Hallo zusammen!
Hab versucht im Forum Näheres zu erfahren- hab aber leider nichts gefunden. Daher bitte ich euch auch gleich um Nachsicht wenn euch das Thema "nervt".
Ich bin im Rahmen der nun bald bevorstehenden Datenschutzgrundverordnung auf das Problem gestoßen, daß ich meine externen Festplatten "vor unbefugtem Gebrauch" schützen muß.
Hab dies versucht zu recherchieren und es wäre eigentlich banal, wenn, ja wenn ich seinerzeit meine Platten richtig formatiert und partitioniert hätte. Wenn ich im Finder mit der rechten Maustaste meine Festplatte anklicke und auf z.B. "Archiv 1-verschlüsseln" gehe, dort die Passwörter und den Erinnerungshinweis eingebe kommt nun der Hinweis: "EIN GUID-Partitionstabellen-Schema wird benötigt"!
Daher meine Frage: gibt es irgendeine Möglichkeit meine Festplatten zu verschlüsseln OHNE meine Datenträger löschen zu müssen?
Bin euch wie immer für Rat und Tat sehr dankbar.
Beste Grüße aus Wien
Reinhard

Hallo,
es gibt verschiedene Ansätze, um Daten auf Festplatten zu verschlüsseln. Eine, wie bereits erwähnt setzt in deinem Fall voraus, die Platte einmal neu zu partitionieren und damit komplett zu löschen. Eine andere Möglichkeit wäre, die Daten erst auf dem Rechner zu verschlüsseln, und dann rüber zu kopieren. Für ein Timemachine-Backup geht das in den Einstellungen, bei anderen Daten entweder über ein spezielles Programm, oder aber du legst auf der Festplatte ein verschlüsseltes Diskimage an und kopierst deine Daten dort hinein. Geht übers Festplattendienstprogramm.

Gruß
Uli

Wieviele Festplatten sind es denn und wie groß sind diese in etwa (einzeln und gesamt)?
Vielleicht eine neue kaufen, entsprechend formatieren, den Inhalt der ersten auf die neue kopieren. Dann die erste neu formatieren und den Inhalt der zweiten kopieren und so weiter. Klar kostet das viel Zeit, ein entdeckter Verstoß gegen die DSGVO dürfte aufwändiger sein.

Du kannst auch ein Sparse-Image mit Verschlüsselung auf den Platten anlegen, aber auch dann kommst du nicht um das Kopieren (bzw. Bewegen) der Daten herum.

Es gibt aber auch 3rd-Party Tools dafür, die sind aber meist eher dafür gedacht, Verzeichnisse auf USB-Sticks zu verschlüsseln, wie sehr denen zu trauen ist, kann ich nicht beurteilen.

Danke euch sehr!
Die Platten sind im einzelnen jeweils 2TB.
Denke ich werde den Rest der Woche dazu nützen die Platten neu zu formatieren und die Daten wieder raufspielen.

Funktioniert denn nicht?

So versucht er es doch, geht aber nur mit Platten, der Partitionstabelle im GUID Format vorliegt. Und das ist beim TE wohl leider nicht der Fall.

Auch Einschließen kommt in Frage?!

Stell ein Stoppschild drauf oder besser: klebe es drauf. Sol angeblich helfen

donmoritzo
Wie MuTiger schon ansprach, wegschliessen reicht vollkommen aus. In der Regel hat jeder Schreibtisch/Rollcontainer oder Büroschrank ein Schloss. Zusätzlich sind ja Büros meist nochmals an der Türe abgeschlossen. Damit wären Deine Festplatten 2x abgeschlossen aufbewahrt. Damit ist das Kriterium der "Zugriffssicherheit" vor "Unbefugten" längstens gewährleistet.

Eine "Einbruchssicherheit" ist nicht Vorgabe der DSGVO. Wir (und auch viele anderen Unternehmen) haben ja z.B. auch noch tonnenweise alte Platten, Disketten, CDs/DVDs, MO, SyQuest, Iomega usw. Medien im Archiv im Keller. Dort lagern auch alte Computer und Steuerunterlagen usw. Zusperren genügt da vollkommen. (Der Gesetzgeber müsste ansonsten explizit die Löschung der ganzen alten Datenträger vorschreiben. Praktisch ist das aber schon aus Kostengründen (man denke mal an Konzerne wie z.B. SIEMENS) gar nicht möglich.)

