Apfelinsel

Talk => Thema gestartet von: MacFlieger am März 09, 2018, 10:45:45

Titel: DSGVO
Beitrag von: MacFlieger am März 09, 2018, 10:45:45
ab Mai wird die neue DSGVO gültig und jeder, der nicht nur privat mit Daten umgeht, muss sich damit beschäftigen.

Ich habe zwar schon einiges dazu Gelsen (auch in einer der letzten c't waren dazu mehrere Artikel), aber so richtig 100%ig klar ist mir noch nicht, was eigentlich zu tun ist. :(
Die Infos dazu sind extrem vielfältig und kompliziert.
Vielleicht sind hier ja auch noch einige andere daran interessiert oder können dazu beitragen, Informationen zu sammeln.

Die Datenschutzgrundverordnung (DSGVO) soll dazu dienen, die Nutzung von Daten innerhalb von Unternehmen und anderen Stellen transparenter zu machen. Dazu gibt es wohl einiges an Dokumentations- und Auskunftspflichten.
siehe z.B.
https://www.heise.de/newsticker/meldung/DSGVO-Folterfragebogen-im-Selbsttest-3974512.html
und die unten verlinkten Artikel "Weitere News zum Thema"
oder
https://www.ihk-nordwestfalen.de/IHK-Service/recht/Aktuelles_Artikeluebersichtsseite/neue-anforderungen-fuer-unternehmen-durch-die-ds-gvo/3901694
oder im Original
https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_en
oder viele Artikel dazu:
https://www.datenschutz-guru.de

Problem finde ich, dass zwar große Unternehmen ihre Rechtsabteilungen auf die Bewertung und daraus zu erfolgenden Änderungen ansetzten können, aber kleine Betriebe, Vereine und Websitebetreiber dabei etwas überfordert sind.

Wir könnten doch einmal hier versuchen zusammenzutragen, wo es gute (d.h. leicht verständliche) Informationen gibt bzw. was man konkret unter welchen Bedingungen machen muss.
Titel: Re: DSGVO
Beitrag von: fränk am März 09, 2018, 11:44:34
Wir könnten doch einmal hier versuchen zusammenzutragen, wo es gute (d.h. leicht verständliche) Informationen gibt bzw. was man konkret unter welchen Bedingungen machen muss.

Sehr gerne!


Für mein Unternehmen habe ich wieder etwas Hoffnung, dass der Kelch, wenigstens teilweise, an mir vorbei geht, habe ich doch nur mit juristischen Personen zu tun und verkaufe nix an Laufkundschaft.
Titel: Re: DSGVO
Beitrag von: MacFlieger am März 09, 2018, 12:02:49
Für mein Unternehmen habe ich wieder etwas Hoffnung, dass der Kelch, wenigstens teilweise, an mir vorbei geht, habe ich doch nur mit juristischen Personen zu tun und verkaufe nix an Laufkundschaft.

Ist das ein großer Unterschied?
Titel: Re: DSGVO
Beitrag von: fränk am März 09, 2018, 12:14:48
Na ja, ich gehe davon aus, dass weder meine Kundschaft und erst recht nicht meine Lieferanten zum Abmahnanwalt rennen, wenn sie mitbekommen, dass etwas nicht stimmt.
Außerdem habe ich deutlich weniger Geschäftskontakte, als Unternehmen, die sich an Endverbraucher wenden.
Titel: Re: DSGVO
Beitrag von: MacFlieger am März 09, 2018, 15:51:45
Eine umfassende 100% korrekte Abhandlung werden wir hier eh nicht hinbekommen. Ich denke, wir kennen uns selber hier nicht genügend aus und sind auch keine entsprechend spezialisierte Anwälte.

Aber ich denke, wir können hier einfach Informationsquellen und Gedanken sammeln und evtl. darin vorkommende einzelne konkrete Fälle zusammenfassen.
Ich denke da auch weniger an die Belange eines großen Unternehmens, welches evtl. auch Benutzerdaten sammelt, um diese irgendwie zu verarbeiten, z.B. halt Apple, Google, Garmin, Fitbit, Fernseherhersteller etc.
Ich denke da eher an kleine Firmen, Sportvereine und Webseiten wie das unsere, welche nur Daten speichern, die notwendig sind.

Ich fange mal ganz grundlegend an. Ich habe gerade Crashkurs Datenschutzrecht (DSGVO) – Teil 1 (https://www.datenschutz-guru.de/crashkurs-datenschutzrecht-dsgvo-teil-1/) gehört, in dem es erst einmal nur darum ging, welche Daten überhaupt von der DSGVO betroffen sind.
Ich habe daraus mitgenommen:
- Betroffen sind personenbezogener Daten. Das sind alle Daten, die unmittelbar oder mit vertretbarem Aufwand einen Bezug zu einer natürlichen Person haben. Nach einem neuen europäischem Urteil sind das auch IP-Adressen, weil man über eine Strafanzeige und nachfolgender Akteneinsicht daraus die zugehörige Person ermitteln kann.
- Im Zweifel soll man lieber annehmen, dass Daten personenbezogen sind. Dann ist man auf jeden Fall auf der sicheren Seite.
- Betroffen sind alle derartigen Daten, egal ob die im Computer gespeichert sind oder auf Papier stehen.

So, damit hat jedes Unternehmen, Verein schon mal Daten, die zum DSGVO gehören. Und auch unser Forum speichert z.B. Mailadressen und Postings/PNs mit personenbezogenen Daten.
Titel: Re: DSGVO
Beitrag von: Florian am März 09, 2018, 19:27:51
Das Grundlegende scheint ja nach etwas Lektüre schon relativ klar, es geht vor allem um die Umsetzung. Quellen findet man zuhauf, aber 1:1 scheint kaum was zu passen. Ist auch die Frage, ob man da noch bessere Infos findet, ohne einen Anwalt zu fragen.

Ich denke da eher an kleine Firmen, Sportvereine und Webseiten wie das unsere, welche nur Daten speichern, die notwendig sind.

Das ist die erste Überlegung, auch für uns.
Welche Daten braucht man eigentlich wirklich zum sicheren Betrieb einer Seite?

Desweiteren: Warum genau, wie und wo werden sie wie lange gespeichert, mit welchen Mitteln?


Kann mir nicht recht vorstellen, dass Beiträge betroffen sind. Der User hat auch bisher schon die Möglichkeit, sie zu löschen.
PNs sind was anderes, da ja der Empfänger eine Kopie bekommt. Aber da kann man wirklich nichts machen und das ist ja wohl auch logisch und nachvollziehbar.

Wir sind insofern fein raus, weil wir ja keine fremde Software einbinden. Das spart schon mal viel Zeit und Nerven.


Deine bisherigen Befunde sind AFAIK korrekt.
Zudem muss man dem Benutzer alles transparent machen und auf Nachfrage Protokolle rausrücken. Da tun sich dann auch technische Fragen auf.
Titel: Re: DSGVO
Beitrag von: warlord am März 09, 2018, 20:17:59
Für mein Unternehmen habe ich wieder etwas Hoffnung, dass der Kelch, wenigstens teilweise, an mir vorbei geht, habe ich doch nur mit juristischen Personen zu tun und verkaufe nix an Laufkundschaft.

Ist das ein großer Unterschied?

Ja, die DSGVO bezweckt den Schutz von Daten natürlicher Personen. Juristische Personen werden durch die DSGVO nicht geschützt.
Titel: Re: DSGVO
Beitrag von: Florian am März 09, 2018, 20:27:28
Das stimmt, man muss aber beachten, dass es hier auch Fallstricke gibt, z.B. falls der Name der jur. Person auf die nat. Person rückschließen lassen kann (etwa "Glaserei Albert Meier") und bei persönlichen Daten von Mitarbeitern der jur. Person.
https://www.bevh.org/blog/blog-post/2016/07/07/macht-die-eu-datenschutz-grundverordnung-einen-unterschied-zwischen-b2c-und-b2b/

Titel: Re: DSGVO
Beitrag von: MacFlieger am März 10, 2018, 08:34:05
Das Grundlegende scheint ja nach etwas Lektüre schon relativ klar, es geht vor allem um die Umsetzung. Quellen findet man zuhauf, aber 1:1 scheint kaum was zu passen. Ist auch die Frage, ob man da noch bessere Infos findet, ohne einen Anwalt zu fragen.

