cross: MYSQL: MariaDB 10.x - nachträglich eingefügte Spalten werden nicht angezeigt

Guten Abend Forum,

muss nun nach ein paar Jahren meine kleine PHP/MySQL/HTML-Anwendung mal etwas auf Vordermann bringen und bin PHP und MySQL-Mäßig etwas eingerostet.

Bei der Arbeit bin ich dann auf folgendes Phänomen gestoßen, dass mich ratlos macht:

In eine vorhandene Tabelle in meiner MariaDB-Datenbank habe ich nachträglich eine Spalte eingefügt, um dort personenbezogene Daten in einem base64 verschlüsselten String zu hinterlegen (VARCHAR(512)).

Nun erzeuge ich mit PHP (7.4) den query-string in dem Script, welcher anschließend zur Abfrage an die Datenbank verwendet werden soll. Diesen query-string gebe ich testweise per echo als html aus und teste den String via cut & Copy in phpmyadmin direkt in der Tabelle. Ergebnis: alles tip-top, der gewünschte Datensatz wird ohne Fehler gefunden.

Jetzt zum PHP-Script - lasse ich denselben query-string über php abfragen, dann bekomme ich als Ergebnis NICHTS! Entferne ich den neuen Spaltenamen wieder aus dem String bekomme ich wieder ein Ergebnis, allerdings (logischerweise) ohne die Werte der neuen Spalte. Selbst wenn ich ein SELECT * FROM ... abfrage wird die neue Spalte im Ergebnis partout nicht angezeigt.

Was mache ich falsch, wo liegt mein Denkfehler - bitte helfe mir jemand auf die Sprünge. :)

Beste Grüße Chris

  1. Hi,

    um dort personenbezogene Daten

    Ohoh. Die daraus folgenden Pflichten bzgl. DSGVO sind Dir bewußt?

    in einem base64 verschlüsselten String zu hinterlegen (VARCHAR(512)).

    base64 als Verschlüsselung zu bezeichnen finde ich sehr gewagt.

    Nun erzeuge ich mit PHP (7.4) den query-string in dem Script, welcher anschließend zur Abfrage an die Datenbank verwendet werden soll. Diesen query-string gebe ich testweise per echo als html aus und teste den String via cut & Copy in phpmyadmin direkt in der Tabelle. Ergebnis: alles tip-top, der gewünschte Datensatz wird ohne Fehler gefunden.

    Jetzt zum PHP-Script - lasse ich denselben query-string über php abfragen, dann bekomme ich als Ergebnis NICHTS!

    Was sagt die Fehlerauswertung? (mysqli_error oder ähnliches?)

    Entferne ich den neuen Spaltenamen wieder aus dem String bekomme ich wieder ein Ergebnis, allerdings (logischerweise) ohne die Werte der neuen Spalte. Selbst wenn ich ein SELECT * FROM ... abfrage wird die neue Spalte im Ergebnis partout nicht angezeigt.

    Verbinden der PHP-MyAdmin und Dein PHP-Script wirklich auf dieselbe Datenbank? Das riecht nach Test- vs. Produktiv-Datenbank - die eine hat die neuen Spalten, die andere noch nicht …

    cu,
    Andreas a/k/a MudGuard

    1. Hallo MudGuard,

      base64 als Verschlüsselung zu bezeichnen finde ich sehr gewagt.

      dito. base64 ist eine Codierung, um binäre Daten in einem ASCII String darstellen zu können. In einem Mariechen ist das sicher nicht nötig, bei geeigneter Wahl des Encodings und der Collation in DB, Spalte und Connection kann man jeden Unicode-String direkt speichern.

      Oder sind diese "persönlichen Daten" tatsächlich binär?

      Eine Absicherung von persönlichen Daten in der DB erfolgt übrigens normalerweise durch geeignete Zugriffsrechte. Ein SELECT Recht kann bis auf Spaltenebene gegeben werden. Verschlüsselung von Spalteninhalten durch die Anwendung braucht man meiner Meinung nach nur, um Daten vor DB-Admins zu verbergen, was aber voraussetzt, dass der DB Admin nicht an den Schlüssel herankommen kann.

      Rolf

      --
      sumpsi - posui - obstruxi
    2. Verbinden der PHP-MyAdmin und Dein PHP-Script wirklich auf dieselbe Datenbank? Das riecht nach Test- vs. Produktiv-Datenbank - die eine hat die neuen Spalten, die andere noch nicht …

      Hi Andreas,

      Du hattest recht, das war der Fehler. Die Testdatenbank ist jetzt die Produktivdatenbank. Nun klappt es. Dummer Fehler 😀 Manchmal sieht man den Wald vor lauter Bäumen nicht mehr.

      Leider habe ich noch keine "richtige" Verschlüsselung gefunden, womit ich einen String in einer Excel-Tabelle per VBA verschlüsseln und nach dem Eintrag in die Onlinedatenbank (Marichen) mit PHP wieder entschlüsseln kann. Base64 ist erstmal nur eine Notlösung, weil Excel sowie auch PHP das beide können.

      Vielen Dank für die Tipps von Euch beiden und schönes Wochenende.

      Beste Grüße Chris

      1. Zudem würde ich mir überlegen, auf php > 8 umzusteigen.

        Gruß, JJ

        1. Hallo JJ,

          ist im Rahmen der Fehlersuche, bzw. dessen fixing geschehen.

          Grüße

      2. Hallo cross,

        erkläre doch noch mal, warum Du überhaupt verschlüsseln musst und welche Sicherheitsansprüche Du stellst. Davon hängt dann sicher auch der Algorithmus ab, den Du verwenden kannst/musst/solltest.

        Rolf

        --
        sumpsi - posui - obstruxi
        1. Hallo Rolf,

          ich gebe Schulungsbescheinigungen heraus, die eine Behörde/berechtigte Personenkreis auf Echtheit überprüfen muss. Bisher habe ich das Original-Dokument auf meiner Onlineplattform angezeigt. Nun möchte die Aufsichtsbehörde das nicht, sondern sie möchte lediglich die Personendaten (Name, Vorname, Geb.-Datum, Geb.-Ort, Schulungsart, -datum und -dauer) angezeigt bekommen, da die Schulungsbescheinigung nur ein einziges Mal ausgegeben werden soll (nämlich im Original auf Papier an den Teilnehmer)

          Auf dem Dokument ist ein mit Excel generierter QR-Code aufgedruckt, mit dem man auf meine Online-Verifikationsplattform kommt. Das läuft vollkommen anonymisiert ab und anhand eines 20-stelliges alphanumerischen Codes, welcher mit genau der einen Bescheinigung verknüpft ist - diese wird dann online angezeigt und muss mit der der überprüfenden Person vorliegenden Version übereinstimmen (nicht verfälscht oder gefälscht). Wenn der Code insgesamt oder auch nur ein Zeichen nicht stimmt, wird dem Prüfer ein Fehler angezeigt, dass das Dokument nicht gefunden wurde. Damit ist die Verifikation nicht erfüllt, der Proband darf nicht zur Arbeit eingesetzt werden, da er mutmaßlich nicht geschult ist.

          Dieses Verfahren hatte ich damals gewählt, da ich nichts am Hut haben wollte mit der DSGVO. Bis dato habe ich keinerlei personalisierte Daten gespeichert, außer die Schulungsbescheinigung selbst als PDF. Jetzt will meine Aufsichtsbehörde das eben anders haben: Es sollen die Daten, wie o.a. der Person angezeigt werden, die an dieser Schulung teilgenommen hat.

          Zu erwähnen wäre noch, dass ausschließlich die Person über die "Zugangsdaten" für die Onlineüberprüfung zu seiner Schulungsbescheinigung hat und sonst niemand. Der Eigentümer selbst bestimmt, wem er diesen CODE zur Überprüfung vorlegt, ist also völlig frei in seiner Entscheidung, wer seine Daten einsehen kann.

          Wenn ich nun zwangsläufig personenbezogene Daten in meiner Datenbank speichern muss, dann möchte ich sie schon gut verschlüsseln, um bei einer potentiellen Hackerattacke keine Klardaten rausgehen können.

