 Hallo liebe GPN, ich begrüße euch zum Alpha-Test in diesem Saal und wir haben direkt auch einen Top-Vortrag und zwar wird Felix uns etwas über die fünf fiesen Buchstaben erzählen, DSGVO, bitte schön. Dann habe ich auch mein Mikro an und verstecke mich irgendwie vor den Lautsprechern, den Saal hat keiner eingemessen vorher. Gut, wer von euch hat alles in der DSGVO schon gelittene? Weniger als ich dachte. Genau, wo komme ich eigentlich her? Ich bin AIT-Berater, ich weiß schon was, ich würde mich jetzt Krere machen in den nächsten 50 Minuten, ich hoffe, für euch geht's. Ich bin prima im Kritisbereich unterwegs, sei es Banken, Versicherungen, Energiebranche, sei es ich bin überall da unterwegs, wo die Paranoia am größten ist bei uns. Mein Schwerpunkt in dem, was ich mache, ist Kunden beibringen, wie DevOps funktioniert, Security und auch ein bisschen Datenschutz. Ich habe mir die letzten fünf Jahre sehr lange, sehr schmerzhaft Erfahrung sammeln dürfen, auch wie Banken und Versicherungen mit dem Bereich Datenschutz umgehen. Seit der DSGVO haben wir sehr viel Spaß, es löst immer die gleiche Reaktion bei mir aus, der Kunde erzählt ihm etwas über die DSGVO den Datenschutz und sagt, jetzt dürfen wir jetzt nicht mehr. Warum? Ja, das sind noch personenbezogene Daten. Es ist für uns verboten, deine Mitarbeiter in deinem Active Directory jetzt einzulegen. Ja, nein. Das ist für das Niveau, wie das Verständnis für DSGVO im breiten Bereich unterwegs ist. Alle sagen nie, das ist Datenschutzrecht, die verboten. Das nächste, das ist mit QA, ihr kennt das sicherlich auch mit dem Datenschützer. Man hat ein geiles Feature entwickelt in der Firma, dann kommt der Datenschutz und sagt, ja, da steht ein Name drin, macht das weg. Zur Einführung von der DSGVO haben wir bei uns dafür viel Spaß gehabt. Wir haben mit unserem Anwalt über Git diskutiert. Wer von euch hat schon mal versucht, in Git die Kommitsrückwirkung zu ändern, dass keine Person bezogen Datmeter drin sein können? Wer von euch hat es geschafft? Ich sehe drei Meldungen. Gut, geschafft hat es keiner. Laut unserem Anwalt müssen wir unser Git jetzt rückwirkend löschen. Wir haben uns ein Anwalt gelöscht. Das ist auch ein wunderschönes Basswort, Bingo. Was ist das, woran man denkt, wenn man DSGVO hört? Datenschutz, dann kommt schon die Erste, auch im Konzern Compliance. Das dürfte ich alles nicht mehr, extrem hohe Kosten. Wir müssen Sicherheit einführen. Man sieht immer wieder dann auch Gesetze, Aufwändekosten und immer mehr Kosten. Wenn man mit Konzernen redet oder mit der Geschäftsführung, das erste Argument ist Bußgeld. Das zweite ist Bußgeld. Das dritte Argument ist weltweites Konzern umsatzbezogenes Bußgeld. So kriegt man ungefähr alles verboten, was er verboten haben möchte als Security. Einfach immer sagen, der Datenschutz mag das nicht, macht das weg. Funktioniert super. Dann, wie haben die meisten Abteilungen darauf reagiert? Das ist irgendwie die Reaktion von Marketing gewesen? Ja, wir haben Newsletter. Ja, habt ihr eine Zustimmung? Da haben wir mal eine Visitenkarte bekommen. Habt ihr noch irgendwie den Leuten erklärt, wie Datenschutz funktioniert? Hat er was unterschrieben? Nö. Habt ihr die Leute ausdrehen nicht mehr wollen? Vielleicht, die daten sie jetzt zehn Jahre schon bei uns in der Newsletterliste. Okay. Hat dann pünktlich zu einem Monat vor einfügbarer allen und vier zu der Reaktion geführt. Scheiße. Jetzt explodiert alles. Wir können nicht mehr arbeiten. Wir müssen jetzt die Firma löschen. So, fragen die Runde, wie viel hatten eine ähnliche Reaktion bei sich in der Firma? Okay, sehr wenig. Das heißt, ihr habt so nicht so viel Leid und Schmerzen erfahren. Ich beneide euch. Wir hatten dann irgendwann so als IT das Thema, hey, ganz ruhig. Wir machen schon die meisten Sachen. Wir müssen uns vielleicht noch aufschreiben. Alles wird gut. Die Welt geht nicht unter. Gut, das war es jetzt mit den lustigen Folien. Ich habe auch echte Folien mitgebracht. Was bedeutet eigentlich Datenschutz? Wer von euch könnte mir Datenschutz definieren? Das ist gut. Dann habe ich mehr zu erzählen. Der Datenschutz bedeutet, dass mir den Menschen davor schützen, dass mit seinem Daten schlecht umgegangen wird. Das heißt, dass die Persönlichkeitsrechte von irgendjemandem beeinträchtigt werden. Da gibt es sogar ein paar Grundsätze, worauf das zurückgeht. Karte der Grundrechte, europäische Konvention und Menschenrechte. Ihr könnt es alle lesen. Früher war es das Bundesdatenschutzgesetz plus die Landesdatenschutzgesetze und