Das ist eben die Frage und darum wollte ich einfach mit euch zusammen einfach mal was zusammentragen. Welche Daten und warum gespeichert werden, ist relativ klar (ich gehe eben für meine Überlegungen vom Fall aus, dass man wirklich nur die notwendigen Daten speichert). Aber was nun daraus resultiert und was man konkret bei ganz typischen Fällen machen muss, das ist mir noch unklar.

Zitat
Kann mir nicht recht vorstellen, dass Beiträge betroffen sind.

Naja, bei allgemeinen Beiträgen würde ich das auch nicht so sehen. Aber es gibt ja auch Beiträge, bei denen jemand etwas über sich selbst preis gibt (politische/religiöse Einstellung etc.). Das könnte schon darunter fallen.
Aber klar, es ist logisch, dass Beiträge gespeichert werden. Die Frage ist ja eben jetzt: Was schreibe ich genau in eine Datenschutzerklärung?
Titel: Re: DSGVO
Beitrag von: Florian am März 10, 2018, 19:33:09
Ich wollte auch nicht andeuten, dass dieses Thema nichts einbringt. fränks Frage z.B. konnten wir ja schon halbwegs klären.

Nur zeigt die Erfahrung, dass man am Ende halt irgendwas zusammenschreibt und nie ganz sicher vor Abmahnungen ist, es regiert das Prinzip Hoffnung. Nun kommen noch extreme Strafandrohungen dazu, es nervt.

Beiträge mit persönlichen Daten (auch Name, Telefonnummer oder was weiß ich) können wir, wie alle anderen, ja auf Nachfrage löschen bzw. der User selbst. In der Regel würde ich sogar selbst darauf hinweisen, wenn ein User evtl. zu viel von sich preisgibt. Oft ist das noch nicht passiert, ging meistens um Klarnamen.
Ich denke, da wir ja die Möglichkeit des Löschens haben, sind wir hier auf der sicheren Seite und müssen das „nur“ so auch richtig aufschreiben.
Titel: Re: DSGVO
Beitrag von: MacFlieger am März 11, 2018, 12:26:00
Ich bin selber noch nicht so weit mit den konkreten Folgen und kämpfe mich noch durch die Grundlagen.

Gelernt habe ich aktuell:
Personenbezogene Daten dürfen verarbeitet werden, wenn
- eine explizite Erlaubnis vorliegt oder
- sie zur Erfüllung einer vertraglichen oder vorvertraglichen Pflicht bzw. zur Wahrung meiner Rechte notwendig sind oder
- sie aufgrund von gesetzlichen Vorschriften gespeichert werden müssen.
In dem meisten Fällen wird es wohl um den zweiten Fall gehen.

Notwendige Daten sind dann z.B. Name/Anschrift bei Vereinsmitgliedern.
Titel: Re: DSGVO
Beitrag von: Florian am März 11, 2018, 14:59:06
Personenbezogene Daten dürfen verarbeitet werden, wenn
- eine explizite Erlaubnis vorliegt oder
- sie zur Erfüllung einer vertraglichen oder vorvertraglichen Pflicht bzw. zur Wahrung meiner Rechte notwendig sind oder

Müsste hier statt „oder" (von mir fett gemacht) ein „und“ stehen?
Konkret bei uns: Es müsste eine Aufklärung mit Akzeptier-Button sein? Das ist ja heute schon so.

Zitat
- sie aufgrund von gesetzlichen Vorschriften gespeichert werden müssen.

Konkret bei uns: Mir fällt nichts ein, was wir gesetzlich speichern müssten. Eher im Gegenteil, denke an die juristische Streitfrage IP-Adressen.
Titel: Re: DSGVO
Beitrag von: MacFlieger am März 12, 2018, 07:21:27
Müsste hier statt „oder" (von mir fett gemacht) ein „und“ stehen?
Konkret bei uns: Es müsste eine Aufklärung mit Akzeptier-Button sein? Das ist ja heute schon so.

