[linux-l] Rechenzentren - Ort fuer Verarbeitung und Speicherung von nicht personenbezogenen Daten

[Peter Ross]

Hallo allerseits,

Danke fuer die Rueckmeldungen. Ich habe auch die englische Variante gefunden.

Wenn mich nicht alles taeuscht, kann es nur Probleme geben, wenn es sich um 
schuetzenswerte personenbezogene Daten handelt, und darauf hinzuweisen, ist 
erst einmal Sache unseres Kunden.

Das koennten wohl z.B. Adressen sein, wenn die als Teil von Rechnungen oder 
Bestellungen ueber unseren Disch.. unsere Rechner gehen.

Klar, dass wir die Daten dem Stand der Technik angemessen schuetzen muessen, 
das muss aber jede andere EU-Firma auch.

Schwieriger wird es mit der Ausnahme, dass man nur entsprechend EU- oder 
EU-Landes-Gesetzgebung anderen Zugriff erlauben darf.

Nun ja, ich muss hier rein theoretisch auch der australischen Polizei Daten 
rausruecken, wenn die mich fragen (Nach dem Anti-Terror-Gesetz von 2005).

Dabei wuerde es aber auch gar keine Rolle spielen, wo die Daten denn liegen, in 
der EU oder hier..

Momentan nutzen wir Server bei IBM Softlayer in Paris, da ein (abgesprungener) 
franzoesischer Kunde darauf bestand, die Daten in Frankreich zu lassen.

Lustigerweise habe ich festgestellt, dass diese amerikanische Firma auch Daten 
rausruecken muesste, wenn US-amerikanische Behoerden das verlangen, seit dem 
Patriot Act.

Davon abgesehen, habe ich das Gefuehl, die einzige Chance, ueberhaupt in der EU 
Auftraege zu bekommen, liegt darin, eine Firma in der EU zu gruenden und die 
Daten in der EU zu lassen.

Diese europaeische Firma gibt es tatsaechlich, wir haben legale Entitaeten 
ueberall, wo wie sind, so z.B. auch in den Niederlanden.

Ob ich als "australischer" Admin darauf gucken darf? Und mein Kollege aus 
Malaysia? Keine Ahnung.

Andererseits: Hier sind die Haelfte aller Call centres in den Philippinen oder 
Indien. Ist das nicht auch in Deutschland oft so?

Wenn ich das richtig sehe, duerfte es in der EU gar keine call centres 
ausserhalb der EU geben.

Irgendwie scheinen mir nach dem Lesen der Gesetgebung Theorie und praxis nicht 
uebereinstimmen. In der Theorie gibt es zwischen beiden keinen Unterschied;-)

Wie sieht es bei Euch in Deutschland denn aus? Bleiben alle brav mit ihren 
Daten in der EU?

Ein schoenes Wochenende wuenscht
Peter

On Thu, 14 Dec 2017, Thomas Kaepernick wrote:

> Hallo Peter,
> Hier findest du etwas zur EU-Datenschutzgrundverordnung (tritt ab nächstes 
> Jahr in Kraft)
> https://www.datenschutz-grundverordnung.eu/
> 
> Da EU-Recht gibt's den Text irgendwo auf Englisch. Finde ich aber nicht auf 
> die Schnelle.
> Wegen der EU-Verordnung wird das Bundesdatenschutzgesetz (BDSG) neu gefasst. 
> Die Neufassung findest Du auch hier
> https://www.datenschutz-grundverordnung.eu/inhaltsverzeichnis-regelungen-des-bdsg-neubdsg-neu/
> 
> Für deutsche Gesetze ist die Ressource www.gesetze-im-internet.de
> gut. Sie im Auftrag der Bundesregierung betrieben.
> 
> Viele Grüße
> 
> Thomas Kaepernick
> 
> Am 14. Dezember 2017 10:26:40 MEZ schrieb Frank Reker <frank at reker.net>:
>> Hallo Peter,
>> 
>> (ich bin kein Rechtsexperte, von daher alles ohne gewaer).
>> 
>> Am Thu 14. Dec 2017 15:38 +1100 schrieb Peter Ross:
>> 
>>> meine australische Firma plant gerade ihre praesenz in der EU.
>>> Wir verarbeiten nicht personenbezogene Geschaeftsdaten.
>>> Die Frage ist, in wie fern es in der EU noetig ist, Daten lokal zu
>> verwalten.
>> 
>> Personenebezogene Daten (dazu zaehlen auch solche, die einen
>> indirekten Rueckschluss auf die Person erlauben) muessen gemaess den
>> EU-Datenschutzbestimmungen gehandhabt werden, egal ob in EU oder
>> ausserhalb. Wenn allerdings australische Gesetze diesen
>> Datenschutzbestimmungen widersprechen, dann duerfen diese Daten
>> nicht nach Australien exportiert werden, dort gespeichert oder
>> weiterverarbeitet werden.
>> 
>> Zwischen den USA und EU gibt es daher ein sogenannten Safe Harbour
>> Abkommen (das Trump allerdings abschaffen moechte).
>> Wie das mit AU aussieht - keine Ahnung.
>> 
>> Werden diese Daten ueber unsichere Drittlaender transportiert
>> (was ja zwischen EU und AU kaum auszuschliessen ist),
>> solte ggfs. ein VPN installiert werden!
>> 
>> 
>> 
>> Eine Datenlokalitaet ist AFAIK nur fuer Geschaeftsdaten vorgeschrieben.
>> Also wenn dein Unternehmen einen Sitz z.B. in DE hat, dann muessen alle
>> Geschaeftsrelevanten Vorgaenge (Rechnungen, Angebote, Geschaeftsbriefe,
>> ...)
>> fuer 10 (bzw. 6) Jahre aufbewahrt werden - und das in DE!
>> Werden diese Daten digital gespeichert, dann muss zudem eine
>> Revisionssicherheit
>> gegeben sein (also sichergestellt sein, dass nachtraeglich keine
>> Vorgaenge
>> manipuliert oder aus dem Archiv entfernt werden koennen).
>> Aehnliche Gesetze gibt es auch in anderen EU-Laendern (z.B. in
>> Italien).
>> 
>> Darueber hinaus waere mir nicht bekannt das Daten nicht aus
>> EU exportiert werden duerften.
>> 
>> 
>>> Mal ganz grob gesagt, wir haben drei Stufen (Ein-/Ausgabe,
>> Verarbeitung und
>>> Datenspeicherung). Welche muessen davon in der EU lokal vorgehalten
>> werden?
>>> Ist es z.B. erlaubt, Daten lokal zu erfassen, zu versenden und zu
>> speichern,
>>> aber in Australien zu verarbeiten?
>> 
>> Solange dadurch nicht die EU Datenschutzbestimmungen umgangen werden,
>> sehe ich da kein Problem.
>> 
>> 
>> 
>> 
>> 
>> --
>> Don't worry be happy ...
>> Ciao Frank Reker
>> 
>> _______________________________________________
>> linux-l mailing list
>> linux-l at mlists.in-berlin.de
>> Die Mailingliste der BeLUG (Berliner Linux User Group)
>> 
>> Wenn du diese Mailingliste  abbestellen willst, gehe bitte auf
>> https://mlists.in-berlin.de/mailman/listinfo/linux-l-mlists.in-berlin.de
>> und trage dich dort bitte aus
> 
> --
> Mit freundlichem Gruß
> 
> Thomas Kaepernick
> _______________________________________________
> linux-l mailing list
> linux-l at mlists.in-berlin.de
> Die Mailingliste der BeLUG (Berliner Linux User Group)
> 
> Wenn du diese Mailingliste  abbestellen willst, gehe bitte auf
> https://mlists.in-berlin.de/mailman/listinfo/linux-l-mlists.in-berlin.de
> und trage dich dort bitte aus