46: Achso na gut noch nicht so alt.

00:44:49: Ist das nicht viel näher?

00:44:52: Ja gut sagen wir zwanziv vierzehn.

00:44:53: Also zwanzvierzehn gab's einen BGH-Ultal was sich eben mit der Frage beschäftigt hat wann denn IP Adressen aus Lockfiles zu löffen sind.

00:45:02: und da... Hat der BGH einen rausgehauen und hat gesagt sieben Tage.

00:45:08: Und ich glaube, sieben Tage haben jetzt wirklich die wenigsten.

00:45:11: Und sieben Tage auch mit einer sehr harten Begründung.

00:45:14: Mit der Begrundung, wie ich auch unterschreiben würde so, die Lockfalls wurden hier nur für Zwecke der IT-Sicherheit erfasst und das bringt nach Ansicht des Mägerhane harter Zweckmindungen mit sich.

00:45:28: nämlich da steht drinnen in dem Urteil Sie dürfen nicht mal ein Strafverfahren herausgegeben sind weil sie eben für diesen Zweck stehen vor Zweckbindung Nicht gespeichert wurden.

00:45:37: Ich bin mir nicht ganz sicher, ob ich das in der Praxis so leben würde wenn da irgendwie eine... ...Polizeistreife habe ich auch schon erlebt sogar lange lange

00:45:44: her

00:45:45: oder.. ..der Staatsschutz in deiner Tür steht und sagt wir haben hier einen Durchsuchungs- und Beschlagnahmebeschluss.

00:45:52: Ich könnte jetzt auch euer Server mitnehmen wollte und sich vielleicht doch die IP Adresse sagen macht man das meistens aber jedenfalls sieben Tage Und das steht bis heute erst mal so in der Welt.

00:46:02: Ich kenne jetzt wenig die wirklich sieben Tage machen, wir machen vierzehn Tage bei Heise und was wir meistens sagen Christoph ergänzt mich gleich ist dreißig Tage kann man gut vertreten, vielleicht noch sechzig Tage danach wird es irgendwie eng und danach braucht man richtig richtig richtig gute Argumente warum die länger weiteran möchte

00:46:21: oder muss oder sollte?

00:46:22: Ja ich habe es also gerede tatsächlich nachgehuckt ist tatsächlich vom dritten Juli zwanzig vierzehnt.

00:46:27: Das war schon korrekt.

00:46:29: trotzdem sind natürlich die sieben Tage wie sagen wir mal immer sagen, wer auch gerne aus der Zeit gefallen.

00:46:34: Aber auf der anderen Seite ist es so und das ist ja vielleicht gerade am Beispiel der Lock Dateien bei einem klassischen Web Server Betrieb schon klar geworden.

00:46:40: Es hängt natürlich auch sehr davon ab und welches System es tatsächlich geht?

00:46:45: Wie lange ich solche Informationen auch brauche also Bei dem bei den besagten web server Da ist man sicher eigentlich einig, dass die sieben Tage in personenbezogener Form völlig ausreichend sind und man diese Person bezogen in Daten auch länger nicht braucht.

00:46:59: Aber es kann natürlich andere Fälle geben wo das ganz anders aussieht und häufig bekommen wir ja auch die Nachfragen von Teilnehmern was ist denn jetzt mit dem Sicherheitsvorfall keine Ahnung der vor sechs Monaten passiert ist?

00:47:10: wenn ich die Lockstar nicht mehr habe?

00:47:12: Kann ich im Zweifel auch nicht mehr nachvollziehen über welches System, welches Software mit welchem Lock-in und so das Ganze passiert ist.

00:47:21: Was mir bei der Aufklärung schon nicht wirklich hilft und vor allen Dingen auch vielleicht das Bekämpfen der Ursache dieses Sicherheitsvorfalls verhindert also diese sieben Tagejagg.

00:47:33: ich glaube da sind wir uns einig die sind aus der Zeit gefallen.

00:47:37: wenn man in dieser BSI einen Mindeststandard reinschaut dann wünscht sich das BSI so muss man es klar sagen es wünschen sich dass tatsächlich neunzig Tage Für die Protokollierungsdaten sagt aber gleichzeitig eben auch, man muss dafür eben berücksichtigen, dass es vielleicht durch die DSGVO oder andere rechtliche Vorgaben Einschränkungen dabei geben kann.

00:47:57: Dass man sie eben nicht neunzig Tage aufbewahren darf und wir argumentieren ja immer in den Webinaren das wir sagen wenn ihr einen konkreten Fall habt wo ihr nachweisen könnt, dass das Vorhalten der Loginformation für ein solchen Zeitraum notwendig und erforderlich ist Dann wird man sicherlich auch das gut in der Argumentation gegenüber einer Aufsicht benutzen können, aber man sollte eben diese Fristen nicht aus dem Bauch heraus treffen und schon gar nicht einfach ins Unendliche laufen lassen.

