„Privacy Shield“ unwirksam

Die DSGVO verbietet die Verarbeitung personenbezogener Daten außerhalb der EU, sofern in den Drittländern – und dazu gehören die USA nun einmal – kein angemessenes Datenschutzniveau herrscht. Ob ein solches herrscht konnte bisher im Wesentlichen an zwei Indikatoren festgemacht werden: Die beteiligten Unternehmen aus Drittländern konnten ein Privacy-Shield-Zertifikat vorweisen oder es wurden zwischen vorgefertigte Standardschutz- bzw.

Ein Grund mehr für Verschlüsselung in der Cloud

Zusätzlich zu vielen offenen Fragen, die unverschlüsselte Daten eo ipso auf Cloudspeichern hervorrufen, gibt es noch einen Grund mehr für die Verschlüsselung eben dieser Daten. Gehen sie verloren, entfällt, wenn ich den Text richtig interpretiere, die Benachrichtigungspflicht; keine Anrufe mit Entschuldigungen, keine E-Mails mit Erklärungen… Das kann – man denke an Anwaltskanzleien, Ärzte, Versicherungsunternehmen udgl. – Imageschäden und Vertrauensverlust abwenden.

Die Benachrichtigung der betroffenen Person […] ist nicht erforderlich, wenn […] der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung.

Art 34 Abs 3a DSGVO

Titel und bisheriger Inhalt dieses Artikels scheinen die  Verschlüsselungsempfehlung auf Cloudspeicher einzuschränken, aber bitte, verschlüsselt eure Daten einfach immer und überall. Ein Laptop ist schneller gestohlen als einem lieb ist, ein USB-Stick schnell verloren. Verschlüsselung ist kein Hindernis, erfolgt vollautomatisch und man bemerkt sie gar nicht, wenn sie einmal eingerichtet ist. Es ist wirklich nicht viel mehr als irgendwo im System eine Einstellung zu ändern oder, um zum Cloudspeicherthema zurück zu kommen, Software wie Boxcryptor oder Cryptomator zu installieren.

IP-Adressen in PHP anonymisieren (und in Gravity Forms anwenden)

IP-Adressen werden spätestens ab dem 25. Mai (DSGVO) endgültig als personenbezogene Daten klassifiziert. Wer mit Modulen zu tun hat, die IP-Adressen speichern, sollte also entweder um die Zustimmung der Speicherung der IP-Adresse bitten oder sie aber – und das ist deutlich einfacher – anonymisieren.

Mitarbeiter könnten dank DSGVO E-Mails der Vorgesetzten einsehen

Mit dem in der DSGVO festgehaltenen Recht auf volle Dateneinsicht kann es sein, dass zukünftig E-Mails, die Vorgesetzte über einen Mitarbeiter ausgetauscht haben, (mit Einschränkungen) vorgelegt werden müssen.

Soetwas wie „Vertraulichkeit einer Nachricht“ gilt dann ja offenbar nicht mehr, wenn sie durch eine lapidare Anforderung gebrochen werden kann. Wird spannend sein, wie diejenigen mit dem Auskunftsgesuch umgehen, die jetzt schon ihre irren Confidentiality Notices in der Fußzeile aller E-Mails mitschicken.