Kategorien personenbezogener Daten

Es gibt verschiedene Kategorien der personenbezogenen Daten.

Die Verarbeitung dieser besonderer Kategorien personenbezogener Daten ist an bestimmte Voraussetzungen geknüpft.

Bekanntes aus dem BDSG-alt findet sich auch in der Datenschutz-Grundverordnung (DSGVO) wieder. Ab dem 25.05.2018 bringt Artikel 9 DSGVO auch einige Neuerungen mit sich.

 

Besondere Kategorien personenbezogener Daten

Die besonderen Kategorien personenbezogener Daten sind bisher als besondere Arten personenbezogener Daten bekannt und in § 3 Abs. 9 BDSG-alt definiert. Danach gehören zu den besonderen Arten personenbezogener Daten Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.

Die besonderen Kategorien personenbezogener Daten nach der DSGVO entsprechen weitestgehend denen aus dem BDSG-alt. Eine Auflistung der besonderen Kategorien personenbezogener Daten findet sich in Art. 9 DSGVO. Einige der Kategorien werden darüber hinaus in Art. 4 DSGVO ausführlich definiert (genetische Daten, biometrische Daten und Gesundheitsdaten). Im Vergleich zum BDSG-alt sind letztendlich nur die biometrischen Daten und die genetischen Daten wirklich neu hinzugekommen, wobei letztere nach dem BDSG-alt in der Regel unter die Gesundheitsdaten fallen.

 

Genetische Daten:

Die Definition des Begriffs „genetische Daten“ findet sich in Art. 4 Nr. 13 DSGVO.

Genetische Daten sind demnach personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden.

Demnach fallen beispielsweise DNA-Analysen, RNS-Analysen und ähnliche unter Art. 9 DSGVO.

 

Biometrische Daten

Die Definition des Begriffs der „biometrischen Daten“ ist in Art. 4 Nr. 14 DSGVO definiert.

Biometrische Daten sind mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten.

Darunter fallen beispielsweise der Fingerabdruck eines Menschen (z.B. zur Entsperrung des Smartphones), Stimmen- oder Iriserkennungen. Auch Passbilder/Lichtbilder können unter die biometrischen Daten fallen.

In dem Erwägungsgrund 51 zu der Datenschutz-Grundverordnung wird zur Verarbeitung von Lichtbildern jedoch einschränkend Stellung genommen. Dort heißt es, dass die Verarbeitung von Lichtbildern nicht grundsätzlich als Verarbeitung besonderer Kategorien von personenbezogenen Daten angesehen werden sollte, da Lichtbilder nur dann von der Definition des Begriffs „biometrische Daten“ erfasst werden, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen. Demnach stellt der Abgleich eines Fotos mit einer Gesichtserkennungssoftware eine Verarbeitung besonderer Kategorien personenbezogener Daten dar, nicht jedoch die Kontrolle eines mit einem Portrait versehenen Mitarbeiterausweises durch bloße Inaugenscheinnahme.

 

Qualifizierung als besondere Kategorie personenbezogener Daten

Wie findet diese Klassifizierung eigentlich statt?

Wie bisher werden auch künftig besondere Kategorien personenbezogener Daten bestimmt, die eines speziellen Schutzes bedürfen. Zu den bislang im Bundesdatenschutzgesetz genannten Kategorien – Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit (vgl. Art. 4 Nr. 15 DS-GVO, ErwGr. 35) oder Sexualleben – treten in Art. 9 DS-GVO nun auch genetische Angaben sowie biometrische Daten (Art. 4 Nr. 13 DS-GVO, ErwGr. 34; Art. 4 Nr. 14 DS-GVO, ErwGr. 51) zur eindeutigen Identifizierung einer Person. Wurden bisher auch philosophische Überzeugungen als besonders schutzbedürftig klassifiziert, fällt diese Kategorie jetzt unter den Begriff der „weltanschaulichen“ Überzeugungen, ohne dass damit inhaltliche Änderungen verbunden wären.

Besonders schutzbedürftig sind alle Angaben, die direkt oder indirekt Informationen zu den in Art. 9 DS-GVO angegebenen Datenkategorien vermitteln (z. B. Einnahme von Medikamenten, körperliche oder geistige Verfassung, regelmäßiger Besuch einer bestimmten Kirche). Andererseits wird auch künftig nicht jede mittelbare Angabe zu den besonderen Kategorien personenbezogener Daten die Anwendung der speziellen (strengen) Verarbeitungsbestimmungen nach sich ziehen – z. B. ist bloßer Alkoholkonsum im Gegensatz zu einer Alkoholabhängigkeit kein Gesundheitsdatum, der rein geographische Geburtsort keine Angabe über die rassische oder ethnische Herkunft und der einmalige Besuch eines Sakralbaus enthält keine Aussage über eine religiöse Überzeugung. Schwieriger ist die Einordnung von Lichtbildern (Passbildern). Sie sind erst dann als biometrisches Datum zu qualifizieren, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen (ErwGr. 51). Die Eignung von Lichtbildern zur Identifizierung im Wege biometrischer Analyseverfahren ist bei der Risikoabschätzung und der Auswahl der technischen und organisatorischen Maßnahmen zu berücksichtigen.

 

Microsoft Dynamics 365 Business Central (ehemals Dynamics NAV, ehemals NAVISION)

Microsoft Dynamics NAV wird Dynamics Business Central

 

Microsoft hat in den nächsten Jahren großes vor mit der ERP-Lösung Microsoft Dynamics NAV – jedoch muss sich die Business-Welt erneut an einen neuen Namen gewöhnen.

Microsoft Dynamics NAV ist die führende ERP-Software für den Mittelstand zum Management aller Unternehmensprozesse wie Finanzmanagement, Einkauf, Verkauf, Lager und Logistik oder auch Fertigung und Servicemanagement. Nun hat Microsoft das Geheimnis um den neuen Namen für seine Business-Software, die in den letzten Monaten unter dem Codenamen „Dynamics 365 Tenerife“ angekündigt wurde, gelüftet: „Microsoft Dynamics 365 Business Central“.

 

Alle Funktionen von Microsoft Dynamics NAV in der Cloud

Der neue Name gilt für die Cloud/SaaS-Version von Dynamics NAV. Dabei handelt es sich um eine reine Software-as-a-Service Anwendung: Hosting in der Microsoft Cloud, automatische Updates sowie die Erweiterbarkeit über einen App-Store (Microsoft AppSource). Diese neue Version bildet den kompletten Funktionsumfang der bekannten Versionen von Dynamics NAV ab und wird ab 59,00 € pro User bei allen Microsoft ERP-Partnern erhältlich sein.

In der Pro Version 89,00 € pro Monat.

 

Auch die „On-Premise“-Variante nimmt den neuen Namen an

Die klassische „On-Premise“-Version der Unternehmenssoftware wird in diesem Jahr ein letztes Mal unter dem Namen „Microsoft Dynamics NAV 2018 R2“ veröffentlicht. In dieser Variante kann Dynamics NAV auf eigenen Servern betrieben und durch individuelle Programmierung erweitert werden. Microsoft bestätigt seine Strategie beide Versionen (SaaS und On-Premise) in den nächsten Jahren auf dem gleichen Codestand weiterzuentwickeln. Spätestens ab 2019 wird jedoch auch die „On-Premise“-Version unter dem neuen Namen „Microsoft Dynamics 365 Business Central“ vertrieben.
 

 

Produkthistorie:

 

1995: Navision Financials

2002: Navision Attain

Microsoft übernimmt die ERP-Software Navision Attain von Damgard

2003: Microsoft Business Solutions Navision

2008: Microsoft Dynamics NAV

2016: Microsoft Dynamics 365 for Financials (Nur Cloud/SaaS-Version)

2017: Microsoft Dynamics 365 for Finance & Operations, Business Edition (Nur Cloud/SaaS-Version)

2018: Microsoft Dynamics 365 Business Central

 

 

 

Azure-Cloud und Office 365 in der T-Systems Cloud – DSGVO Konform?

Insgesamt ist die Azure-Cloud gehosted von der T-Systems schon sehr gut, aber immer noch nicht ganz DSGVO Konform.

In diesem Heise Artikel von 27.08.2018 hat ein EDV-Spezialist die Microsoft Azure Cloud im T-Systems Rechenzentrum näher unter die Lupe genommen.

https://www.heise.de/ix/heft/Glauben-statt-wissen-4140402.html

Auch wenn diese Variante die DSGVO schon sehr gut umsetzt ist sie auch nicht frei von Datenkommunikation nach Amerika.

Was und welche Daten Microsoft nun genau erhält und ob und wie sie diese Auswerten können wir nicht sagen, aber Daten fliessen aus Europa hinaus und daher ist diese sicherste Varainte von Office 365 in der Azure Cloud der T-Systema uch noch nicht perfekt. Aber der richtige Schritt in die wichtige richtige Richtung.

Weiter so Microsoft/Telekom.

 

Mit Word-Press einfach Datenschutz konform werden

Sie nutzen Word-Press zur Gestaltung bzw. Verwaltung ihrer Homepage.

Bleiben Sie einfach Datenschutzkonform.

 

Generell sollten Sie immer die aktuelle Version von Word-Press verwenden um Sicherheitslücken vorzubeugen.

In Word-Press gibt es jetzt unter Einstellungen den unkt Datenschutz.

Hier können Sie die Entsprechenden Einstellungen zum Datenschutz vornehmen um ihre Webseite Datenschutz-Konform zu gestallten.

Ein interessanter Artikel dazu finden Sie auf heise.de

Quelle: https://www.heise.de/ix/meldung/DSGVO-Checkliste-WordPress-datenschutzkonform-einsetzen-4138135.html

 

Microsoft Dynamics 365 Business Central

Microsoft Dynamics 365 Business Central

Das standardisierte von anpassungsfähige Microsoft ERP System aus der Cloud auf der Basis von dem erfolgreichen Dynamics NAV (ehemals NAVISION).

Dynamics 365 Business Central besitzt den vollen Funktions­umfang  wie Dynamics NAV (Finanzmanagement, Vertrieb, Kundenservice, Personal-, Projekt- und Supply-Chain-Management, Service-Order-Manage­ment und Fertigung), der nur eben über die Cloud verfügbar ist.

https://dynamics.microsoft.com/de-de/

Die Lösung ist komplett aus der Cloud sowie Complet über Extensions V2 mit Viso Studio Code mit der neuen Programmiersprache AL anpassbar. Damit sichert sich der Endkunde eine ERP Software die automatisch gewartet und gepachted wird, von allen Updates des Herstellers automatisch ohne Zusatzkosten profitiert und zusätzlich noch individuell anpassbar ist.

Die eigen­ständige Komplett­lösung verknüpft hierbei Geschäfts­vorgänge und gestaltet Unternehmens­prozesse durch automatisierte Work­flows und Auf­gaben durch die Inte­gration mit anderen Microsoft Cloud-Diensten, zum Beispiel mit Office 365, effizienter.
Weiterhin lässt sich Dynamics 365 Business Central über An­wendungen wie Microsoft Flow, PowerApps und Power BI leicht an individuelle An­forderungen von Unter­nehmen jeder Größe und Branche anpassen.
Für einen besseren Überblick und mehr Produktivität wurde Business Central zudem mit einer neuen modernen Benutzer­oberfläche ausgestattet.

Die cloudbasierte All-in-One-Unternehmens­management­lösung ist in zwei unter­schiedlichen Preis­paketen verfügbar:

Dynamics 365 Business Central „Essential“

Beinhalte Module wie Finanzmanagement, Vertrieb, Kundenservice, Personal-, Projekt- und Supply-Chain-Management

Preis:  59,03 pro Benutzer pro Monat

Quelle: https://dynamics.microsoft.com/de-de/business-central/overview/#pricing

Dynamics 365 Business Central „Premium“

Beinhaltet neben allen „Essential“-Modulen zusätzlich Module für Service-Order-Manage­ment und Fertigung.

Preis: 84,33 € pro Benutzer pro Monat

Quelle: https://dynamics.microsoft.com/de-de/business-central/overview/#pricing

 

Quelle: https://dynamics.microsoft.com/de-de/pricing/

 

Sprachassistenten und Datenschutz

Sprachassistenten im betrieblichen Datenschutz

Im geschäftlichen Umfeld sind Alexa, Cortana, Siri und Co kaum ein Thema. Noch haben Amazon (Alexa), Google, Apple (Siri) und Microsoft (Cortana) fast momentan hauptsächlich private Anwender im Visier. Dementsprechend gelangen die Sprachassistenten überwiegend im privaten Bereich zum Einsatz. Allerdings führt die Verbreitung alltäglicher privater Technologien in der Regel schnell dazu das dieses auch für betriebliche Einsatzzwecke denkbar wie nützlich sind.

Wenn Unternehmen entsprechende Systeme einsetzen, muss dies nicht zwingend einen Datenschutzverstoß bedeuten. Im Mittelpunkt des betrieblichen Datenschutzes stehen nämlich personenbezogene Daten. Sofern ausgeschlossen ist, dass Daten mit Personenbezug mittels Alexa, Cortana etc. übertragen werden ist eine Nutzung durchaus möglich.

Hier liegt aber auch zum Teil das Problem. Kann wirklich ausgeschlossen werden das persönliche Daten genannt werden, und somit vermieden werden, dass diese `zu den Cloudanbietern (häufig mit Rechenzentren im Ausland)übertragen werden?

Solche Daten werden von Alexa und Co erfasst und zum jeweiligen Cloudrechenzentrum übermittelt. Erfassung und Verarbeitung personenbezogener Daten müssen auf Basis konkreter Zwecke erfolgen und zugleich hat die Zustimmung der Betroffenen vorzuliegen. Digitale Sprachassistenten können „mithören“, dürfen die Daten mit Personenbezug aber nicht erfassen. Zudem werden die Daten womöglich auf Server in Drittstaaten (z.B. den USA) übermittelt, was die Situation zusätzlich erschwert.

Angesichts solcher Risiken sollten Unternehmen in jedem Fall prüfen, ob die Nutzung digitaler Sprachassistenten in ihrem Fall wirklich zulässig ist.

Es droht der Verlust der Privatsphäre, wobei dies im privaten Umfeld ja durchaus gewünscht sein kann, im betrieblichen Umfeld sollten wir jedoch im Vorfeld überprüfen ob und wie wir Sprachassistenten einsetzen können.

 

Amazon Alexa

Datenschutzerklärung: https://www.amazon.de/gp/help/customer/display.html?nodeId=201909010

Nutzungsbedingungen: https://www.amazon.de/gp/help/customer/display.html/ref=footer_cou?ie=UTF8&nodeId=505048

Nutzungsbedingungen zu Alexa: https://www.amazon.de/gp/help/customer/display.html?nodeId=201809740

 

Google Assistant

Datenschutzerklärung: https://www.google.de/intl/de/policies/privacy/

 

Apple – Siri

Datenschutz bei Apple: https://www.apple.com/de/privacy/approach-to-privacy/

 

Interessanter Artikel zu Apple HomePod und Siri

https://www.homeandsmart.de/datenschutz-apple-siri

 

Microsoft Cortana (Windows 10)

Datenschutz: https://privacy.microsoft.com/de-de/windows-10-cortana-and-privacy

 

 

Rechts- und datenschutzkonfrome Werbung/E-Mail Marketing

Die Grundlage für rechts- und datenschutzkonformes Werbung (Beispiel E-Mail Marketing) unterschiedliche Gesetze beachtet werden:

  • die Datenschutz-Grundverordnung (DSGVO),
  • das neue Bundesdatenschutzgesetz (BDSG),
  • das Telemediengesetz (TMG)
  • und das Gesetz gegen den unlauteren Wettbewerb (UWG).

E-Mail Marketing/Werbung usw. sind keinesfalls verboten, sie sollten sich nur an die rechtlichen Rahmenbedingungen halten um möglichen Abmahnungen vorzubeugen.

 

Möchten sie Newsletter-Datenschutz korrekt umzusetzen beachten sie bitte folgendes 

Die Anforderungen der Datenschutz-Grundverordnung (DSGVO) sowie des  Bundesdatenschutzgesetzes (BDSG) sollten erfüllt sein

 

1. Kontrollieren sie ihren E-Mail Marketing Dienstleisters, stellen Sie Fragen, welche Daten er von ihren Kunden erhebt und wie er mit diesen Daten arbeitet.

2. Schließen Sie mit dem Dienstleister einen Auftragsdatenverarbeitungsvertrag.
Achten sie darauf einen Anbieter zu nehmen der DSGVO konform arbeitet. Hinweis:
Die Daten ihrer Kunden sollten nicht im Ausland gespeichert werden, auch wenn es große und mächtige global Player gibt sind ihre Daten in der USA wegen dem Patriot Act, sowie den erweiterten dem Cloud Act nicht unbedingt DSGVO konform aufbewahrt. Durch diese Gesetze behält sich die Regierung der Vereinigten Staaten den Zugriff auf die Daten Amerikanischer Firmen vor. Microsoft hatte sich vor wenigen Jahren erfolgreich dagegen gewehrt der Regierung der USA den Zugriff auf ihre Irischen Server zu erlauben. Deshalb hat die USA ergänzend zum Patriot Act ein neues Gesetz erlassen, den Cloud-Act der nun den Zugriff auf Server des amerikanischen Firma sicherstellt. Aktuell gibt es übrigens für Office 365 den Anbieter T-Systems der tatsächlich die Daten DSGVO Konform in Deutschland aufbewahrt.

3. Der Newsletter sollte in ihre Datenschutz-Erklärung mit aufgenommen werden. Ihre Datenschutz-Erklärung sollte auf ihrer Unternehmenswebseite nach dem Aufruf im Internet über einen Klick einsehbar sein.

4. Der Anmeldeprozess zum Newsletter sollte über ein sogenanntes Double-Opt-In Verfahren erfolgen. Damit ist gemeint der Interessent/Kunde muss aktiv eine Frage beantworten, seine Einwilligung geben, indem er z.B. eine Checkbox aktiv aktiviert und dann das Formular als Antwort zurück sendet.
Hinweis:
Die aktuelle Rechtslage sieht in Deutschland ein sogenanntes Double-Opt-In-(DOI) Anmeldeverfahren vor. Das bedeutet, dass ein Empfänger bei der Anmeldung zum Newsletter eine Bestätigungsmail mit einem Bestätigungslink bekommt, bevor er aktiv in dem Newsletter-Verteiler aufgenommen ist. Erst wenn der Empfänger nun auch den Bestätigungslink in der Bestätigungsmail geklickt hat, ist er aktiv in den Verteiler aufgenommen. Dies stellt sicher, dass fremde Personen oder zufällige E-Mail-Adressen nicht wahllos bei Newslettern angemeldet werden können. Mit dem Double-Opt-In-Verfahren können Sie der aktuellen Rechtslage einer „ausdrücklichen Einwilligung“ bei der Newsletter-Anmeldung gerecht werden.

5. Führen Sie einen Nachweis des Double-Opt-In Verfahren, falls sie einer Datenschutzprüfung unterliegen ist es nötig den Nachweis zu erbringen, dass wir sauber das Double-Opt-In Verfahren verwendet haben. Für den Nachweis sollten wir uns das Datum und die Uhrzeit der aktiven Anmeldung speichern.

6. Sie sollten nur die E-Mail Adresse als Pflichtpfeld bei der Newsletter-Anmeldung hinterlegen. Vorname- und Nachname z.B. sind personenbezogene Daten. Gerne dürfen ihre Kunden diese Informationen freiwillig ergänzen, sie dürfen diese Informationen aber nicht für eine Registrierung am Newsletter System zwingend voraussetzen.

7. Werbefreue DIU-E-Mails
Die sogenannten DOI-E-Mails (die Bestätigungsmails bei der Newsletter-Anmeldung) erfreuen sich in der Regel sehr hoher Öffnungsraten (> 80%). Damit werden sie automatisch attraktiv für das Einbinden von werblichen Inhalten, wie zum Beispiel Gutscheinen, Produktangeboten und Ähnlichem. Dies ist jedoch nicht erlaubt, da der Nutzer zu diesem Zeitpunkt noch nicht dem Erhalt von Werbung zugestimmt hat. Richterliche Urteile haben festgesetzt, dass höchstens das Unternehmenslogo in der DOI-Mail angezeigt werden darf (natürlich neben dem üblichen Text und Call-To-Action zur Newsletter-Anmeldung).

8. Erfüllung der rechtlichen Vorschriften beim Newsletter-Versand Abmeldelink:
Sie müssen einen Abmeldlink leicht innerhalb des Newsletter zugänglich machen, z.B. am Ende des Dokuments als Hyperlink.

9. Erfüllung der rechtlichen Vorschriften Impressum:
Ihr Impressum sollte im Newsletter immer mit aufgeführt werden, Optional können Sie auch ihren Datenschutzbeauftragten ausweisen.

 

Beachten Sie den Grundsatz „Ich verschicke nur, was ich selbst gut finde“ um rechtliche Beschwerden und Abmahnungen vorzubeugen.

 

 

CLOUD Act & die DSGVO

Gemäß dem Patriot Act von 2001 müssen US-Unternehmen personenbezogene Daten auf Verlangen von US-Behörden herausgeben – allerdings nur, wenn die Daten in den USA liegen.

Mit dem CLOUD Act stellt die Regierung der USA nun auch den Zugriff auf ausländische Server sicher.

 

In der USA müssen gemäß dem sogenannten Patriot Act gespeicherte Daten, die Gegenstand strafrechtlicher Ermittlungen sind, auf behördliche oder richterliche Anweisung von Unternehmen herausgeben werden.

Die Voraussetzungen für eine solche Zusammenarbeit zwischen Behörden und Unternehmen wichen dabei häufig deutlich voneinander ab.

Jüngst gab es einen Streit zwischen dem US-Konzern Microsoft und der US-Regierung. Microsoft hatte sich einer richterlichen Anordnung auf Datenherausgabe widersetzt, weil sich die Daten nicht in den USA, sondern in einem Rechenzentrum in Irland befanden.

Der Cloud-Act soll so etwas wieder aushebeln um der Regierung dennoch den Zugriff auf die gewünschten Date zu ermöglichen.

Am 17. April 2018 erklärte der US Supreme Court, das höchste US-amerikanische Gericht, den Rechtsstreit auf Antrag der US-Regierung für erledigt. Microsoft muss den US-Ermittlungsbehörden nun Zugriff auf die in der EU gespeicherten Daten gewähren.

Der Grund für diese überraschende Wendung liegt in einem neuen Gesetz, das den Zugriff US-amerikanischer Behörden auf Daten erheblich ausweitet – sogar rückwirkend.

 

Internationale Gepflogenheiten ignoriert

Mit dem sogenannten CLOUD Act gilt seit Ende März 2018 ein US-Gesetz, das US-Behörden den Zugriff auch auf Daten gestattet, die US-amerikanische IT-Dienstleister oder Internetfirmen im Ausland speichern. Entgegen dem Titel des Gesetzes hat es nicht zwingend etwas mit Cloud-Diensten zu tun. CLOUD steht in diesem Fall für „Clarifying Lawful Overseas Use of Data Act“, auf Deutsch etwa „Gesetz zur Klarstellung des rechtmäßigen Umgangs mit Daten im Ausland“. Das Gesetz stellt sicher, dass es keine Rolle mehr spielt, ob Daten „in der Cloud“ oder in einem bestimmten Datenzentrum gespeichert sind – ob im In- oder Ausland.

Der CLOUD Act verpflichtet US-Unternehmen selbst dann zur Datenherausgabe, wenn lokale Gesetze am Ort des Datenspeichers dies verbieten. Die Datenherausgabe setzt auch nicht voraus, dass es ein internationales Rechtshilfeabkommen gibt, das solche Fälle regelt. Im konkreten Fall kann sich Microsoft also nach US-Recht nicht darauf berufen, dass das irische oder das dort ebenfalls geltende EU-Recht die Datenherausgabe etwa von einem Rechtshilfeersuchen der US-amerikanischen Behörden an die irischen Behörden abhängig macht. Ein Konflikt zwischen den Rechtsordnungen Irlands und der USA scheint hier also unausweichlich.

Das Inkrafttreten der EU-Datenschutz-Grundverordnung, kurz DSGVO, bereichert den Zwist um einen weiteren Aspekt. Artikel 48 DSGVO regelt das Herausgeben von Daten an Behörden eines Landes außerhalb der EU: „Jegliches Urteil eines Gerichts eines Drittlands und jegliche Entscheidung einer Verwaltungsbehörde eines Drittlands, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, dürfen […] nur dann anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind.“

Laut dieser Vorschrift wäre das Herausgeben von Microsoft in Irland gespeicherter Daten an eine US-Behörde außerhalb eines Rechtshilfeabkommens rechtswidrig, weil es gegen EU-Recht verstößt. Dafür spricht auch Erwägungsgrund 115 zur DSGVO, eine Art Auslegungshilfe zu dieser EU-Vorschrift: „Datenübermittlungen sollten daher nur zulässig sein, wenn die Bedingungen dieser Verordnung für Datenübermittlungen an Drittländer eingehalten werden.“

Nach Artikel 83 Absatz 5 DSGVO drohen bei einem Verstoß gegen die Pflichten aus Artikel 48 DSGVO sogar die besonders hohen Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des rechtswidrig handelnden Unternehmens – je nachdem, welcher Betrag höher ist.

 

Office 365 Deutschland – Eine Lösung für Daten in der Cloud?