00:48:24: Das ist glaube ich irgendwie die wichtigste Information.

00:48:26: also es ist wirklich eine feilbezogene Entscheidung.

00:48:29: Und ja das ist glaube so der Eckpunkt.

00:48:34: Ja das hängt dann natürlich immer damit zu tun hat dann immer damit zutun was ich machen möchte wenn ich jetzt im Hohe Sicherheitsbereich eine Bank oder irgendwas unterwegs bin.

00:48:42: Da habe ich natürlich andere Anforderungen, aber auch Möglichkeiten.

00:48:47: Es ist so ein heißer Verlag wo jetzt wirklich nicht so wahnsinnig sensible Daten gespeichert werden.

00:48:53: Aber wo ist die Grenze?

00:48:54: Also auch vielleicht Frage an dich Silvester wie warum?

00:49:00: oder Ich höre ja auch manchmal Wie lange spreche du hier so zwei drei Jahre?

00:49:05: Haben wir auch schon alles gehört Christoph?

00:49:06: oder auch die andere Frage wie erkläre ich so Langzeitsysteme.

00:49:13: Wie kann ich das rechtfertigen, also auch moralisch?

00:49:16: Naja, also ich meine ich kann den Wunsch nachvollziehen... ...auch weiter in die Vergangenheit zurückblicken zu wollen einerseits um irgendwelche Trends auszumachen.

00:49:25: aber das ist dann schon ein Punkt wo ich glaube ganz gut mit aggregierten Daten zurande komme und es ist ja auch eine Möglichkeit damit umzugehen zu sagen Naja, ich behalte halt sieben Tage in dieser Granularität und danach mache ich da irgendwie große akulierte Töpfe.

00:49:38: Und das erlaubt mir länger laufende Analyse ohne dass sich der personenbeziehbare Daten vorhalte.

00:49:43: diesen Fall von Jetzt war hier.

00:49:47: also wir hatten offensichtlich die Leute in unserem für neun Monate leute auf unserem server Und jetzt würden wir gerne aus den lock files sehen können wie die da eigentlich drauf gekommen sind.

00:49:57: Ich meine es hören wir auch immer mal wieder wenn wenn sich halt irgendwo eine sicherheitslücke auftut die betroffene Firma oder so kontaktieren.

00:50:06: Ich habe da wenig Sympathie, weil man hat dann ganz andere Probleme, wenn man neun Monate lang jemand auf seinem Server hatte.

00:50:14: Man kann sich wahrscheinlich nicht mal auf diese Lockdaten verlassen, denn wenn der Angeifer schlau war, dann hat er die gelöscht oder manipuliert.

00:50:21: Je nachdem welchen Zugriff er hatte, ist das oft möglich.

00:50:26: Ich kann das natürlich verhindern, aber wenn ich eben schlamppig in meinen Lockdateien umgehe oder mich nicht drum kümmere dann ist die Chance gering, dass sie irgendwie so angelegt waren.

00:50:33: Dass der Angreifer den nicht einfach manipuliert.

00:50:34: Die sind im Regelfall nicht irgendwie forensisch sicher oder so.

00:50:38: Das sind halt Dateien, die kann man ändern und vermutlich hat sich der An greifer auch irgendwie deutlich ausbreiten können.

00:50:44: also ich sehe es nicht als ein gutes Argument zu sagen sozusagen Ich brauche jetzt Daten, die einen Jahr zurückreichen.

00:50:50: Weil möglich wäre ja dass ich vor neun Monaten kompromittiert worden bin und wenn ich es dann in einem Monat raus finde, dann will ich die Ursache suchen können.

00:50:57: das halte ich für ein sehr schwaches Argument.

00:50:59: Das ist sehr hypothetisch und währenddessen sitzt man auf dem riesigen Datenberg.

00:51:04: Und wenn man sozusagen diese Befürchtung hat, dass man monatelang jemanden auf seinem System hat ohne es zu merken traue ich der Person auch nicht zu, dass sie mit diesen Daten sicher oben geht.

00:51:14: Also da stimme ich dir komplett zu, das ist immer eine Einzelfallbetrachtung.

00:51:18: Darauf würde es wirklich mal reduzieren weil es kann natürlich den Fall geben und ich glaube dass wird ja keiner von uns absteigen können.

00:51:24: Dass man wirklich mal etwas hatte trotz gute Analyse der Lock Dateien.

00:51:28: aber die Regel ist wahrscheinlich eher da gibt's lockfalls, da guckt keiner rein und deswegen hat man noch neun Monate nicht sinnvoll bemerkt was der Angreifer sich schon im Netz umtut.

00:51:37: und dann haben wir so einen.

00:51:39: Haben wir eigentlich das Todschlachsargument der langen Speicherung geliefert?

00:51:42: Ja, weil es gab ja offensichtlich gar keine Erforderlichkeit, weil keiner reingeschaut hat.