          Vielleicht hat ja einer von euch ne Idee, wie man das lösen könnte. Das Problem nur ist, dass ich mit Excel verschlüsseln muss (lokal bei der Generierung der Schulungsbescheinigung) um dann später bei der QR-Abfrage Online durch PHP entschlüsselt wieder darzustellen. base64 eignet sich gerade am besten dazu, wobei ich weiß, dass das ziemlich schwacher Käse ist.

          Beste Grüße Chris

          1. Wenn ich nun zwangsläufig personenbezogene Daten in meiner Datenbank speichern muss, dann möchte ich sie schon gut verschlüsseln, um bei einer potentiellen Hackerattacke keine Klardaten rausgehen können.

            Nur ist eben base64 gerade keine Verschlüsselung. Leute wie ich und erst recht jedes Skript-KidBaby sehen einem String die base64-Kodierung an und versuchen base64decode als Erstes…

            Vielleicht hat ja einer von euch ne Idee, wie man das lösen könnte. Das Problem nur ist, dass ich mit Excel verschlüsseln muss

            Eine Möglichkeit wäre, die Daten durch ein externes Programm zu verschlüsseln, z.B.

            Das geht durchaus auch in Excel:

            Die andere wäre, Du findest eine Excel/VBA-Funktion, die sowas kann oder Du baust den Algo nach, in dem Du die Funktion in VBA implementierst.

            Dein Job:

            • Du baust - für jedes Zeugnis - ein individuelles ausreichend langes und ausreichend zufälliges Passwort. Dazu eine „PIN“, die Du später dem Benutzer gibst.
            • Leider musst Die zu verschlüsselnden Daten dann erst mal in eine Datei schreiben und dann die verschlüsselte Datei lesen, die Daten sodann base64-kodiert in Dein Excel-Tabelle aufnehmen
            • Mit diesem Passwort und der PIN (zu einem String verknüpft) verschlüsselst Du mit ccrypt die Daten.
            • Du speicherst das Passwort nur als Bestandteil der URL im QR-Code. Ebenfalls im QR-Code: Eine ID (z.b: Zeugnisnummer). Auch diese muss ausreichend groß und vor allem nicht erratbar sein.
            • Die PIN bekommt der Schüler. Nach Scannen des Codes und Eingabe der PIN werden also ID, PIN und das PASSWORT via HTTPS zum Server übermittelt.
            • Dort wird anhand der ID der Datenbankeintrag geholt, dieser wird wieder mit der zu einem String vereinigten PIN und dem Passwort entschlüsselt (Dazu müssen die Daten mit base64dercrypt behandelt und in eine temporäre Datei geschrieben werden).
            • Apropos Dateien: Wie wär's mit einer RAM-Disk?
            • Dann sendest Du die Daten via HTTPS.
            • liefert ccdecrypt kein Ergebnis, dann war die PIN falsch…
            • Nach einer bestimmten Anzahl falscher PINs muss die Abfrage des betroffenen Datensatzes temporär gesperrt werden…

            Jetzt musst Du Dir nur noch einfallen lassen, was Du machst, wenn die PIN vergessen wurde. Die PIN selbst speichern ist ein Problem, weil sowohl Du selbst als auch ein Angreifer dann ja jederzeit die Daten entschlüsseln könnte. Die PIN nicht für das endgültige „gemeinsame“ Geheimnis zu nutzen geht aber auch nicht.

            Wie auch immer Du DAS regelst: Viel Spaß DABEI!

            1. Also nach der neuen DSGVO brauchst Du dennoch eine Zustimmung zur Datenverarbeitung. Das alte Datenschutzgesetz hat mit der Begrenzung auf „durchsuchbare Dateien“ (gemeint „Datenbanken“) Dinge wie „Akten“ und sogar Einzeldokumente wie die PDFs ausgenommen (Dank des Dialerparasiten hatte ich da ein positives Urteil) - aber die DSGVO kennt diese Ausnahmen nicht und verlangt also sogar da nach einer Zustimmung.

              Mach Dir also keine Hoffung, die Erfordernisse und Pflichten aus der DSGVO umgehen zu können, in dem Du „nur“ das PDF speicherst.

              1. Hallo,

                Also nach der neuen DSGVO brauchst Du dennoch eine Zustimmung zur Datenverarbeitung.

                ja, vermutlich. Es kommt drauf an, wie transparent der Workflow ist.

                Mach Dir also keine Hoffung, die Erfordernisse und Pflichten aus der DSGVO umgehen zu können, in dem Du „nur“ das PDF speicherst.

                Ganz so einfach ist es nicht. Die DSGVO erlaubt die Speicherung und Verarbeitung von Daten auch ohne explizite Zustimmung, wenn diese zur Erbringung einer Leistung offensichtlich erforderlich sind. So muss etwa ein Online-Shop kein ausdrückliches Einverständnis einholen, die Postanschrift des Kunden zu speichern. Denn die braucht er zwingend, um nach Abwicklung der Bestellung das Paket zu adressieren.
                Man könnte höchstens in Frage stellen, ob er die Anschriften nach der Bearbeitung der Bestellung weiterhin speichern darf. Aber ich vermute, dass sie dann als Geschäftsdaten im Sinne des Vertragsrechts gelten und daher sogar eine gesetzliche Aufbewahrungspflicht entsteht.

                Erst wenn er die Daten noch für andere, nicht unmittelbar notwendige Zwecke verwenden will, muss er dafür die Einwilligung einholen.

                Einen schönen Tag noch
                 Martin

                --
                Möchtegern-Dichter zum Verleger: "Sie meinen also, ich sollte etwas mehr Feuer in meine Verse legen?" - "Umgekehrt, mein Lieber, umgekehrt. Mehr Verse ins Feuer."
                1. Ganz so einfach ist es nicht. Die DSGVO erlaubt die Speicherung und Verarbeitung von Daten auch ohne explizite Zustimmung, wenn diese zur Erbringung einer Leistung offensichtlich erforderlich sind.

                  Naja. Mit dem Begriff der „Offensichtlichkeit“ ist das so eine Sache... denn das beurteilen nachfolgend Richter(innen). Mithin Leute, denen ich auf Grund von Erfahrungen (unfassbare Anzahl und Häufigkeit von in meinen eigenen Angelegenheiten aufgehobener Beschlüsse und Urteile) nicht mehr viel Vertrauen entgegenbringen kann.

                  Nachricht: Einer meiner früheren Gegner wurde aktuell von der StA Essen wegen 65 von mutmaßlich hunderten Fällen des Abmahnbetruges im Zusammenhang mit DSGVO-Abmahnungen angeklagt. Er hat mindestens zwei Vorstrafen und vorliegend auch Urkunden gefälscht. Womöglich toppt er im Ergebnis also die Verurteilung Grafenreuths.

                  1. Hi,

                    Nachricht: Einer meiner früheren Gegner wurde aktuell von der StA Essen wegen 65 von mutmaßlich hunderten Fällen des Abmahnbetruges im Zusammenhang mit DSGVO-Abmahnungen angeklagt. Er hat mindestens zwei Vorstrafen und vorliegend auch Urkunden gefälscht. Womöglich toppt er die Verurteilung Grafnreuths.

                    Schaffst Du es eigentlich auch mal, Deine Prozeßiererei aus einem Selfhtml-Thread rauszuhalten, oder überfordert Dich das?

                    Ich find's ziemlich nervend und störend.

                    Wenn Du das Zeug unbedingt mitteilen mußt, dann mach das doch bitte auf Deiner Website, nicht hier.

                    cu,
                    Andreas a/k/a MudGuard

                    1. Nachricht: Einer meiner früheren Gegner wurde aktuell von der StA Essen wegen 65 von mutmaßlich hunderten Fällen des Abmahnbetruges im Zusammenhang mit DSGVO-Abmahnungen angeklagt. Er hat mindestens zwei Vorstrafen und vorliegend auch Urkunden gefälscht. Womöglich toppt er die Verurteilung Grafnreuths.

                      Schaffst Du es eigentlich auch mal, Deine Prozeßiererei aus einem Selfhtml-Thread rauszuhalten, oder überfordert Dich das?

                      Nun

                      • es ist aktuell,
                      • die Sache berührt mich stark (auch weil ich vom AG Kassel freigesprochen wurde, eben weil ich ihn schon vor Jahren nicht zu Unrecht einen „Kriminellen“ nannte),
                      • „serieller Betrug mit DSGVO-Abmahnungen“ betrifft zumindest thematische Randbereiche des Forums (das Schlagwort „Recht“ ist ja nicht umsonst in der Liste) und wenn es auch nicht „jeden“ interessiert - manche schon.

                      Wenn Du das Zeug unbedingt mitteilen mußt, dann mach das doch bitte auf Deiner Website, nicht hier.

                      Das habe ich schon. Allerdings bei weitem nicht so zurückhaltend wie hier. Deshalb auch kein Link.

            2. Du kannst auch openssl benutzen, musst aber mal schauen, wie Du das unter Windows machst...

              1. Verschlüsseln im Terminal oder als Programmaufruf:
              echo -n 'Geheimer Text' | openssl aes-256-cbc -a -salt -in /dev/stdin -pass pass:hallo
              

              (Ausgabe: Etwas wie 'U2FsdGVkX18p8yPTFHLa5JSZNcyVJG4OyqpAyPB6/rM=', wg. -salt)

              1. Entschlüsseln im Terminal oder als Programmaufruf:
              export foo='hallo';
              echo 'U2FsdGVkX18p8yPTFHLa5JSZNcyVJG4OyqpAyPB6/rM=' | openssl aes-256-cbc -d -a -in /dev/stdin -pass pass:hallo
              

              (Ausgabe: Geheimer Text)

              1. https://indy.fulgan.com/SSL/

                Nimm die neueste Version für Dein OS.

          2. Hallo cross,

            eine Verschlüsselung in der DB, die Du mit PHP aufheben kannst, setzt voraus, dass das Passwort in deinem PHP Code hinterlegt ist. Ein Hacker, der deine DB absaugen kann, dürfte auch deinen PHP Code auslesen können.

            Wenn auf dem PDF persönliche Daten notiert sind, führst Du bereits eine Verarbeitung personenbezogener Daten durch. D.h. wenn Du das PDF speicherst, unterliegst Du bereits der DSGVO. D.h. die Speicherung der Daten als codierter Blob oder als Klartextfeld ändert nichts am DSGVO-Status.

            Aus meiner Sicht ist die Verschlüsselung der Daten in der DB unnötig. Wer deine regulären Zugriffsmechanismen aushebeln kann, wird auch die Verschlüsselung umgehen können. Du solltest schauen, ob Du in der DB einen Mechanismus zur verschlüsselten Speicherung hast, damit ein geklautes DB Backup kein Loch aufreißt. Aber gegenüber einem autorisierten Client zu verschlüsseln (also PHP), nützt mMn wenig.

            Aber wenn Du unbedingt willst... Denkbar wäre der Einsatz eines externen Verschlüsselungsprogramms, das Du aus Excel heraus über das WShell-Objekt aufrufst (wenn ich mich recht entsinne). In PHP kannst Du dann mit shell execute die Entschlüsselung aufrufen. Den verschlüsselten Datenblock kannst Du in einem binary-Feld ablegen oder base64 codieren.

            Rolf

            --
            sumpsi - posui - obstruxi
          3. Hello,

            verschlüsseln der Datenbank hat nur dann Sinn, wenn man die Datenbank vor dem Arbeiten damit wieder entschlüsseln kann.

            Es hat also meistens auch keinen Sinn, einzelne Spalten zu verschlüsseln, wenn man diese (datenbanintern) indizieren muss, um z. B. Relationen auflösen zu können.

            Es hat aber Sinn, eine solche Datenbank in einer privaten Umgebung zu hosten (was bei heutigen DSL-Anschlüssen durchaus möglich ist), und die Verbindung zum lastbehafteten Webserver zur weniger belasteten Datenbank in der privaten DMZ über eine VPN-Verbindung, bzw. (bei MySQL/MariaDB möglich) einen "intern" verschlüsselten Zugang zu sichern.

            Die Datenhohheit verbleibt damit im eigenen Hause, vorausgesetzt natürlich, man reißt dort keine weiteren Lücken auf.

            [Ergänzung]:

            Die API auf dem Webserver darf dann selstverständlich keinen Vollzugriff auf die Tabellen der Datenbank haben und die Geschäftsregeln (Zugriffskontrolle, Historeie) müssen in der Datenbank vereinbart werden.

            Als DB-Server reicht hier meistens schon eine Raspberry-PI 4.0b.

            Dieses Verfahren hat bereits 2001 mit M$-Access-Datenbanken gut funktioniert. Inzwischen sind die Netze ungefähr 160 mal so schnell (im Upload des DSL-Anschlusses und 1.470 mal so schnell im Download, der hier aber eher unwichtiger ist).

            Da sehe ich also für mäßig frequentierte Webseiten kein Nadelöhr.

            Du könntest auf diese Weise die Verschlüsselung in diejenige Schicht legen, in die sie ohnehin gehört!

            Glück Auf
            Tom vom Berg

            --
            Es gibt soviel Sonne, nutzen wir sie.
            www.Solar-Harz.de
            S☼nnige Grüße aus dem Oberharz
  2. Guten Abend Leute,

    wow, viele gute Ansätze, vielen Dank dafür.

    Da ich als freiberuflicher Dozent Einzelkämpfer bin und in kein Konzernangestellter mit entsprechender Infrastruktur, hoste ich tatsächlich meine komplette Website (LAMP) mit allem Drum und Dran bei mir zu Hause auf einer leistungsstarken Synolog NAS. Die hängt hinter ner Fritz an einer entsprechenden Business-Leitung der Telekom mit fester IP. Von daher sind meine Daten schon recht sicher. Ebenso kommt es vielleicht 100 Mal im Jahr vor, dass eine Bescheinigung online validiert wird.

    Von daher habe ich nun aufgrund des unglaublichen Aufwandes (DSGVO) entschieden, das ganze einzustampfen und nicht mehr anzubieten. Ich kann das alles nicht leisten und weigere mich meine Behörde dahingehend zu pudern, dass sie schön bequem meine Bescheinigungen verifizieren kann. Sollen die sich was einfallen lassen. Bis dahin bleibt es bei den ohnehin schon vorhandenen fälschungssicheren Merkmalen auf der Papierform der Bescheinigungen, die jeder Teilnehmer bekommt.

    Aber was ich nun daraus lerne ist, dass in D/EU auch in 350 Jahren keine vernünftige Digitalisierung vorankommen oder gar eingeführt wird. Ja, Datenschutz ist gut und sinnvoll, aber wie bei allem übertreiben es die Großkopferten ohne Maßen.

    In diesem Sinne - nochmals besten Dank für die rege Diskussion und vielen tollen Ansätzen - am Ende bleibt für einen Betreiber ein nicht kalkulierbares Risiko, einen auf den Ar.... zu bekommen. Ne, danke. :)

    Beste Grüße aus Bayern

    Chris

    1. Dein QR-Code erhält Name, Vorname, Geburtsdatum sowie meinetwegen weitere Metainformationen (siehe unten) im Klartext, sowie eine per openssl mit einem private/public-Key erstellte Signatur dieser Daten. Verschlüsseln kannst Du auch, dann würdest Du aber ein zusätzliches Key-Paar für die Behörde brauchen...

      Das Amt bekommt Deinen öffentlichen Key und kann mittels diesem und openssl die Daten überprüfen, erhält also eine Anzeige, dass der Max Mustermann, geb. am 31.12.2000, das Zertifikat Nr. 0815 am 31.01.2023 tatsächlich erhalten hat.

      Ergebnisse:

      1. Du braucht nichts speichern.
      2. Der Webservice wird nicht gebraucht, denn die Signatur wird lokal bei der Behörde geprüft.
      3. „DSGVO-technisch“ bist Du fein raus.
      4. Fälschen kann das (hoffentlich) niemand, der nicht auch Deinen privaten Key hat.

      Eventuelles Problem:

      • Wer erstellt auf welcher faktischen Grundlage eine Ersatzurkunde?

      Aber was ich nun daraus lerne ist, dass in D/EU auch in 350 Jahren keine vernünftige Digitalisierung vorankommen oder gar eingeführt wird.

      Ja. Auch ich hab auch schon mit große Steinen auf kleine Probleme geworfen.

        1. „DSGVO-technisch“ bist Du fein raus.

        Sicher?
        Ich glaube eher, dass cross als Anbieter der Schulungen ohnehin nihct um die Beachtung der DSGVO herum kommt.
        Wenn er damit Geld verdient, wird er alleine wegen der steuerrechtlichen Aufbewahrungspflichten Daten speichern müssen, also unterliegt er auch der DSGVO.

        Ich kann den Unmut von cross gut verstehen und wäre ebenso geneigt, nicht den Hampel der Behörden zu spielen. Und wenn, dann sollen die dafür bezahlen.

        JJ

          1. „DSGVO-technisch“ bist Du fein raus.

          Sicher?

          Natürlich nur insoweit es um die hier besprochene Thematik geht.

          Ich glaube eher, dass cross als Anbieter der Schulungen ohnehin nihct um die Beachtung der DSGVO herum kommt.

          Hm. Er beschreibt sich selbst als „freiberuflicher Dozent“. Insoweit kenne ich mich aus: Ich, als freiberuflicher Dozent, speichere rein gar nichts über meine Teilnehmer. Das überlasse ich brav den Anbietern. Mithin meinen Auftraggebern, mit denen einerseits meinereinerhöchstselbstpersönlich und andererseits auch die Teilnehmersolchewelche oder deren Arbeitgeber schließlich Verträge haben.

          Manchmal, und das ist selten weil ich nicht aktiv um solche werbe(n darf), habe ich auch Direktverträge mit den Arbeitgebern. Aber eben nie mit den Teilnehmern direkt.

          Ich kann den Unmut von cross gut verstehen und wäre ebenso geneigt, nicht den Hampel der Behörden zu spielen. Und wenn, dann sollen die dafür bezahlen.

          Jepp! Mir deucht, dass das gar nicht seine Sache ist und das ihm da jemand höchst unredlich „was auf's Auge gedrückt“ hat.

          1. Hm. Er beschreibt sich selbst als „freiberuflicher Dozent“. Insoweit kenne ich mich aus: Ich, als freiberuflicher Dozent, speichere rein gar nichts über meine Teilnehmer. Das überlasse ich brav den Anbietern.

            Geh noch einen Schritt weiter, denn Du brauchst die Daten der Teilnehmer gar nicht speichern, sondern nur zu verarbeiten, um als Auftragnehmer im Sinne des DSGVO zu gelten. Also doziere und lass auch die Verarbeitung persönlicher Daten durch Deinen Auftraggeber vornehmen (also auch die Ausstellung des Zertifikates, der Teilnehmerurkunde oder des Jodeldiploms), ansonsten bist Du Auftragnehmer i.S.d. DSGVO.
            Entsprechend gilt das auch für den TO.

            Manchmal, und das ist selten weil ich nicht aktiv um solche werbe(n darf), habe ich auch Direktverträge mit den Arbeitgebern. Aber eben nie mit den Teilnehmern direkt.

            Das ist für das DSGVO auch entbehrlich, es hat Dich, den TO oder auch mich trotzdem im Visier.

            Ich kann den Unmut von cross gut verstehen und wäre ebenso geneigt, nicht den Hampel der Behörden zu spielen. Und wenn, dann sollen die dafür bezahlen.

            Jepp! Mir deucht, dass das gar nicht seine Sache ist und das ihm da jemand höchst unredlich „was auf's Auge gedrückt“ hat.

            Gaaanz genauso sieht es aus.
            Daher, und insb., wenn er das ohne Umsatzverluste kann, hat er völlig recht, hier nen schlanken Fuß zu machen.