Forum

DSGVO
März 09, 2018, 10:45:45
ab Mai wird die neue DSGVO gültig und jeder, der nicht nur privat mit Daten umgeht, muss sich damit beschäftigen.

Ich habe zwar schon einiges dazu Gelsen (auch in einer der letzten c't waren dazu mehrere Artikel), aber so richtig 100%ig klar ist mir noch nicht, was eigentlich zu tun ist. :(
Die Infos dazu sind extrem vielfältig und kompliziert.
Vielleicht sind hier ja auch noch einige andere daran interessiert oder können dazu beitragen, Informationen zu sammeln.

Die Datenschutzgrundverordnung (DSGVO) soll dazu dienen, die Nutzung von Daten innerhalb von Unternehmen und anderen Stellen transparenter zu machen. Dazu gibt es wohl einiges an Dokumentations- und Auskunftspflichten.
siehe z.B.
https://www.heise.de/newsticker/meldung/DSGVO-Folterfragebogen-im-Selbsttest-3974512.html
und die unten verlinkten Artikel "Weitere News zum Thema"
oder
https://www.ihk-nordwestfalen.de/IHK-Service/recht/Aktuelles_Artikeluebersichtsseite/neue-anforderungen-fuer-unternehmen-durch-die-ds-gvo/3901694
oder im Original
https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_en
oder viele Artikel dazu:
https://www.datenschutz-guru.de

Problem finde ich, dass zwar große Unternehmen ihre Rechtsabteilungen auf die Bewertung und daraus zu erfolgenden Änderungen ansetzten können, aber kleine Betriebe, Vereine und Websitebetreiber dabei etwas überfordert sind.

Wir könnten doch einmal hier versuchen zusammenzutragen, wo es gute (d.h. leicht verständliche) Informationen gibt bzw. was man konkret unter welchen Bedingungen machen muss.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: DSGVO
Antwort #1: März 09, 2018, 11:44:34
Wir könnten doch einmal hier versuchen zusammenzutragen, wo es gute (d.h. leicht verständliche) Informationen gibt bzw. was man konkret unter welchen Bedingungen machen muss.

Sehr gerne!


Für mein Unternehmen habe ich wieder etwas Hoffnung, dass der Kelch, wenigstens teilweise, an mir vorbei geht, habe ich doch nur mit juristischen Personen zu tun und verkaufe nix an Laufkundschaft.
Re: DSGVO
Antwort #2: März 09, 2018, 12:02:49
Für mein Unternehmen habe ich wieder etwas Hoffnung, dass der Kelch, wenigstens teilweise, an mir vorbei geht, habe ich doch nur mit juristischen Personen zu tun und verkaufe nix an Laufkundschaft.

Ist das ein großer Unterschied?
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: DSGVO
Antwort #3: März 09, 2018, 12:14:48
Na ja, ich gehe davon aus, dass weder meine Kundschaft und erst recht nicht meine Lieferanten zum Abmahnanwalt rennen, wenn sie mitbekommen, dass etwas nicht stimmt.
Außerdem habe ich deutlich weniger Geschäftskontakte, als Unternehmen, die sich an Endverbraucher wenden.
Re: DSGVO
Antwort #4: März 09, 2018, 15:51:45
Eine umfassende 100% korrekte Abhandlung werden wir hier eh nicht hinbekommen. Ich denke, wir kennen uns selber hier nicht genügend aus und sind auch keine entsprechend spezialisierte Anwälte.

Aber ich denke, wir können hier einfach Informationsquellen und Gedanken sammeln und evtl. darin vorkommende einzelne konkrete Fälle zusammenfassen.
Ich denke da auch weniger an die Belange eines großen Unternehmens, welches evtl. auch Benutzerdaten sammelt, um diese irgendwie zu verarbeiten, z.B. halt Apple, Google, Garmin, Fitbit, Fernseherhersteller etc.
Ich denke da eher an kleine Firmen, Sportvereine und Webseiten wie das unsere, welche nur Daten speichern, die notwendig sind.

Ich fange mal ganz grundlegend an. Ich habe gerade Crashkurs Datenschutzrecht (DSGVO) – Teil 1 gehört, in dem es erst einmal nur darum ging, welche Daten überhaupt von der DSGVO betroffen sind.
Ich habe daraus mitgenommen:
- Betroffen sind personenbezogener Daten. Das sind alle Daten, die unmittelbar oder mit vertretbarem Aufwand einen Bezug zu einer natürlichen Person haben. Nach einem neuen europäischem Urteil sind das auch IP-Adressen, weil man über eine Strafanzeige und nachfolgender Akteneinsicht daraus die zugehörige Person ermitteln kann.
- Im Zweifel soll man lieber annehmen, dass Daten personenbezogen sind. Dann ist man auf jeden Fall auf der sicheren Seite.
- Betroffen sind alle derartigen Daten, egal ob die im Computer gespeichert sind oder auf Papier stehen.

So, damit hat jedes Unternehmen, Verein schon mal Daten, die zum DSGVO gehören. Und auch unser Forum speichert z.B. Mailadressen und Postings/PNs mit personenbezogenen Daten.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

Florian

  • Zurück in der Zukunft
Re: DSGVO
Antwort #5: März 09, 2018, 19:27:51
Das Grundlegende scheint ja nach etwas Lektüre schon relativ klar, es geht vor allem um die Umsetzung. Quellen findet man zuhauf, aber 1:1 scheint kaum was zu passen. Ist auch die Frage, ob man da noch bessere Infos findet, ohne einen Anwalt zu fragen.

Ich denke da eher an kleine Firmen, Sportvereine und Webseiten wie das unsere, welche nur Daten speichern, die notwendig sind.

Das ist die erste Überlegung, auch für uns.
Welche Daten braucht man eigentlich wirklich zum sicheren Betrieb einer Seite?

Desweiteren: Warum genau, wie und wo werden sie wie lange gespeichert, mit welchen Mitteln?


Kann mir nicht recht vorstellen, dass Beiträge betroffen sind. Der User hat auch bisher schon die Möglichkeit, sie zu löschen.
PNs sind was anderes, da ja der Empfänger eine Kopie bekommt. Aber da kann man wirklich nichts machen und das ist ja wohl auch logisch und nachvollziehbar.

Wir sind insofern fein raus, weil wir ja keine fremde Software einbinden. Das spart schon mal viel Zeit und Nerven.


Deine bisherigen Befunde sind AFAIK korrekt.
Zudem muss man dem Benutzer alles transparent machen und auf Nachfrage Protokolle rausrücken. Da tun sich dann auch technische Fragen auf.
« Letzte Änderung: März 09, 2018, 19:31:32 von Florian »
_______
"If music be the food of love, play on!”
                         William Shakespeare
Re: DSGVO
Antwort #6: März 09, 2018, 20:17:59
Für mein Unternehmen habe ich wieder etwas Hoffnung, dass der Kelch, wenigstens teilweise, an mir vorbei geht, habe ich doch nur mit juristischen Personen zu tun und verkaufe nix an Laufkundschaft.

Ist das ein großer Unterschied?

Ja, die DSGVO bezweckt den Schutz von Daten natürlicher Personen. Juristische Personen werden durch die DSGVO nicht geschützt.
_______
Complete liberty of contradicting and disproving our opinion, is the very condition which justifies us in assuming its truth for purposes of action; and on no other terms can a being with human faculties have any rational assurance of being right. (John Stuart Mill - On Liberty)

Florian

  • Zurück in der Zukunft
Re: DSGVO
Antwort #7: März 09, 2018, 20:27:28
Das stimmt, man muss aber beachten, dass es hier auch Fallstricke gibt, z.B. falls der Name der jur. Person auf die nat. Person rückschließen lassen kann (etwa "Glaserei Albert Meier") und bei persönlichen Daten von Mitarbeitern der jur. Person.
https://www.bevh.org/blog/blog-post/2016/07/07/macht-die-eu-datenschutz-grundverordnung-einen-unterschied-zwischen-b2c-und-b2b/

_______
"If music be the food of love, play on!”
                         William Shakespeare
Re: DSGVO
Antwort #8: März 10, 2018, 08:34:05
Das Grundlegende scheint ja nach etwas Lektüre schon relativ klar, es geht vor allem um die Umsetzung. Quellen findet man zuhauf, aber 1:1 scheint kaum was zu passen. Ist auch die Frage, ob man da noch bessere Infos findet, ohne einen Anwalt zu fragen.

Das ist eben die Frage und darum wollte ich einfach mit euch zusammen einfach mal was zusammentragen. Welche Daten und warum gespeichert werden, ist relativ klar (ich gehe eben für meine Überlegungen vom Fall aus, dass man wirklich nur die notwendigen Daten speichert). Aber was nun daraus resultiert und was man konkret bei ganz typischen Fällen machen muss, das ist mir noch unklar.

Zitat
Kann mir nicht recht vorstellen, dass Beiträge betroffen sind.

Naja, bei allgemeinen Beiträgen würde ich das auch nicht so sehen. Aber es gibt ja auch Beiträge, bei denen jemand etwas über sich selbst preis gibt (politische/religiöse Einstellung etc.). Das könnte schon darunter fallen.
Aber klar, es ist logisch, dass Beiträge gespeichert werden. Die Frage ist ja eben jetzt: Was schreibe ich genau in eine Datenschutzerklärung?
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

Florian

  • Zurück in der Zukunft
Re: DSGVO
Antwort #9: März 10, 2018, 19:33:09
Ich wollte auch nicht andeuten, dass dieses Thema nichts einbringt. fränks Frage z.B. konnten wir ja schon halbwegs klären.

Nur zeigt die Erfahrung, dass man am Ende halt irgendwas zusammenschreibt und nie ganz sicher vor Abmahnungen ist, es regiert das Prinzip Hoffnung. Nun kommen noch extreme Strafandrohungen dazu, es nervt.

Beiträge mit persönlichen Daten (auch Name, Telefonnummer oder was weiß ich) können wir, wie alle anderen, ja auf Nachfrage löschen bzw. der User selbst. In der Regel würde ich sogar selbst darauf hinweisen, wenn ein User evtl. zu viel von sich preisgibt. Oft ist das noch nicht passiert, ging meistens um Klarnamen.
Ich denke, da wir ja die Möglichkeit des Löschens haben, sind wir hier auf der sicheren Seite und müssen das „nur“ so auch richtig aufschreiben.
_______
"If music be the food of love, play on!”
                         William Shakespeare
Re: DSGVO
Antwort #10: März 11, 2018, 12:26:00
Ich bin selber noch nicht so weit mit den konkreten Folgen und kämpfe mich noch durch die Grundlagen.

Gelernt habe ich aktuell:
Personenbezogene Daten dürfen verarbeitet werden, wenn
- eine explizite Erlaubnis vorliegt oder
- sie zur Erfüllung einer vertraglichen oder vorvertraglichen Pflicht bzw. zur Wahrung meiner Rechte notwendig sind oder
- sie aufgrund von gesetzlichen Vorschriften gespeichert werden müssen.
In dem meisten Fällen wird es wohl um den zweiten Fall gehen.

Notwendige Daten sind dann z.B. Name/Anschrift bei Vereinsmitgliedern.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

Florian

  • Zurück in der Zukunft
Re: DSGVO
Antwort #11: März 11, 2018, 14:59:06
Personenbezogene Daten dürfen verarbeitet werden, wenn
- eine explizite Erlaubnis vorliegt oder
- sie zur Erfüllung einer vertraglichen oder vorvertraglichen Pflicht bzw. zur Wahrung meiner Rechte notwendig sind oder

Müsste hier statt „oder" (von mir fett gemacht) ein „und“ stehen?
Konkret bei uns: Es müsste eine Aufklärung mit Akzeptier-Button sein? Das ist ja heute schon so.

Zitat
- sie aufgrund von gesetzlichen Vorschriften gespeichert werden müssen.

Konkret bei uns: Mir fällt nichts ein, was wir gesetzlich speichern müssten. Eher im Gegenteil, denke an die juristische Streitfrage IP-Adressen.
_______
"If music be the food of love, play on!”
                         William Shakespeare
Re: DSGVO
Antwort #12: März 12, 2018, 07:21:27
Müsste hier statt „oder" (von mir fett gemacht) ein „und“ stehen?
Konkret bei uns: Es müsste eine Aufklärung mit Akzeptier-Button sein? Das ist ja heute schon so.

Jein. Von der Aufklärung habe ich noch gar nichts geschrieben. Es ging bei mir erst einmal darum, wann es überhaupt möglich ist. Und da ist "oder" richtig, siehe §6 DSGVO:
Zitat
Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
- Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
- die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
- die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

D.h. wenn die Verarbeitung der Daten für die Erfüllung eines Vertrages erforderlich ist und die Anfrage dazu seitens der betroffenen Person erfolgte, dann darf man die Daten verarbeiten und muss nicht noch einmal explizit eine Einwilligung erfragen (und evtl. dokumentieren!).
Ehrlich gesagt würde es auch extrem aufwändig sein (mal losgelöst von dem Fall einer Website) bei jedem Vertrag, bei dem Daten gespeichert werden müssen, zusätzlich eine Einwilligung abzufragen und auch später nachweisen zu können.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

Florian

  • Zurück in der Zukunft
Re: DSGVO
Antwort #13: März 12, 2018, 08:24:05
Man nimmt also an, dass im Fall von diesen absolut notwendigen Daten eine Erlaubnis bei einer Anfrage des Verbrauchers gegeben wurde.
Immerhin das macht Sinn.
_______
"If music be the food of love, play on!”
                         William Shakespeare
Re: DSGVO
Antwort #14: März 12, 2018, 08:42:44
Auf jeden Fall.
Stell Dir mal vor, Du fragst bei einem Unternehmen etwas per Mail nach. Dann hast Du die Erlaubnis, Deine Adresse zu verarbeiten, implizit gegeben. Wie sollten die auch sonst antworten können?
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller