frank
Goto Top

DSGVO - Eine Blackbox für Webseitenbetreiber

Hi,

ganz ehrlich, ich versuche aktuell das Thema DSGVO zu verstehen. Ich versuche herauszufinden, was die neue DSGVO für administrator.de bedeutet. Ich habe das Gefühlt auch wir Entwickler müssen mittlerweile als Rechtsanwälte unterwegs sein. Verständlich ist das gesamte Thema nur selten.

Ich lese eine Menge bla, bla, viel Theorie und noch mehr Artikel die gut klingen, wenn es dann aber konkret wird, soll man dafür bezahlen oder sich registrieren. Das Thema scheint mir aktuell eine gigantische Abzocke zu sein. Verdammt, ich bin Entwickler und kein Jurist. Kaum ein Artikel der mal konkret wird oder der ein Beispiel liefert für Foren oder Blogs (die sind ja auch so selten).

Aktuell sie es so aus:

  • Wir nutzen Google Adsense und unser Publisher DoubleClick AdX für die Werbung.
  • Wir nutzen Google Analytics für die Analyse unsere Seiten (nur intern).
  • Wir geben keine Daten aus der User Registrierung oder vom Verlauf an irgendjemanden weiter (keine Dritten, nix nada).
  • Wir loggen nichts mit.
  • Wir verlangen weder RealName noch eine Adresse etc. Die einzigen persönlichen Daten, die ich aktuell zum Thema identifizieren kann, sind
    • E-Mail Adresse,
    • Firmenname (optional),
    • Webseite (optional) und
    • IP

Hat jemand ein Tipp für eine Seite wo es a) gut beschrieben wird und b) wo man auch mal Beispiele für eine Umsetzung finden. Oder alternativ findet sich jemand, der etwas konkretes zur DSGVO Umsetzung für unsere Seite sagen kann. Was müssen wir anpassen oder ändern?

Gruß
Frank

Content-Key: 374369

Url: https://administrator.de/contentid/374369

Ausgedruckt am: 28.03.2024 um 15:03 Uhr

Mitglied: NetzwerkDude
NetzwerkDude 18.05.2018 um 17:30:17 Uhr
Goto Top
Hast du in das Booklet der c't reingeschaut?
ftp://ftp.heise.de/pub/ct/listings/1811-076.pdf
Mitglied: thomasreischer
thomasreischer 18.05.2018 um 19:21:04 Uhr
Goto Top
Also es gibt viele solide und auch kostenlose Generatoren für DSGVO konforme Datenschutzerklärungen, die kannst du zumindest nutzen um mal das Grundgerüst zu erhalten- du musst es dann natürlich entsprechend ergänzen.

Ich persönlich habe aus purer Angst Analytics von meiner Website entfernt. Es gibt noch Debatten darum, ob es sich nun um ein berechtigtes Interesse handelt, oder ob der Seitenbesucher explizit einwilligen muss.

Ansonsten achte darauf, dass hier alles nach bestem Wissen und Gewissen läuft. Dann bist du im Vergleich zu vielen anderen schon mal auf einer relativ sicheren Seite. Viele, viele kleine Unternehmen sind momentan in einer ähnlichen Situation wie Du, viele Dinge werden sich erst im Laufe der Zeit komplett klären.
Mitglied: Pedant
Pedant 18.05.2018 aktualisiert um 20:53:41 Uhr
Goto Top
Hallo Frank,

vorab: Ich bin auch kein Jurist.

Vor vielen Jahren "erbte" ich ein Forum und betreibe es seither.
Ich stand daher neulich auch vor derselben Ausgabe.

Ich habe viel gesucht und viel gelesen und war ebenfalls überrascht, dass es für Foren praktisch keine Beispiele oder Tipps zu finden gibt.
Mein Lösung war dann, die Forensoftware zu aktualisieren (war ohnehin längst fällig) und die mitgelieferte Datenschutzbestimmung zu verwenden.
Zusätzlich habe ich den Server auf SSL (https) umgestellt, was auch überfällig war.
Mein Forum ist allerdings komplett umkommerziell und werbefrei und damit nicht wegen Wettbewerbsvorteilen/unlauterer Wettbewerb abmahnbar, was ja zunächst die größte Sorge ist, ein Schutz vor Bußgeld bei Verstößen ist das Nichtkommerzielle aber nicht.
Etwas Sorge macht mir noch der Artikel 8 DSGVO.
Ich habe deswegen die COPPA-Einwilligungs-Funktion in der Forumskonfiguration aktiviert, aber ob in Deutschland die Altersgrenze bei 13, 14, 15 oder 16 Jahren liegt, war bisher nicht rauszufinden und die genannte COPPA-Funktion eigentlich am Thema Datenschutz vorbei geht.

Du musst hier etwas mehr tun.
Am Datenschutz hat sich für Deutschland nicht viel verändert, aber "Datenschutzerklärung" ist jetzt wörtlich gemeint, also "Datenschutz" und "Erklärung".
Du musst erklären welche Daten Du sammelst, was Du damit machst und welche Rechte derjenige hat, dessen Daten es sind.

  • Wer ist hier verantwortlich
  • Welche Daten werden wie und warum gesammelt
  • Wie werden die Daten verarbeitet und wohin übermittelt
  • Welche Rechte hat eine betroffene Person

Der Fokus liegt hier auf personenbezogenen Daten, wobei auch eine IP-Adresse schon dazuzählt und damit fangen die Schwierigkeiten an.
Recht einfach ist das bei den Daten, die der User in sein Benutzerprofil einträgt und in seine Beiträge schreibt. Da weiß er was er eingibt und Du versprichst die Daten nur für den Forumsbetrieb zu nutzen und nicht einfach an Dritte herauszugeben.
Komplizierter wird es mit den persönlichen Daten, die hier "versteckt" gesammelt werden.
Da musst Du etwas weiter ausholen zu den Themen Google/Cookies/DoubleClick usw.
Wenn Du zusätzlich erklärst welche Daten anonymisiert erfasst und eventuell weitergegeben werden, machst Du auch nichts falsch.

Eine schön gegliederte Datenschutzerklärung hat z.B. mein Webhoster (Strato), von der Du Dich mal inspierieren lassen kannst.

Also meine Empfehlung ist, lies was Andere so schreiben und stellst Dir daraus Deine eigene Erklärung zusammen.
Dabei verschaffst Du Dir auch selbst einen aktuellen Überblick über Deine Datenerfassung und -verarbeitung und kannst diese mal überdenken, ob die Grundregel "Zustimmung" erfüllt ist, in Bezug auf die personenbezogenen Daten und ob alle anderen Daten tatsächlich ausreichend anonym und damit nicht personenbezogen sind.
Für meine private Webseite habe ich die Erklärung auch selbst geschrieben und hab dabei lieber zuviel als zuwenig erklärt, wobei diese Erklärung nicht als Blaupause für das Forum hier verwendbar ist.
Ich hab's eher nur erwähnt, Dich zu ermutigen einfach anzufangen. Du wirst sehen, es kommt schon was dabei raus.

Wenn Du was hast, kannst Du es gerne hier vorab posten, damit jeder mal seinen Senf dazugeben kann oder gleich veröffentlichen und gegebenenfalls abändern.

Gruß Frank


Nachtrag

Hier gibt es natürlich schon eine Datenschutzerklärung, die ich auch tatsächlich schon gelesen hatte.
Ich hatte es nur bei Schreiben dieses Beitrags vergessen und das Eine oder Andere davon ist damit hinfällig.

Zitat von
Wenn wir jedoch die persönlich zuzuordnenden Daten der Benutzer grundlegend anders verwenden, als bei der Erfassung dieser Informationen angegeben, veröffentlichen wir 7 Tage lang eine entsprechende Benachrichtigung auf unserer Webseite.
Wenn die persönlich zuzuordnenden Daten personenbezogene Daten sind, dann reicht es nicht 7 Tage lang abzuwarten.
Im dem Fall muss eine erneute Einverständniserklärung jedes Betroffenen eingeholt werden.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 18.05.2018 um 20:45:46 Uhr
Goto Top
Wir loggen nichts mit.

Wir nutzen Google Analytics für die Analyse unsere Seiten (nur intern).

widerspricht sich.

Wir nutzen Google Adsense und unser Publisher DoubleClick AdX für die Werbung.

auch das.
Mitglied: Frank
Frank 18.05.2018 aktualisiert um 22:43:03 Uhr
Goto Top
Zitat von @falscher-sperrstatus:

Wir loggen nichts mit.

Wir nutzen Google Analytics für die Analyse unsere Seiten (nur intern).

widerspricht sich.

nicht wirklich: Technisch haben wir kein Webserver Logtfile - wir loggen selbst also nichts mit.
Google Analytics erfasst natürlich Daten jeder Webseite, welche genau weiß ich nicht und das "loggen" passiert nicht durch uns, sondern durch Google. Was ja auch der Knackpunkt ist.

Wir nutzen Google Adsense und unser Publisher DoubleClick AdX für die Werbung.

auch das.

Adsense verwalten wir selbst und Google Publisher DoubleClick AdX wird nicht durch uns, sondern durch die Werbeagentur, die die Banner verkauft, verwaltet. Auch hier weiß ich nicht was a) Adsense oder DoubleClick AdX von Google alles mitloggt und b) was evtl der Publisher noch mitloggt. Das liegt alles "remote" und kann jeder Zeit von Google oder dem Publischer geändert werden. Auch das ein Knackpunkt.

Gruß
Frank
Mitglied: Tezzla
Tezzla 18.05.2018 aktualisiert um 23:03:20 Uhr
Goto Top
Hallo Frank,

Wir loggen nichts mit.
ist faktisch falsch. Die Seite Administrator loggt mit. Google Analytics ist mit Einbinden Teil deiner Webseite. Du hast "nur" keinen direkten Zugriff auf die Daten - was aber eher noch schlimmer ist. Du übermittelst Daten - und weißt eigentlich nicht mal genau, welche (absichtlich provokant formuliert).

Genau deswegen gibt es diese Verordnung: Man muss sich Gedanken machen, wie es mit der ganzen Datensammelei weitergeht - oder eben nicht.
Du, als Seitenbetreiber, hast deiner Informationspflicht nachzukommen, welche Daten zu welchen Zwecken erhoben werden und was damit geschieht. Ist das nicht möglich, ist das Sammeln der Daten untersagt.

Bei den Trackern kommt es darauf an, welche Daten erhoben werden und ob diese anonymisiert gespeichert und ausgewertet werden. Lässt sich im Anschluss an eine Anonymisierung kein Personenbezug (auch mithilfe von Dritten) herstellen, sieht die Welt schon anders aus. Das wird mit Google Analytics und Adsense aber ziemlich unmöglich, weswegen viele dazu übergehen die Tracker vorübergehend zu deaktivieren und die ersten Urteile abwarten.

Das gilt im Übrigen auch für weniger offensichtliche Tracker, wie Google Fonts.

Viele Grüße
T
Mitglied: thomasreischer
thomasreischer 18.05.2018 aktualisiert um 23:06:53 Uhr
Goto Top
@Frank Dann solltest du dich mal dringend informieren, denn das liegt alles in deiner Verantwortung.
Und doch, all diese Dinge loggst DU (also administrator.de) mit, völlig egal welcher Dienst das dann ist.
Übrigens brauchst du unter anderem mit Google einen Vertrag zur Auftragsdatenverarbeitung.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 19.05.2018 um 00:08:15 Uhr
Goto Top
Sorry Frank, wie die Kollegen bereits erwähnten, loggst du, wenn ich mich auf deine Seite begebe. Ob dieses Loggen nun bei dir stattfindet oder auf Drittsystemen, ob du eine Ahnung hast oder nicht, das ist sekundär, denn mitgeschrieben wird auf jeden Fall - das ist dir klar. Da du dies nun also tust und ich im Zweifelsfall DAU bin, musst du nun sagen, wo du alles (auch über dritte, durch Einbau) mitschreibst. Und das möglichst genau, was zu beschreiben nun auch dein Job ist.

Das macht die DSGVO eben auch so komplex (und meines Erachtens mal wieder vom Radler für den Autofahrer konzipiert..also von der Realität meilenweit entfernt).

VG
Mitglied: StefanKittel
StefanKittel 19.05.2018 um 00:28:15 Uhr
Goto Top
Hallo,

so könnte es zum Beispiel aussehen.

https://www.underarmour.de/de-de/

Stefan
Mitglied: Frank
Frank 19.05.2018 aktualisiert um 03:42:02 Uhr
Goto Top
Hi,

mir ist schon klar, das es ein "loggen" ist, ich bin doch nicht blöd, hallo, auf welcher Seite sind wir? Belehrungen sind hier nicht zielführend. Ich wollte damit nur klarstellen, das ich mir den Text zum Logfile sparen kann, da wir das nicht machen. Bei den Google-Diensten sieht es natürlich anders aus, was die loggen kann ich nicht/wenig kontrollieren. Mir ist auch klar, das genau das der Knackpunkt ist. Analytics habe ich längs anonymisiert, aber es mal eben auszuschalten ist sicher ein Weg, der für uns aber nicht gangbar ist. Bei der Werbung sieht es natürlich genauso aus. Ich suche praktische Beispiel und reale Lösungen.

@Frank Dann solltest du dich mal dringend informieren, denn das liegt alles in deiner Verantwortung.

Echt jetzt, da wäre ich ja nie drauf gekommen. Danke für den Hinweis.

Du, als Seitenbetreiber, hast deiner Informationspflicht nachzukommen, welche Daten zu welchen Zwecken erhoben werden und was damit geschieht. Ist das nicht möglich, ist das Sammeln der Daten untersagt.

Wie gesagt alles nur Theorie, da man es natürlich nicht untersagen kann. Ich kann zwar sagen, das wir Adsense und Co nutzen, aber was mit den Daten bei Google passiert ist für uns nicht mehr transparent - und die Verantwortung werde ich dazu bestimmt nicht übernehmen - und rausnehmen geht halt auch nicht. Eine klassische Zwickmühle.

Die Verordnung gibt es bereits seit 2 Jahren, lediglich die Übergangsfrist läuft am 25.Mai aus. Wie von einigen erkannt, haben wir bereits eine gute Datenschutzerklärung. Der deutsche Datenschutz war und ist bisher schon immer sehr gut gewesen. Die Idee der Politik nun alles genau aufzuklären, die Wege der Daten aufzuzeigen, ist in der Praxis nicht wirklich möglich - und absolut Internetfremd. Netzwerke verschachteln sich nun mal. Da fast alles über Internet-Dienste läuft, ist das ein Kampf gegen Windmühlen. Die Presse macht zwar aktuell Stimmung, aber wenn wir ehrlich sind ist es viel Lärm um nichts. In 4 Wochen interessiert es keinen mehr, lediglich ein paar Abmahnanwälte haben ihren Spaß.

Und das möglichst genau, was zu beschreiben nun auch dein Job ist.

Das ist mir auch klar, es sind ganz genau die Dienste, die ich oben im Beitrag aufgelistet habe. Hat denn mal jemand ein "Verzeichnis von Verarbeitungstätigkeiten" für ein Forum gesehen?

Was ich brauche, ist eine Idee, wie man es nun in die Realität umsetzt. Beispiel: Brauche ich wirklich ein Opt-Out Cookie für Analytics, Adsense oder DoubleClick AdX. Wenn ja wie. Bei Analytics gibt es das wohl, wenn einer die Seite mit einer Anleitung dazu findet, nur her damit. Müssen wir auch unser Cookie Hinweis erweitern, etc.

Wie gesagt, echte Lösungen sind gefragt, die Diskussion über Datenschutz-Theorie, Sinn/Unsinn der DSGVO oder ob ich oder Google mitloggen, ist zwar nett, hilft aber gerade so gar nicht.

Gruß
Frank
Mitglied: keine-ahnung
keine-ahnung 19.05.2018 um 10:15:52 Uhr
Goto Top
Moin,
auf diesem Forum sollte man eine hohe Expertise erwarten dürfen - Nutzung ist für umme face-smile !
Analytics habe ich längs anonymisiert
Anonymisieren geht nicht ... was Du mit anonymizeIP erreichst, ist bestenfalls eine Pseudonymisierung.
Ich habe Analytics auf meinen websites runtergeschmissen ... ich bin allerdings kaum noch mehr Kundeneinstrom angewiesen face-smile

Hier habe ich mal einen Link zum Download eines Muster-PDF des Deutschen Anwaltvereins. Die haben die Datenschutzerklärung bezgl. der tracking-tools da recht ausführlich gestaltet.

Insgesamt empfiehlt sich mal ein Blick auf deren themabezogene Seite ...

LG, Thomas
Mitglied: thomasreischer
thomasreischer 19.05.2018 um 13:20:21 Uhr
Goto Top
Zitat von @Frank:
Was ich brauche, ist eine Idee, wie man es nun in die Realität umsetzt. Beispiel: Brauche ich wirklich ein Opt-Out Cookie für Analytics, Adsense oder DoubleClick AdX. Wenn ja wie. Bei Analytics gibt es das wohl, wenn einer die Seite mit einer Anleitung dazu findet, nur her damit. Müssen wir auch unser Cookie Hinweis erweitern, etc.


stimmt, die IP Adresse hast du damals PSEUDONYMISIERT, nachdem ich dich darauf hingewiesen hatte, deswegen erhebst du trotzdem personenbezogene Daten.

Zum Opt Out Cookie gibt es zig Anleitungen die jeder DAU über Google findet ;)
Mitglied: Pedant
Pedant 19.05.2018 um 16:18:57 Uhr
Goto Top
Hallo,

Zitat von @Pedant:
Etwas Sorge macht mir noch der Artikel 8 DSGVO.
...ob in Deutschland die Altersgrenze bei 13, 14, 15 oder 16 Jahren liegt, war bisher nicht rauszufinden...
Weiß jemand wo die Altersgrenze in Deutschland liegt?

Merkwürdigerweise geht keine Dateschutzerklärung auf das Thema Alter ein, also dass personenbezogene Daten von Kindern nicht erfasst werden dürfen.

Ein lächerlicher Schalter [x] Klar bin ich alt genug, anhakbar von jedem rechtsunmündigen Kind, kann für Webseitenbetreiber (Datenerfasser) eigentlich keine rechtssichere Lösung sein.
Ich weiß nicht wie man sich dafür schützen könnte sich unwissentlich gesetzeswidrig zu verhalten.

  • Forenanmeldung nur postalisch mit Kopie des Personalausweises?
  • Abschaffung aller Eingabefelder im Profil, die personenbezogene Daten enthalten könnten?
    (Inkl. der Eingabefelder "Neuer Beitrag", weil Kinder da auch was Personenbezogenes reinschrieben könnten.)
  • Vorsorglich mal 20 Millionen Euro beiseite legen?
  • Kirche im Dorf lassen?

Gruß Frank
Mitglied: keine-ahnung
keine-ahnung 19.05.2018 um 18:52:15 Uhr
Goto Top
Moin,
Weiß jemand wo die Altersgrenze in Deutschland liegt?
Deutschland hat im BDSG keine Abweichung von den Regelungen der DSGVO geltend gemacht, insofern gilt die im Art. 8 DSGVO gesetzte Grenze von 16 Jahren.
Fraglich ist immer, inwieweit angebotene Services tatsächlich eine "Dienstleistung der Informationsgesellschaft" sind, hier verweist die DSGVO (Art. 4.25) auf die EU-Richtlinie 2015/1535, i.d.R. versteht man im Alltag darunter, dass die Dienstleistung gegen Entgelt erbracht wird ...

LG, Thomas
Mitglied: Pedant
Pedant 20.05.2018 um 12:24:32 Uhr
Goto Top
Hallo Thomas,

Zitat von @keine-ahnung:
Deutschland hat im BDSG keine Abweichung von den Regelungen der DSGVO geltend gemacht, insofern gilt die im Art. 8 DSGVO gesetzte Grenze von 16 Jahren.
Danke, dann ist das schon mal geklärt.
Zitat von @keine-ahnung:
Fraglich ist immer, inwieweit angebotene Services tatsächlich eine "Dienstleistung der Informationsgesellschaft" sind, hier verweist die DSGVO (Art. 4.25) auf die EU-Richtlinie 2015/1535, i.d.R. versteht man im Alltag darunter, dass die Dienstleistung gegen Entgelt erbracht wird ...
Die Einschränkung im DSGVO Art. 8 Abs. (1)
"bei einem Angebot von Diensten der Informationsgesellschaft"
hatte ich zwar gelesen, aber irgendwie ignoriert, da die Verordnung nach DSGVO Art. 2 Abs. (1), (2) so ziemlich für alles und jeden gilt, egal ob Dienstleistung und/oder Entgelt im Spiel ist.
Aber ja, Du hast völlig recht, Artikel 8 ist auf kostenlos nutzbare Foren höchstwahrscheinlich nicht anwendbar und damit auch nicht auf administrator.de.
=> Eine Sorge weniger und den COPPA-Kram werde ich bei mir wieder abschalten

Gruß und Dank
Frank
Mitglied: runasservice
runasservice 21.05.2018 um 14:20:59 Uhr
Goto Top
Zitat von @StefanKittel:
so könnte es zum Beispiel aussehen.

https://www.underarmour.de/de-de/

Ja, das wäre ein gutes Beispiel, wie man es auf keinen Fall machen sollte! Beim 1. Aufruf der Seite erscheint ein Dialog, wo ich meine E-Mail Adresse eingeben soll. Das ganze bevor ich überhaupt die Datenschutzerklärung lesen konnte face-wink Das ist nach meinem Empfinden nicht DSGVO-konform.


MfG
Mitglied: runasservice
runasservice 21.05.2018 aktualisiert um 14:47:45 Uhr
Goto Top
Zitat von @keine-ahnung:

Insgesamt empfiehlt sich mal ein Blick auf deren themabezogene Seite ...


Ich habe jetzt immer einige Datenschutzerklärungen auf Papier dabei. Falls mir jemand seine Visitenkarte geben möchte, muß er mir schriftlich bestätigen, das er meine Datenschutzerklärung bekommen hat. Immerhin habe ich besonenbezogene Daten erhalten.

Auf die Frage, haben Sie eine Visitenkarte, antworte ich jetzt "Haben Sie Ihre Datenschutzerklärung dabei?" face-wink

https://www.datenschutz-guru.de/informationspflichten-der-dsgvo-ein-bare ...

MfG
Mitglied: kaiand1
kaiand1 21.05.2018 um 18:00:02 Uhr
Goto Top
Zitat von @runasservice:

Zitat von @keine-ahnung:

Insgesamt empfiehlt sich mal ein Blick auf deren themabezogene Seite ...


Ich habe jetzt immer einige Datenschutzerklärungen auf Papier dabei. Falls mir jemand seine Visitenkarte geben möchte, muß er mir schriftlich bestätigen, das er meine Datenschutzerklärung bekommen hat. Immerhin habe ich besonenbezogene Daten erhalten.

Auf die Frage, haben Sie eine Visitenkarte, antworte ich jetzt "Haben Sie Ihre Datenschutzerklärung dabei?" face-wink

https://www.datenschutz-guru.de/informationspflichten-der-dsgvo-ein-bare ...

MfG


Nun aus der Sicht müsste die Kartenzahlung ja Abgeschafft werden da das Geschäft wo man mit Karte Zahlt die Daten von der Karte an 3te Übermittelt und auch erst nach der Zahlung den Beleg mit den AGBs bekommt die man "Zugestimmt" hat.
Dazu bekommt man bei Zahlung ja auch keinerlei Information wer welche Daten von der Karte erhält an der Kasse.
Interessanter ist es ja bei Verträge wo dann zb die Schufa Daten erhält...
Mitglied: Lochkartenstanzer
Lochkartenstanzer 21.05.2018 um 18:25:19 Uhr
Goto Top
Zitat von @kaiand1:

Interessanter ist es ja bei Verträge wo dann zb die Schufa Daten erhält...

Daß die Schufa Daten erhalten darf und auch an Vertragspartner weitergibt, hat man ja bei diesen Verträgen schon meist bei Vertragsabschluß mit einer zusätzlichen Unterschrift erlaubt. Ist also meistens abgesichert.

lks
Mitglied: Alchimedes
Alchimedes 22.05.2018 um 15:34:32 Uhr
Goto Top
Hallo Frank,

ich habe hier ein Interessanten Block fuer Webseitenbetreiber gefunden, vielleicht hilft es Dir.

https://lutz.donnerhacke.de/Blog/Der-praktische-Weg-zur-DSGVO

Gruss
Mitglied: Frank
Frank 22.05.2018 aktualisiert um 19:08:43 Uhr
Goto Top
Hi,


Ja, der Link ist ganz interessant.

Wenn wir jedoch die persönlich zuzuordnenden Daten der Benutzer grundlegend anders verwenden, als bei der Erfassung dieser Informationen angegeben, veröffentlichen wir 7 Tage lang eine entsprechende Benachrichtigung auf unserer Webseite.
Wenn die persönlich zuzuordnenden Daten personenbezogene Daten sind, dann reicht es nicht 7 Tage lang abzuwarten.
Im dem Fall muss eine erneute Einverständniserklärung jedes Betroffenen eingeholt werden.

Ist das so? Wo steht, dass ich eine Einverständniserklärung rausgeben muss? Man muss nach den neuen DSGVO aufklären, aber eine Einverständniserklärung bei jeder Änderung sehe ich nicht als zwingend.

stimmt, die IP Adresse hast du damals PSEUDONYMISIERT, nachdem ich dich darauf hingewiesen hatte, deswegen erhebst du trotzdem personenbezogene Daten.

Mehr geht nun mal bei Analytics nicht, ob PSEUDO oder nicht ist mir egal. Hauptsache die DSGVO ist damit zufrieden. Auch erhebt Google dann keine personenbezogene Daten mehr, die sind jetzt (pseudo)anonym face-wink Soweit ich das bisher gelesen haben, ist bis auf die IP-Adresse, bei der Statistik auch nichts personenbezogen.

Ich glaube was viele bei der DSGVO falsch interpretieren: Personenbezogene Daten sind nicht gleich alle Daten. Das Interesse von allgemeine Daten liegt weiterhin über dem Interesse des Einzelnen.

Gruß
Frank
Mitglied: Pedant
Pedant 22.05.2018 um 20:50:29 Uhr
Goto Top
Hallo Frank,

Zitat von @Frank:
Wenn wir jedoch die persönlich zuzuordnenden Daten der Benutzer grundlegend anders verwenden, als bei der Erfassung dieser Informationen angegeben, veröffentlichen wir 7 Tage lang eine entsprechende Benachrichtigung auf unserer Webseite.
Wenn die persönlich zuzuordnenden Daten personenbezogene Daten sind, dann reicht es nicht 7 Tage lang abzuwarten.
Im dem Fall muss eine erneute Einverständniserklärung jedes Betroffenen eingeholt werden.
Ist das so? Wo steht, dass ich eine Einverständniserklärung rausgeben muss? Man muss nach den neuen DSGVO aufklären, aber eine Einverständniserklärung bei jeder Änderung sehe ich nicht als zwingend.
Einverständniserklärungen musst Du nicht rausgeben, sondern einholen. (Ich vermute ein Schreibfehler Deinerseits)

Ich meinte auch nicht bei jeder Änderung, sondern ich meinte das zitierte Grundlegend-anders-verwenden.

Die Erhebung und Verarbeitung personenbezogener Daten muss einem klaren Zweck dienen.
(Möglichst viel Kohle damit zu machen, ist hier nicht gemeint.)

Dazu zwei Zitate:

Zitat von Art. 5 DSGVO Abs. (1) a) + b):
Personenbezogene Daten müssen ... in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden ... für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden ...

Zitat von www.datenschutzbeauftragter-info.de:
Der Betroffene muss vor Abgabe der Einwilligungserklärung über den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten im Einzelnen informiert werden. Dabei müssen alle weitere für den konkreten Fall entscheidungsrelevanten Informationen enthalten sein und diese müssen darüber hinaus auch hinreichend bestimmt sein, der Zweck der Verarbeitung darf also nicht zu allgemein gehalten werden.

Im meinem Nutzerprofil habe ich potentiell eingetragen:
  • diverse Kontaktdaten
  • Wohnort
  • Beruf und Arbeitgeber
  • Interessen
  • Geburtsdatum
Das habe ich im Rahmen der Nutzung des Forums gemacht und mich bei der Registrierung damit einverstanden erklärt, dass die Daten für den Forumsbetrieb gespeichert und genutzt werden.

Mindestens nach neuem Recht kannst Du nicht einfach hergehen und alle Userdaten als Paket auf ebay an einen Callcenter versteigern, auch wenn Du hier zuvor 7 Tage lang einen entsprechenden Aushang machst und davor auf die Moglichkeit der grundlegend Andersverwendung hingewiesen hast.

Ich hoffe wir sind uns einig, dass das nicht Dein finsterer Plan und Anlass der Forumsgründung war.

Gruß Frank
Mitglied: Alchimedes
Alchimedes 22.05.2018 um 21:47:46 Uhr
Goto Top
Hallo Frank & Frank,

ich habe das Gefuehl das die ganze DSGVO hier in 'good old Germany' zu ernst genommen wird.
Es geht doch hier um eine Europaweite Verordnung ?

Irgendwie gibt es in den anderen europaeischen Staaten nicht annaehernd so viel Diskussionsbedarf.
Als ich in einem Meeting die schwedische und französische IT dazu befragte , es handelt sich hier um ein weltweit
agierendes Unternehmen, kam nur Achselzucken.

Irgendwie ist denen das ### egal.

Wovor ich Angst habe ist das es durch Abmahnanwaelten fuer Webseiten und Foren Betreiber bald unmoeglich sein wird
freie Meinungsplattformen anzubieten. Die Penner riechen schon die Kohle.

Ich habe schon von Blogpostern gehoehrt das Sie Ihre Webauftritte loeschen, von priv. Webseitenbetreibern das Sie Angst haben
abgemahnt zu werden.

Sollte Dir das passieren sag Bescheid !

Dann ruecken wir die Admins aus. face-smile

Gruss
Mitglied: Frank
Frank 23.05.2018 aktualisiert um 15:47:45 Uhr
Goto Top
Hi,

hier mal ein kleiner Zwischenbericht.

  • Generell muss ich nach gefühlten 10000 Seiten DSGVO Ideen, Vorlagen und Vorschrift sagen, dass wir bereits die meisten Maßnahmen realisiert haben.
  • Unsere Registrierung hat ein Double-Opt-In und auch die Newsletter muss man aktiv anklicken.
  • Den wunderschönen und zwingenden Cookie-Hinweis haben wir bereits vor einiger Zeit umgesetzt
  • Die Seite ist bereits komplett verschlüsselt
  • Wir haben bereits eine gute Datenschutzerklärung
  • Google Analytics IP anonymisieren
  • Wir arbeiten bereits nach dem Grundsatz der Datensparsamkeit und geben von uns aus keine Daten an Dritten weiter.

Was noch offen ist:

  • Googly Analytics werde ich wohl bis Freitag durch Matomo ersetzen. Die Auswertung erfolgt dann nur intern bei uns, keine Daten gehen raus und ich kann es in der Datenschutzerklärung genau beschreiben (und auch die Verantwortung dafür übernehmen).
  • Unsere Datenschutzerklärung wird bis Freitag aktualisiert.
  • Was bleibt ist dann noch Adsense und Publisher DoubleClick AdX für die Werbung. Da wird es keine Möglichkeit geben, es auszuschalten. Ich werde es in unser Datenschutzerklärung aufnehmen.

Was nicht realisiert wird:

  • Das mit der Altersbeschränkung ist nicht umsetzbar. Wie soll man vernünftig das Alter eines Users, der hier halbwegs anonym bleiben kann, sicher herausfinden. Schufa abfragen? Ausweiskopie schicken? Das würde dem Grundsatz der Datensparsamkeit und der Datenvermeidung widersprechen. Und selbst wenn man dies machen würde: Dann wüsste man also, dass der Anmelder erst 15 Jahre ist. Wie will man dann die Zustimmung der „Träger der elterlichen Verantwortung“ einholen? Diese kennt man ja nicht. Und wer sind eigentlich die Träger der elterlichen Verantwortung? Muss man sich dann versichern lassen, dass wirklich nur ein Elternteil dieser Träger ist (etwa bei Alleinerziehenden)? All diese Fragen hat der Gesetzgeber bei der Verfassung der DSGVO nicht beachtet.

Ich hatte überlegt ein Feld mit "Ich bin min. 16 Jahre alt" einzuführen, aber das ist sinnlos und hat auch keinen Bestand. Dann lassen wir es lieber gleich weg. Das einzige was ich machen werde, ist das Mindestalter in unseren Nutzungsbedingungen auf 16 Jahre hochzusetzen. Wehe dem, der unsere Seite nutzt und jünger als 16 Jahre ist. Der donnernde Groll der Admins kommt über euch.

  • Laut Gesetzestext müssen Unternehmen mit weniger als 250 Mitarbeitern grundsätzlich KEIN Verarbeitungsverzeichnis führen. Wir haben weder sensiblen Kategorien noch besteht ein Risiko für die Rechte und Freiheiten betroffener Personen. Außerdem wird es nur "gelegentlich" verlangt (was immer der Gesetzgeber damit meint) und kann daher nachgereicht werden.

  • Unser Kontakt- und Meldeformular bleibt bestehen, da wir sonst, bei Angabe einer E-Mail Adresse ein ganz anderes Problem haben: gigantischer SPAM. Daher würde ich das jetzt auch keiner anderen Webseite empfehlen. Beschreibt in eurer Datenschutzerklärung einfach was ihr mit den Daten aus dem Formular macht und gut ist.

P.S. Es ist wirklich der Hammer, wie bierernst das ganze Thema DSGVO hier in Deutschland genommen wird. Auch wenn es ein Europa-Gesetz ist, hätte Deutschland die Möglichkeit gehabt, wie Österreich, einige wichtige und unsinniger Dinge der DSGVO zu entschäften (z.B. das mit dem Alter, die hohen Bußgelder, etc.). Doch leider haben wir hier wohl kein Interesse an einem "vernünfigen" Datenschutz.

Bringt uns die DSGVO was?

Solange man bei Windows 10 immer noch bei der Übertragung von Metadaten nur "Basic" und nicht "Aus" auswählen kann, wurde der Datenschutz nicht wirklich verbessert. Da kann ich widersprechen wie ich will, das interessiert Microsoft nur wenig, trotz DSGVO.

Gruß
Frank
Mitglied: Pedant
Pedant 23.05.2018 um 16:01:35 Uhr
Goto Top
Hallo Frank

Zitat von @Frank:
Das mit der Altersbeschränkung ist nicht umsetzbar.
das sehe ich auch so
und wie keine-ahnung schrieb und ich teile seine Meinung, ist die Altersgrenze bei kostenloser Nutzung eines Forums nicht relevant.

Zitat von @Frank:
selbst wenn man dies machen würde: Dann wüsste man also, dass der Anmelder erst 15 Jahre ist. Wie will man dann die Zustimmung der „Träger der elterlichen Verantwortung“ einholen? Diese kennt man ja nicht.
Statt einer Bestätigungs-E-Mail mit Aktivierungslink schickt das System ans Kind ein Formular zum Unterschreibenlassen für die Eltern.
Ob die Unterschrift Mein Vater dann die des Vaters ist ...?
Aber egal, eine Altersgrenz ist sehr wahrscheinlich hier nicht nötig.

Zitat von @Frank:
Das einzige was ich machen werde, ist das Mindestalter in unseren Nutzungsbedingungen auf 16 Jahre hochzusetzen.
Das sollte in einem Forum für IT-Experten generell nicht schaden.

Zitat von @Frank:
Wir haben bereits eine gute Datenschutzerklärung
Bis auf meinen Einwand zur beliebigen Zweckentfremdung, stimme ich Dir zu.

Gruß Frank
Mitglied: Lochkartenstanzer
Lochkartenstanzer 23.05.2018 um 16:10:38 Uhr
Goto Top
Zitat von @Frank:

Ich hatte überlegt ein Feld mit "Ich bin min. 16 Jahre alt" einzuführen, aber das ist sinnlos und hat auch keinen Bestand. Dann lassen wir es lieber gleich weg. Das einzige was ich machen werde, ist das Mindestalter in unseren Nutzungsbedingungen auf 16 Jahre hochzusetzen. Wehe dem, der unsere Seite nutzt und jünger als 16 Jahre ist. Der donnernde Groll der Admins kommt über euch.

Nunja, ob der Forenteilnehmer 13 oder 130 Jahre alt ist, ist imho eigentlich völlig egal. Da hier per Forensoftware sogar übliche deftige Ausdrücke wie z.B. ###, ###, ###, ###, etc. aussortiert werden, kommt man kaum in die Verlegenheit, Minderjährige zu gefährden. Aber rein formal das in die Nutzerbedingungen wird vermutlich weder faktisch noch rechtlich irgendeinen Unterschied machen, weil Du ansonsten PostIdent o.ä machen müßtest, um das in den Griff zu bekommen. Aber das finde ich wiederum zu übertrieben.

Aber warten wir's ab. Nichts wird so heiß gegessen, wie es gekocht wird.

lks

BTW: Hast Du schon mit Abmahnungen zu kämpfen gehabt wegen diesem Forum?
Mitglied: Frank
Frank 23.05.2018 aktualisiert um 16:30:32 Uhr
Goto Top
Wenn wir jedoch die persönlich zuzuordnenden Daten der Benutzer grundlegend anders verwenden, als bei der Erfassung dieser Informationen angegeben, veröffentlichen wir 7 Tage lang eine entsprechende Benachrichtigung auf unserer Webseite.

Wir haben bereits eine gute Datenschutzerklärung
Bis auf meinen Einwand zur beliebigen Zweckentfremdung, stimme ich Dir zu.

So wie ich die DSGVO verstehe, braucht es bei Änderungen (egal ob klein oder grundlegend) keine erneute Einwilligungserklärung, wenn wir das sauber in unserer Datenschutzerklärung dokumentieren und die User auf dem üblichen Weg informieren (bei uns durch Webseite oder Mail). Das wäre dann auch z.B. ein Verkauf der Daten an eBay (was natürlich niemals passiert). Die DSGVO sorgt nur dafür, dass man die Datenwege nun ganz genau aufzeigt und nicht mehr allgemein halten darf. Der User kann jederzeit widerrufen! Was bei uns logischerweise zur Beendigung der Mitgliedschaft führt, da wir dem User bei einem Widerruf keine Alternative anbieten können. Der User kann dann die Seite nur noch ohne Mitgliedschaft nutzen (lesend). Solange es nicht illegal ist, Daten zu verkaufen (natürlich nur die Daten der User, die nicht widerrufen haben), kann auch eine beliebigen Zweckentfremdung durchgehen face-wink

Generell hat der User bei uns durch unsere bisherige Datenschutzerklärung und Nutzungsbedingungen bereits die Abgabe einer gültigen Einwilligungserklärung gegeben. Die DSGVO gilt bereits seit Jahren und wird am 25.05.18 lediglich "bindend" (Übergangsfrist ist abgelaufen). Das muss ich also nicht noch ein Mal machen. Mein Part ist lediglich die aktuelle Datenschutzerklärung bezüglich einiger Datenwege, Tracking und Werbebanner zu ergänzen und die User daraufhin zu informieren. Eine erneute Einwilligungserklärung wird es nicht geben.

Gruß
Frank
Mitglied: falscher-sperrstatus
falscher-sperrstatus 23.05.2018 um 16:42:19 Uhr
Goto Top
Hallo Frank,

fast korrekt, Sie ist de facto bereits bindend, wird aber mit 25.5 strafbewehrt.

VG,

Christian
Mitglied: Pedant
Pedant 23.05.2018 um 17:01:22 Uhr
Goto Top
Hallo Frank,

Zitat von @Frank:
Eine erneute Einwilligungserklärung wird es nicht geben.
das halte ich auch nicht für nötig und ist auch nicht der Zweck meines Einwands.

So wie ich die DSGVO verstehe, braucht es bei Änderungen (egal ob klein oder grundlegend) keine erneute Einwilligungserklärung
Das halte ich für den Fall "grundlegend" als klaren Widerspruch zum Gesetzestext.

Hier nochmal meine zwei Zitate:
(mit Hervorhebungen)

Zitat von Art. 5 DSGVO Abs. (1) a) + b):
Personenbezogene Daten müssen ... in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden ... für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden ...

Zitat von www.datenschutzbeauftragter-info.de:
Der Betroffene muss vor Abgabe der Einwilligungserklärung über den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten im Einzelnen informiert werden. Dabei müssen alle weitere für den konkreten Fall entscheidungsrelevanten Informationen enthalten sein und diese müssen darüber hinaus auch hinreichend bestimmt sein, der Zweck der Verarbeitung darf also nicht zu allgemein gehalten werden.

Der Text: "Ich mach mit Euren Daten was auch immer ich will, ich sagt aber vorher kurz Bescheid", passt wirklich nicht dazu.

Zitat von @Frank:
...ein Verkauf der Daten an eBay (was natürlich niemals passiert).
Dein Klammerhinweis impliziert doch irgendwie, dass Du diese Art der Andersnutzung auch nicht für rechtens hälst.

Meine Empfehlung wäre den Passus zu streichen oder deutlich abzuändern.
Mehr möchte ich dazu nicht sagen, es sei denn Dir wäre danach das weiter zu vertiefen.

Gruß Frank
Mitglied: Frank
Frank 23.05.2018 um 17:13:57 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

BTW: Hast Du schon mit Abmahnungen zu kämpfen gehabt wegen diesem Forum?

Aber natürlich, schon eine ganze Menge. Uns gibt es seit ca. 20 Jahren. Früher war es aber deutlich mehr, in letzter Zeit hat es dank einiger klaren Urteile abgenommen. Aber auch hier gilt: Oft ist es viel Lärm um nichts. Man muss immer ruhig dabei bleiben und sich nicht verrückt machen lassen. Meist arbeitet die Zeit für einen.

Gruß
Frank
Mitglied: Frank
Frank 23.05.2018 aktualisiert um 18:19:02 Uhr
Goto Top
@Pedant,

lass uns das gerne vertiefen:

für festgelegte, eindeutige und legitime Zwecke erhoben werden

Das ist sehr schwammig formuliert. Was ist schon ein legitimer Zweck? Das Businessmodell einer Firma kann sich jederzeit grundlegend ändern. Habe ich z.B. vorher die Daten nur intern benutzt, muss sie jetzt durch einen Verkauf oder durch Änderung auch extern nutzen, ist das aus Sicht der Firma wahrscheinlich legitim. Wichtig hier ist die Aussage "für die betroffene Person nachvollziehbaren Weise". Wenn das erfüllt wird, gibt es für den User nur noch die Möglichkeit des Widerruf. Auch der Text "... nicht zu vereinbarenden Weise" kann alles und nichts bedeuten. "Nicht erlaubt" - das wäre ein Statement gewesen, aber "nicht zu vereinbarenden Weise"??

Der Betroffene muss vor Abgabe der Einwilligungserklärung über den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten im Einzelnen informiert werden.

Da steht "muss vor Abgabe der Einwilligungserklärung.. " informiert werden. Wurde er bestimmt. Doch dann hat sich der legitime Zweck geändert. Die Änderung dafür wird nicht allgemein gehalten, sondern ganz genau in der Datenschutzerklärung aufgelistet - und schon kann man die Daten anders verwenden. Es sei denn, der User hat widersprochen, dann geht es natürlich nicht.

Was nicht mehr geht, dass man Userdaten heimlich und ohne Info in der Datenschutzerklärung verwenden darf. Informiert man die User hingegen und widerrufen sie ihre Erklärung nicht .. tja.

Dein Klammerhinweis impliziert doch irgendwie, dass Du diese Art der Andersnutzung auch nicht für rechtens hälst.

Na klar halte ich es für falsch. Es gibt auch einen Passus dazu: "Die wissentliche, gewerbsmäßige und unberechtigte Weitergabe zahlreicher personenbezogener Daten kann eine Freiheitsstrafe bis zu drei Jahren oder eine Geldstrafe zur Folge haben". Aber was ist schon "unberechtigte Weitergabe".

Leider ist vieles bei der DSGVO sehr schwammig formuliert, und kann so oder so interpretiert werden. Die Idee, die Datenwege zukünftig aufzuzeigen ist gut, aber dass war es dann auch schon.

Der Text: "Ich mach mit Euren Daten was auch immer ich will, ich sagt aber vorher kurz Bescheid", passt wirklich nicht dazu.

Das steht da ja nicht. Letztendlich soll es nur der Hinweis sein, dass bei grundlegenden Änderungen eine gewisse Zeit lang darauf hingewiesen wird (7 Tage). Danach ist die Änderung für die User bindend. Es sei denn der User widerruft.

Ich nehme gerne auch andere Vorschläge an, er muss nur die gleiche Aussage beinhalten.

Update: Ich habe den Text noch einmal angepasst.

Gruß
Frank
Mitglied: Pedant
Pedant 23.05.2018 um 20:40:30 Uhr
Goto Top
Hallo Frank,

na dann...

Zitat von @Frank:
für festgelegte, eindeutige und legitime Zwecke erhoben werden
Das ist sehr schwammig formuliert. Was ist schon ein legitimer Zweck?
hier hast Du Dir das einzige Adjektiv rausgepickt, das ich nicht hervorgehoben hatte.

"legitim", ja das ist recht schwammig.
"festgelegte, eindeutige Zwecke" da musst Du Dich schon eindeutig festlegen, also nicht Deinerseits schwammig formulieren oder gar gar nicht festlegen.
Zitat von @Frank:
Wenn wir jedoch die ... Daten ... grundlegend anders verwenden, als bei der Erfassung dieser Informationen angegeben ...
Das ist fern jeder Festlegung (des Zwecks).

Zitat von @Frank:
Das Businessmodell einer Firma kann sich jederzeit grundlegend ändern. Habe ich z.B. vorher die Daten nur intern benutzt, muss sie jetzt durch einen Verkauf oder durch Änderung auch extern nutzen, ist das aus Sicht der Firma wahrscheinlich legitim.
Situationen können sich ändern, aber legitim heißt berechtigt, doch die Berechtigung fehlt, weil nicht vorher eindeutig der kommende Zweck festgelegt war. Er hat sich in nicht absehbarerweise verändert.

Zitat von @Frank:
Wichtig hier ist die Aussage "für die betroffene Person nachvollziehbaren Weise". Wenn das erfüllt wird, gibt es für den User nur noch die Möglichkeit des Widerruf.
Die nachvollziehbare Weise ist zwar wichtig, aber nicht alleine ausreichend. Es muss zusätzlich eindeutig festgelegt sein und das ist es nicht.
Stünde in den Nutzungsbedingungen sowas:
"Wir behalten uns den Verkauf des Forums an einen Datenverwerter vor, der das Forum nicht weiterbetreiben wird, sondern die enthaltenen Daten zum Zweck des Direkttelefonmarketings auswerten und nutzen wird."
dann wäre es eindeutig festgelegt und vielleicht sogar nachvollziehbar, aber das steht da nicht und auch nichts anderes eindeutig Festgelegtes.

Zitat von @Frank:
Auch der Text "... nicht zu vereinbarenden Weise" kann alles und nichts bedeuten. "Nicht erlaubt" - das wäre ein Statement gewesen, aber "nicht zu vereinbarenden Weise"??
"Nicht erlaubt" steht da doch mit den Worten "dürfen nicht". Den Teil hast Du aber weggekürzt.
...und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden ..."
Vereinbar heißt laut Duden:
aufeinander abgestimmt, entsprechend, gemäß, harmonisierend, kombinierbar, kompatibel, konform, übereinstimmend, verträglich, [zueinander] passend, zusammenpassend
Notwendig sein für den Betrieb eine Forums, nachträglich kombiniert mit Ausübung von Telefondirektmarketing, erfüllt mich nicht mit Harmonie.

Zitat von @Frank:
Da steht "muss vor Abgabe der Einwilligungserklärung.. " informiert werden. Wurde er bestimmt. Doch dann hat sich der legitime Zweck geändert. Die Änderung dafür wird nicht allgemein gehalten, sondern ganz genau in der Datenschutzerklärung aufgelistet - und schon kann man die Daten an eBay verkaufen. Es sei denn, der User hat widersprochen, dann geht es natürlich nicht.
Bei diesem Beispiel ist eine Bedingung genannt, die so nicht in Deinem Text steht.

Sollte die (künftige) Änderung ganz genau aufgelistet worden sein, so wäre es (eventuell) legal die Daten auf eBay zu verkaufen.
Das "ganz genau" fehlt aber im konkreten Fall vollständig.

Zitat von @Frank:
Leider ist aber fast alles bei der DSGVO schwammig formuliert, und kann so oder so interpretiert werden. Die Idee, die Datenwege zukünftig aufzuzeigen ist gut, aber dass war es dann auch schon.
Das Aufzeigen ist nicht der alleinige Zweck der Verordung.
Wie ihr Name schon sagt geht es auch um Schutz.

Zitat von @Frank:
Der Text: "Ich mach mit Euren Daten was auch immer ich will, ich sagt aber vorher kurz Bescheid", passt wirklich nicht dazu.
Das steht da ja nicht.
Nicht mit denselben Worten, aber inhaltlich sehe ich keinen Unterschied, außer, dass ich die 7 Tage Wiederspruchszeit weggelassen hatte.

Zitat von @Frank:
Letztendlich soll es nur der Hinweis sein, dass bei grundlegenden Änderungen eine gewisse Zeit lang darauf hingewiesen wird (7 Tage). Danach ist die Änderung für die User bindend. Es sei denn der User widerruft.
Du behälst Dir in Deiner Formulierung jedwede, undefinierte, zukünftige Verwendung als Recht vor und räumst den Betroffenen lediglich die theoretische Möglichkeit ein, innerhalb einer von Dir anzusetzenden 7-Tage-Frist zu widersprechen, wobei der Beginn dieser Frist zunächst nur Dir bekannt ist.

Wenn das rechtens wäre, würde mich das als Betroffener dazu verdonnern, alle Nutzungsbedingungen, AGB und sonstige Aushänge, die mich betreffen regelmäßig komplett zu prüfen und das in einem wöchentlichen Zyklus und wenn ich es mal verpasse, gehen meine personenbezogenen Daten an jeden, dem ich sie niemals selbst gegeben hätte.
Das kann unmöglich der neue Schutz der Daten sein, der die Rechte der Betroffenen stärken soll.

Das war jetzt meinerseits interpretativ und damit anfechtbar.
Die hier zuvor gebrachten Argumente, halte ich aber nicht für Interpretation, sondern für eng am Gesetzestext.

Ich nehme gerne auch andere Vorschläge an, er muss nur die gleiche Aussage beinhalten.
Falls es die gleiche Aussage beinhaltet, wäre jede Änderung sinnlos.

Hier noch eine Sekundärquelle:
Zitat von haufe.de:
Denn nach den neuen Richtlinien muss z. B. nach einer Änderung von Nutzungsbedingungen ausdrücklich erneut die Einwilligung für die Verarbeitung und Speicherung personenbezogener Daten eingeholt werden.
Das kann natürlich eine (Über)interpretation sein.

Gruß Frank
Mitglied: StefanKittel
StefanKittel 23.05.2018 um 20:45:24 Uhr
Goto Top
Hallo,

bei allen Argumenten.
Es sollte ja eigentlich nicht das Ziel eines Gesetzes sein das Laien sich zu Anwälten selbst weiterbilden.
Und es sollte auch nicht Ziel sein, dass Gerichte das Gesetz erst in "verständliche" Form bringen.

Vermutlich liegt es an der IT, deren Verständniss und Umsetzung.
In Zukunft muss ich vermutlich am Telefon nicht nur meinen Namen sondern auch 4-5 Datenschutzsätze sagen damit ich mir Notizen machen darf.
Die Telekom könnte vor jeder Verbindung einen Datenschutzhinweis abspielen den man rechtssicher bestätigen muss...

Stefan

Btw. Waren wir damals wirklich auf dem Mond?
Vermutlich wäre das heute aus Datenschutzgründen gar nicht mehr möglich...
Mitglied: Pedant
Pedant 23.05.2018 um 20:48:05 Uhr
Goto Top
Hallo Frank,

Zitat von @Frank:
Update: Ich habe den Text noch einmal angepasst.

Welchen Text? Den Text in den Nutzungsbedingungen?
Ist bei "3. VERTRAGSÄNDERUNGEN" die geänderte Fassung, des von mir Beanstandeten oder finde ich den Passus gerade nicht?

Falls das der Ersatz ist, dann finde ich das aus Verbrauchersicht deutlich harmloser und es fällt bei mir jetzt unter die Rubrik "übliches Kleingedruckte".

Gruß Frank
Mitglied: keine-ahnung
keine-ahnung 23.05.2018 um 21:51:06 Uhr
Goto Top
Moin,
In Zukunft muss ich vermutlich am Telefon nicht nur meinen Namen sondern auch 4-5 Datenschutzsätze sagen damit ich mir Notizen machen darf
ist gar nicht sooo ein Jux.
Nimm mal mich als Beispiel --> Patient ruft an, will irgendwas wissen. Best case: die Telefonnummer wird übertragen, sie ist im Exchange erfasst und der UMS-Server löst sie auf und propagiert den Namen des Patienten auf die Rezeptionsmonitore. Heisst ja aber immer noch nicht, dass der Patient an diesem Telefon ist - kann ja auch Papa oder der Sohn sein. Stimmenverifizierung habe ich noch nicht ... face-smile
Können meine Mädels jetzt "besonders geschützte Daten" am Telefon offenbaren?
Ich denke, rechtskonform sicher bin ich da nicht.
Ich habe mich jetzt entschieden, im Rahmen der Pseudonymisierung meiner Webformulare (Patienten bekommen ein print out ihrer "internen Patientennummer" meiner Praxissoftware und geben diese nebst Ihres Geburtsdatums statt des Klarnamens in die Formulare ein, das gleich als "Key" für die Autorisierung beim einkommenden Telefonverkehr zu verwenden --> Telefonnummer kann aufgelöst werden + der Patient nennt auf Nachfrage diese "keynumber" --> Auskunft kann erteilt werden. Sonst geht da nix ... Aufwand ohne Ende!

Jetzt noch einen DSVGO-konformen Vodka (der Teure) und ab in die Grütze ...
LG, Thomas
Mitglied: Frank
Frank 24.05.2018 aktualisiert um 03:56:31 Uhr
Goto Top
@Pedant

Du definierst den Rechtstext nach dem Duden? Meine fast 20 jährige Erfahrung mit unserem Rechtssystem hat mir eins gezeigt: Alles ist interpretierbar und die meisten Rechtsfälle werden durch Tricks und vor allem durch Interpretationen gelöst oder verhindert.

… Das kann unmöglich der neue Schutz der Daten sein, der die Rechte der Betroffenen stärken soll.

Du hoffst, dass es so ist, die Realität sieht aber meistens etwas anders aus. Viele Gesetze sind ein Politikum (z.B. das Leistungsschutzrecht, etc.) und scheren sich nicht wirklich um die "Betroffenen" oder dem Inhalt. So wie ich das lese, wurde die DSGVO von Leuten geschrieben, die von der Online-Welt keine Ahnung haben. Der Kinderschutz-Paragraph im Text spricht Bände. Nichts davon ist realisierbar.

Denn nach den neuen Richtlinien muss z. B. nach einer Änderung von Nutzungsbedingungen ausdrücklich erneut die Einwilligung für die Verarbeitung und Speicherung personenbezogener Daten eingeholt werden.

Zeig mir einen ähnlichen Satz in der DSGVO. Ich habe so eine Formulierung nicht gefunden. Mann muss dann eine neue Einwilligung einholen, wenn die Seite nicht nach dem alten BDSG (Bundesdatenschutzgesetz) behandelt wurde. Das ist bei uns aber nicht der Fall.

Ich bin wirklich gespannt ob die DSGVO in 4 Wochen noch jemanden interessiert.

Gruß
Frank
Mitglied: Lochkartenstanzer
Lochkartenstanzer 24.05.2018 aktualisiert um 05:52:41 Uhr
Goto Top
Zitat von @Frank:

Ich bin wirklich gespannt ob die DSGVO in 4 Wochen noch jemanden interessiert.


Die Abmahnanwälte ganz sicher. Dem Rest geht sie vermutlich am Arsch vorbei.

lks
Mitglied: Pedant
Pedant 24.05.2018 um 13:27:02 Uhr
Goto Top
Hallo Frank,

Zitat von @Frank:
Du definierst den Rechtstext nach dem Duden?
Nein, sondern nach der Sprache in der sie geschrieben wurden.
Der Duden ist nur ein Hilfsmittel diese Sparche zu verstehen.

Ich reduziere mich mal auf meine Kernaussagen:

Ein Grundsatz der DSGVO lautet:
Personenbezogene Daten müssen für festgelegte, eindeutige Zwecke erhoben werden
Ich sehe bei "festgelegt" und "eindeutig" wenig Spielraum für Interpretation.

Dann heißt es auch noch:
der Zweck der Verarbeitung darf also nicht zu allgemein gehalten werden.

Ich kann daraus zu keinem anderen Schluss kommen als das eine Formulierung à la
"Alles kann sich ändern und keine Ahnung wie, aber sei mal damit jetzt schon einverstanden."
nicht mit dem Gesetz vereinbar ist.

Sehe ich das richtig, dass Du den fraglichen Passus ohnehin geändert hast?

Gruß Frank
Mitglied: Frank
Frank 24.05.2018 um 14:15:56 Uhr
Goto Top
Hi Frank,

Sehe ich das richtig, dass Du den fraglichen Passus ohnehin geändert hast?

Es ist noch die alte Fassung online.

Gruß
Frank
Mitglied: Pedant
Pedant 24.05.2018 um 15:11:29 Uhr
Goto Top
Hallo Frank,

Zitat von @Frank:
Update: Ich habe den Text noch einmal angepasst.
daraufhin habe ich mir erneut die angesehen und den Text dort nicht mehr gefunden.
Das lag wohl daran, dass er dort nie stand, sondern bei steht.

Zitat von @Frank:
Es ist noch die alte Fassung online.
Ich höre da eine leichte Betonung auf "noch" liegen. Ich bin gespannt.

Gruß Frank
Mitglied: Frank
Frank 25.05.2018 aktualisiert um 16:58:35 Uhr
Goto Top
Hi,

so .

Ich bedanke mich hier auf bei allen Usern, die mir dabei geholfen habe, durch den Sumpf der Datenschutz-Widersprüche hindurch zukommen.

Ist echt viel neuer Text. Solltet ihr noch Fehler finde freue ich mich über eine interne Nachricht.

Ich höre da eine leichte Betonung auf "noch" liegen. Ich bin gespannt.

Warum sollte ich genau diesen Punkt ändern? Wäre für uns doch nur ein Nachteil. Sollte es nicht stimmen, gilt der Punkt halt nicht, ansonsten kann ich es so machen. Solange nicht das Gegenteil von einem Gericht bestätigt wurde, werde ich es drin lassen face-wink

Gruß
Frank