Ja, das mache ich ohnehin, aber ich bin mit den Festplatten auch unterwegs. Und schon das unbeaufsichtigte liegen lassen div. Daten und Datenträger, kann ein Verstoß sein, wenn laut Auskunft der DS-Kommission "jeder" darauf zugreifen könnte.

Reicht es da nicht schon, wenn eine HD HFS+-Formatiert ist? Dann kann auch schon nicht mehr jeder, sondern nur noch Macnutzer (oder Menschen, die in ihrem windoof was passendes installiert haben) drauf zugreifen.

Für unterwegs fallen mir spontan Aktenkoffer mit Zahlenschloss oder große Geldkassetten ein.
Was ich noch nicht genau verstanden habe:
Geht es dir um möglichst große Datensicherheit, oder um die Erfüllung der gesetzlichen Vorgaben?

Nun, bei Festplatten mit denen ich unterwegs bin, egal jetzt ob die intern oder extern sind, verschlüssle ich die schon aus eigenem Interesse. In sofern erfüllt man da schon (vielleicht?), denke ich, das Gesetz.
Ich kenn jetzt das Gesetz nicht. Wenn ich da lese "vor unbefugten Gebrauch" äh wie ist das zu verstehen? Ein unbefugter Gebrauch wäre ja auch der Versuch eine verschlüsselte HD zu lesen.

OT aber wichtig: die DSGVO ist schon lange in Kraft. Was uns jetzt bevorsteht ist der Zeitpunkt ab dem geprüft und gegebenenfalls bestraft wird. Ich finde man kann das nicht oft genug anmerken, da es von vielen Seiten falsch kommuniziert wird und bei vielen den Eindruck hinterlässt, nach dem kommenden Termin gäbe es ja noch genug Zeit sich damit zu beschäftigen.

Wen sie betrifft, der sollte genau schauen.
Das haben Juristen zusammengestrickt, das muß nichts mit der Realität zu tun haben.

Darf ich dich fragen was das genau mit der DSGVO zutun hat?
Ich frage nur aus Interesse da ich mich grade versuche in das Thema einzulesen, was ja garnicht mal so leicht ist. Ich finde es ganz schön krass. Als verbrauche ist das super, aber ich lerne mich schon seit Monaten in der Thematik, Entwickler, ein und für die ist es ja ein Graus

Ja, das BDSG (Bundesdatenschutzgesetz) hat es in sich und mit dem GDPR wird es in seiner Reichweite deutlich erweitert und auch Strafbewährt. Also Verbraucher super, da stimme ich zu. Ich muss mich da als (noch) amtierender Betriebsrat auch immer mal wieder mit beschäftigen.

Natürlich gibt es Anwendungen, bei denen die Erhebung persönlicher Daten notwendig sind, sonst wüsste mein Arbeitgeber beispielsweise nicht, wohin er mein Gehalt überweisen müsste. Das solche Datenstämme ausreichend gesichert sein müssen ist offensichtlich. Leider nehmen manche Firmen das nicht so ernst. So sind Zugriffe auf wirtschaftliche Güter (zB Source-Code) mit deutlich mehr technischem Aufwand geschützt als der Zugriff auf das HR Portal. Nach dem Gesetz sind aber personenbezogene Daten mit höchsten Standards zu schützen. Aber das sind Interna, mit denen sich der kommende Betriebsrat wieder auseinandersetzen wird.

Was ich aber an GDPR so positiv sehe: es geht um personenbezogene Daten, die ohne dein Wissen von Dir erhoben, gespeichert und ausgewertet werden. Das war auch unter dem BDSG schon Verboten bzw. deutlich eingeschränkt - aber außerhalb Deutschlands interessiert sich eben kaum einer für das BDSG. Die Ausweitung durch das GDPR mit den hohen Strafandrohungen wird das ändern, auch wenn mir noch nicht so ganz klar ist, wie solche Strafen durchgesetzt werden sollen.

Um ehrlich zu sein, was auf deinen Festplatten an Daten gespeichert wird dürfte da kaum ein Problem darstellen, weil die Personen davon wissen. Dass die Daten entsprechend "verschlossen" sein müssen leuchtet ein und eine ausreichende Verschlüsselung wird auch als Schloß verstanden. Kompliziert wird es erst, wenn Daten auf Cloud-Systemen landen. Habe erst gehört, dass manche Schulen jetzt ihre Dokumentation über Schüler auf Cloud-Lösungen umstellen und eine zweifelhafte Umsetzung haben.

ssb

Also versteh ich das so, das ab dem 25.5 etliche private Seiten offline gehen müssen da sie nicht den Aufwand aufbringen werden alles DSGVO konform zu machen? Was sich ja auch nicht lohnt wenn man damit kein Geld macht. Könnt ich eigentlich auch zu meiner Bank gehen und fragen was die alles über mich wissen? Das wird ja eine Menge sein.

Also bei "rein privaten Seiten" müsste zuerst geklärt werden, ob "rein privat" mit "ausschließlich persönlich" gleichgesetzt werden kann. Die Abmahnanwälte könnten argumentieren, dass eine Veröffentlichung im Internet dem entgegenspricht. Damit wären alle Webseiten betroffen.


Eine halbstündige Recherche hat bislang ergeben, dass man sich besser mit Datenschutzvereinbahrungen von allen irgendwie Beteiligten Stellen (Webhoster, Google, WordPress-Plugin, etc.pp.) eindeckt, da teilweise IP Adressen beim Besuch deiner Seite gespeichert oder verarbeitet werden.

Ich bin gespannt, wieviele kleinere Unternehmen mit weniger als 10 Mitarbeitern es sich jetzt dreimal überlegen, jemanden neu einzustellen, da ab 9 (oder 10) Mitarbeitern (auch Freie) zwingend ein Datenschutzbeauftragter ernannt und ausgebildet werden muss. Manche werden eher eine betriebsbedingte Kündigung aussprechen, um unter die Grenze zu rutschen.

Ich glaube, ich gründe eine Abmahnkanzlei mit 1000 Mitarbeitern, yes!

Ernsthaft: Ist es wirklich so schwer, einen Paragrafen einzufügen, der bei einer Abmahnung dem Abgemahnten zuerst eine Nachbesserungs-Frist einräumt, und Mahngebühren nur bei Nichterfüllung (und zweimaliger Nachbesserung oder irgendwie so) erlaubt?

Sorry, das Zitat ist aus dem deutschen BDSG (neu), nicht aus der DSGVO – dort heißt es:


Sinngemäß aber das Gleiche: Es fehlt mir die Definition, was noch "persönlich" ist, und was nicht.

Sie tun es bereits. Es gibt auch schon das erste WhatsApp-Urteil im rein privaten Bereich.
Solange man auf einer privaten Website nur die eigenen „Daten“ (zu personenbezogenen Daten gehören auch Bilder) veröffentlicht, gibt es keinen Grund für irgendjemand das zu beanstanden. Ich sehe das Problem eher bei Vereinen, etc.

Also eröffne ich auch eine Abmahnkanzlei, ich habe gelesen das nur 5% der Webseiten weltweit das bis jetzt richtig umgesetzt haben. Da werden die ganzen Geier ja viel zutun haben. Ich denke wenn man sich alles genau anguckt findet man immer irgendwas was nicht passt. Ich habe das Buch gesehen genau genommen sind es zwei Bücher. Da kann doch keiner durchblicken. Bin mal auf die ersten Verfahren gespannt wie die ausgehen.

Dieser niedrige Wert liegt mM nach lediglich an dem Umstand, dass die meisten Google Analytics verwenden ohne einen Gedanken daran zu verschwenden. Ich denke eine sehr große Prozentzahl wäre safe, wenn sie den Scheiß einfach abschalten würden, denn sie erheben ansonsten keinerlei personenbezogenen Daten und brauchen sich um die DSGVO nicht kümmern.

Eine gewagte These ... und was ist mit Kontaktformularen? I.d.R. werden Name, E-Mail und sonst nochwas in der Datenbank oder einem E-Mail Postfach gespeichert ...