Jein. Von der Aufklärung habe ich noch gar nichts geschrieben. Es ging bei mir erst einmal darum, wann es überhaupt möglich ist. Und da ist "oder" richtig, siehe §6 DSGVO:
Zitat
Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
- Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
- die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
- die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

D.h. wenn die Verarbeitung der Daten für die Erfüllung eines Vertrages erforderlich ist und die Anfrage dazu seitens der betroffenen Person erfolgte, dann darf man die Daten verarbeiten und muss nicht noch einmal explizit eine Einwilligung erfragen (und evtl. dokumentieren!).
Ehrlich gesagt würde es auch extrem aufwändig sein (mal losgelöst von dem Fall einer Website) bei jedem Vertrag, bei dem Daten gespeichert werden müssen, zusätzlich eine Einwilligung abzufragen und auch später nachweisen zu können.
Titel: Re: DSGVO
Beitrag von: Florian am März 12, 2018, 08:24:05
Man nimmt also an, dass im Fall von diesen absolut notwendigen Daten eine Erlaubnis bei einer Anfrage des Verbrauchers gegeben wurde.
Immerhin das macht Sinn.
Titel: Re: DSGVO
Beitrag von: MacFlieger am März 12, 2018, 08:42:44
Auf jeden Fall.
Stell Dir mal vor, Du fragst bei einem Unternehmen etwas per Mail nach. Dann hast Du die Erlaubnis, Deine Adresse zu verarbeiten, implizit gegeben. Wie sollten die auch sonst antworten können?
Titel: Re: DSGVO
Beitrag von: Florian am März 12, 2018, 11:04:13
Da könnte man ja die Emails abschaffen und per Webformular mit Einwilligungs-Button arbeiten…

Nicht das dies Sinn machen würde! Ich traue Bürokraten sowas einfach zu mittlerweile.
Titel: Re: DSGVO
Beitrag von: MacFlieger am März 21, 2018, 08:31:22
Personenbezogene Daten dürfen verarbeitet werden, wenn
- eine explizite Erlaubnis vorliegt oder
- sie zur Erfüllung einer vertraglichen oder vorvertraglichen Pflicht bzw. zur Wahrung meiner Rechte notwendig sind oder
- sie aufgrund von gesetzlichen Vorschriften gespeichert werden müssen.

Noch einmal eine Präzisierung:
Personenbezogene Daten dürfen verarbeitet werden, wenn
- eine explizite Erlaubnis vorliegt oder
- sie zur Erfüllung einer vertraglichen oder vorvertraglichen Pflicht notwendig sind oder
- sie aufgrund von gesetzlichen Vorschriften gespeichert werden müssen oder
- sie zur Wahrung von berechtigten Interessen erforderlich sind, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Zumeist sollte der zweite Punkt zutreffen und die Rechtsgrundlage damit klar sein.
Sollte man Daten aufgrund des vierten Punktes verarbeiten wollen, muss eine Abwägung zwischen den eigenen Interessen und den Interessen des Betroffenen zu eigenem Gunsten ausfallen. Diese Abwägung ist natürlich ziemlich schwammig und kann seitens eines Gerichtes anders ausfallen. Daher würde ich nach Möglichkeit auf diese Rechtsgrundlage verzichten.
Titel: Re: DSGVO
Beitrag von: Florian am März 21, 2018, 18:38:47
Das wäre z.B. er oft zu lesende Satz von wegen IP-Speicherung sei zum ordnungsgemäßen Betrieb und für die Sicherheit notwendig. Oder?

Den halte ich schon lange für etwas fragwürdig.
Titel: Re: DSGVO
Beitrag von: MacFlieger am März 22, 2018, 07:34:41
Das wäre z.B. er oft zu lesende Satz von wegen IP-Speicherung sei zum ordnungsgemäßen Betrieb und für die Sicherheit notwendig. Oder?
Den halte ich schon lange für etwas fragwürdig.

Bezogen auf Websites ist das ein Beispiel, ja.
Ansonsten bezieht sich das aber auch auf alle möglichen Informationen, die zwar gesammelt werden, aber nicht unbedingt für einen Vertrag notwendig sind (z.B. Positionsdaten, Alter oder Vorlieben von Ansprechpartnern im Kundenverkehr etc.). Um auf dieser Grundlage zu speichern, ist eine Abwägung der Interessen notwendig, aber schwierig und heikel.
So wie ich es verstanden habe, ist diese Möglichkeit der Speicherung ohne Einverständnis neu.

Bezgl. IP-Adressen ist aktuell auch, dass das dynamische IP-Adressen ebenfalls personenbezogene Daten sind (zumindestens in D), weil der Betreiber einer Websites mittelbar diese auf eine Person beziehen kann (über den Umweg Strafanzeige und Akteneinsicht).
Da ist es am einfachsten, keine IP-Adressen in Logdateien zu speichern.
Titel: Re: DSGVO
Beitrag von: radneuerfinder am März 29, 2018, 19:26:28
https://m.heise.de/mac-and-i/meldung/iOS-11-3-Apple-nimmt-Privatsphaere-ernst-4008930.html
Titel: Re: DSGVO
Beitrag von: MacFlieger am Mai 06, 2018, 10:11:52
Personenbezogene Daten dürfen verarbeitet werden, wenn
- eine explizite Erlaubnis vorliegt oder

Nachtrag dazu:
Hierbei gibt es ein paar Voraussetzungen:
- Dies kann durch eine explizite Erklärung oder eindeutige bestätigende Handlung erfolgen.
- Sie muss informiert erfolgen, d.h. man muss dabei genau erklären, wozu man einwilligt.
- Wenn bei einer Einwilligung in schriftlicher Form diese in Kombination mit anderen Sachverhalten, dann muss die Einwilligung von den anderen Sachverhalten klar zu unterscheiden sein (z.B. Fettdruck/Umrandung etc.).
- Sie muss jederzeit widerrufbar sein und darauf muss bei der Einwilligung hingewiesen werden.
- Man muss diese Einwilligung nachweisen können, z.B. durch Protokollierung.
- Sie muss freiwillig erfolgen. Rechtlich umstritten ist aktuell dabei der Passus, dass unter größtmöglichen Umfang dem Umstand Rechnung getragen werden soll, dass die Einwilligung nicht verpflichtend für andere Sachverhalte sein darf, für welche die Datenverarbeitung nicht notwendig ist ("Kopplungsverbot"). Soll heißen: Wenn man eine Dienstleistung erbringen will, dann darf man dafür nicht zwingend die Einwilligung zur Verarbeitung von Daten verlangen, wenn diese für die Dienstleitung nicht benötigt werden, d.h. darüber hinaus gehen.

Großer Nachteil: Die Erlaubnis kann jederzeit zurückgenommen werden. In dem Fall müssen alle Daten wieder gelöscht werden, was evtl. mit viel Arbeit und Schwierigkeiten verbunden sind. Daher würde ich nach Möglichkeit auf diese Rechtsgrundlage ebenfalls verzichten.
Titel: Re: DSGVO
Beitrag von: MacFlieger am Mai 06, 2018, 10:47:11
Thema "Auftragsverarbeitung"

Wenn man jemanden anderen als Auftragsverarbeiter beauftragt, ist dieser rechtlich kein "Dritter" mehr und es muss nicht mehr direkt darüber informiert werden, dass personenbezogene Daten von diesem verarbeitet werden. Hat man z.B. mit seinem Hosting-Provider eine Auftragsverarbeitung geschlossen, ist es nach außen hin kein Unterschied mehr, ob man selber einen Mailserver betreibt oder dieser vom Provider betrieben wird.

Eine Auftragsverarbeitung liegt nicht vor (sondern dann stattdessen eine gemeinsame Verantwortlichkeit), wenn die betroffene Stelle (Person, Firma, Behörde etc.) allein über die Mittel und Zwecke der Verarbeitung entscheidet, wobei das Hauptaugenmerk wohl darauf liegt, ob die betroffene Stelle über den Zweck entscheiden kann.

Betreibt man also ein normales Hosting-Paket, dann entscheidet der Hosting-Provider nicht darüber, zu welchem Zweck die gespeicherten Daten verwaltet werden. Somit ist der Provider ein Auftragsverarbeiter und man muss mit ihm einen Vertrag schliessen.
In diesem Vertrag steht dann hauptsächlich drin, dass sich der Auftragsverarbeiter die DSGVO einhält.

Vorlagen für einen Vertrag (und andere Praxishilfen) gibt es hier:
https://www.gdd.de/gdd-arbeitshilfen/praxishilfen-ds-gvo/praxishilfen-ds-gvo

Viele Provider bieten schon fertige Verträge zum Download für ihre Kunden an.

Titel: Re: DSGVO
Beitrag von: MacFlieger am Mai 06, 2018, 13:47:48
Nun zum heiklen Thema "Informationspflichten":

Wenn von jemandem personenbezogen Daten verarbeitet werden, muss dieser darüber informiert werden. So etwas trifft seit kurzem bei mir zunehmend von verschiedenen Firmen ein.

Vorgaben für die Information:
- Die Formulierungen müssen präzise und in verständlicher Sprache sein.
- Die Informationen müssen leicht zugänglich sein.
- Die Informationen müssen innerhalb einer angemessenen Frist (max. 1 Monat) nach Erlangung der Daten mitgeteilt werden.

Inhalt der Informationen:
1. Name und Kontaktdaten des Verantwortlichen
2. Art der betroffenen Daten
3. Zweck der Verarbeitung
4. Rechtsgrundlage, meistens Art. 6 der DSGVO, bei Mail-Newslettern aber auch §7 UWG.
5. Dauer der Speicherung bzw. Kriterien für die Festlegung der Dauer
6. Werden die Daten an Dritte weiter gegeben? Wenn ja, an welche?
7. Werden Daten außerhalb der EU verarbeitet? Wenn ja, wie ist das angemessene Datenschutzniveau garantiert.
8. Werden Daten auf Basis einer Einwilligung verarbeitet? Wenn ja, muss auf das Widerrufsrecht hingewiesen werden.
9. Werden Daten auf Basis einer Interessenabwägung verarbeitet? Wenn ja, wie lautet das Interesse?
10. Rechte des Betroffenen, d.h. Hinweis auf das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht und ein etwaiges Recht auf Datenübertragbarkeit
11. Kontaktdaten des Datenschutzbeauftragten. Ein DSB wird nur dann benötigt, wenn min. 10 Personen regelmäßig mit der Verarbeitung der Daten beschäftigt ist.
12. Hinweis auf ein Beschwerderecht bei der Aufsichtsbehörde
13. Sofern Daten auf einem Formular oder einer Internetseite angegeben werden müssen, muss angegeben werden, ob derjenige dazu gesetzlich oder vertraglich verpflichtet ist und ob diese für einen Vertragsschluss erforderlich sind. Auch muss angegeben werden, welche Folgen es hat, wenn die Daten nicht angegeben werden.
14. Kommt ein Verfahren zur automatisierten Entscheidungsfindung zum Einsatz, müssen aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkung der Verarbeitung gemacht werden.

Falls die Daten nicht vom Betroffenen selber erhoben wurden, muss man zusätzlich angeben:
- Herkunft der Daten

Bei der Zusendung der Informationen ist evtl. schwierig das per Mail zu senden, wenn das als unverlangte Werbung nach §7 UWG angesehen werden könnte.

Ändert sich etwas an den übersandten Informationen (z.B. möchte man nachträglich die Daten doch anders verwenden), muss die Information neu versendet werden.

