Der praktische Weg zur DSGVO

Anzahl der Kommentare: 24, Seiten: 1
Avatar
Klaus 22.05.2018 10:34
Auf so einen Artikel warte ich seit Wochen :-)

Herzlichen Dank!
Avatar
Andreas Weinberger 22.05.2018 12:47
Was für eine Wohltat mal in der ganzen Panikmache eine Stimme der Vernunft zu hören.

Vielen Dank dafür
Avatar
A 22.05.2018 13:40
Schön und gut, aber so gut wie keine Anleitung betrachtet das Problem der IP Adresse in den Logs des Webspace Anbieters. Diese gelten ja (Dank unsinniger Beschlüsse) ebenfalls als personenbezogene Daten was bedeutet, dass selbst der einfache Aufruf schon Spuren des Besuchers erfasst. Und ich befürchte, die Geier der Abmahnindustrie finden den kleinsten Ansatz zur Klage.

Ich habe für meinen Teil all meine Blogs gelöscht. Die ganzen Tipps, Tricks und Anleitungen habe ich in meiner Freizeit erstellt und unentgeltlich online gestellt. Nun soll ich mich in meiner Freizeit auch noch in juristische Texte einlesen? Ohne mich. Und der Rest wandert dann halt zu Facebook und Co. ab. Toll, was aus dem Internet geworden ist. Aber hey, alles nicht so schlimm.
Avatar
ekki 22.05.2018 15:06
Super! Klasse!
Danke!!
Avatar
Günther 22.05.2018 16:11
Guten Tag,
ich finde den Beitrag wirklich sehr gut. Endlich einmal eine sachliche Information und nicht reine
Panikmache. Ich habe versucht, meine Webseite wetterfest zu machen. Ob mir das gelungen ist, weiß ich nicht. Es ist schon eine Schande, wie desinformiert wir werden. Aber es stimmt, aufgeben möchte ich auch nicht, denn meine Seite ist meine einzige Möglichkeit, mich zu artikulieren. Und ich werde mich wehren, sollte jemand versuchen, mich über den Tisch zu ziehen.

Lg Günther
Avatar
Tim 22.05.2018 16:18
Das ist leider eine fahrlässige Vereinfachung des Themas, nach dem Motto "wird alles gut". Das wird es leider nicht! Sie haben keinerlei Ausführungen zu dem Umgang mit EMails (verschlüsselt oder nicht), Umgang mit Fotos, Führung eines Verarbeitungsverzeichnis (selbst bei kleinen Betrieben kommen leicht 38 Seiten zusammen), Zustimmungserklärungen (die aufgrund der ungeklärten Rechtslage sehr viel häufiger notwendig sind als von Ihnen ausgeführt), Verpflichtungserklärungen von Mitarbeitern und Subunternehmern und notwendigen Verträgen zur Auftragsverarbeitung getätigt. Und das sind nur die großen Probleme. Die kleinen folgen ja noch, wie der inzwischen breit ausgeführte Umgang mit Visitenkarten.

Wer dann den Datenschutzbeauftragten der Landesämter als Unterstützer empfiehlt, empfindet auch den Betriebsprüfer des Finanzamts als Freund und Helfer.

Sie wiegen mit einem solchen Artikel viele in falscher Sicherheit. Bis die erste Anfrage eines Kunden kommt, die entsprechenden Daten zur Information herauszugeben....
Avatar
Arne 22.05.2018 16:20
Diese Webseite hat nach dem 25. Mai ein Problem. Allgemeine Rechtsauffassung ist, dass bei der Sammlung personenbezogener Daten eine Belehrung und ausdrückliche Zustimmung erforderlich ist. Um diesen Kommentar abzugeben, habe ich soeben ein Formular mit personenbezogenen Daten ausgefüllt. Weder wurde ich belehrt, noch habe ich meine Zustimmung zur Speicherung und Verarbeitung der Daten geben können. :-(
Avatar
Ralf Reske 22.05.2018 16:25
Ich hab mich jetzt 8 Tage mit der Materie befasst. Im Netz gibt es jede Menge Widersprüchliches. Selbst Texte von vorlauten Rechtsanwälten sind voll mit sollte, könnte und eventuellen Möglichkeiten. Auskünfte von Landesdatenschutzbeauftragten variieren je nach Bundesland. Ich würde sagen, die Verordnung ist ein unübersichtliches Monster, ein gefundenes Fressen für die Abmahngeier und deshalb hab ich meine shops geschlossen. Ich habe nämlich keine Lust, das Versuchskaninchen zu machen.
Avatar
Paul 22.05.2018 16:55
Es gibt so viele Rechtsbereiche, in denen alles, was man nicht anderweitig regelt, durch BGB-Paragraphen ist. Dies wäre auch für Webseiten und andere Internet-Dienste eine sinnvolle Sache. Dann könnte ein Webseiten-Betreiber, der sich nicht mit juristischen Texten auseinandersetzen möchte, einfach ins Impressum schreiben, dass der Umgang mit personenbezogenen Daten nach einem erwähnten BGB-Paragraphen geregelt ist und niemand müsste mehr irgendwelche Rechtsbelehrungen stets aktuell halten, sofern keine von der Norm abweichende Regelung notwendig ist.
Avatar
Martin 22.05.2018 17:20
@Arne: die allgemeine Rechtsauffassung ist eben nicht, dass jede Verarbeitung von Daten eine Einwilligung braucht. Einfach mal die DSGVO, Artikel 6 lesen. Zur Wahrung meiner berechtigten Interessen und zur Anbahnung und Durchführung von Verträgen brauche ich keine Einwilligung, sondern muss lediglich darüber informieren.
Und wer einen Kommentar schreibt, will ja gerade, dass er erscheint. Der Betreiber des Blogs hat aber nun wiederum rechtliche Pflichten, IP Adresse zu erfassen zum Beispiel. Auch hierfür braucht er keine Einwilligung....
Avatar
Walter Dettinger 22.05.2018 19:47
Habe meine Web-Seite durch einen entsprechenden Anbieter überprüfen lassen ca. 80€, der hat festgestellt dass ER die Mängel für 3-500 € berichtigen und DSGVO fest machen könnte. Ob es dafür dann eine Garantie gibt blieb bisher offen. Ich habe meine Web-Seite deshalb zunächst mal stillgelegt. Mal sehen was die ersten Abmahnhaie zu Tage fördern. Dann sehen wir weiter. Die DSGVO ist auf jeden Fall so wie sie eingeführt wurde unzumutbar und als bürokratisches Monstrum einzustufen, das der deutschen und europäischen Wirtschaft schaden wird. Wozu die EU der Wirtschaft von innen solche Bedrohungen zumutet ist unverständlich, aber anscheinend ist diesen Bürokraten die Bedrohung von aussen (USA etc.) nicht genug, es bedarf auch noch einer Bedrohung von innen. Dass Sie sich Ihre eigene Zustimmung durch die EU-Bürger damit auch noch ramponieren ist diesen "nicht gewählten" Bürokraten anscheinend völlig egal. Im übrigen gäbe es auch sinnvolle Beschäftigungen für die EU momentan wenn man sich die gesamte Lage zur EU betrachtet. Aber unsere ungewählten Vertreter brauchen ja die DSGVO und krumme Bananen und gerade Gurken damit ihnen die Arbeit nicht ausgeht - ARME EU und armes Deutschland.
Avatar
mitch 22.05.2018 21:42
Schön geschrieben und vor allem: Es fasst das genau so zusammen, wie ich das auch schon andernorts gelesen habe und selbst umsetzen werde. So falsch kann das also gar nicht sein, was ich da mache :-) Aktuell liege ich in den letzten Zügen, die IT ist schon angepasst, ich muss nur noch fertig dokumentieren…

Das Thema Videos habe ich bei mir gelöst, indem ich die großartigen fünf(!) eingebetteten Youtube-Videos durch Links auf Youtube ersetzt habe. Dann habe ich zwar keine Vorschau mehr, aber das ist mir egal. Und dass man nach einem Klick auf einem Link zu einer anderen Webseite auf einer anderen Webseite landet, braucht man wohl glücklicherweise auch nicht gesondert zu dokumentieren.
Unabhängig davon bin ich kürzlich bei Netz-Rettung-Recht über diesen Link gestolpert:
Self-hosted videos with HLS: https://vincent.bernat.im/en/blog/2018-self-hosted-videos
Vielleicht ist das was für Dich.

PS: Wieso kann ich hier nur mit aktivem JavaScript kommentieren? Ohne gab’s die Fehlermeldung „jsRunning fehlt“.
Avatar
Gunnar 23.05.2018 10:55
Guter Artikel. Leider macht Vorstellungen mancher Behörden dann doch das Leben schwer, was Jahrzehnte augenscheinlich verletzungsfrei möglich war. Textprobe des Datenschutzamts der Rheinland-Pfalz:

"Auch die Speicherung von Telefonnummern in einem Telefonendgerät unterfällt den Anforderung der Datenschutzgrundverordnung (DS-GVO). Die Nummern sind daher zu löschen sobald der Zweck der Datenspeicherung erreicht ist. Wenn dies z.B. direkt nach dem Telefonat der Fall ist, muss die Löschung der Nummer unverzüglich danach erfolgen. Sagt man hingegen, dass man innerhalb von 2 Tagen noch die Nummer zurückrufen möchte, die einen angerufen hat, sind die Nummern 2 Tage nach dem Anruf zu löschen. Eine gesetzliche Aufbewahrungspflicht für Telefonnummern besteht nicht."

Viel Spaß mit handelsüblichen Telefonen, deren Anrufliste nicht abschaltbar ist.
Avatar
Dieter 23.05.2018 11:02
@Arne: die Zustimmung ist nicht notwendig, da ein normaler Mensch bemerken könnte, das zu Vermeidung der Speicherung nur auf die Ausfüllung der Felder verzichtet werden muss. Diese Verarbeitung ist zu erwarten und banal. Steht auch so in Lutz' Datenschutzerklärung.

Sähe anders aus, wenn Lutz die Emails sammeln und dann an XY verkaufen wollte. Das wäre unerwartet.

@Ralf: Rechtsanwälte lieben Panik, da es Aufträge gibt und sie sich absichern müssen. Eine "allgemeine Rechtsauffassung" gibt es (noch) nicht, da noch nie vor Gericht verhandelt wurde und kein juristischer Kommentator irgendwas definitives dazu sagen kann.

Email ist nicht wirklich neu, da gelten die gleichen Regeln wie vorher (allerdings nur in D, deswegen melden sich jetzt alle nicht komplett in D ansässigen Anbieter!) - erinnert sich keiner mehr an die Newsletter-Abmahnungen vor Jahren?

Und die interne Verarbeitung (Kunden, Angestellt, Partner etc.) ist auch so wie vorher, nur bei unerwartetem Datenreichtum kommt die Firma nicht mehr mit "I'm so sorry" weg.
Avatar
Sabine 23.05.2018 20:08
Hallo Arne,

in dem Moment des Schreibens eines Kommentars wirst du doch selbst aktiv
und bekundest deine "Zustimmung", dass dein Geschriebenes auch veröffentlicht wird?

Und belehrt wurdest du doch (hoffentlich) durch den Artikel, zu dem du einen Kommentar schreibst.

Oben gibt es im Text auch einen Link zur Datenschutzformulierung des Autors!

Viel Erfolg + Mut
wünscht dir
Sabine
Avatar
Robert 25.05.2018 16:00
Hallo Lutz!

Meinen Glückwunsch zu deiner Seite, dass du die technischen Hintergründe siehst, verstehst und benennen kannst (z.B. in deiner Datenschutzerklärung). Ich versuche auch den Unterbau meiner Website zu verstehen, habe immer darauf geachtet möglichst wenige und seriös erscheinende Plugins für mein WordPress Blog zu verwenden, habe Tage damit verbracht alles DSGVO-konform zu bekommen. Statistik raus, Kommentare abgeschaltet, ein Facebook-Dingens gelöscht, etc. Eigentlich blieben nur noch Sicherheits-Helferlein übrig, keine Ahnung, wie ich die überprüfen, überwachen oder erwähnen muss. Ohne geht es aber nicht.

Und immer, wenn ich dachte: Jetzt habe ich es aber! – bin ich über etwas gestolpert, dass ich nicht bedacht hatte. Eben z.B. hier, dass ein eingebettetes YouTube-Video problematisch ist. Habe ich, wäre mir nicht im Traum eingefallen – aber stimmt, ist ja ein Code von YouTube den ich nicht verstehe. Das wäre wieder eine Abmahnfalle gewesen.

Nach wochenlangem rumgekrampfe habe ich meine Seite vom Netz genommen. Ist schlecht für die Meinungsfreiheit, aber ich habe einfach keinen Nerv mit der Aussicht auf eine Abmahnung weiter zu machen.

Jan Philipp Albrecht hat heute im Zeit Interview zugegeben: „Wir hätten die Menschen besser informieren können“. Haben sie aber nicht. Mir ist noch nicht einmal klar, ob die Ansicht des BMI, dass das KUG über der DSGVO steht, nur eine Meinung des Ministeriums darstellt, oder ob das ganz offiziell nach Brüssel gemeldet wurde und somit Rechtssicherheit beim Fotografieren schafft?

Immer nur Meinungen, Ansichten und Halbwahrheiten – mich selbst eingeschlossen! – wem darf ich glauben?
Avatar
Lula 31.05.2018 17:02
Nice text!
Avatar
Gast 31.05.2018 22:28
@Martin Vielleicht selber mal den Artikel 6 lesen. Die Wahrung der eigenen berechtigten Interessen gibt es dort nämlich nicht als Rechtsgrundlage. Es gibt nur die der überwiegenden berechtigten Interessen. Außerdem muss es eine Widerspruchsmöglichkeit geben, und wenn die genutzt wird, dann ist sogar ein zwingendes berechtigtes Interesse nötig, um die Daten weiter speichern zu dürfen. Im Zweifel ist immer erstmal bis zum Beweis des Gegenteils davon auszugehen, dass kein überwiegendes berechtigtes Interesse vorliegt, weil die DSGVO eine Generalklausel enthält, dass sie den Betroffenen schützen soll, nicht den Datenverarbeiter. Außerdem ist in den Erwägungsgründen ziemlich genau festgelegt, was überhaupt ein berechtigtes Interesse ist.

Auch die Begründung mit der Vertragsanbahnung und -durchführung trägt so nicht. Es muss eine Notwendigkeit dafür bestehen. Weder Vertragsnotwendigkeit, noch überwiegende berechtigte Interessen liegen bei Erhebung einer Email-Adresse bei einem Kommentarfeld vor. Dafür ist eine freiwillige Einwilligung nötig. Die mit einer ganzen Batterie von zusätzlichen Regularien kommt, die man dafür einhalten muss (Kopplungsverbot, Privacy by default). Die Begründung, dass jemand will, dass ein Kommentar erscheint, im Sinne des Prinzips "Daten gegen Leistung", ist mit der DSGVO verboten worden.

Eine rechtliche Pflicht für Webseitenbetreiber, die IP-Adresse zu erfassen, gibt es auch nicht, das wurde nichtmal von der Vorratsdatenspeicherung erfasst. Man kann hier höchstens mit überwiegendem berechtigten Interesse argumentieren, aber sicher nur, wenn nach wenigen Tagen zumindest anonymisiert wird (Maskierung der IP).
Avatar
Michael 01.06.2018 23:25
Can I share this article?
Avatar
nk 27.06.2018 21:32
"Einzelne aktive Inhalts können auch selbst Zugriffe auf andere externe Ressourcen durchführen, z.B. einen Sicherheitsscan über vom Nutzer definierte Netzbereiche."

Mit Verlaub, ich bezweifle dass solche Allgemeinplätze ausreichen. Da solltest DU schon Ross und Reiter nennen (z.B. Google (Fonts), yahoo apis und irgendein IPv6-referenzierter Server) und was diese Anbieter tun. Zum zweiten fehlen komplett die Rechte des Benutzers (z.B. Informationsrecht, Löschrecht) - kann mir nicht vorstellen, dass diese Angaben in allen von Kanzleien erstellten DSE, die ich bisher gesehe habe, aus Übervorsichtigkeit eingebaut wurden.
Avatar
Lutz Donnerhacke 28.06.2018 09:43
@nk

Die Rechte stehen dem Nutzer aus gesetzlichen Gründen zu. Die nochmal aufzuzählen, ist widersinnig. Dazu gibt es tonnenweise Grundsatzurteile bzgl. AGBs, die die Rechtslage (oft fehlerhaft) wiederholen.

Bzgl. der Scans/etc. hast Du falsche Vorstellungen. Es sind *meine* Programme auf *meiner* Webseite. Was sie tun steht an der jeweiligen Stelle. So kann man z.B. nach ungesicherten NTP Servern scannen oder eine DNS Anfrage quer durchs Netz unter Berücksichtigung von DNSSEC nachverfolgen. Das so etwas existiert, gebe ich an. Was es im Detail macht, gehört an die betreffende Stelle und nicht generisch wiederholt.
Avatar
nk 28.06.2018 18:06
Bleiben die Fragen nach der Einbindung der externen Ressourcen Google Fonts, Yahoo und der Aufruf Deines check-IP Javascripts; Wozu werden diese eingebunden, welche Daten werden übertragen etc.
Avatar
Struppi 30.06.2018 09:43
(diese Nachricht musste ich jetzt zwei Mal schreiben, da ich erst nach abschicken darauf hingwiesen wurde, dass ein Feld "jsrunning" fehlt)

Nach lesen deiner Datenschutzerklärung frage ich mich ob es ausreicht zu schreiben, dass du eine externe Quelle (googlefont) einbindest ohne darauf hinzuweisen ob und was dort verarbeitet wird oder fehlt nicht zumindest einen Hinweis auf die dortige Datenschutzerklärung?

Aufgrund solcher Unklarheiten habe ich noch keine Datenmschutzerklärung formulieren können.

Ich finde nicht, dass diese Regel einen Schutz darstellt. Da wir hier und bei vielen Millionen kleiner Anbieter nicht über Datenmissbrauch und deren Folgen reden. Diese Fallen aber alle unter die gleichen Regeln die Google, FB oder Amazon beachten sollen. Was meines erachtens für den interessierten "Verbaucher" abschreckend wirkt.

Fast alle die unmittelbar davon betroffen sind, empfinde es als Gängelei und nicht als "Schutz".
Avatar
lula 28.08.2018 01:32
Auskünfte von Landesdatenschutzbeauftragten variieren je nach Bundesland. Ich würde sagen, die Verordnung ist ein unübersichtliches Monster,

Post a comment