Eine Lösung wäre das von Microsoft umgesetzte Modell der Datentreuhand. Unter dem Namen „Office 365 Deutschland“ bietet das Unternehmen Office-Anwendungen an, die T-Systems als Dienstleister betreibt. Dabei erzeugte Daten sind ausschließlich in Deutschland gespeichert, ohne dass Microsoft auf sie Zugriff hat. Demzufolge lautet ein Werbespruch für dieses Angebot „Bereitgestellt aus deutschen Rechenzentren mit Datenspeicherung in Deutschland“.

Sprich: Die Daten seien dem Zugriff US-amerikanischer Behörden entzogen.

 

EWeitere Editierung vorgesehen …

Vereinbarungen unter Ausschluss der Parlamente

Da sich die Daten auf diese Weise nicht unter der Kontrolle des eigentlichen US-Anbieters – hier Microsoft – befinden, könnte dieser einer Herausgabeanordnung nach dem CLOUD Act unabhängig von rechtlichen Erwägungen also gar nicht mehr folgen. Wie US-Behörden mit solchen Fällen umgehen, ist allerdings noch nicht bekannt. Letztlich könnte der CLOUD Act erweitert werden und US-Unternehmen solche Umgehungspraktiken einfach verbieten. Es fragt sich überdies, wie sich US-Behörden verhalten werden, wenn sich etwa die US-Tochter eines ausländischen Unternehmens weigert, bei der Mutter- oder einer Schwestergesellschaft gespeicherte Daten herauszugeben.

Der CLOUD Act bringt eine weitere Neuerung bei der Herausgabe von Daten an Behörden im internationalen Kontext: Danach können die USA mit anderen Ländern exklusive Vereinbarungen abschließen, die direkte Anfragen einer Behörde bei einem Unternehmen im Partnerland auf Datenherausgabe gestatten. Und diese Anfragen sind ohne Einschaltung von Gerichten möglich, da sie nur auf Verwaltungsebene greifen sollen. Die betroffenen Unternehmen müssten zudem selbst entscheiden, ob sie die Daten an die ausländische Behörde herausgeben oder eine sogenannte „Comity Analysis“ beantragen.

Die Comity Analysis ist der Rechtsschutz, den betroffene US-Unternehmen gegen Anordnungen nach dem CLOUD Act ergreifen können. Nur wenn Länder eine Exekutivvereinbarung mit den USA schließen, können sich Unternehmen wie Microsoft vor Gericht darauf berufen, dass die herauszugebenden Daten weder einen US-Bürger noch einen in den USA ansässigen Nicht-US-Bürger betreffen und zusätzlich die Herausgabe höchstwahrscheinlich das Datenschutzrecht eines Landes verletzt, das mit den USA eine solche Exekutivvereinbarung abgeschlossen hat.

Letztlich zwingt dieser Mechanismus Staaten dazu, mit den USA entsprechende Vereinbarungen zu schließen, die das Persönlichkeitsrecht und damit das Recht an personenbezogenen Daten ihrer Bürger oder von in ihrem Staatsgebiet gespeicherten Daten gegenüber US-Behörden wirksam schützen. Dass sie in umgekehrter und gleicher Weise Daten herausverlangen dürfen, die in den USA gespeichert sind, dürfte in den wenigsten Fällen relevant sein. Deutlich seltener als umgekehrt dürfte es Nicht-US-Unternehmen geben, die in den USA Daten speichern, die für ausländische Ermittlungsverfahren von Relevanz sind.

Wie solche Fälle also in Zukunft zwischen etwa den USA und der EU beziehungsweise deren Mitgliedsstaaten so gelöst werden können, dass Unternehmen die Rechtsvorschriften der jeweils beiden betroffenen Länder einhalten können, hängt davon ab, ob es gelingt, mit den USA entsprechende Übereinkommen abzuschließen. Erst kürzlich hat auch die EU-Kommission eine ähnliche Gesetzesinitiative auf den Weg gebracht und sich zu Verhandlungen mit der US-Regierung bereit erklärt.

Allerdings sieht der CLOUD Act nur Verhandlungen mit „ausländischen Regierungen“, nicht jedoch mit „internationalen Organisationen“ vor, etwa der EU. Bis zum Redaktionsschluss stand noch nicht fest, ob US-Justizminister Sessions seine bisherige Weigerung aufgeben wird, mit der EU-Kommission zu verhandeln. Deutschland und andere EU-Staaten haben bereits angekündigt, dass sie nicht an direkten bilateralen Abkommen mit den USA interessiert sind und auf eine Lösung auf EU-Ebene setzen.

 

Fazit

Der CLOUD Act aus den USA verlangt die Herausgabe von Daten unabhängig davon, ob sie sich in den USA oder anderswo befinden. Das steht im Konflikt mit dem Recht der EU und ihrer Mitgliedsstaaten. Ohne Rechtshilfeabkommen dürfen personenbezogene Daten alleine schon aufgrund der DSGVO nicht an US-Behörden übergeben werden. Betroffene Unternehmen müssen sich also entscheiden, welches Recht sie verletzen. Eine auf Dauer inakzeptable Situation. Ob sich die USA doch noch auf Gespräche mit der EU zur Lösung dieser Gemengelage einlässt, ist offen. Bislang will sie nur direkt mit den Regierungen einzelner Staaten sprechen.

Fälle wie der von Microsoft sind auch deswegen brisant, weil die US-Regierung offenbar eine ihr unliebsame Rechtslage und das Risiko, vor Gericht eine Niederlage einzustecken, dadurch beseitigt, dass sie rückwirkend die anwendbaren gesetzlichen Grundlagen ändert. Der CLOUD Act sieht vor, dass Konflikte zwischen verschiedenen Rechtsordnungen durch Exekutivvereinbarungen zwischen den USA und anderen Staaten entschärft werden.

Ob und wie sich dieser Konflikt angesichts ablehnender Haltung der US-Regierung zu Gesprächen über diesen Punkt mit der EU-Kommission lösen lässt, ist derzeit nicht absehbar. Leidtragende sind die Unternehmen. Wer als Betroffener auf Nummer sicher gehen will, muss künftig zudem nicht nur darauf achten, wo seine Daten gespeichert sind, sondern auch, wo das speichernde Unternehmen seinen Sitz hat. Das gilt auch für nicht personenbezogene Daten, die etwa Geschäfts- und Betriebsgeheimnisse umfassen.

 
Tobias Haar, LL.M. (Rechtsinformatik), MBA,

 

Quelle: https://www.heise.de/ix/heft/Wolkenbruch-4089925.html

 

 

Dynamics NAV 2018 – Voraussetzungen für das Upgrade-Skript

Dynamics NAV 2018 – Voraussetzungen für das Upgrade-Skript

Dynamics NAV wird mit allerlei WindowsPowerShell Skripten in dem Installationsverzeichnis (DVD) ausgeliefert. Damit lässt sich auch das Update auf die neuste Version durchführen.

Allerdings müssen einige Voraussetzungen hierfür auf dem Dynamics NAV Server getroffen werden.

Bodo von Comporsys hat diese mal ausführlich zusammen gefasst. Ich möchte ihn an dieser Stelle rezitieren und euch seinen Blog empfehlen.

Quelle: https://www.comporsys.de/dynamics-nav-blog/dynamics-nav-2018-voraussetzungen-fuer-das-upgrade-skript/

In seinem Blog veröffentlichen Bodo Interessantes sowie Hilfreiches aus der Welt von Dynamics NAV, Dynamics 365 und Azure.

 

Dynamics NAV 2018 – Voraussetzungen für das Upgrade-Skript

Verfasst von Bodo am Montag, 26. März 2018

Tags: sqlserver, upgrade, 2018Microsoft liefert auf der Produkt-DVD von Dynamics NAV 2018 im Verzeichnis »WindowsPowerShellScripts\Upgrade« verschiedene Skripte, mit denen Sie den Upgrade-Prozess automatisieren können.

Wenn Sie beim Ausführen dieser Skripte die Fehlermeldung »Import-SqlPsModule : SQL Server PowerShell cmdlets could not be loaded.« bekommen, fehlt Ihnen das Microsoft SQL Server Feature Pack.

Für die aktuelle SQL Server Version 2016 Service Pack 1 finden Sie den Download hier: https://www.microsoft.com/de-de/download/details.aspx?id=54279

Von den ganzen Features benötigen Sie:

  • Microsoft System-CLR-Typen für Microsoft SQL Server 2016 SP1: SQLSysClrTypes.msi (Voraussetzung für Shared Management Objects)
  • Microsoft SQL Server 2016 SP1 Shared Management Objects: SharedManagementObjects.msi (Voraussetzung für PowerShell Extensions)
  • Microsoft Windows PowerShell Extensions für Microsoft SQL Server 2016 SP1: PowerShellTools.msi
  • Microsoft ODBC-Treiber für Microsoft SQL Server: msodbcsql.msi (Voraussetzung für Befehlszeilenprogramme)
  • Microsoft Befehlszeilenprogramme 13 für SQL Server: MsSqlCmdLnUtils.msi

Sie müssen diese Komponenten auf der Maschine installieren, auf der Sie das Upgrade auf Dynamics NAV 2018 durchführen.

Dynamics 365 Business Central – Anleitung – Erstellen einer Sandbox für die Cloudvariante

Anbei der Link der Euch zur Online Hilfe von Business Central führt. Hier kann man viele Informationen nachschalgen und Anleitungen zur Umsetzung bekommen. Auch als PDF ist die aktuelle Version herunterladbar und über 900 Seiten stark.

https://docs.microsoft.com/de-de/dynamics365/business-central/

 

Dynamics 365 Business Central – Entwicklung 1

 

Erste Schritte mit Vorschauen und Sandboxen

 

Erstellen Sie eine Sandkastenumgebung.

Erweiterte Funktionen der Sandkastenumgebung verfügbar Erweiterte Funktionen der Sandkastenumgebung verfügbar

 

Erstellen Sie eine Sandkastenumgebung

Im Frühjahr 2018 wird Business Central wird in neue Ländern verfügbar sein. Um sicherzustellen, dass Business Central die richtige Lösung für alle Debitoren bieten, bieten wir eine Vorschauversion des Diensts vor dem Frühlingsstart an. Die Vorschau für Dänemark wurde im Januar 2018 verfügbar, und weitere Märkte folgen in Kürze.

Vorschauen und Sandboxen sind ideal, um mit Business Central zu beginnen. Eine Vorschauinstanz enthält die zusätzliche Funktionalität verglichen mit der aktuellen Version. Vorschauen geben Partner und Debitoren die Verkaufschance, Feedback über Funktionen zu geben und bereitzustellen, die wir freigeben möchten. Zwar sind Vorschauen hauptsächlich für Partner gedacht, Debitoren sind aber willkommen, diese ebenfalls für eine begrenzte Zeit zu verwenden. Die aktuelle Vorschau von Business Central enthält die meisten Funktionen, die 2018 in Dynamics NAV verfügbar sind, die normalerweise unter Mithilfe eines Partners eingerichtet werden. Um mit einer Vorschau anzufangen, gehen Sie zu dieser Seite und geben Sie Ihre Geschäfts-E-Mail-Adresse an. Um mehr über Business Central und die Funktionen zu erfahren, gehen Sie zur Dokumentation hier auf der Site. Sie können an eine Sandbox als Nicht-Produktionsumgebung denken, die Sie zu Ihrer Produktions- oder Vorschauinstanz verwenden können Business Central. Mit einer Sandbox können Sie sicher Erweiterungen erstellen und testen und neue Funktionalitäten entwickeln, um den Service anzupassen, ohne die Daten und Einstellungen Ihre Produktions- oder Vorschauinstanz zu beeinträchtigen. Im Augenblick können alle Debitoren, die einen Produktions- oder Vorschauversion haben, eine Sandbox verwenden. Um zu erfahren, wie Sie mit einer Sandbox beginnen, gehen Sie zu den Anweisungen unten.

Sie müssen ein Abonnement haben für Business Central, um in einer Sandboxumgebung zu arbeiten. Es kann nur eine Sandboxumgebung pro Abonnement geben.

 

Sandboxen enthalten eine In-Client Designerfunktion, mit der Sie Seiten mithilfe einer Drag & Drop Schnittstelle entwerfen und Erweiterungen im Clients selbst erstellen können, indem Sie Felder hinzufügen und neu anordnen. Weitere Informationen erhalten Sie unter Designer verwenden.

 

 

 

Neue Lösungen und geistiges Eigentum aufbauen

 

Erstellen Sie eine Sandkastenumgebung

  1. Melden Sie sich in Ihrer Produktions- oder Vorschauinstanz des Business Central an.
  2. Wählen Sie und geben Sandkasten-Umgebung ein und wählen dann den zugehörigen Link aus.
  3. Wählen Sie Erstellen aus. Eine Registerkarte wird geöffnet, in der Sie Ihre Sandbox fertig einrichten können.
    Hinweis:
    Wenn Sie Popupblocker aktiviert haben in Ihrem Browser, bearbeiten sie diese, um URLs der .businesscentral.dynamics.com-Adresse zu ermöglichen.
  4. Wenn die Sandbox bereitsteht, zeigt das eine Willkommensseite an.
  5. Wenn Sie über Szenarien lesen möchten, die Sie in einer Sandbox testen können, wie beispielsweise die Entwicklung von Erweiterungen, wählen Sie den Link Weitere Informationen aus. Oder, wählen Sie Schließen, um zum Rollencenter Ihrer SandkastenumgebungBusiness Central zu gehen.
  6. Oben im Rollencenters wird eine Benachrichtigung angezeigt, die bestätigt, dass dies eine Sandkastenumgebung ist. Der Typ dieser Umgebung wird in der Titelleiste des Clients anzeigen
    Hinweis:
    Die Sandbox enthält Demodaten für den fiktiven CRONUS-Mandanten. Keine Daten werden kopiert oder anderswie von der Fertigungsumgebungen während der Sandkastenerstellung transferiert.
  7. Jederzeit können Sie zur Sandkastenumgebungseite zurückkehren und die Sandkastenumgebung zurücksetzen
    Hinweis:
    Das Zurücksetzen der Sandkastenmgebung wird sie komplett entfernen und dann wieder mit den StandardDemodaten erstellt.
  8. Um zwischen Produktions- und Sandkastenumgebung zu wechseln, verwenden Sie das Dynamics 365 Menü oder die Dynamics-Homepage.
    Hinweis:
    Ein Administrator oder ein anderer Anwender können den Benutzerzugriff auf die Sandbox einschränken oder sogar sperren, indem sie die Standardsicherheitsfunktionen in Business Central wie die Benutzerkarte, die Benutzergruppen und die Zugriffsrechtsätze sperren.

Business Central bietet einen Satz von Entwicklungswerkzeugen und eine moderne Plattform an, damit Sie Ihre eigenen Zusatzhardware-Apps erstellen und Lösungen einbetten können, um sie mit Business Central zu erweitern oder herzustellen. Business Central stellt Werkzeuge bereit, die Sie verwenden können, um Ihr eigenes Add-On und eingebettete Funktionen zu übernehmen, um neue branchenspezifische, End-zu-End-Erfahrungen oder Integration von Lösungen von Drittanbietern hinzuzufügen. Sie können beispielsweise eine API verwenden, um eine verbundene App für den Datenaustausche zwischen Business Central und der Gehaltsabrechnungs-App zu erstellen. Verbindungs-Apps kann auch Erweiterungen nutzen, um Seiten zu erstellen, die für die Einrichtung, Konfiguration oder zur Unterstützung App-spezifischer Funktionen verwendet wird. Weitere Informationen finden Sie unter Apps entwickeln für Business Central.