Forum

Florian

  • Zurück in der Zukunft
Re: DSGVO
Antwort #15: März 12, 2018, 11:04:13
Da könnte man ja die Emails abschaffen und per Webformular mit Einwilligungs-Button arbeiten…

Nicht das dies Sinn machen würde! Ich traue Bürokraten sowas einfach zu mittlerweile.
_______
"If music be the food of love, play on!”
                         William Shakespeare
Re: DSGVO
Antwort #16: März 21, 2018, 08:31:22
Personenbezogene Daten dürfen verarbeitet werden, wenn
- eine explizite Erlaubnis vorliegt oder
- sie zur Erfüllung einer vertraglichen oder vorvertraglichen Pflicht bzw. zur Wahrung meiner Rechte notwendig sind oder
- sie aufgrund von gesetzlichen Vorschriften gespeichert werden müssen.

Noch einmal eine Präzisierung:
Personenbezogene Daten dürfen verarbeitet werden, wenn
- eine explizite Erlaubnis vorliegt oder
- sie zur Erfüllung einer vertraglichen oder vorvertraglichen Pflicht notwendig sind oder
- sie aufgrund von gesetzlichen Vorschriften gespeichert werden müssen oder
- sie zur Wahrung von berechtigten Interessen erforderlich sind, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Zumeist sollte der zweite Punkt zutreffen und die Rechtsgrundlage damit klar sein.
Sollte man Daten aufgrund des vierten Punktes verarbeiten wollen, muss eine Abwägung zwischen den eigenen Interessen und den Interessen des Betroffenen zu eigenem Gunsten ausfallen. Diese Abwägung ist natürlich ziemlich schwammig und kann seitens eines Gerichtes anders ausfallen. Daher würde ich nach Möglichkeit auf diese Rechtsgrundlage verzichten.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

Florian

  • Zurück in der Zukunft
Re: DSGVO
Antwort #17: März 21, 2018, 18:38:47
Das wäre z.B. er oft zu lesende Satz von wegen IP-Speicherung sei zum ordnungsgemäßen Betrieb und für die Sicherheit notwendig. Oder?

Den halte ich schon lange für etwas fragwürdig.
_______
"If music be the food of love, play on!”
                         William Shakespeare
Re: DSGVO
Antwort #18: März 22, 2018, 07:34:41
Das wäre z.B. er oft zu lesende Satz von wegen IP-Speicherung sei zum ordnungsgemäßen Betrieb und für die Sicherheit notwendig. Oder?
Den halte ich schon lange für etwas fragwürdig.

Bezogen auf Websites ist das ein Beispiel, ja.
Ansonsten bezieht sich das aber auch auf alle möglichen Informationen, die zwar gesammelt werden, aber nicht unbedingt für einen Vertrag notwendig sind (z.B. Positionsdaten, Alter oder Vorlieben von Ansprechpartnern im Kundenverkehr etc.). Um auf dieser Grundlage zu speichern, ist eine Abwägung der Interessen notwendig, aber schwierig und heikel.
So wie ich es verstanden habe, ist diese Möglichkeit der Speicherung ohne Einverständnis neu.

Bezgl. IP-Adressen ist aktuell auch, dass das dynamische IP-Adressen ebenfalls personenbezogene Daten sind (zumindestens in D), weil der Betreiber einer Websites mittelbar diese auf eine Person beziehen kann (über den Umweg Strafanzeige und Akteneinsicht).
Da ist es am einfachsten, keine IP-Adressen in Logdateien zu speichern.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: DSGVO
Antwort #20: Mai 06, 2018, 10:11:52
Personenbezogene Daten dürfen verarbeitet werden, wenn
- eine explizite Erlaubnis vorliegt oder

Nachtrag dazu:
Hierbei gibt es ein paar Voraussetzungen:
- Dies kann durch eine explizite Erklärung oder eindeutige bestätigende Handlung erfolgen.
- Sie muss informiert erfolgen, d.h. man muss dabei genau erklären, wozu man einwilligt.
- Wenn bei einer Einwilligung in schriftlicher Form diese in Kombination mit anderen Sachverhalten, dann muss die Einwilligung von den anderen Sachverhalten klar zu unterscheiden sein (z.B. Fettdruck/Umrandung etc.).
- Sie muss jederzeit widerrufbar sein und darauf muss bei der Einwilligung hingewiesen werden.
- Man muss diese Einwilligung nachweisen können, z.B. durch Protokollierung.
- Sie muss freiwillig erfolgen. Rechtlich umstritten ist aktuell dabei der Passus, dass unter größtmöglichen Umfang dem Umstand Rechnung getragen werden soll, dass die Einwilligung nicht verpflichtend für andere Sachverhalte sein darf, für welche die Datenverarbeitung nicht notwendig ist ("Kopplungsverbot"). Soll heißen: Wenn man eine Dienstleistung erbringen will, dann darf man dafür nicht zwingend die Einwilligung zur Verarbeitung von Daten verlangen, wenn diese für die Dienstleitung nicht benötigt werden, d.h. darüber hinaus gehen.

Großer Nachteil: Die Erlaubnis kann jederzeit zurückgenommen werden. In dem Fall müssen alle Daten wieder gelöscht werden, was evtl. mit viel Arbeit und Schwierigkeiten verbunden sind. Daher würde ich nach Möglichkeit auf diese Rechtsgrundlage ebenfalls verzichten.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: DSGVO
Antwort #21: Mai 06, 2018, 10:47:11
Thema "Auftragsverarbeitung"

Wenn man jemanden anderen als Auftragsverarbeiter beauftragt, ist dieser rechtlich kein "Dritter" mehr und es muss nicht mehr direkt darüber informiert werden, dass personenbezogene Daten von diesem verarbeitet werden. Hat man z.B. mit seinem Hosting-Provider eine Auftragsverarbeitung geschlossen, ist es nach außen hin kein Unterschied mehr, ob man selber einen Mailserver betreibt oder dieser vom Provider betrieben wird.

Eine Auftragsverarbeitung liegt nicht vor (sondern dann stattdessen eine gemeinsame Verantwortlichkeit), wenn die betroffene Stelle (Person, Firma, Behörde etc.) allein über die Mittel und Zwecke der Verarbeitung entscheidet, wobei das Hauptaugenmerk wohl darauf liegt, ob die betroffene Stelle über den Zweck entscheiden kann.

Betreibt man also ein normales Hosting-Paket, dann entscheidet der Hosting-Provider nicht darüber, zu welchem Zweck die gespeicherten Daten verwaltet werden. Somit ist der Provider ein Auftragsverarbeiter und man muss mit ihm einen Vertrag schliessen.
In diesem Vertrag steht dann hauptsächlich drin, dass sich der Auftragsverarbeiter die DSGVO einhält.

Vorlagen für einen Vertrag (und andere Praxishilfen) gibt es hier:
https://www.gdd.de/gdd-arbeitshilfen/praxishilfen-ds-gvo/praxishilfen-ds-gvo

Viele Provider bieten schon fertige Verträge zum Download für ihre Kunden an.

_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: DSGVO
Antwort #22: Mai 06, 2018, 13:47:48
Nun zum heiklen Thema "Informationspflichten":

Wenn von jemandem personenbezogen Daten verarbeitet werden, muss dieser darüber informiert werden. So etwas trifft seit kurzem bei mir zunehmend von verschiedenen Firmen ein.

Vorgaben für die Information:
- Die Formulierungen müssen präzise und in verständlicher Sprache sein.
- Die Informationen müssen leicht zugänglich sein.
- Die Informationen müssen innerhalb einer angemessenen Frist (max. 1 Monat) nach Erlangung der Daten mitgeteilt werden.

Inhalt der Informationen:
1. Name und Kontaktdaten des Verantwortlichen
2. Art der betroffenen Daten
3. Zweck der Verarbeitung
4. Rechtsgrundlage, meistens Art. 6 der DSGVO, bei Mail-Newslettern aber auch §7 UWG.
5. Dauer der Speicherung bzw. Kriterien für die Festlegung der Dauer
6. Werden die Daten an Dritte weiter gegeben? Wenn ja, an welche?
7. Werden Daten außerhalb der EU verarbeitet? Wenn ja, wie ist das angemessene Datenschutzniveau garantiert.
8. Werden Daten auf Basis einer Einwilligung verarbeitet? Wenn ja, muss auf das Widerrufsrecht hingewiesen werden.
9. Werden Daten auf Basis einer Interessenabwägung verarbeitet? Wenn ja, wie lautet das Interesse?
10. Rechte des Betroffenen, d.h. Hinweis auf das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht und ein etwaiges Recht auf Datenübertragbarkeit
11. Kontaktdaten des Datenschutzbeauftragten. Ein DSB wird nur dann benötigt, wenn min. 10 Personen regelmäßig mit der Verarbeitung der Daten beschäftigt ist.
12. Hinweis auf ein Beschwerderecht bei der Aufsichtsbehörde
13. Sofern Daten auf einem Formular oder einer Internetseite angegeben werden müssen, muss angegeben werden, ob derjenige dazu gesetzlich oder vertraglich verpflichtet ist und ob diese für einen Vertragsschluss erforderlich sind. Auch muss angegeben werden, welche Folgen es hat, wenn die Daten nicht angegeben werden.
14. Kommt ein Verfahren zur automatisierten Entscheidungsfindung zum Einsatz, müssen aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkung der Verarbeitung gemacht werden.

Falls die Daten nicht vom Betroffenen selber erhoben wurden, muss man zusätzlich angeben:
- Herkunft der Daten

Bei der Zusendung der Informationen ist evtl. schwierig das per Mail zu senden, wenn das als unverlangte Werbung nach §7 UWG angesehen werden könnte.

Ändert sich etwas an den übersandten Informationen (z.B. möchte man nachträglich die Daten doch anders verwenden), muss die Information neu versendet werden.

Ausnahmen für die Informationspflicht:
- wenn die Person bereits über die Informationen verfügt
- wenn sich die Erteilung der Information als unmöglich erweist, weil man z.B. keine Kontaktadresse hat.
- wenn ein unverhältnismäßiger Aufwand erforderlich wäre

Was ich mich momentan frage:
Gilt das jetzt auch für alle alten Daten oder nur für Daten, die ab dem 25.5. neu erhoben/verarbeitet werden?
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: DSGVO
Antwort #23: Mai 06, 2018, 15:14:43
Pflichten des für die Verarbeitung Verantwortlichen:

- geeignete technische und organisatorische Maßnahmen über Art/Umfang und Risiken des Umgangs mit den Daten treffen. Diese müssen nachweisbar sein
- verhältnismäßiger Umgang
- Technik und Vorgaben müssen entsprechend gestaltet sein (Privacy by design/default).
- Erstellung eines Verarbeitungsverzeichnisses. Dies gilt zunächst nur für Firmen mit mehr als 250 Mitarbeitern, außer es werden bestimmte besonders schutzbedürftige Daten (wie z.B. Religionszugehörigkeit) verarbeitet. D.h. effektiv gilt es in D doch für alle Firmen, da in der Lohnabrechnung die Religionszugehörigkeit benötigt wird.
- regelmäßiges Überprüfen/Evaluieren der getroffenen Maßnahmen
- Meldepflicht von Vorfällen gegenüber der Aufsichtsbehörde und Betroffenen (Melden innerhalb von 72h nach Kenntnis)
- evtl. eine Datenschutzfolgenabschätzung
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: DSGVO
Antwort #24: Mai 06, 2018, 16:27:41
Interessante Infos hier über DSGVO. ;)
@macflieger
Viele Kriterien die Du auflistest sind doch nicht auf der eigentlichen evtl. eigenen website (Firma) zu dokumentieren?
Ähnlich wie der Verweis auf die Norm EN ISO 9001 oder ISO/IEC 17025 bei Firmen.

Jochen
« Letzte Änderung: Mai 06, 2018, 16:33:01 von Jochen »
_______
Wenn Du es eilig hast, gehe langsam.
Re: DSGVO
Antwort #25: Mai 06, 2018, 17:14:23
Viele Kriterien die Du auflistest sind doch nicht auf der eigentlichen evtl. eigenen website (Firma) zu dokumentieren?

Ja, das muss nicht alles auf die Website.
In diesem Thread geht es mir darum, dass wir Informationen sammeln, was die DSGVO generell für kleine Unternehmen und Vereine mit sich bringt. Deren Website ist dabei nur ein Teil.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: DSGVO
Antwort #26: Mai 06, 2018, 17:37:32
Viele Kriterien die Du auflistest sind doch nicht auf der eigentlichen evtl. eigenen website (Firma) zu dokumentieren?

Ja, das muss nicht alles auf die Website.
In diesem Thread geht es mir darum, dass wir Informationen sammeln, was die DSGVO generell für kleine Unternehmen und Vereine mit sich bringt. Deren Website ist dabei nur ein Teil.

Wenn man auf verschiedene Websites schaut - speziell Seiten von Fotografen weil mich das tangiert - sieht man, dass deren DSGVO-Bestimmungen mit Generatoren erzeugt sind. Diese Generatoren sind namentlich genannt.

Jochen
_______
Wenn Du es eilig hast, gehe langsam.
Re: DSGVO
Antwort #27: Mai 07, 2018, 08:00:49
Ja, diese Generatoren kenne ich und werde auch bald eine Liste hier verlinken.
Die sind auch ein guter Ansatz, keine Frage.

Trotzdem muss man sich vorher mit der Thematik beschäftigen. Es reicht meiner Meinung nach auch für die Website alleine nicht aus, einfach nur einen Generator zu starten und sich überhaupt nicht drum zu kümmern.
Es ist ja gerade fraglich, welche personenbezogenen Daten man von den Besuchern seiner Website speichert bzw. speichern will und wie man das begründet. Für IP-Adressen in Logdateien werden von den Generatoren immer Erwägungsgründe wegen der Sicherheit der Website genannt. Gerade aber die Grundlagen "Interessenabwägung" und "Einwilligung" sind aber eher schwierig, weil beim ersteren jeder eine Abwägung anders macht und man so nicht sicher ist, und beim letzteren Einwilligungen auch zurück gezogen werden können mit entsprechenden Folgen. Am einfachsten ist es wohl, wenn die Daten aus gesetzlichen oder vertraglichen Gründen gespeichert werden. Will sagen: Meiner Meinung nach ist es bei IP-Adressen einfacher, die nicht zu speichern. Damit hat man keine rechtlichen Probleme.
Bei Cookies und den Generatoren ist es ähnlich. Da landet ein Standardtext über Cookies dann drin, der evtl. mit den tatsächlichen Verhältnissen nur wenig zu tun hat.

Und völlig unabhängig von der Website müssen sich alle Unternehmen und Verein auch außerhalb der Website mit dem Thema beschäftigen. Jeder Kunde eine Fotografen muss über die genannten 14 Punkte informiert werden. Auch wenn man eine Visitenkarte bekommt und die nicht direkt weg schmeißt, sondern in seine Kartei legt oder gar in den Computer/Telefon eingibt, muss der Kartenabgeber über die 14 Punkte informiert werden...

Wie gesagt, die Generatoren sind ein gutes Hilfsmittel, aber nur die Spitze des Eisberges.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: DSGVO
Antwort #28: Mai 08, 2018, 08:41:50
Noch mal kurz zur Auftragsverarbeitung und IP-Logging auf Websites.

1. Oft werden Hostingprovider für Web- und Maildienste verwendet. In dem Fall muss ein Vertrag zur Auftragsverarbeitung mit dem Provider geschlossen werden.
2. IP-Adressen sind personenbezogene Daten. Wenn man keinen wirklich guten Grund für deren Speicherung hat, sollte man einfach die Speicherung der IP-Adresse in den Logdateien ausschalten.

Infos dazu bei HostEurope:
https://www.hosteurope.de/faq/kis/allgemeines0/adv-vertrag-abschliessen/
https://www.hosteurope.de/faq/webhosting/webhosting-logfiles/logfiles-einsehen-und-aendern/

Hat jemand eine Ahnung, wie man bei 1&1 einen Auftragsverarbeitungsvertrag schliesst bzw. die IP-Adressen im Log abschaltet?
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: DSGVO
Antwort #29: Mai 08, 2018, 08:48:11
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller