Um das ganze mal für die nicht fachkundigen zu übersetzen mit einer Analogie.
Die Firma hat quasi die schützenswerten Daten ihrer Kunden in einer Art und Weise übertragen die man im echten Leben etwa mit einer großen Fernsehwand auf einer Seite einer öffentlichen Straße und einer Person die das auf der anderen Seite der Straße abtippt vergleichen kann. Und jetzt wollen sie denjenigen verklagen der dort die Straße entlang gefahren ist und das bemerkt hat und dann angehalten hat, bei ihnen geklingelt hat und darauf hingewiesen hat dass sie das besser unterlassen sollten. Und die Staatsanwaltschaft stimmt der Firma da scheinbar auch noch zu und hat erstmal sein Auto beschlagnahmt (also Geräte die bei dem Vorfall zum Einsatz kamen aber eigentlich sehr wenig mit der Sache zu tun haben).
Hab ich noch was vergessen?
Ist leider nicht selten. Ich geh inzwischen mehr in Richtung so Zeug anonym zu melden - auch ueber den Datenschutzbeauftragten von Firmen oder Behoerden zu gehen die sowas einsetzen zu gehen ist nicht zwingend eine gute Idee. Bei mir wurde letztes Jahr eine derartige Mail von mir ungefragt an den Hersteller weitergeleitet - ohne meine Daten zu entfernen. Wegen irgendwelchem Chancengleichheitsbloedsinn enthaelt die DSVGO (und GDPR als EU-Norm) Klauseln dass der dafuer Zustaendige keine Sachkenntnisse vorweisen muss - damit passiert dann halt staendig sowas.
Ich erwarte inzwischen innerhalb 24h eine Antwort mit Bestaetigung und grobem Zeitrahmen, sonst wird veroeffentlicht. Firmen die mir in der Vergangenheit schon doof gekommen sind bekommen einen Link nach Veroeffentlichung zugeschickt.
Wegen irgendwelchem Chancengleichheitsbloedsinn enthaelt die DSVGO (und GDPR als EU-Norm) Klauseln dass der dafuer Zustaendige keine Sachkenntnisse vorweisen muss
Welche Klauseln sind das denn?
Les dir den Teil zum Benennen eines data protection officers durch. Da steht was komplett unbelastbares von wegen man solle das nach “professionellen Eigenschaften” und vor allem tiefergehendem Verstaendnis der Gesetzgebung und von Ablaeufen rund im Datenschutz aussuchen - in der Praxis macht das dann halt in den Unternehmen mit denen ich zu tun habe weil die das nicht hinbekommen irgendjemand aus HR oder einer Adminposition mit damit sie das im Lebenslauf haben. Bei Verstoessen muss man denen dann halt erstmal erklaeren wie deren Produkt funktioniert, und wieso das jetzt ein Problem ist - waehrend eine kompetente Person an der Stelle dafuer gesorgt haette dass das so nicht eingefuehrt wird.
Wie stehst du zur
security.txt
? Spielt das für dich eine Rolle? Ist darauf verlass?Ich mach das nicht mehr als nennenswerter Teil meines normalen Jobs - das ist nur Zeug wo ich zufaellig drueberstolpere weil ich naeher draufschaue weil was wie ne Sammlung von Anfaengerfehlern aussieht - Firmen die sowas bauen oder Behoerden die sowas dann kaufen ohne das zu sehen haben auch nicht die Weitsicht sowas wie eine security.txt abzulegen, solange das nicht eindeutig im Pflichtenheft steht.