Da wäre ich Vorsichtig. Hier wird die Ansicht vertreten, dass du ggf. mit deinem Webhoster oder auch dem Hersteller deines WP-Plugins (wenn z.B. IP-Adressen von Besuchern der Seite verarbeitet werden) einen Auftragsverarbeitungsvertrag haben musst.

Wenn diese Auffassung vor Gericht bestand hat, bist du wieder bei 95%…

Ich habe eine Webseite wo sich meine Kunden über mein Service erkundigen können mit Preise, Daten verarbeite ich nicht, mache das auch nur als Kleingewerbetreibender.
Auch kein Newsletter. Kann mir jemand auf die Sprünge helfen was ich in etwa machen muss? Ich nutzte kein Facebook Plugin oder Google Analytics.

@Statler_RGBG
Ich ging jetzt direkt von den „neuen“ Anforderungen der DSGVO aus. Bei einem Kontaktformular, so man denn eines hat, war es wie bei einer „normalen“ E-Mail Adresse schon immer der Fall, dass man diese nur genau zu dem Zweck der Kontaktaufnahme benutzen durfte. Die Daten daraus darf man auch nicht speichern, die E-Mail selbst muss man aber speichern, wenn es eine beruflich genutzte E-Mail Adresse ist.

@rosss
Ganz ehrlich, es wird auch viel Panik gemacht. Eine IP ist nicht personenbezogen, wenn man sie nicht mit anderen Daten verknüpft. Hat man keine eigenen Tools um eine Verknüpfung herzustellen (Google Analytics hatte ich ja genannt), kann das nur der Eigentümer der IP und an diese Daten kommst Du nicht.

Das ist jetzt auch wirklich nur ein Schubs in die Richtung: Du musstest ihm schon immer deutlich sagen, was mit den Daten geschieht. Dafür gibt es Mustertexte. Gerade bei Preisen etc. bist Du ja zur Archivierung und Aufbewahrung der E-Mail gezwungen. Es gibt also eine eklatante Differenz zwischen Speicherung und Verwendung. Die Verwendung durfte der Kunde schon immer einschränken, mit der DSGVO muss er das nicht mal mehr tun, da alles verboten, was nicht ausdrücklich durch Zustimmung erlaubt. Also schreib, was Du mit den Daten vor hast und hol die Zustimmung ein. Die Zustimmung kann jederzeit widerrufen werden, auch das muss man dem Kunden sagen, er kann aber nicht auf eine Löschung der E-Mail selbst bestehen.
Einigermaßen verständlich?

Weltweit? Nur in Deutschland gibt es so ein seltsames Abwahnwesen, das meist gar nicht die Verbraucher oder den Wettbewerb schützt, sondern eben dann doch nur als Einnahmequelle genutzt wird.

Wie oft, hat so ein Gesetz einen richtigen Gedanken (unsere Daten zu schützen) und schießt leider m.E. ein wenig zu weit, denn wenn man seine eigenen Kunden nicht mal Werbung zusenden darf, dann ist doch das Dienstleister-/Kundenverhältnis gestört.

Äh, ich bin selbst Dienstleister und trotzdem möchte ich von meinen Dienstleistern keine Werbung, keine Anrufe, ... wenn ich nicht ausdrücklich darum bitte. Nichts anderes steht in der DSGVO.
Das Problem ist, dass selbst wenn ich gar keine Werbung schicke und das auch gar nicht vor habe, eine Abmahnung schon zieht, wenn ich das nicht ausdrücklich kundtue.

Echt?

Stell dir vor, einer deiner Dienstleister bietet dir etwas was. ist dir aber zu teuer. Nun gibt es eine Sommeraktion, wird billiger. Das darf dir dein Dienstleister, obwohl du in einem Vertragsverhältnis mit diesem stehst, nicht anbieten, außer du hast vorsorglich darum gebeten. Aber vielleicht hast du es vergessen. Und daher darf dich dein Dienstleister nicht darauf aufmerksam machen. Wie weltfremd.

Warum soll jemand, bei dem du gerne Kunde bist, nicht ungefragt etwas schicken? Es geht ja nicht um Firmen/Anbieter, die du nicht kennst.

Darüber müssen wir doch gar nicht einer Meinung sein, denn die DSGVO lässt ja gerade zu, dass das jeder selbst für sich entscheiden darf.
Und ja, ich informiere mich lieber selbst, auch wenn mir eventuell dabei was entgeht. Dort wo ich denke ich brauche regelmäßige Infos, lasse ich das auch zu. Ich will es nur selbst entscheiden.

Was mich in dem Zusammenhang iPhone/iCloud mal interessieren würde:
die meisten haben ja Geschäftskontakte mit Namen, Adresse und evtl. Geburtsdatum auf ihrem beruflich genutzten Handy und synchronisieren das über ihren iCloud-Account mit dem Mac.
Das stellt ja damit quasi eine "Übermittlung personenbezogener Daten in ein Drittland" dar?


(das betrifft dann natürlich auch Android-angetriebene Geräte und deren Cloud)

So ich habe mir die Frage selbst beantwortet:
1.) die Nutzung der iCloud für die Synchronisierung der Adressen stellt eine Erfassung und Verarbeitung personenbezogener Daten dar. Da der Server (vermutlich) in den USA liegt, werden die Daten damit über ein Drittland geschickt.

2.) Es dürfen Daten in ein Drittland verschickt werden, aber nur wenn es von einer EU-Kommission als ausreichend sicher hinsichtlich Datenschutz eingestuft wurde und "gelistet" ist. Siehe hier entsprechende Website der EU:
Die Liste sicherer Drittländer ist im Moment sehr kurz:
"The European Commission has so far recognised Andorra, Argentina, Canada (commercial organisations), Faroe Islands, Guernsey, Israel, Isle of Man, Jersey, New Zealand, Switzerland, Uruguay and the US (limited to the Privacy Shield framework) as providing adequate protection.
Adequacy talks are ongoing with Japan and South Korea."

3.) Für die USA gilt also, dass nur Unternehmen als "sicher" eingestuft sind, die dem "Privacy Shield Framework" angehören. Die Liste findet sich hier: Und APPLE gehört da leider nicht dazu.

Fazit: aus meiner Sicht dürfen damit die Adressdaten auf beruflich genutzten iPhones (iPads, Macs, usw.) nicht über iCloud synchronisiert werden.

Das kommt jetzt darauf an, wem Du glaubst. Laut Apple ist alles End2End-verschlüsselt und es gibt auch keine Möglichkeit seitens Apple an die Daten ranzukommen. Glaubt man das, versendest Du nur Datenmüll in die USA. Bei z.B. WhatsApp und Dropbox ist das definitiv was anderes.
Dann gab es doch noch die Meldung über Rechenzentren von Apple in der EU. Wie weit ist es damit?

So ist es, das war aber schon immer so, auch nach altem Recht.

Es ist bisher noch nicht gerichtlich geklärt worden, ob die Tatsache, dass Daten verschlüsselt an Dritte übergeben werden, ausreicht, um diesen Vorgang als zulässig anzusehen. Mit anderen Worten: Eine Weitergabe von Daten bleibt rechtlich gesehen möglicherweise eine Weitergabe von Daten, egal ob diese Daten in einem versiegelten Umschlag stecken.

Das ist schon das nächste Problem, denn die bisherige Rechtssprechung hat vorgesehen, dass Du jederzeit überprüfen können musst, ob der Dritte, der die Daten für Dich angeblich verschlüsselt speichert, dies auch tatsächlich so tut. Der Dritte müsste Dir im Zweifelsfall sogar die Möglichkeit verschaffen, dies durch ein Sicherheits-Audit vor Ort zu beweisen.

Marcel Bresink

Das heißt jetzt was genau? Ich darf die Kontakte nicht auf dem iPhone haben und per iCloud mit dem iPad und MacBook Synchronisieren?

Das ist richtig, nur wenn man das in Frage stellt, muss man auch den Anfangsbeitrag in Frage stellen. Denn dann reicht es auch nicht personenbezogene Daten auf Laptops oder Datenträgern zu verschlüsseln, dann darf man sie gar nicht mehr aus dem Atombunker rausnehmen.
Das ist an der Verordnung der größte Blödsinn. Stell Dir mal vor alle Kunden eines Hosters würden gerne mal im Rechenzentrum vorbeikommen und sich die Schutzmaßnahmen erklären lassen. Kommen noch die hinzu, die der Hoster gar nicht kennt, weil sie Kunden bei einem Kunden sind. Diese Regel ist schlicht nicht umsetzbar und wird nicht Bestand haben. Deswegen gibt es auch den Zusatz, dass man innerhalb der EU darauf vertrauen darf. Wenn Apple nun sagt, Daten liegen in der EU ...

Habe das grade gefunden zum Thema Kontakte auf dem Handy haben.

Ganz schöner scheiss. Das wird ja immer krasser.

Liebe Leute, es wird gerade darüber nachgedacht schwarzfahren nicht mehr als Straftat zu werten, damit die Gerichte entlastet werden. Es wird jetzt keine Klagewelle wegen iCloud-Nutzung kommen und wenn ist erst mal WhatsApp dran.
Die DSGVO richtet sich in erster Linie gegen das ungehemmte Datensammeln großer Konzerne.

Doch, denn dabei findet ja kein von Dir selbst eingeleiteter Vorgang der aktiven Weitergabe von Daten an Dritte statt. Die Verschlüsselung auf dem eigenen Rechner dient ja genau dem gegenteiligen Zweck, nämlich die unbeabsichtigte Weitergabe zu verhindern.

Mit Techik darf man hier auch nicht argumentieren, es geht ja um reine Rechtsfragen.


Wenn die Kontakte "aus nicht privaten Gründen" auf dem iPhone liegen und in die iCloud übertragen werden, ist das rechtlich zumindest sehr, sehr heikel. Im Detail hängt das wie gesagt davon ab, wie ein Gericht die Verschlüsselung der Daten bewertet. Aber das war nach der alten Rechtssprechung schon so, das hat mit der EU-Verordnung überhaupt nichts zu tun.

Es ist bereits kritisch, dass Du mit Apple keinen Vertrag über "Auftragsdatenverarbeitung nach §11 BDSG" abschließen kannst (in Zukunft heißt das "Auftragsverarbeitung nach Artikel 28 DSGVO"). Bei anderen Cloud-Anbietern geht das sehr wohl.

Unabhängig vom Sinn und Unsinn der DSGVO, es gibt für sämtliche Anwendungsfälle, Unternehmensformen, nach Ländern sortiert, usw. Mustertexte. Diese ellenlangen „Juristenbefriedigungsgeschichten“ kann jeder mit seinen Unternehmensdaten einmal ausfüllen und dann auf seiner Webseite, seinem Online-Shop, seinen Briefen, Rechnungen usw. zur Verfügung stellen.

Mal ehrlich diese Texte sind genauso belanglos für 99% der Menschen wie etwa die AGBs, die wir alle raketenschnell „weg-OK-en“ bei der Installation einer Software.
In Zukunft wid es einfach nur noch mehr Filter in noch mehr AdBlockern geben, die noch mehr OKs und noch mehr „Zustimmungs-blablabla“ Texte ausblenden. Hauptsache, die Abmahnindustrie kann jedes Komma in den Mustertexten überprüfen und eben bei „Verstössen“ ihrem Geschäftszweck nachkommen.

PS: Wie schön, dass ich in Österreich lebe, wo Massenabmahnungen aus purem Geschäftszweck verboten sind

Nein, was ich glaube ist eher nicht relevant. Wenn du die Argumentationskette bzw. die Texte der von mir oben genannten 3 Links durcharbeitest, ist relativ klar, was gilt.
So wie Marcel Bresink sagt, auch nicht erst seit heute. Aber ich habe mich eben erst heute mal damit beschäftigt.
Unabhängig davon gibt es natürlich noch das echte Leben, und in diesem muss Dich erstmal jemand gezielt darauf ansprechen, ob du geschäftlich genutzte Adressdaten (also personenbezogene Daten) in ein nichtzulässiges Drittland übermittelst.
Und zurück zum Post mit der Sicherheit von Festplatten: solange diese keine personenbezogenen Daten beinhalten, und nur auf diese bezieht sich die DSGVO, sehe ich kein Vergehen darin, diese nicht hinreichend zu sichern. Abgesehen vom Eigeninteresse, dass mir niemand meine Projekte klauen soll, natürlich. Bzw. anderen Geheimhaltungspflichten, die aber wiederum nichts mit der DSGVO zu tun haben.