ACHTUNG. Das ist ein Archiv des alten forum.ruby-portal.de. Die aktuelle Mailingliste gibt es auf lists.ruby-lang.org/pipermail/ruby-de.

NOTICE. This is a ready-only copy of the old forum.ruby-portal.de. You can find the current mailing list at lists.ruby-lang.org/pipermail/ruby-de.

Die Programmiersprache Ruby

Blog|

Forum|

Wiki  


Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]

Ein neues Thema erstellen Auf das Thema antworten  [ 4 Beiträge ] 
Autor Nachricht
 Betreff des Beitrags: Heroku PaaS & Rechtliche Situation
BeitragVerfasst: 15 Feb 2013, 17:30 
Offline
Nuby

Registriert: 24 Jun 2009, 22:38
Beiträge: 8
Hallo Leutz!

Hier im Forum scheinen ja nicht wenige Ihre Anwendungen auf Heroku oder anderen US-PaaS zu hosten.
Deshalb mal eine bescheidene Frage: Seid ihr rechtlich auf der sicheren Seite?

Laut deutschem bzw. EU Datenschutzrecht sollten PaaS, die eure personenbezogenen Kundendaten
nicht in der EU weiterverarbeiten oder speichern tabu sein, oder nicht?

Damit fallen Anbieter wie Heroku, Appfog und Konsorten allesamt raus.
Auch dann, wenn ihr euch das Datacenter regional aussuchen könnt, weil z.B. bei Heroku Amazon, auch wenn Safe Harbor in Irland,
nicht euer direkter Vertragspartner ist. Aber nicht nur die fallen weg, sondern auch iron.io, sendgrid, mongolab, mongohq, etc. etc.

Selbst die Tatsache, dass einige dieser Anbieter freiwillig sich zu den Safe Harbor Agreement bekennen
(z.B. iron.io und sendgrid, nicht aber heroku), nutzt leider nix, weil bekannterweise der "Düsseldorfer Kreis"
rechtlich bereits derart verschlimmbessert hat, nachdem der Unsinn von Safe Harbor sein volles Ausmass zeigte,
dass es quasi unmöglich ist, die rechtlichen Bedingungen einzuhalten. Da wird verlangt, dass trotz Safe Harbor
ein schriftlicher Vertrag mit dem PaaS Anbieter aufgesetzt werden muss, in dem dieser versichert, nach deutschem
Datenschutzrecht mit den Daten umzugehen. Weiterhin muss du als Kunde, dich persönlich vor Ort davon regelmäßig überzeugen,
dass dies auch der Wahrheit entspricht. Selbstredend, dass das ganze natürlich völliger Unsinn ist. Mal abgesehen davon, dass
der US-Patriot Act sowieso alles obsolet macht.

Deshalb nochmals meine Frage. Wieso können die Heroku-, Sendgrid-, usw. Kunden unter euch so ruhig schlafen?
300.000€ einmalig plus 2% des Jahresumsatzes Strafe sind kein Pappenstiel, gelle?

Welche deutschen PaaS Alternativen gibt es daneben?
Bisher kenne ich cloudcontrol. Ebenfalls sind ihre Postgres, MySQL, Mongolab Addons in der EU.

Bin gespannt auf eure Eingaben ;-)
Ich stehe nämlich gerade selber vor der Entscheidung wie und wo ich meine Anwendungen hosten möchte.

Viele Grüße
Rene


Zuletzt geändert von Drachenkind am 22 Feb 2013, 11:56, insgesamt 1-mal geändert.

Nach oben
 Profil  
 
BeitragVerfasst: 19 Feb 2013, 17:19 
Offline
Interpreter

Registriert: 10 Dez 2007, 17:37
Beiträge: 1906
Du sprichst von vielen Anwendungn bei Herko & Co. Dazu wäre erstmal zu klären, ob die Anwendung von einer Privat-Person oder Firma betrieben wird und ob überhaupt personenbezogene Daten erhoben bzw. verarbeitet werden. Dann greift erst das Dateenschutzgesetz.

*nach meinem aktuellen stand des irrens*

300.000 euro werden eigentlich nur verhängt wenn man nicht berechtigt war die Daten zu erheben/verarbeiten.

Solange ich nur meine eingenen Applikationen verwende und ich erstmal nicht davon ausgehe,
dass Daten systematisch beim Provider abgezogen werden, bin ich doch auf einer recht sicheren Seite,
denn die Daten werden nicht an andere "Stellen" weiter geben.

Problematischer wird's wenn ich echte Cloud-Dienste wie z.b. salesforce benutze,
wo die Daten wirklich durch 3. weiter verarbeitet werden.

_________________
Grüße
Jack


Nach oben
 Profil  
 
BeitragVerfasst: 19 Feb 2013, 19:01 
Offline
Nuby

Registriert: 24 Jun 2009, 22:38
Beiträge: 8
Hi Jack!

Erstmal vielen Dank fuer Deine Antwort!
Dachte schon, dass Thema interessiert niemanden ;-)

Ich hätte wohl zu Anfang direkt besser klarmachen sollen, dass es sich um die Verarbeitung von
personenbezogenen Daten im Rahmen kommerzieller Applikationen handelt... my fault.

Was die Unterscheidung des Datenexporteurs in Privatperson und Unternehmen angeht, kann ich nicht so recht glauben,
dass Privatpersonen davon ausgenommen sind oder mehr Rechte haben bzgl. Exports personenbezogener Daten als Unternehmen?
Das BDSG spricht doch allgemein von Datenexporteuren, denke ich? Hinzu kommt, dass es ja leider bereits personenbezogene Daten sind, wenn nur Name und Email gespeichert werden oder Name und Alter.

Zitat:
300.000 euro werden eigentlich nur verhängt wenn man nicht berechtigt war die Daten zu erheben/verarbeiten.

Genau das meinte ich. Hast du die Personendaten z.B. auf Heroku Postgres gespeichert oder zuvor auf Heroku verarbeitet,
hast du gegen das BDSG verstossen und warst somit nicht berechtigt die Daten zu erheben oder zu verarbeiten. Oder verstehe ich da was verkehrt?
Dazu auch folgende Frage: Wenn der Nutzer aber sein Einverständnis gibt, dass seine Daten in einem unsicheren Drittland wie den USA gespeichert werden, wäre
dann alles in Butter?

Zitat:
Problematischer wird's wenn ich echte Cloud-Dienste wie z.b. salesforce benutze,
wo die Daten wirklich durch 3. weiter verarbeitet werden.

Was Salesforce Dritte so machen, moechte ich schon gar nicht mehr wissen ;-) Aber Scherz beiseite. Es reicht ja schon, dass Salesforce die Daten verarbeitet, weil nach BDSG in einem unsicheren Drittland. Heroku genauso. Und es reicht auch nicht, wenn die DB dafuer in Deutschland liegt, wenn die Daten aber bei Heroku durch
die App verarbeitet werden laut BDSG. Es geht dem BDSG ja nicht nur darum, ob aktiv von Heroku Daten an Dritte weitergegeben werden,
sondern vor allem darum, dass entweder durch Nicht-Vorhandensein deutscher Datenschutzstandards, Daten deutscher Bürger "verloren" gehen oder
durch US Institutionen einfach angeeignet werden. Deshalb ja auch die Kritik der EU am Safe Harbor, der wegen Patriot Act obsolet ist.
Sogar Microsoft hatte ja bereits angekündigt, europäische Kundendaten rauszugeben, wenn die US-Regierung danach fragt.

Ich habe übrigens gestern Heroku angefragt, wann die ihr Safe Harbor Certification erhalten. Die arbeiten ja schon seit Jahren daran.

Antwort: Es war wohl sehr schwierig, aber sie scheinen bei den wichtigsten Kriterien bestanden zu haben und hoffen auf
ein endgültiges Ergebnis in ca. einem Monat.
Seltsam finde ich dabei, dass sie ja scheinbar doch richtig geprüft werden (Department of Commerce?),
da ich dachte, dass die Unternehmen sich dort einfach selber listen können, wenn sie vorgeben, den Bestimmungen zu entsprechen. Das war
wiederum auch einer der vielen Kritikpunkte des Düsseldorfer Kreises, welcher zu der Verhärtung der Bedingungen fuer uns geführt hat (selber prüfen, Verträge etc.)
Naja, nichts desto trotz wurde mir für morgen eine Skype Session mit einem ihrer Customer Advocates angeboten, weil man mir
noch von anderen neuen europäischen Serviceangeboten mitteilen möchte. Bin gespannt... denke es handelt sich um neue Amazon EU Datacenters
und der Option seine Region dann auswählen zu können. Vor dem Hintergrund Safe Harbor und auch der vergangen Outages
nicht so unwahrscheinlich...

Werde jedenfalls berichten.
Danke nochmals, Jack!

Rene

_________________
"Niemand weiß Deine geistreiche Konversation besser zu würdigen als Dein Hund."


Nach oben
 Profil  
 
BeitragVerfasst: 19 Feb 2013, 20:28 
Offline
Interpreter

Registriert: 10 Dez 2007, 17:37
Beiträge: 1906
Privatpersonen werden vom Bundesdatenschutzgesetz nicht so erfasst, wie Firmen:
https://www.ldi.nrw.de/mainmenu_Datenschutz/Inhalt/FAQ/Datenschutzrechtbeachten.php

http://www.visttoh.info/dsb/info/bdsg.html

was du jetzt darin liest, überlasse ich dir.

Wie kommst du darauf, dass du die Daten exportierst, wenn die Daten
auf ausländischen Servern gespeichert sind? Die Frage ist doch immer,
wer kann auf die Daten zugreifen.

Desweiteren:
http://www.datenschutzbeauftragter-info.de/fachbeitraege/internationaler-datenschutz/

_________________
Grüße
Jack


Nach oben
 Profil  
 
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen Auf das Thema antworten  [ 4 Beiträge ] 

Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 3 Gäste


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.
Du darfst keine Dateianhänge in diesem Forum erstellen.

Suche nach: