Follow

@ulrichkelber Nachdem ich auf keiner der Seiten der LDSB oder √§hnlichem Informationen dazu finden konnte: Wenn man als DSB zu dem Schluss kommt, dass f√ľr einen Vorgang keine geeigneten technischen Ma√ünahmen getroffen wurden um Daten zu sch√ľtzen, der Chef sich aber weigert diese M√§ngel abzustellen, handelt es sich dann bereits um einen Versto√ü gem√§√ü Artikel 33? Bzw. besteht eine anderweitige Meldepflicht an die zust√§ndige Datenschutzbeh√∂rde? (Gerade auch bei Gesundheitsdaten oder √§hnlichem)

· 1 · 0 · 1

@sheogorath Wir hatten solche Fälle schon: Passwörter liegen im Klartext vor und können von Mitarbeitern eingesehen werden -> Verstoß. Nichtverwendung 2FA -> bisher noch in keinem Fall als Verstoß gewertet (leider), wenn ich das richtig sehe. Also: Abwägen

@ulrichkelber @sheogorath Ich sehe diese Einsch√§tzung aber auch als sinnvoll an. 2FA verpflichtend einzusetzen schafft zwar f√ľr Angreifer i.d.R. gr√∂√üere H√ľrden. Aber wenn ich einfach ein sicheres, langes Passwort habe, das weder ausgelesen, noch korrekt √ľbertragen wird, bin ich damit sicherer. Siehe auch z.B. das Orbit Doxing, wo die Twitter 2FA umgangen werden konnte. Solange die Leute das gescheit umsetzen sehe ich keine Notwendigkeit f√ľr 2FA.

@yolo @sheogorath 2FA soll sicheres Passwort nicht ersetzen, sondern ergänzen.

@ulrichkelber @sheogorath ja, aber es als Versto√ü zu sehen halte ich f√ľr nicht sinnvoll. Es ist nicht fahrl√§ssig Passwortauthentifizierung zu nutzen.

@ulrichkelber @sheogorath also nat√ľrlich vorausgesetzt, dass die Passwortauthentifizierung sicher umgesetzt ist.

@ulrichkelber @sheogorath in der Frage steckt ja auch die simple Meinungsverschiedenheit - also falls es mal nicht so eindeutig ist. Gibts bei sowas eine "Schlichtungsstelle" o.ä.?

Sign in to participate in the conversation
Sheogorath's Microblog

This instance is the microblog to my blog. You'll probably find more recent content here while finding more elaborated content on the blog. Impressum / Datenschutz / Privacy