Follow

@ulrichkelber Nachdem ich auf keiner der Seiten der LDSB oder ähnlichem Informationen dazu finden konnte: Wenn man als DSB zu dem Schluss kommt, dass für einen Vorgang keine geeigneten technischen Maßnahmen getroffen wurden um Daten zu schützen, der Chef sich aber weigert diese Mängel abzustellen, handelt es sich dann bereits um einen Verstoß gemäß Artikel 33? Bzw. besteht eine anderweitige Meldepflicht an die zuständige Datenschutzbehörde? (Gerade auch bei Gesundheitsdaten oder ähnlichem)

@sheogorath Wir hatten solche Fälle schon: Passwörter liegen im Klartext vor und können von Mitarbeitern eingesehen werden -> Verstoß. Nichtverwendung 2FA -> bisher noch in keinem Fall als Verstoß gewertet (leider), wenn ich das richtig sehe. Also: Abwägen

@ulrichkelber @sheogorath Ich sehe diese Einschätzung aber auch als sinnvoll an. 2FA verpflichtend einzusetzen schafft zwar für Angreifer i.d.R. größere Hürden. Aber wenn ich einfach ein sicheres, langes Passwort habe, das weder ausgelesen, noch korrekt übertragen wird, bin ich damit sicherer. Siehe auch z.B. das Orbit Doxing, wo die Twitter 2FA umgangen werden konnte. Solange die Leute das gescheit umsetzen sehe ich keine Notwendigkeit für 2FA.

@yolo @sheogorath 2FA soll sicheres Passwort nicht ersetzen, sondern ergänzen.

@ulrichkelber @sheogorath ja, aber es als Verstoß zu sehen halte ich für nicht sinnvoll. Es ist nicht fahrlässig Passwortauthentifizierung zu nutzen.

@ulrichkelber @sheogorath also natürlich vorausgesetzt, dass die Passwortauthentifizierung sicher umgesetzt ist.

@ulrichkelber @sheogorath in der Frage steckt ja auch die simple Meinungsverschiedenheit - also falls es mal nicht so eindeutig ist. Gibts bei sowas eine "Schlichtungsstelle" o.ä.?

Sign in to participate in the conversation
Sheogorath's Microblog

This is my personal microblog. It's filled with my fun, joy and silliness.