00:51:46: Aber das ist etwas was wir immer wieder in den Webinaren hören und was ich auch immer dazu sage ist ihr müsst das halt gut begründen können.

00:51:54: also wenn er das darstellen könnt dann ist das okay aber wenn alle Argumente die du gerade genannt hast in Wester letztendlich sich nicht entkräften lassen Dann ist es halt keine gute Idee.

00:52:03: und dann sind die Probleme ganz woanders.

00:52:05: Und der zweite wichtiger Aspekt der häufig in der Diskussion zu kurz kommt.

00:52:10: Es geht dann oft auch um Attribution und ähnliche Dinge, mein Argument ist immer es kann euch doch eigentlich völlig egal sein wer's war, frauert mal außen vor da will man vielleicht wirklich wissen wenns ein noch Mitarbeiter isst der was gemacht hat.

00:52:24: aber ansonsten geht's doch darum die Ursache zu finden.

00:52:27: ob ich für das Finden der Ursache tatsächlich den Personenbezug... ...in den Lockfights für so lange Zeit brauche dass muss man mir erstmal erklären.

00:52:36: Wenn ich einen Vorfall habe, dann ist es ja auch so dass sich die Daten dann so lange mit Personenbezug aufbewahren darf bis ich den Vorfall abgeschlossen habe.

00:52:45: Also nicht so das jemand dann verlangt während der Vorfallsbearbeitung die Informationen alle zu löschen.

00:52:51: aber man darf natürlich auch nicht was für schon als lustiges Argument von Teilnehmern sagen.

00:52:56: Aber es ist nicht potenziell jeder Log-Eintracht ein Sicherheitsvorfall den ich erstmal bearbeiten muss und damit darf ich alles sozusagen mehr oder weniger unendlich speichern.

00:53:04: Das ist natürlich nicht damit gemeint

00:53:06: Aber lustige Idee.

00:53:09: Zwei Hundert Zugriffen pro Sekunde, also habe ich zweitet vor.

00:53:11: Genau!

00:53:14: Ja plus kleines Bonusproblem natürlich gerade wenigstens Personenbeziehbar haben möchte und das später vielleicht ausgewertet haben möchte was sich da gespeichert habe so benangemützt natürlich bei den Provinen auch nicht gespeicherte.

00:53:24: Also das heißt ich wenn die selbst wenn sie immer noch aus Brasilien oder Ausland ist eben wurscht.

00:53:29: aber selbst wenn es jemand aus Deutschland wäre würde ich da wahrscheinlich im Zweifel zwar da auch nicht daran kommen daher würde das auch nicht viel bringen

00:53:35: Aber

00:53:35: das ist ja ganz lustig.

00:53:36: Ja, entschuldige.

00:53:37: Sorry!

00:53:39: Ich will nicht die Diskussion irgendwie auf einen Nebengleich springen aber wir haben Freunde mit diesen IP-Adressen debattiert.

00:53:45: angenommen ich speichere jetzt IP-Addressen für zehn Jahre und so eine zehn jahre alte Lockdatei Die ist ja vermutlich wirklich nicht mehr personenbeziehbar weil einfach also niemand weiß wer hinter dieser IP Adresse stand oder?

00:54:04: Aber eine schöne praktische Lösung wäre es hier natürlich, die IP-Adressen einfach zu anonymisieren indem ich ein Stück weglasse und dann darf ich sie so lange speichern.

00:54:12: Vielleicht noch einen Wort dazu von dir Christoph?

00:54:13: Und dann würde ich gerne noch ein bisschen zu Backups gehen.

00:54:17: Ja gerne, Backup ist ein spannendes Thema.

00:54:19: aber zur Anonymisierung also da gibt's ja auch seit langer Zeit vor einer Datenschutzkonferenz den Leitfaden dazu wie man eben mit der Anonymierung von IP Adressen umgeht.

00:54:29: Und bei IPvIV-Adressen ist das Credo die letzten sechzehn Bit wegzuschmeißen und bei IPVVI-Adresses den letzten achtzig Bit.

00:54:37: Dann hat man das Ganze annähernd analysiert, und vielfach auch für solche Fragen wie woher kommt Teilnehmer oder so was ja manchmal aus statistischen Gründen für Unternehmen relevante Informationen ist reicht sogar die gekürzte Adresse noch einigermaßen aus.

00:54:52: Also hängt dann immer davon ab wie stark ich das runterbrechen will.

00:54:55: also das kann man machen Und damit kommt man dann weiter und das gilt natürlich auch für viele andere.

00:55:00: Personen bezogene Informationen in Lokteil Dateien oder Lockfalls.

00:55:04: nehmen wir mal das Beispiel von dem E-Mail lock.

00:55:07: da habe ich natürlich Absender und Empfänger drin, da hab' ich eine Mail ID drinnen je nachdem wie ich protokolliere noch Zugriff auf Attachments oder so wenn die irgendwie zwischengespeichert waren.

00:55:17: Da muss man natürlich auch gucken dass man das dann möglichst vollumfänglich analysiert.

00:55:21: Das ist aber auch... Technisch aus meiner Sicht überhaupt kein Hexenwerk, zumindest nicht wenn man die Dateien irgendwie im Unix-System direkt zugreifbar hat.

00:55:30: Weil da kann man ja mit einem Rec-Apps drüber laufen und das in Kombination mit einem Lock Rotate hat relativ schnell den Charme dass man eine automatisierte sozusagen Anonymisierung und auch Löschung nach entsprechendem Zeit dann realisiert hat.

00:55:45: Und was man automatisiert hat Jörg?

00:55:47: Das kann man nicht vergessen!

00:55:48: Das ist auch noch ein wichtiger Aspekt.

00:55:50: Automatisieren bestes Ja, gut, dann wollten wir noch ein bisschen zu der anderen Seite.

00:55:56: Der Problematik kommen wir mit über Lock Files gesprochen.

00:56:00: Ein bisschen ähnlich aber doch inhaltlich und auch rechtlich anders zu behandeln sind Backups was natürlich aus IT Sicht genauso mindestens genauso wichtig ist

00:56:09: wo

00:56:10: sich dann aber auch regelmäßig die Frage stellt wie sieht es denn eigentlich aus?

00:56:14: Mit meinen Back-Ups?

00:56:15: wenn jemand kommt und sagt ich möchte alle meine Daten gelöscht haben wird sicher mit Sicherheit auch in den Back Ups finden.

00:56:21: muss ich dann in die Backups reingehen, das daraus friemeln oder muss sich das Backup sofort löschen und dann sofort Neues machen wo sein Daten vielleicht nicht mehr da sind?

00:56:31: aber ich glaube dass es wahrscheinlich alles IT-technisch eher schwierig und riskant.

00:56:37: Oder ich glaube an seine Backups.

00:56:38: möchte man und das ist was ich gelernt habe in den letzten von zwanzig Jahren tunlich nicht rein gehen?

00:56:43: Nein!

00:56:43: Das kann ja riesige Kollateralschäden mit sich bringen.

00:56:46: also... Jetzt nehmen wir mal den Fall, ich habe irgendwie von einem System einen Backup erzeugt und das mache ich ja auch nicht aus Suchs-und-Dollerei sondern das mach' ich ja damit sich das System im Anführungsstrichen Notfall.

00:56:58: Aus einer sauberen Quelle wieder herstellen kann.

00:57:02: Und jetzt kommt jemand und sagt aber da sind personenbezogene Daten von mir drin!

00:57:05: Ich möchte dass du die dediziert löscht.

00:57:07: Dann kann man natürlich sagen okay hat er vielleicht sogar inhaltlich

00:57:11: recht?

00:57:12: Weil vielleicht sind da Daten drinnen, die gar nicht mehr da sein müssten und wo ja von seinem recht auf löschung auch tatsächlich gebrauchen machen könnte.

00:57:21: aber rein technisch gesehen ist das natürlich gefährlich.

00:57:25: jetzt fange ich an dediziert an einzelne datain in meinem backup rum zu fummeln und die stellen uns mal vor da ist irgendwie auch ein backup von der datenbank drin.

00:57:33: Da weiß jeder wenn nicht aus einer daten bank im snapshot davon irgendwie an einzelnen stellen rumfummel dass das ganz schnell die letztendlich Verwirrbarkeit der Daten in der Datenbank massiv beeinträchtigen kann und das kann natürlich dazu führen, dass sich dieses Backup dann im Notfall zwar wieder einspielen kann es aber nicht funktionsfähig ist.

00:57:52: Also damit ist natürlich dann letztendlich das Ziel verfehlt und das wäre ja auch im Kontext von Artikel thirty-two der DSG verohren ein Problem denn da habe ich ja die Verpflichtung meine Systeme nach einem Zwischenfalt schnellstmöglich wieder herstellen zu können und das ist ja gerade der Grund warum ich einen Back up mache.

00:58:09: Also da drin rumzufummeln, das wird niemand tun.

00:58:13: Und jetzt stellt sich natürlich die spannende Frage wie geht man damit um?

00:58:17: Wenn vielleicht insbesondere der Betroffene einen recht darauf hätte die Daten aus dem Backup entfernt zu lassen.

00:58:24: Darf ich kurz eine Sache.

00:58:25: also stimmen euch natürlich vollkommen zu.

00:58:28: Man will auf keinen Fall anfangen an seine Backups rumzufummeln.

00:58:31: aber in einem Sinne möchte man da schon ran.

00:58:34: Man sollte bitte regelmäßig auch ohne Notfall prüfen ob denn eine Wiederherstellung vom Backup funktioniert.

00:58:40: Weil wenn man dann erst im Notfall feststellt, dass er drei Jahren beim Erstellen was schief gegangen ist und man kann gar nicht davon recoveren das natürlich ganz schlecht.

00:58:48: aber ja klar man will die nicht irgendwie beschreiben diese Backups.

00:58:51: Genau aber da würde ich es ja wieder einspielen und nicht inhaltig anfassen.

00:58:55: Das sind ja also das eine ist ja

00:58:58: völlig klar.

00:58:58: Ich wollte nur sozusagen dieses Da will ich nicht ran ein bisschen einordnen weil Weil wir das halt so oft sehen, dass

00:59:06: es Backups

00:59:07: gibt die aber keine Backup sind weil sie sich nicht einspielen lassen.

00:59:11: Ja ich sag in jeder Schullinge kein Backup Evolved Restore Das ist das was ihr testen müsst.

00:59:15: ja denn nur dann funktioniert das ganze.

00:59:18: Aber das wirft natürlich noch eine andere Frage auf nämlich die Frage des Back-Up Prozesses insgesamt.

00:59:23: dazu gehört der Teil mit den Restor Übungen Die du gerade angesprochen hast.

00:59:27: da gehört aber natürlich um dieses Problem zu lösen auch der Teil vorne vor Was kommt denn überhaupt alles in welches Backup rein?

00:59:34: und muss ich nicht vielleicht in meiner Back-Up-Strategie besser dafür sorgen, dass sich die Systemdaten und die Nutzerdaten klarer voneinander trennen.

00:59:42: Und deswegen vielleicht auch eine bessere Möglichkeit habe solchen Löschanforderungen nachzukommen?

00:59:48: Das wird nicht in allen Fällen funktionieren aber vielleicht das Problem ein bisschen beseitigen.

00:59:53: Vielleicht gehört da auch dazu Hinweise zu geben wie man mit Snapshots umgeht ja, dass dir vielleicht auch nicht dauerhaft gespeichert werden.

01:00:02: anderer Kontext so im Rahmen der Fehlanalysen, so Speicherabbildarteien oder so eine die will man auch nicht einfach irgendwie langfristig irgendwo umliegen haben.

01:00:09: Sind auch so typische Fälle wo noch Personen bezogene Daten drin sein könnten an die man vielleicht gar nicht denkt und das ist ja etwas was wir in dem Webinar auch immer wieder versuchen zu motivieren sich eben proaktiv Gedanken zu machen damit man nicht in die Falle läuft jetzt da personenbezogene Daten drinnen zu haben und jemand zurecht sagt sie müssen da weg aber damit kriegen wir nicht alles gelöst bleibt ne Reihe von Konstellation sozusagen offen Und da ist natürlich spannend, wie geht man damit um?

01:00:34: Denn ich hatte ganz im Anfang ja mal gesagt und jetzt ist ein guter Punkt darauf zurückzukommen.

01:00:39: Dieses Sperren von Daten was wir hier am alten BDSG hatten das gibt es eigentlich nicht mehr in der Datenschutzgrundverordnung aber eigentlich bräuchten wir sowas denn das hätte den charmanten Vorteil dass wir jetzt einen Backup und solange die Daten im Back up liegen und nicht wieder benutzt werden ist es für dem Betroffenen auch eigentlich kein weiteres Risiko dass wir die Daten dann Säubern können, sobald wir dieses Backup wieder in die Produktion zurückspielen.

01:01:04: Aber dann natürlich eben nachgelagert.

01:01:06: Dann habe ich sie schon eingespielt und muss jetzt gucken dass sich durch das sperren keine ahnung des Datensatzes vom Jörg Heidrich weil der gesagt hat meine Daten müssen weg dafür sorge Dass die nicht verarbeitet werden können und Sie dann eben zeitnah im Produktivsystem löschen.

01:01:22: Das wäre dann sowas was vielleicht eine Abhilfe sein könnte.

01:01:27: Interessant Frage war ich wirklich nicht weiß Wie lange hieb man solche Backups auf?

01:01:32: Also gibt es wahrscheinlich keinen allgemeinen Sitz, aber so so endenzmäßig.

01:01:37: Eher Wochen, Monate Jahre...

01:01:41: Ich gebe mal zwei Extremfälle und der eine Extremfall ist Jahrzehnte und zwar so lange dass das Medium mit dem man das Backup-Medium zurückspielen könnte vielleicht gar nicht mehr gibt was einem aber dann auch erst auffällt in der Silvester wenn man an die alten Daten tatsächlich mal ran muss.

01:01:55: Das ist dann aber vielleicht eher so Forschungskontext, total alte Messdaten oder so.

01:01:59: Wo dann regelmäßig zu Fragen kommen hat noch mal jemanden Laufwerk X Y und wir müssten mal... Aber das ist vielleicht eher der seltenere Fall.

01:02:07: Der andere Fall ist tatsächlich dass man ja versucht den Backup-Zyklus so einzuteilen, dass man eben ein Backup längerfristig da liegen hat und dann versucht über sozusagen die Änderungen denen in der Zwischenzeit passiert sind das Ganze wieder zum aktuellen Systemzustand zurückentwickeln zu können.

01:02:21: ob man das jetzt mit differenzellen oder incrementellen Backups macht können wir mal aus dem Vorlassen.

01:02:26: Aber ich würde so sagen, da sind schon Monate mindestens... Ich kenne viele Administratoren die ihre Backups zumindest in diesen längeren Zyklen auch über Jahre aufbewahren.

01:02:36: Und also häufig fährt man eine Strategie das sie ausdünnen sozusagen.

01:02:40: Also je weiter zurück geht die Vergangenheit umso weniger ... Also die letzte Woche hat man vielleicht täglich oder so und dann einmal pro Woche oder so Um den Platzbedarf halt irgendwie im Rahmen zu halten.

01:02:51: Aber es ändert natürlich an der Datenschutzproblematik nichts, weil solange da noch ein sehr altes Backup rumliegt sind die Daten da halt drin.

01:02:59: Ich finde es ganz interessant also dieses Sperren, weil mir das nicht sagt sozusagen technisch würde das dann so laufen dass man sich eine schwarze Liste macht von Daten die man nicht mehr haben sollte und beim Restore abgleichen dieser schwarzen Liste und diese Sachen rausnehmen.

01:03:16: Ja, genau.

01:03:16: also entweder beim restore quasi beim wieder einspielen dass du dann schon filters und die gar nicht im produktiv system landen oder kann ja technische zwänge geben erst alles ins produktivsystem aber dann sehr zeitnah dieser schwarze liste sozusagen umsetzen.

01:03:30: Dann besteht natürlich das haben wir gestern auch schon mal kurz diskutiert jetzt nimmer das korreng verfahren würde immer noch so eine Wahrscheinlichkeit bestehen das vielleicht genau in dem zeitpunkt zwischen ich habe es wieder eingespielt und die schwarzen liste ist wirksam geworden doch noch irgendwie ein prozess läuft.

01:03:44: das muss sich natürlich Wirksam verhindern.

01:03:47: also das verzögert vielleicht dann, dass wieder einspielen bis wirklich produktiv Daten wieder da sind im wahrsten des Wortes.

01:03:54: Aber das lässt sich technisch natürlich realisieren.

01:03:58: Also so rein logisch bisschen absurde Situation.

01:04:03: also nehmen wir an Jörg hat irgendwie irgendwo einen Account der hat den gelöscht ist jetzt weg.

01:04:09: Dann tritt er an die Firma heran und sagt, hey bitte löscht alle Daten von mir.

01:04:12: Und dann stellen die besten in einem Live-Datensatz bist du eh nicht mehr drin aber eventuell irgendwie ein Backups.

01:04:17: Also legen wir jetzt einen neuen Datensatz an mit personenbezogenen Daten.

01:04:21: da steht nämlich Jörg Heidrich drinnen war früher bei uns kunde möchte aber nichts mehr.

01:04:26: und also damit sozusagen falls sie mal nen Restore machen sie das noch wissen dass du daraus musst und mit deiner Lösch Anfrage hast du dann stattdessen neu datensatz generiert sozusagen.

01:04:37: Das ist aber natürlich in ganzes

01:04:39: Problem.

01:04:40: Ja, genau bei Ausgehungssansprüchen hast du sowas ja auch und da musst du ja auch protokollieren.

01:04:45: Da hat jemand einen Ausgehungsanspruch gestellt, du hast den beantwortet oder auch beim Löschen.

01:04:49: Du hast also den Löschanspruch genügt, musst dich auch protokolieren und im Zweifel nachweisen können.

01:04:55: Manchmal sind das Absurditäten.

01:04:56: Auch die Protokollierung des Umgangs mit personenbezogenen Daten.

01:05:01: Also auch da gibt es Herausforderungen für... Das führt manchmal zu interessanten Konstellationen.

01:05:05: Manchmal hat man ihnen Protokoldaten vielleicht sogar mehr Informationen über den Betroffenen drinnen als in den eigentlichen Produktionsdaten.

01:05:12: Ja übrigens auch an den E-Mails, ich muss ja schon aufbeahren das derjenige von uns Lüschung haben wollte und dass wir ihm die auch beschädigt haben weil sonst keine direkt klagen und das muss ihn natürlich schon nachweisen.

01:05:22: mit einer interessanten Frage wie lange habe ich mir ehrlich gesagt noch nicht gestellt?

01:05:26: Ja spannend!

01:05:28: Das Schöne bei Backups ist, dass wir eine ziemlich eindeutige Rechtsgrundlage dafür haben.

01:05:34: Da steht nämlich in Artikel thirty-two drin, Christopher hat es schon gesagt.

01:05:39: Wie war die Formulierung?

01:05:40: Die Möglichkeit jederzeit wieder den Originalschluss darzustellen und da argumentieren wir das zumindest im Kontext mit Artikel sechs eine rechtfertigungsgrundlage Rechtsgrundlage darstellen muss und da hätte ich auch ziemlich wenig Probleme, die jemandem entgegenzuhalten der jetzt eine Löschung daraus verlangt.

01:06:04: Ich habe eine Verpflichtung das zu machen.

01:06:07: Wir können da nicht ran und wir dürfen es auch nicht... Den Fall hatte ich tatsächlich noch nicht.

01:06:12: Also aus Protokoll-Daten hatten wir schon einige Löschanfragen Aus Backups noch nicht Und da würde ich wahrscheinlich Grundweg verweigern wenn mir keine besonderen Gründe vorliegen oder mit dem Stuss erlauben Silvester.

01:06:26: Ich habe mir eine Frage gestellt, weil oft ist es sobald ich das als Leihe beurteilen kann.

01:06:32: So eine Abwägung von Interessen bei der DSGVO.

01:06:36: Man hat halt selber irgendwelche Interesse in diese Daten zu halten und die Personen haben irgendwelchen Interessen, dass sie Daten gelöscht oder veränderter oder sonst was werden.

01:06:45: Sie sehen

01:06:46: hier den Zagenten...

01:06:50: Also seht ihr denn sozusagen einen hypothetischen Fall wo man sagt Okay, diese Daten sind wirklich irgendwie... dass die vorhanden sind.

01:06:57: Ist so brutal schädigend für die Personen das ist ganz egal.

01:07:02: also da können dir so viel Probleme mit euren Backups bekommen wie ihr wollt.

01:07:05: Das wiegt es einfach nicht auf euer technisches Interesse sozusagen schöne Backups zu haben?

01:07:10: Das ist eine gute Frage.

01:07:14: Die jetzt mal aus dem Bauch muss ich eigentlich zu recherchieren.

01:07:18: Wahrscheinlich aus datenschutzrechtlichen Gründen nicht unbedingt, möglicherweise hast du aber andere Gründe das daraus zu holen.

01:07:23: Persönlichkeitsrecht sagen wir mal, du wirst jetzt als Verbreiter von CSAM-Dokumentäpen Kindesmissbrauch dargestellt oder so was.

01:07:33: Also Sachen die so hart sind dass man sie da zwingend raushaben will.

01:07:38: Bin ich mir nicht sicher ob man es mit Datenschutz schafft?

01:07:39: Aber dann halten wir meine Persönlichkeit recht.

01:07:44: Ja, also ich glaube bei besonderen Kategorien, also Artikel neun, die Skifahren oder würde man sicher nochmal genauer hinschauen.

01:07:52: Auf der anderen Seite muss man natürlich einfach sehen so lange sichergestellt ist dass diese Backup-Daten beispielsweise zu keinem anderen Zweck benutzt werden und die Prozesse darum auch wirklich sauber gestaltet sind gut dokumentiert sind und auch mal nachvollzogen werden können vielleicht auf einer nicht nur von Aufsichtsbehörde sondern vielleicht auch von einer internen Revision oder auch von einem externen Berater dann ist ja für den Betroffenen jetzt das Problem nicht direkt vorhanden.

01:08:17: Natürlich können wir immer unterstellen, unter irgendwelchen Umständen könnte jemand jetzt doch an diese Backup-Daten dran.

01:08:22: aber da kann ich natürlich und das ist ein Thema was wir eben bei der Protokollierung auch nicht so angesprochen haben Ich kann natürlich den Zugriff auf diese Informationen durch eine Reihe von fanklierenden Maßnahmen einfach nochmal deutlich erschweren.

01:08:32: Und dass es im Rahmen des berechtigten Interesses wo ich ja eine Interessensabwägung machen muss Eines der wesentlichen Mittel, um eben die Interessensabwägung zugunsten des Verantwortlichen ausfallen zu lassen.

01:08:44: Ja also klare Zugriffsbeschränkungen vielleicht sogar mehr Augenprinzip beim Wiedereinspielen ja klare Prozesse Technischer

01:08:51: Schutz

01:08:52: Technischer Schutz genau Also auch Verschlüsselung dieser Informationen Wobei man dabei Backups natürlich auch immer aufpassen muss dass das nicht die Wiederherstellbarkeit in irgendeiner Art und Weise negativ beeinflusst soll ja solche Fälle gegeben haben.

01:09:07: Wir kommen an die Frage, ob noch jemand einen Laufwerk für XY liegt und der Schlüssel drauf.

01:09:11: Ja

01:09:12: genau oder ein Recovery Key oder so.

01:09:17: Also da muss man gucken.

01:09:19: aber aus meiner Sicht sind wir dann bei einer ähnlichen Konstellation auch wie beim Logging und bei der Protokollierung.

01:09:25: es fehlt einfach ganz häufig an diesen Grundüberlegungen.

01:09:28: Ja, so wie kann ich das tatsächlich datenschutzkonform gestalten?

01:09:31: Was sind annehmbare und belastbare Speicherfristen.

01:09:34: Wie kann ich kompensierende Maßnahmen da reinbringen die einen Missbrauch unter widrigen Umständen eben doch bestmöglich einschränken wenn nicht klar ganz verhindern?

01:09:42: Da kann man natürlich eine Menge tun.

01:09:44: ja Und insbesondere bei diesem ersten Schritt wirklich zu gucken was brauche ich an welchen Informationen wie lange und brauche Ich dass?

01:09:52: wirklich habe ich ein Prozess der auch wirklich auswertet.

01:09:55: da scheitert es wirklich an vielen Stellen Und das ist ja korrigierend.

01:09:59: nicht gerne, aber das ist auch so ein bisschen die Take Home Message.

01:10:01: Die wir den Teil, den man auch immer in unserem Webinar mitgeben und die meisten sagen Jo da müssen wir also unser Hausaufgaben tatsächlich nochmal machen weil über dieser Aspekte haben wir bisher einfach viel zu wenig nachgedacht.

01:10:12: Ja kurz erkenne ich noch davon, weil du es jetzt ein paar mal angesprochen hast.

01:10:15: Ich mache einen gemeinsamen X-Webinar recht veratmen wo wir solche Sachen nochmal tiefer terminieren oder gar kein Werbelock dafür sein.

01:10:22: nur wir lernen halt auch immer wahnsinnig viel auf diesen Veranstaltungen, weil wir eben ganz viel aus dem Alltag von Atmens mitnehmen können und dann eben auch so sehen, wo sind jetzt wirklich die praktischen Punkte jenseits der juristischen Theorien-Gemenge.

01:10:36: Ja, da sind wir!

01:10:37: Wenn

01:10:37: euch richtig versteht, dann hilft es auch im Juristischen Gemengue weil man dann sagen kann also ja ich habe diese Daten und das ist irgendwie icky aber ich habe folgende Prozesse und deswegen kann denn die Abwägung sozusagen zu meinen Grundsten kippen... die rein juristische Abregung.

01:10:53: Das kann nicht das alleinige Argument sein, aber das ist auf jeden Fall so ein Zusatzargument.

01:10:56: Sagen wir mal ja wie dürfen sie speichern und im Übrigen sind sich bei uns auch guten Händen umso unterzuflächeln?

01:11:03: Was dann noch ein ganz anderes Thema wäre... Aber da können wir heute nicht mehr im Detail drauf eingehen.

01:11:07: Wäre vielleicht nochmal was für einen anderen Podcast.

01:11:11: Wie lösche ich denn eigentlich?

01:11:13: Und das hängt natürlich sehr davon ab wo liegen die Daten überhaupt?

01:11:15: Wie kann ich den eigentlich DSGVO konform löschen?

01:11:19: Wenn man das mal so Richtung Cloud Computing denkt oder so, dann wird das natürlich ganz problematisch.

01:11:24: Und es gibt auch eine große Tendenz lockfalls.

01:11:28: Du hast ja das Thema auch Siegelmann gesprochen Jörg und auch Sock angesprochen vielleicht auch als Managed Service laufen zu lassen.

01:11:34: Dann habe ich solche Themen direkt mit vor der Brust.

01:11:38: Also wer hat viel darüber gesprochen?

01:11:39: Welche Daten brauchen wir überhaupt?

01:11:40: wie lange wollen die aufbewahren?

01:11:42: aber über den finalen Schritt?

01:11:43: Wie löschen wir sie eigentlich?

01:11:44: Da müsste man eigentlich noch mehr diskutieren.

01:11:48: Und ja, das ist aber auch eine andere

01:11:50: Geschichte und sie soll ein anderes Mal erzählt werden.

01:11:53: Weil wir nämlich jetzt zum Ende kommen.

01:11:56: Ich fand es sehr spannend!

01:11:57: Vielen Dank, Sevesta für die Aushilfsmoderation und Ergänzung.

01:12:02: Vielen Dank.

01:12:03: Und vor allem vielen Dank vor allen Dingen an Christoph.

01:12:05: Ich bin dass ihr beide da wart und dass ihr mit mir gemeinsam gemacht habt.

01:12:09: ich freue mich sehr.

01:12:10: Und ja, jetzt muss ich Holger's Housekeeping-Part übernehmen.

01:12:14: Rückfrage wie immer an auslegungssacheretct.de oder auch gerne bei uns im Forum.

01:12:21: Ansonsten sind wir in vierzehn Tagen wieder da und bis dahin wünsche ich euch einen schönen Sommer!

01:12:26: Und vielen Dank nochmal an die beiden Herren!

01:12:28: Tschüss zusammen!

01:12:29: Ciao ciao!