Adressbuch, keine Rechteverwaltung, nicht DSGVO-Konform

  • Ich wurde vom Datenschutzbeauftragten gefragt, ob das Telefonbuch so gestaltet werden kann, dass es nur von den Fachabteilungen eingesehen werden kann, welche die Kontaktdaten auch was angeht und ob die Zugriffe jeweils auch lesend und schreibend möglich sind, damit da nicht jeder drin rumfuscht wie er gerade möchte.

    Also habe ich mal einen Blick in die Starface-Anlage geworfen und festgestellt, dass das Anlegen mehrere Telefonbücher möglich ist. Erstmal super. Mit der Freude war es aber schnell vorbei, denn eine Möglichkeit zum berechtigen der lesenden und schreibenden Zugriffe suchte ich vergebens. Benutzergruppen fürs übrige Berechtigungsmanagement gibt es ja sowieso auch nicht. Also die Frage an unseren Vertriebler und betreuende IT-Firma weitergeleitet.

    Da ich gestern im Forum schon gesehen habe, dass Starface gerade an diesem Feature arbeitet, dachte ich mir fast schon, dass es da tatsächlich nichts gibt.

    Die Bestätigung kam dann auch heute. Starface möchte das bis Ende des Jahres und dazu kostenpflichtig anbieten. WTF! Ernsthaft?

    Also zunächst einmal Respekt, dass es Starface fast 5 Jahre nach Inkrafttreten der DSGVO nicht geschafft hat eine administrative Möglichkeit zur Steuerung des Zugriff auf die Adressdaten zu ermöglichen, zumal ein solches Feature eigentlich von Anfang an dazugehört hätte. Sind ja nur personensensible Daten. Das man ein solches Feature aber auch noch kostenpflichtig anbieten möchte ist schlichtweg eine Frechheit und spätestens hier bin ich einem Punkt der das Fass zum Überlaufen bringt. (Den mit Starface und der Un-Flexibilität hadere ich teils schon länger.)

    Um es kurz zu machen:

    Das Telefonbuch darf ohne Rechtemanagement bei einer Organisation unserer Größe und dazu unserem Themengebieten so nicht benutzt werden. Ergo muss es deaktiviert werden um DSGVO-Verstöße kategorisch von vorn herein auszuschließen. Eine Telefonanlage ohne Telefonbuch ist aber so ziemlich gar nichts mehr wert. Ich bin gespannt, wie der Datenschutzbeauftragte auf die Information reagieren wird, dass es erst Ende des Jahres eine Lösung geben soll und noch mehr gespannt bin ich auf die Reaktion der Geschäftsführung wenn sie erfährt, dass ein Feature, dass zum absoluten Standard gehört für die DSGVO-Konformalität kostenpflichtig sein soll und man auch noch abwarten muss bis die Preise feststehen.

    Ich gebe die Information kommentarlos weiter, werde nichts rechtfertigen und lasse es drauf ankommen was passiert.

  • Hm, sollte man nicht die Kirche etwas im Dorf lassen?

    Ich habe den Eindruck, dass man von allen Datenschutzbeauftragten immer Antworten „nach Gusto“ erhält.

    Jeder hat immer was anderes zu meckern.

    Scheint mehr Auslegungssache zu sein, als Gesetzesvorgabe. Und schaut man sich die DSGVO und die gängigen Kommentare dazu an, so kann man auch wirklich diesen Eindruck bekommen.

  • Das ist nicht Auslegungssache, sondern Gesetz und die Strafen mitunter ziemlich empfindlich. Willst du das riskieren? Willst du das ggf. bezahlen? Davon abgesehen spielt das auch überhaupt keine Rolle, dass jeder im Adressbuch tun und lassen kann was er will und es dahingehend keinerlei Kontrolle gibt. Nach deiner Interpretation könnte man auch gleich das Rechtemanagement der Ordner auf einem Server weg lassen.

  • Ich stimme zu, dass das (Rechte-)Management für Adressbücher recht dürftig ist. Pro Adressbuch-Ordner kann definiert werden, ob die Nutzer Schreibzugriff haben. Dann leider entweder alle Nutzer oder keiner (außer der Admin). Ist eine granulareres Rechtemanagement für das Bearbeiten nötig, kann man sich durch die LDAP-Adressbuchanbindung oder durch Einsatz des ESTOS-Metadirectory helfen. Dann werden die Einträge an andere Stelle vorgehalten, wo ein detailliertes Rechtemanagement möglich ist.

    In die DSGVO Diskussion möchte ich eigentlich gar nicht einsteigen stelle aber in den Raum, dass in Normalfall eine Telefonanlage geschäftlich genutzt wird. Daher werden wohl auch geschäftliche Kontaktdaten im Adressbuch liegen. Mich würde es auch nicht wundern, wenn diese noch auf anderen Systemen beim Kunden verfügbar und damit auch von anderen einsehbar sind. Die Überinterpretation der DSGVO finde ich nicht sinnvoll.

    WBS IT-Service GmbH | Starface Advanced Partner

    Edited once, last by stephan.kuehn: Aussage zu Adressbuch-Schreibrechten korrigiert. (March 3, 2023 at 10:10 AM).

  • ...

    In die DSGVO Diskussion möchte ich eigentlich gar nicht einsteigen stelle aber in den Raum, dass in Normalfall eine Telefonanlage geschäftlich genutzt wird. Daher werden wohl auch geschäftliche Kontaktdaten im Adressbuch liegen. Mich würde es auch nicht wundern, wenn diese noch auf anderen Systemen beim Kunden verfügbar und damit auch von anderen einsehbar sind. Die Überinterpretation der DSGVO finde ich nicht sinnvoll.

    Zumal diese Daten auch häufig auf den entsprechenden Homepages der Geschäftspartner zu finden sind.

    Die aus meiner Sicht schützenswerten Daten sind die von privaten Kontakten und dafür gibt es pro Benutzer ein privates Adressbuch, was genau das macht.

    Viele Grüße
    Rouven

  • Ich halte von der DSGVO auch nicht sonderlich viel (Eigentlich gar nichts).

    Man sieht ja auch welche Blüten das ganze mittlerweile treibt, Angefangen beim nervigen Cookie-Banner bis hin zu geradezu lächerlichen Urteilen wegen der Einbindung von Google Fonts oder sogar wegen der Einbindung von Zeit- und Ortsangaben bei Dashcamvideos auf YouTube.

    Ändert aber halt erstmal alles nichts und ein ordentliches Rechtemanagement zum Bearbeiten und Einsehen war auch schon vor der DSGVO in der IT normal

    Edit: stephan.kuehn: Wo kann ich einstellen wer das Adressbuch nur lesen oder auch bearbeiten darf? Ich habe nur die Option "Adressbuch" in den Berechtigungseinstellungen gefunden und mit der ist das Adressbuch entweder per Vollzugriff verfügbar oder komplett weg. Starface Version 7.3.

  • Was ist dann mit dem auflösen der Rufnummer zum Namen?

    Das wäre ja dann auch schon ein Problem...

    Ich finde es immer ganz schön wie die Leute ihre SocialMedia Auftritte pflegen und man an solchen

    Punkten wieder hängen bleibt, ja ich weiß, off topic...

  • Edit: stephan.kuehn: Wo kann ich einstellen wer das Adressbuch nur lesen oder auch bearbeiten darf? Ich habe nur die Option "Adressbuch" in den Berechtigungseinstellungen gefunden und mit der ist das Adressbuch entweder per Vollzugriff verfügbar oder komplett weg. Starface Version 7.3.

    Sorry, das war eine Falschinformation. Schreibberechtigungen werden direkt am Adressbuch-Ordner festgelegt. Entweder alle dürfen Schreiben oder keiner (außer der Admin).

  • Als PM kann ich mich der DSGVO-Diskussion natürlich nicht entziehen. Deshalb interessiert mich die Anforderung des Datenschutzbeauftragten von DasFragezeichen schon.

    Es geht hier m.E. um die Frage der rechtlichen Auslegung was geeignete Maßnahmen sind, um sicherzustellen, dass nur diejenigen Mitarbeiter Zugriff auf personenbezogene Daten haben, die diesen Zugriff benötigen, um ihre Aufgaben zu erfüllen. In welchen Situationen sind welche Daten für welche Mitarbeiter für welche Aufgaben erforderlich und was sind in diesen Fällen "geeignete Maßnahmen"? Üblicherweise wird das von Unternehmen in der Vereinbarung mit ihren Kunden ausreichend geregelt.

    DasFragezeichen :Wie sind denn die Anforderungen bei dem Unternehmen bspw. bei dem Umgang mit Mails / CRM definiert?

    Kannst Du mir die bitte mal schicken, damit ich die mit unseren Datenschutzexperten besprechen kann?

  • Hallo ich schließe mich der Diskussion an, denn wir haben bezüglich des Adressbuchs demnächst auch eine Videotelko mit STARFACE.

    Zwar rollen wir das Thema von einer anderen Seite auf, von der ich hier aus fairness Gründen gegenüber STARFACE vorerst nicht sprechen möchte, daher haben wir den Rundentisch gewählt.

    Aber da es im Bezug auf das Adressbuch hier angesprochen wurde, möchte ich hier auch einen Grund nennen warum es einfach notwendig wäre das Thema mit einem Rechtemanagement (kostenlos, da ein Muss) zu vervollständigen.

    Wir haben öfters bei Firmengruppen nur eine STARFACE Cloud, jetzt wollen wir z.B. die Adressbücher auch rechtlich trennen, das geht leider nicht. Daher sind wir auch hier ein beführworter einer sollchen Angelegenheit. (Und nein, wir werden in solchen Konstellation nicht eine Anlage pro Standort verwenden, dann ist der Sinn und Zweck der "EINEN" Anlage fürn hintern).

    Ich freue mich auf jeden Fall auf den Rundentischen mit STARFACE und unserem eigenen Datenschutz Auditor.

    Und ich finde DSGVO sehr wichtig, auch wenn man oft den Kopf schütteln kann. Aber im Bereich Steuerberater ist das einfach Pflicht.

    Grüße

  • Wir haben öfters bei Firmengruppen nur eine STARFACE Cloud, jetzt wollen wir z.B. die Adressbücher auch rechtlich trennen, das geht leider nicht.

    Ich schätze mal wenn mehrere Firmen über eine Starface laufen hast Du noch ganz andere Probleme ;)

  • Sorry, dass ich so lange auf eine Antwort warten ließ.

    Ich weiß eigentlich nicht so recht, was Starface nun von mir erwartet, weil ich schon geschrieben habe, was zu schreiben ist.

    Ich kann aber gerne nochmal wiederholen, dass es in einem Betrieb mit vielen Mitarbeitern und Abteilungen völlig normal ist, dass gewisse Leute (i.d.R. die Verwaltung, Personalmanagement) die Kontaktdaten pflegen und der Rest nur darauf zugreift. Wo kommen wir den da hin, wenn da jeder absichtlich oder unabsichtlich Einträge hinzufügen, bearbeiten oder löschen kann?

    Wer argumentiert, dass das nicht gebraucht wird und man einfach eine interne Anweisung geben soll wird wohl auch argumentieren, dass Datei- und Ordnerberechtigungen völlig überflüssig sind und Microsoft das ruhig als Bezahlfeature anbieten könnte. Hinzu kommt noch, dass man nicht einmal nachvollziehen kann wer wann was geändert hat. Das geht schon damit los, dass wenn jemand einen privaten Eintrag machen will, aber halt versehentlich das öffentliche Adressbuch wählt.

    Die zusätzlichen Adressbücher die man einrichten kann machen so auch keinen Sinn, weil am Ende ja doch wieder alles zusammengeworfen wird. In 99% der Fälle nutzt man ja eh die Suche im UCC und schaut gar nicht in die einzelnen Adressbücher. (Oder ist hier wirklich jemand der standardmäßig so die Kontakte durch geht?) Also muss festgelegt werden, welche Adressbücher dem Anwender zur Verfügung stehen und entsprechend dann durchsucht werden können.


    Übrigens (ist eigentlich OT): Warum soll es ein Problem sein, wenn sich mehrere Firmen eine Starface teilen wollen? Technisch ist das absolut kein Problem. Wir haben auch mehr als 10 Standorte angeschlossen und jeder Standort hat seine Rufnummern der Vergangenheit (als noch ISDN, bzw. Anlagenanschlüsse Stand der Technik waren) behalten. Selbst die entsprechenden internen IP-Ranges konnten beibehalten werden solange kein Standort zweimal die gleiche Range nutzte. Das ist mit Starface kein Problem und funktioniert wunderbar :thumbup:. Auch die Notfalldienste können den Telefonen zugeordnet werden, so dass wenn jemand aus Standort X den Notruf wählt er bei der der nächstgelegenen Notfallzentrale rauskommt. Ressourcen- und Energietechnisch ist das nur sinnvoll. Vielleicht verkauft Starface dadurch weniger Appliance, aber das Hauptgeschäft dürfte doch ohnehin über Cloud, Lizenzen und Abos laufen, oder?

  • Übrigens (ist eigentlich OT): Warum soll es ein Problem sein, wenn sich mehrere Firmen eine Starface teilen wollen?

    Technisch ist das gar kein Problem, ich hab das auf mehrere Firmen (mehrere = verschiedene Firmen) im Bezug auf die DSGVO bezogen.

    Denn die Anrufe werden ja z.B. über alle Kontakte aufgelöst, das war mein Gedanke...

  • Ich weiß eigentlich nicht so recht, was Starface nun von mir erwartet, weil ich schon geschrieben habe, was zu schreiben ist.

    Ich kann aber gerne nochmal wiederholen, dass es in einem Betrieb mit vielen Mitarbeitern und Abteilungen völlig normal ist, dass gewisse Leute (i.d.R. die Verwaltung, Personalmanagement) die Kontaktdaten pflegen und der Rest nur darauf zugreift.

    Meine Bitte um mehr Informationen bezieht sich auf Deine Aussage, dass der Datenschutzbeauftragte diese Trennung verlangt habe. Ich würde in der Diskussion gerne unterscheiden zwischen dem, was seiner Meinung nach rechtlich gefordert ist und dem was das Unternehmen aus organisatorischen Gründen für erforderlich hält.

  • Wir hatten heute unsere Diskussion und sind leider nicht so recht voran gekommen.

    Zwei Punkte hatten wir, das eine werde ich hier weiterhin nicht öffentlich machen, davon war das Andere das Adressbuch.

    Grundsätzlich haben unsere beiden Themen mit dem AB zu tun.

    Ich Machs kurz ich fordere auch ein Rechte Management für das jetzt bestehende AB Konzept.

    Die neue Alternative Lösung leake Ich hier nicht, kommt aber für mich auch so nicht in Frage.

    Egal wie ich es dreh oder wende ein Rechte Management muss her. Wundert mich eh warum dass nicht schon längst implementiert wurde. Es wird ja schon seit langen danach gekräht und ist wirklich wichtig.

    Grüße

  • Ab STARFACE 8* (und auch per Modul in STARFACE 7.3**) ist es möglich, einzelnen Benutzern Zugriff auf bestimmte Adressverzeichnisse zu geben.

    * vgl. Release Notes; bei Verwendung des Estos Meta Directory und AD-Anbindung.
    ** wir haben bereits begonnen, das für Reverse Lookup Pro umzusetzen; Achtung: Umsetzung noch unverbindlich

  • Hallo Fabian,

    das ist gut, dass ihr euch die Mühe macht, aber schlussendlich sind wir wieder am Anfang der Diskussion. Starface will das Feature ja bringen, aber halt nicht kostenlos und ob ich nun an euch oder Starface bezahle ist jetzt nicht so der Unterschied. Starface macht es hoffentlich auch anlagenintern, so dass keine extra Anbindung notwendig ist.

    Versteht mich nicht falsch. Ich bin nicht der "Geiz-ist-Geil-Typ". Wenn sich Starface für Komfortfeatures extra bezahlen lässt ist das die eine Sache, aber ich bin nicht bereit Gebühren für Features zu rechtfertigen die schlichtweg zu den Basics gehören.

    Wenn es etwas extra kosten würde, damit man sofort sieht, wer einen Eintrag angelegt, bearbeitet oder gelöscht hat wäre das OK oder wenn man mehrere Benutzer markieren könnte um dann beispielsweise Firma oder Adresse zu ändern wäre das auch OK. Das sind schöne Features (die leider momentan auch fehlen), aber kein Must have.

  • Ich kann mir Stand heute nicht vorstellen, wie das Feature kostenpflichtig umgesetzt werden soll. Wieder ein zusätzliches Recht?

    Der Code für die Umsetzung ist bereits da und war bereits in der 7.3 angelegt.

    Und was die Unterstützung in Modulen angeht, für die, die Reverse Lookup Pro bereits nutzen, wird es aller Voraussicht nach, keine Zusatzkosten geben.

    Das Thema "Was sind Basics?", finde ich persönlich leidvoll. Tausend Menschen haben tausende verschiedene Ansprüche und unterschiedliche Prioritäten. Die STARFACE hat in den letzten Jahren tausende Projekte umgesetzt, die auch ohne diese "Basics" umgesetzt werden konnten.

    Wie oft denke ich bei Confluence und Jira, "Mensch, das kann doch nicht sein, dass ich da eine teure Drittanbieter-Erweiterung brauche". Aber hey, ganz oft ist das so.

    Und was einem halt immer klar sein muß: Entwicklungsressourcen sind in jedem Unternehmen begrenzt.

    Es gilt innerhalb einer zu beobachtenden Zeitdauer deshalb immer: Setzt man ein Feature um, kann ein anderes nicht umgesetzt werden. Die STARFACE geht mit der Möglichkeit für Eigenentwicklungen und Erweiterungen hier eigentlich einen smarten Weg.

  • Ich wollte das Thema nochmal ausgraben und fragen, ob noch damit zu rechnen ist, dass man einzelnen Benutzern zumindest mal nur Leserechte erteilen kann, damit nicht jeder in den Adressbüchern rumschreiben kann. Das Ein- und Ausblenblenden wäre natürlich noch besser.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!