dessen haben wir noch die DSGVO mit dazu bekommen, die GDPR. Zum Glück wählt europaweit ein schöner Standard, dass man sich auf irgendwas beziehen kann. Er ist recht für den schönen Begriff Auftragsdatenverarbeitung. Wir haben endlich europaweit einheitliche Regelungen. Ganz oft hört man auch im Start-up-Bereich, die DSGVO hat uns alles kaputt gemacht, wir können nicht mehr arbeiten. Das ist das Gegenteil. Wir haben einheitliche Regelungen, auf die man sich beziehen kann. Es gibt Standardverträge, Standardklauseln. Wer einmal so ein Datenschutzmanagementsystem gebaut hat, die schreibt man einmal runter, dann kann man zu jedem Kunden mitnehmen, kopieren, einfügen. Es sind Standardsachen. Wer von euch hat seinen Rechner verschlüsselt? 90 Prozent melden sich. Wunderbar, ein Teil vom Datenschutz, man schreibt auf, unsere Rechner sind verschlüsselt. Wer von euch hat auf seiner Webseite kein SSL? Danke, kein hat sich gemeldet. Wunderbar, das ist ein zweiter Punkt vom Datenschutz. Man muss einfach Sachen dokumentieren, aufschreiben. Damit kann man schon ganz viel abhaken. Ich habe einen Freund, der hat ein Webradio. Erstmal, ein global Panik. Was machen wir jetzt? Ich habe doch Lock-Dateien. Es ist eine Patsche drauf. Da fallen nur das IP-Adressen an. Ja, so, es fällt alles an. Man muss beschreiben, wie man damit umgeht, wie man die Daten sichert. IP-Adressen von vor zehn Jahren sollten wir vielleicht nicht um den Glocken, damit kann auch nichts anfangen. Aber dazu kommen wir später. Weil Datenschutz hat bei uns in Deutschland ja schon eine sehr lange Historie. Es gab mal so die Idee, wir machen eine Volkszählung. Da gab es einen Urteil, das sagte, passen wir mit den Daten auf, es irgendwie unkühlen. Und daraus ist bei uns in Deutschland eigentlich schon ein Datenschutz entstanden, immer weiter ausgebaut worden. Das ist auch das, worauf man sich immer mit informationellen Selbstbestimmungen bezogen hat. Das ist historisch gewachsen bei uns in Deutschland. Deshalb ist sich auch für die meisten deutschen Firmen der DSGFO nichts geändert hat. Man muss das jetzt aufschreiben und es beteuern, wenn man es nicht tut. Das heißt, was regelt Datenschutz? Was regelt Datenschutz nicht? Ganz viele meiner Kunden sagen, ja, ich habe da jetzt doch Firmen, Daten von anderen Firmen. Das ist cool. Das betrifft aber die DSGFO null. Datenschutz ist nur auf die Menschen zugeordnet, die DSGFO. Das sind die Daten, die ich über einen Menschen habe, wenn ich eine juristische Person habe. Das ist dadurch nicht geschützt, da hat man andere Urteile, andere Gesetze dazu. Das ist von der DSGFO gar nicht tangiert. Es gab, wenn man heiße Lies zu heiße verfolgt hat, dann von allen möglichen Presse verlagen nach Zustimmungsverträgen, dürfen wir euch weiter auf unsere E-Mail-Us-Data-Liste haben. Ja, es gibt so Tatbestände rechtlich, dass man es machen darf oder gar nicht fragen hätte müssen. Es gibt eine Vertragsbeziehung, es ist Inter-Campagni, hätte man gar nichts machen müssen. Aber es hat bei allen Firmen immer zu diesem typischen Freak-Out geführt mit Scheiße, wir müssen mit uns am Arbeiten aufhören. Genau. Wir haben in Deutschland für uns rechtlich bindend die DSGFO. Das ist die europaweite Grundlage und darauf aufbauen mit Verfeinerungen an deutsches Recht und für spezielle Behörden und ähnliches haben wir noch dieses Bundesdat-Schutz-Gesetz. Beide Gesetze gelten das Bundesdat-Schutz-Gesetz vertief das Ganze nur. Wer weiß, für was man das Bundesdat-Schutz-Gesetz in der Stelle bräuchte. Ich wiederholt es. Genau, das ist zum einen die Ausformulierung, das andere für Bundesbehörden brauchen wir sowas. Das heißt, das Bundeskriminalamt hat ein paar Regelungen im Bundesdat-Schutz-Gesetz. Ein Selbstauskunftsbogen an das BKA schlägt mit, gibt mir alle Daten, die du mich hast. Funktioniert es vielleicht nicht ganz so gut wie bei einer Firma. Sowas ist da drin geregelt. Aber ich versuch es trotzdem. Was sind personenbezogene Daten? Es ist auch immer wieder ein wunderschöner Streitfall. Ich halte ein Teil von denen Folien auch immer bei uns eine Firma zum on-boarding neuen Mitarbeiter. Personenbezogene Daten sind quasi meine Adresse, mein Konto-Nummer können personenbezogene sein, mein Geburtsdatum. Meine Lieblingsfrage ist, was ist an eurer Gehaltsabrechnung das besonders fürzenswerte Merkmal? Wer glaubt, das Gehalt ist das Schützenswert, das ist auf der Gehaltsabrechnung? Gut, keiner. Wer sagt die Steuernummer? Okay, viele. Es ist trotzdem nicht. Die Religion steht drauf. Es gibt zwei Kategorien von personenbezogene Daten, die beschützenswerten und die besonders schützenswerten. Sexuelle Orientierung, Religion und Ähnliches zählt zu den besonders schützenswerten, kommt auf der nächsten Folie dann. Das ist das heiligste, wo es auch die ordentlichen Bußgelder gibt, die auch in die vier Prozent reingehen, wenn man da was liegt. Wir haben dann auch noch die schönen Daten, die personenbeziehbar sind, das heißt, ich kann entweder eine Person direkt identifizieren, Name ist ein eindeutiges Merkmal oder ich kann eine Person identifizieren, indem ich ein Merkmal habe, was auf sie zurückführt, sind wir bei unserer IP-Adresse. Gibt es eindeutige Urteile, weshalb auch die Server-Lock-Dateien mit den IP-Adressen personenbeziehbar sind, weshalb die schützenswert sind. Vergessen viele, da gab es sehr lange Urteile dazu. Dann kommen wir zu den besonderen Kategorien, die ich vorhin gesagt habe. Der Anbieter hat wunderschöne Folien gemacht damals. Politische Orientierung, Rasse, Ethniet, das ist alles extrem schützenswert. Das ist auch das, wo die Bußgelder eskalieren, wenn man da die Daten nicht schützt. Biometrische Daten, genetische Daten, wer sowas verarbeitet und Datenschutzprobleme hat, kommt in die Meldepflichten rein und muss wirklich auch aufpassen. In der Regel, das ist ein Grund, warum eine HR-Abteilung ein geschlossenes Büro besitzt. Da liegt eine Personalakte, da steht meine Religionszuhörigkeit drauf. Hätte ich auch gerne, dass das so bleibt, dass es da drin liegt und nicht irgendwo anders offen rum. Dann habe ich noch dieses wunderschöne Teil, was sagt die DSGVO wirklich? Es gibt also vier grundlegende Prinzipien der DSGVO. Das erste Prinzip ist das Schönste. Erstmal ist alles gut. Hier gibt es Sinn, haben wir in der Feierwohl auch erst mal die Nye All draufhauen und dann schauen wir weiter. Danach kommt es, es gibt den Erlaubnisvorbehalt. Prinzipiell darf keine Firma Daten beim Speichern außer ich erlaubst oder eine der anderen Punkte greifen zu. Warum darf meine Firma Daten ans Finanzamt weiterreichen? Es gibt eine gesetzliche Grundlage dafür, sie müssen es. Genauso ist geregelt, wenn es kein Vertragsbeziehung, kein rechtfertigen Stand ist es verboten. Da gibt es auch keinen Victim herum zu argumentieren. Es gibt Auskunftteien, die sagen, ja, aber wir haben das Interesse, wir machen Politätsprüfung. Nein, habt ihr nicht. Ihr habt keinen Vertrag mit mir. Ich habe es euch nicht genehmigt, löschen. Da habe ich auch später noch so ein kleinen Musterbrief dabei. Ansonsten, wenn man Daten weitergibt, Daten speichert, es ist klar geregelt, die Daten müssen zweckmäßig gespeichert werden. Wenn ich mich zu einem Newsletter anmelde, ist der Zweck die Ansprache. Sie dürfen mir dann aber darauf aufbauen, jetzt nicht keinen Vertrag schicken oder irgendwas anderes machen. Es ist wirklich klar geregelt, die Stimme zum Zweck der Kundenansprache zu, dann dürfen Sie auch nur das machen. Haben wir bei Kundenansprache per E-Mail, Kundenansprache per Telefon ganz oft, es ist einfach klar geregelt, wenn ich einen Kaufvertrag geschlossen habe, dürfen Sie mir keine Werbung schicken. Außer ich habe gesagt, ihr dürft es mir zur Kunden-Datenverwaltung und Verwerbung die Daten speichern. Dann gibt es noch das wunderschöne Tätigkeit, das ist das, wo jeder, der von euch mit Marketing reden darf, reden muss, sehr viel Spaß haben wird. Marketing sagt gib mir alle Daten, die ich finde, ich speichere die auf ewig. Kann man machen. State of the East give or kann man es nicht mehr machen. Das heißt wirklich, wenn man die Daten nicht braucht oder nicht mehr braucht, wegwerfen. Es gibt wirklich den Lebenszyklus der Daten, auf den später eingehen, die Daten müssten irgendwann sterben, Punkt. Dann gibt es das Prinzip der Datenspaßamkeit. Es ist schön, wenn man über seine Kunden alles weiß, die komplette Abstürmung Stammbäume und alles besitzt. Das macht aber keinen Sinn, wenn ich ein Nüse verschlicken will für Katzenfutter. Da brauche ich nicht über den Kunden seinen Beruf wissen, was er alles verdient, was er sonst noch kauft. Das heißt, die Daten, die nicht relevant sind, dürfen nicht gespeichert werden. Da gab es auf einem Punkt, welche Daten alle da liegen. Ich kann nur jeden einladen, schicksten Selbstauskunftsbogen an Amazon, ich werde Spaß haben. Ich hoffe, ihr habt einen großen Briefkasten, das kommt in großen Paketen mit sehr vielen Daten. Dann haben wir das Verbot mit dem Erlaubnisvorbehalt. Ich habe gesagt, man darf es nur, wenn es einen Vertrag gibt, machen. Das ist das Einfache. Dann kommt das andere, wenn es eine Rechtsvorschrift gibt. Das ist das, was ich hatte schon gehabt. Abgabenordnungen. Inhalt der Behörden dürfen die Daten weitergeben werden. Und natürlich, wenn ich da ein Interesse daran habe, wenn ich zugestimmt habe, sind so die Standezustimmungsklauseln. Darf ich bei meinem Arzt unterschreiben, dass mein Arzt eine Patientinakt über mich führt. Das sind die Ärzte, die noch nie mit dem Datenschutz geredet haben. Aus meiner Sicht ist das relativ für das Gebrechtsgrundsätze, weshalb er die Daten erfassen muss. Allein schon, weil er dazu rechtlich verpflichtet ist, dass er eine Akte führt mit den Handlungstätigkeiten, die er durchführt. Aber ich habe etwas unterschrieben, was fünf Zeilen lang war, wo kein Paragraf vorig drin stand. Mein Arzt war zufrieden. Ich habe gelacht. Kann man auch machen. Dann eines der Phänomene, die man immer hören wird, weil das data sind lebendige Wesen, das ist nichts. Ich darf mich nicht mehr bewegen. Daten müssen einfach einen Generationenprinzip haben. Das kann man sich schön anschauen für die Bildlichen. Daten werden übernachoben, Daten werden gespeichert, Daten werden genutzt. Daten werden wahrscheinlich auch mehr. Aber irgendwann müssen Daten auch sterben. Wenn mein Bewerber abgelehnt worden ist, habe ich sehr klare Fortschriften. Es gibt auch, wenn man die DECA-Prüfung dazu macht, Prüfungsfrage dazu, wenn man mehr als sechs Mord die Bewerberdaten speichern möchte, keine Chance. In der Regel geht man mit dem Datenschutz davon aus in den Kreisen, wenn ich unterwegs bin, drei Monate löschen. Es gibt im Sonderfall Datenunterlagen, die werden im Gespräch angelegt worden sind, die darf man länger machen, aber Zeugnis und Co. wirklich radikal löschen. Wenn man die Daten in so einem Lebenslauf drinnen hat, dann gibt es das Prinzip, man muss auf die Daten aufpassen. Beim Bundesdatschutzgesetz passt es auf die Daten auf. Jetzt kommt die Folie, die wir unseren neuen Mitarbeitern am liebsten zeigen. Man muss auf die IT-Sicherheitsprinzipien berufen, Vertraulichheit, Integrität, Verfügbarkeit, Belastbarkeit, dann zur Sicherheit, ein Plan, was passiert, wenn alles explodiert. Man testet seine Sachen. Was muss der Mitarbeiter machen? Ich werde diese Folie nicht vorlesen. Das erste, was jede Firma macht, die Datenschütze hat, man erklärt seinen Mitarbeitern, sperrt euren Rechner. Wer von euch kennt Mitarbeiter, die das regelmäßig nicht tun? Unser Hobby ist es, den PC zu, die Motore zu drehen, die Bilde, alle Dateien in Ordner verschieben, mit dem Screenshot alles neu aufbauen. Unser Mutterkonzern hat anders geregelt. Erstes mal vergessen, Termin beim Teilungsleiter, zweites Mal beim Geschäftsführer, drittens die Kündigung. Kann man auch machen, halte ich es nicht ganz so viel davon, aber ist immer das, wie man umgehen möchte. Jetzt habe ich vorhin über das Datenschutzmanagement-System geredet. Da muss ich mich nicht bewegen und mich sanft drehe. Es gibt diese fünf Pfeile im Datenschutzmanagement-System, auf die man achten muss oder die man immer drinnen hat. Beginn tut es mit den technischen und historischen Sicherheitsmaßnahmen. Die Folien gibt es danach auch online. Nur, falls jemand das abfotografieren möchte. Technische und historische Sicherheitsmaßnahmen. Ich habe zwei Ankerpunkte. Die technischen Maßnahmen. Mein Daten sind verschlüsselt. Ich kann es einmal runter schreiben. Es ist jetzt nicht viel Aufwand. Die organisatorischen Maßnahmen. Ich verpflichte meine Mitarbeiter. Ich belehe das hier regelmäßig. Ich sage den Leuten, dass sie den Rechner sperren müssen. Ich sperre den Rechner zwangsweise. Technisch. Ich habe ein Zututzkontrollsystem mit Token, wo gespeichert wird. Organisatorisch. Da sitzt jemand. Das ist ein Standardmaßnahmen. Wie schreibt man runter? Das nächste ist, man baut ein Verzeichnis auf, was mache ich denn eigentlich? Während der Verein hat, die Mitglieder registrieren sich. Wir haben ein Lastschrift-Heinzug. Wir verlassen uns. Wir belegen vielleicht noch ein Kurs. Vier, fünf Tätigkeiten. Da kann man vielleicht noch Einladung zu Events mit reinmachen. Man kann mit sehr wenig Tätigkeiten komplett seinen Verein niederschreiben. Der Standardmuster dafür ist, dass die Mitglieder die umsetzten Informationspflichten das ist für die meisten Firmen ein Graus. Da kommt man in schöne Bußgelder rein. Dafür habe ich auch ein Formenbrief mit dabei. In der Regel hat man 30 Tage Bearbeitungsdauer, zwei Tage Postlauf und einen Tag Kulanz. Also innerhalb von diesen 33 Tagen muss eine schriftliche Antwort erfolgt sein. Das macht Spaß. Schick mal einem Konzern, wie ich euch beim Verkauf beworben habe, den Auskunftsbogen und sagt automatische Eskalation an die Meldbehörde. Der Brief kommt dann beim Datenschutzbeauftragten des Konzerns an. Der beginnt dann sehr panisch an los zu rennen bei allen Abteilungen durch und fragt Habt ihr von dem Menschen da noch Daten? Wenn ja, warum? Lösch die. Also damit kann man für sehr viel Panik sorgen. Wenn ihr eine Firma nicht mögt, eine Bank, das macht sehr viel Kosten für die. Und sie müssen kostenneutral oder kostenlos antworten. Wunderbares Trollmittel, danke DSGVO, ich mags. Die Informationspflicht ist einfach, Sie müssen informieren, ich habe ein paar Folien dazu. Es muss einfach klar sein, warum habt ihr Daten, was macht ihr mit den Daten? Der andere Punkt, die Verträge sollten die DSGVO konform sein. Wenn ihr Daten über mich speichert, schreibt drin. Ich speichere die Daten auf Basis von, wegen, für und was mache ich mit den Daten? Wohin wird die Daten weitergegeben? Es ist einfach nur juristisch sauber Verträge machen, Leute informieren, was mit Daten passiert. Datenschutzfolgeabschätzung ist wieder ein spannender Teil. Es ist etwas, was eigentlich jeder machen sollte. Was passiert mit den Daten, die ich habe? Was passiert, wenn es tief läuft? Also bei einer Bank hoffe ich, ehrlich gesagt, dass die Datenschutzfolgeabschätzung gemacht haben. Was passiert, wenn mir einer meine Kundenliste aufmacht und was mache ich damit? Ich habe dazu noch Folie später. Ganz ehrlich, jeder wollte irgendwo bewertet haben, was passiert, wenn bei mir meine Verarbeitungstätigkeiten schieflaufen. Das ist ein gesunder Menschenverstand. Im Verein habe ich es ja gesagt, da kann man das Ganze sehr leiden machen. In den Verein hat nicht viele Verarbeitungstätigkeiten. Außer man hat einen sehr kreativen Verein, dessen Auftrag irgendwelche Komplikation mit vielen auf der Welt ist. Sonst Newsdata-Anmeldung, Abmeldung, Post. Man kann es auf die Tätigkeiten runter schreiben und hat sich damit erst mal abgesichert. Zumindest verhindert man dadurch, dass es ein großes Bußgeld wird. Die Kontrollbehörden haben keinen Lust, einen kleinen Judo-Fein von um der Ecke irgendwo fertig zu machen. Hier schnappt sich das, wo es sich lohnt. Daher sammelt hat man es schnell durch. Wie es im Privaten ich sage immer XMV, so ein Menschenverstand. Wenn es stinkt und widerlich aussieht, sollte man es nicht anfassen. Wir haben bei uns im Konzern ein Beispiel gehabt, WhatsApp. Wer WhatsApp auf dem Firmenhandi installiert, ist eine eindeutige Regelung bei uns. WhatsApp ist ein privates Kommunikationsmittel. Es ist von dem, wie es aufgebaut ist, nicht für Firmen gedacht. Es ist von dem, wie es funktioniert, nicht für Firmen gedacht. Das heißt, es ist kein Firmenmittel. Wer es macht, begeht also einen Verstoß selbst. Was macht man mit WhatsApp? Man überträgt sein Adressbuch in die USA. Wenn ich alle meine Kontakte gefragt habe und auch diese Rückfrage regelmäßig prüfe und sicherstellen kann, dass die Daten gelöscht werden müssen. Kein Problem. Wer es trotzdem macht, hat ein Problem. Ist ein privater Verstoß, haftet man ein Privater für ist kein Firmenproblem. Jo, gibt es Fragen bis dahin. Ihr merkt, ich mag WhatsApp nicht. Ich habe das Datenschutzmanagement System schon angefangen zu skizzieren. Es gibt wunderschöne Vordrucke zum 25.Mailgaps, die damals noch nicht. Jetzt gibt es die, wo man wirklich abhaken kann, welche technisch-ochistischen Maßnahmen habe. Ich ist der Link da unten dran. Wer es, was man aufbauen muss, ganz schnell. Ihr kriegt es die Folien danach, dann online. Wer es, was man selbst aufbauen muss, einfach abhaken. Ich habe jemanden am Empfang sitzen. Ich habe ein zusätzlich tolles System. Ich schreibe auf, wer Schlüssel bekommt. Ich habe ein klares Onboarding, Offboarding. Damit hat man es fertig. Man macht noch Belege dran. Es hat schon seine technisch-ochistischen Maßnahmen drinnen. Es gibt kein Hexenwerk. Es geht zeitlich gut auf. Es ist wirklich schnell erledigt. Das ist das, wo die meisten schon dafür Angst hatten. Oh mein Gott, ich muss jetzt einen riesigen System aufbauen. Macht es euch eine Wikis-Seite. Macht es euch ein Wirtdokument, wie es besser ist. Aufschreiben, fertig, durchnummerieren. Das Verarbeitungsverzeichnis. Das ist die Folie mit dem meisten Text. Keine Angst davor. Was muss ich aufschreiben? Jede Tätigkeit hat immer einen verantwortlichen. Kann sein. Newsletterversand ist verantwortlich bei Marketing. Das wird vom Datenschutzbeauftragten XY überwacht. Welche Vertreter sind mit involviert? Das heißt, habe ich noch andere Abteilungen, die mitspielen dabei. Habe ich externe Dienstleiste? Das wirklich relevante ist, werden Daten an einen Drittstaat übermittelt. Beispiel USA. USA wird jedem Datenschützer ultra viel Freude machen. Es gibt da, dank der EU, die Standardvertragsklausel Wer die zweimal gesehen hat, erkennt die. Die sind abgesignet. Wer die unterschrieben gekriegt hat, alles super, muss sich um nichts kümmern. Wer die nicht kriegt, anderen Dienstleister suchen. Versucht es nicht, individuelle ADVs und Ähnliches mit euren Dienstleisten zu schließen, wenn die in den USA sitzen und keinen Standardklausel unterschrieben haben. Dann müsst ihr das individuell prüfen lassen. Es ist europäischer, aber es ist nicht anerkannt für Gäste. Die Dinge kriegt man bei allen großen Dienstleister und dessen vorunter schrieben zum Download. Selbst Lexhaards geschafft, ein halbes Jahr verspät, aber sie haben es geschafft. Genau. Dann ist zweite, wir haben gesagt, es gibt eine Zweckbindung. Man schreibt auch, warum man die Daten haben möchte. Beispiel Gehaltsbuchhaltung, damit der Mitarbeiter sein Gehalt überwiesen bekommen kann. Klingt trivial, aber man muss es aufschreiben. Newsletter, damit wir den Kunden ansprechen können. Man muss einfach irgendwie dokumentieren, warum will ich das haben, was soll er gemacht werden. Als Firma dokumentiert man wirklich jede Tätigkeit der Firma in einem einzelnen Punkt. Arbeitszeiterfassung meiner Mitarbeiter dokumentiere ich das Tool, dokumentiere mein Internet. Hat man halt mal 50 Tools dokumentiert, wenn man Firmen vielen Tools hat. Word muss man nicht dokumentieren. Schleerpoinsultimone dokumentieren. Da werden Daten zentral verarbeitet. Word ist ein Hilfsmittel. Und das Wichtigste daran, welche Daten werden überhaupt erfasst. Welche Daten sind da drinnen? Habe ich besonders schützenswerte Daten, wie die Religionszugerigkeit drinnen? Eht mir. Habe ich einfach nur Stammdaten drinnen mit Steuermärkmalen? Man muss definieren, was wird da drin erfasst? Sollt man jemals eine Prüfung haben, kommt die Aufsichtsbehörde und sagt, gib mir deinen Management-System alle Daten, dann wird einfach abgehackt schlichtprobenartig. Wenn die Aufsichtsbehörde den schlechten Tag hat, wird es voll geprüft. Wenn man dann Daten nicht erfasst hat, dass sie übertragen werden und es fällt auf. Es ist eine Abweichung. Ist, wenn es den Auditiven irgendwann dafür gibt, auch etwas, was es wahrscheinlich ins Auto zerstören kann. Es ist soweit, zumindest in der letzten Datenschutzschulung bei uns drinnen, war geplant, dass die Datenschutzmanagement-Systeme demnächst zertifiziert werden sollen. Das heißt, es gibt nicht nur die ISO 76001-Zertifizierung, BSI-Grundschutz, es wird auch noch eine Datenschutz-Zertifizierung und jede Firma durchlaufen darf, wenn es nach der EU geht. Genau. Das ist einfach sauber aufschreuen, da hat man kein Problem. Die Informationspflichten, wir hatten es vorhin schon bei der Beschreibung der Verabungsfertigkeit, ist quasi das Ganze nochmal umgedreht aus Sicht des Betroffenen. Wenn jemand über mich Daten verarbeitet, Daten erfasst, muss er mich informieren, was er macht, wer es verantwortet und warum. Und dann wäre es noch, wann sie wieder gelöscht werden. Wenn man gute Laune hat einfach mal so Breitgestreutze in Dienstleistungen schlägt, die man alle nicht mag. So was kommt bei Paypal, Twitter, Facebook, super an. Bei der Schufe kommt es auch gut an. Damit rechnen, dass man 5-mal nachtreten muss, weil der Standard-Schufe-Antwort-Bogen reicht nicht. Einfach ein bisschen nachtreten ist lustig. Man sieht es auch, es gibt einen Teil da drin, in dem Standard schreiben, der es sich auf Auskunftsteilen ausgelegt. Es gibt es wie die nächste Auskunftsteil, die einmal Google durchstöbert und anfängt, Firmenleute anzuschreiben. Wir haben dich ab sofort aufgenommen, willkommen. Es ist ganz lustig. Es kamen 10 Briefe zu uns, 20 gingen raus. Die haben jetzt erstmal viel Spaß mit Löschfristen. Wer den Brief haben mag, ich habe den auch als Word-Template später. Dann habe ich eine Folie vergessen, rauszulöschen. Die ist eine Kopie. Die Datenschutzfolgeabschätzung. Wer es an der Datenverabschiedung beteiligt, ist erstmal das erste. Wer so eine Datenschutzfolgeabschätzung machen sollte, es ist sehr effizient, zum Geschäftsführer zu gehen und sagen, das kann Bußgeld bringen, sagt die Abteilung, sie müssten zu mir in den Termin rein. Da ist so Druck von oben, ein wunderbares Hilfsmittel gewesen, wenn die Abteilungen dann zwangsweise zu einem Reihen gesetzt werden und man zu fünfter mit allen Betroffenen diskutiert, welche Daten verhabtest du? Warum? Wenn man sich das fürs Mal beschreibt und wenn man es dann auch nochmal bewertet, alles. Am Ende kommt dann eine Standardschreibung raus mit kritisch, sehr kritisch, ist für mich nicht relevant. Wer das Ganze aus Bayern haben will, da gibt es eine 20-Seiter-Erläuterung mit, wie macht man das und warum? Hauptsache, man hat es gemacht. Da ist auch in Datenschutzkreisen die Standardsaussage lieber schlecht gemacht. Da ist gar nicht. Hauptsache, man hat es zumindest angefangen und kann erstmal was vorweisen. Die Aufsichtsbehörden reagieren extrem kritisch, wenn man sagt, hab ich nicht. Ich hab da was passendes für dich, das ist schon mal besser als hab ich nicht. Daher, das ist einfach mal gut, wenn man sowas gemacht hat. Jetzt sind wir ein bisschen schneller durch als geplant. Schnell alles im Zeitplan angegeben. Hab ich auch gedacht, weil, nachdem es dieses Admin-Night-Mairs nicht gibt, dieses Jahr habe ich mir gedacht, wir können noch ein bisschen DSGVO-Night-Mairs machen, was ihr so erlebt habt. Unser Recruiting-HR hat mich gebeten, dass ich einmal die Folie zeige mit mir suchen und Mitarbeiter, wer sich bewerben will. Ansonsten kommen wir dann zum schönen Teil mit, was sind eure leidgeplagten Erfahrungen mit der DSGVO? Dann übergebe ich an meinen Herrwald. Ja, habt ihr Fragen? Dann gehe ich mal darüber mit dem Mikrofon, damit ihr die Fragen auch direkt stellen könnt. Dann machen wir erst mal Fragen. Ja, ich habe eine Frage. Was ist denn bei einer fiktiven Firma natürlich, wo es mehrere 100 Applikationen gibt und später hält es sich an Vortrag über DevOps. Also gibt es auch einen Ansatz über DevOps-Style, wie man das Ganze nicht nur in Papier, sondern eben mit Programmen in den Griff bekommen kann. Ich kenne selbst dazu noch keinen programmatischen Ansatz. Es gibt extrem teure Tools. Die Tools erwarten wirklich, dass man alle wirklich Daten für Arbetentätigkeiten reinmacht. Microservices, man macht es wirklich nicht nach Microservice, sondern macht es nach Verarbeitungstätigkeit. Wenn du in deinem Newsletterversand 10 Microservices beteiligt hast, ist der Newsletterversand trotzdem die Tätigkeit und du sagst, ich brauche dazu jetzt noch den externen Dienstleister fürs SMTP Gateway. Das beschreibst du da drinnen. Die Tätigkeit selbst ist das, was du darin beschreibst. Das ist ja auch ein Schocker-Container. Man beschreibt wirklich das gesamte Ganze als Tätigkeit. Noch eine Folgefrage. Hast du schon mal persönlich Erfahrungen mit Grafdatenbanken dazu gemacht, um an diesem Dschungel ein bisschen Licht reinzubringen? Nein. So, die nächste Frage. Ja, danke für einen schönen Vortrag. Ich bin ja auch so ein großer Freund von WhatsApp. Und du hast ja auch das Beispiel der erwähnt. Das hat, glaube ich, auch mal irgendein Datenschutzbeauftragter festgestellt, dass so 99% aller Menschen eigentlich illegal handeln, wenn sie sich WhatsApp installieren, weil dann eben das Kontaktbuch an WhatsApp in die USA geht. Aber offensichtlich scheint da ja nichts in der Richtung zu passieren. Oder kennst du irgendein Fall, wo jemand deswegen Ärger bekommen hat? Mir ist auch nichts bekannt in der Richtung, die auch daran, dass Ukraine Klärga als App begeht diesen Verstoß nicht, sondern die individuelle Privatperson. Meistens mit den Leuten irgendwie doch befreundet oder will es sich nicht verkraulen, wenn man da das feststellt und man merkt es ja auch erst, wenn man selbst WhatsApp hat, dass da irgendwie Kontaktdaten sind. Man müsste da extrem komplexe Prozesse machen. Ich kenne einfach keinen, der Bock hatte, sich das anzutun, gegen seine Freunde vorzugehen. So, dann noch eine Frage aus der Mitte. Hi. Was hast du auch irgendwelche Erfahrungen gemacht, mit Event sourcing oder sowas in irgendwelchen Projekten? Mit was genau? Event sourcing. Was meinst du mit Event sourcing? Es werden im Prinzip Events gespeichert, z.B. wenn ein User seine Daten ändert, dass dann z.B. drin steht Passport geändert. Auditlocks und Co. Auditlocks. Ja, im Prinzip so historische Daten sind es und es sind permanent Daten. Also wenn jemand seine Daten löscht, ist das so gefügt, er hat Datensatz gelöscht. Aber die Namen und so sind halt immer noch drin. Es ist jetzt wieder wie mit Git. Man muss es löschen. Auditlocks und Co. ist für das Berichtigte Interesse, dass sie nachweisen kann, wer was geändert hat. Wenn ich jetzt aber Daten älter als 12 Jahre habe, weil 12 Jahre ist die höchste Speicherdauer im Standardfall, dann müssten sie gelöscht werden. Wenn es Datenbanken selbst nicht können, bei Git gibt es auch nichts zu machen. Ich sage mal wieder, kein Kläger da, kein Richter. Welche Daten werde ich da drin machen? Genauso als würde ich jetzt mit Standardmitteln irgendwie versuchen, meine komplett Personalverwaltung in Bitcoin abzulegen. Ähnlichem. Ich kenne den Ansatz, dass z.B. user-bezogenen Daten verschlüsselt werden in diesen Event-Sourcing-Daten. Und der Schlüssel ist separat gespeichert. Und dass wenn ein User wirklich sagt, ich möchte nicht, dass meine Daten irgendwie noch bekannt sind, weiterverwendet werden, dass dann der Schlüssel nur gelöscht wird. Und die verschlüsselten Daten noch da sind, ist das ausreichend für deine Meinung nach? Das ist meines Wissens ausreichend, weil ich es dann nicht mehr zugänglich mache. Es gibt Anwendungen, ich habe für einen großen Konzern eine Chat-Lösung angeschaut, die wechseln täglich ihren Datenbahnschlüssel durch, halten dann über 12 Jahre ihre zigtausend Datenbahnschlüssel vor, werfen dann die mit Maßverchlüsselten Schlüssel irgendwann weg. Das geht schon. Wenn die Daten verfügbar sind, wer sie Zeit und Musse hat, sich die Partikel durchzulesen, es gibt wirklich auch die Sperre der Daten. Zum Beispiel, wenn eine Löschung der Daten nicht möglich ist, muss sich die Nutzung und die Verwendung sperren können. Das werden die Lösungen, dass ich einfach sage, ich sperre den Zuhang zu diesen Daten. Dann haben wir hier vorne noch eine Frage danach. Sonst noch Fragen, sonst würde ich dazu übergehen, dass die Leute dann ihre Geschichten aus der Firma oder der Firma der Firma nicht möglich sind. Wie ist es denn, wenn jetzt meine Daten über, beispielsweise WhatsApp oder andere Services, die zum Beispiel auch, gibt doch einfach mal deine E-Mail-Zirkungsdaten ein und wir ziehen dann aus Gmx ein Adressbuch, jetzt sind ja dann durch andere, meine Freunde zum Beispiel, meine Daten bei irgendeiner Firma gelandet. Jetzt könnte ich ein Auskunfts- dann auch draußen bleiben. Weil ich meine, meine Freundin ist wahrscheinlich bekloppt und machen das wieder. Das ist eine gute Zusammenfassung, Sie werden es wieder tun. Zum einen, die Firma, wenn sie Daten von dir bearbeitet oder speichert, wäre das unzulässig, weil wir so eine Daten ohne Zustimmung und ohne Vertraglichsten der Reste dazu da wären. Das heißt, da müsste die Firma allein schon dafür sorgen, ich kenne keine von dir es macht, dass die Daten dann wirklich nur temporär da sind, automatisch wir gelöscht werden. Das heißt, die Daten, wo dann extrem komplexe Prozesse dahinter sind, in der Regel so Tools, die der Standard Layer 8 Down nutzt, werden das nicht haben, diese Prozesse. Man kann, wenn der Anbieter in Europa sitzt und in Europa eine haftbar machbare Stelle hat, ihnen eine, der das Schreiben auch nie mit reingemacht, einen Löschersuchen mit Sperre der Daten schicken, er muss es nachweisen. Also, explizit steht drinnen in den Standardschreiben, die auch von mir rausgehen, wenn es um die Löschung zu bringen ist, ist auch in den Paragrafen drinnen, dass man protokollieren muss und nachweisen können muss, wo was in den Daten passiert, das heißt, in der Löschung ist es immer zu protokollieren. So, dann hätten wir hier noch jemanden, der von seinen DSGVO-Nightmares erzählen wollte? Ja, es begab, also ich arbeite an einer Universität in Deutschland und da hat man sich überlegt, okay, wir haben jetzt die DSGVO, wir sollten die Mitarbeiter in, in den Schulen, das war im Januar diesen Jahres und danach ist die große Panik ausgebrochen und danach haben sie mich gefragt, weil wir E-Learning machen, unter dem viele Leute Schulen können und sie haben uns eine 5-Prozent-Stelle dafür gegeben. Es war grandios. Das klingt funktionierend. Wie viele 5-Prozent-Stellen habt ihr gebraucht, bis es fertig war? Also ich mache einfach Überstunden, habe es dann fertig gemacht letzte Woche, aber gebraucht wäre es so 20 und wenn wir es rechtzeitig fertig haben wollen, eine Vollzeit-Stelle für ein Monat. Ja, das ist Datenschutz in Deutschland. Möchte noch jemand seine DSGVO-Nightmares erzählen? Sonst keiner mehr mit Schmerzen aus DSGVO. Gut, wenn es sonst keine Frage mehr gibt, dann mach mal in der 40-Stunde früher Schluss, sonst. Wir hätten noch 30 Minuten. Ich sehe auch keine Fragen mehr. Dann bedanken wir uns bei Felix für seinen DSGVO-Vortrag. Danke.