Ausnahmen für die Informationspflicht:
- wenn die Person bereits über die Informationen verfügt
- wenn sich die Erteilung der Information als unmöglich erweist, weil man z.B. keine Kontaktadresse hat.
- wenn ein unverhältnismäßiger Aufwand erforderlich wäre

Was ich mich momentan frage:
Gilt das jetzt auch für alle alten Daten oder nur für Daten, die ab dem 25.5. neu erhoben/verarbeitet werden?
Titel: Re: DSGVO
Beitrag von: MacFlieger am Mai 06, 2018, 15:14:43
Pflichten des für die Verarbeitung Verantwortlichen:

- geeignete technische und organisatorische Maßnahmen über Art/Umfang und Risiken des Umgangs mit den Daten treffen. Diese müssen nachweisbar sein
- verhältnismäßiger Umgang
- Technik und Vorgaben müssen entsprechend gestaltet sein (Privacy by design/default).
- Erstellung eines Verarbeitungsverzeichnisses. Dies gilt zunächst nur für Firmen mit mehr als 250 Mitarbeitern, außer es werden bestimmte besonders schutzbedürftige Daten (wie z.B. Religionszugehörigkeit) verarbeitet. D.h. effektiv gilt es in D doch für alle Firmen, da in der Lohnabrechnung die Religionszugehörigkeit benötigt wird.
- regelmäßiges Überprüfen/Evaluieren der getroffenen Maßnahmen
- Meldepflicht von Vorfällen gegenüber der Aufsichtsbehörde und Betroffenen (Melden innerhalb von 72h nach Kenntnis)
- evtl. eine Datenschutzfolgenabschätzung
Titel: Re: DSGVO
Beitrag von: Jochen am Mai 06, 2018, 16:27:41
Interessante Infos hier über DSGVO. ;)
@macflieger
Viele Kriterien die Du auflistest sind doch nicht auf der eigentlichen evtl. eigenen website (Firma) zu dokumentieren?
Ähnlich wie der Verweis auf die Norm EN ISO 9001 oder ISO/IEC 17025 bei Firmen.

Jochen
Titel: Re: DSGVO
Beitrag von: MacFlieger am Mai 06, 2018, 17:14:23
Viele Kriterien die Du auflistest sind doch nicht auf der eigentlichen evtl. eigenen website (Firma) zu dokumentieren?

Ja, das muss nicht alles auf die Website.
In diesem Thread geht es mir darum, dass wir Informationen sammeln, was die DSGVO generell für kleine Unternehmen und Vereine mit sich bringt. Deren Website ist dabei nur ein Teil.
Titel: Re: DSGVO
Beitrag von: Jochen am Mai 06, 2018, 17:37:32
Viele Kriterien die Du auflistest sind doch nicht auf der eigentlichen evtl. eigenen website (Firma) zu dokumentieren?

Ja, das muss nicht alles auf die Website.
In diesem Thread geht es mir darum, dass wir Informationen sammeln, was die DSGVO generell für kleine Unternehmen und Vereine mit sich bringt. Deren Website ist dabei nur ein Teil.

Wenn man auf verschiedene Websites schaut - speziell Seiten von Fotografen weil mich das tangiert - sieht man, dass deren DSGVO-Bestimmungen mit Generatoren erzeugt sind. Diese Generatoren sind namentlich genannt.

Jochen
Titel: Re: DSGVO
Beitrag von: MacFlieger am Mai 07, 2018, 08:00:49
Ja, diese Generatoren kenne ich und werde auch bald eine Liste hier verlinken.
Die sind auch ein guter Ansatz, keine Frage.

Trotzdem muss man sich vorher mit der Thematik beschäftigen. Es reicht meiner Meinung nach auch für die Website alleine nicht aus, einfach nur einen Generator zu starten und sich überhaupt nicht drum zu kümmern.
Es ist ja gerade fraglich, welche personenbezogenen Daten man von den Besuchern seiner Website speichert bzw. speichern will und wie man das begründet. Für IP-Adressen in Logdateien werden von den Generatoren immer Erwägungsgründe wegen der Sicherheit der Website genannt. Gerade aber die Grundlagen "Interessenabwägung" und "Einwilligung" sind aber eher schwierig, weil beim ersteren jeder eine Abwägung anders macht und man so nicht sicher ist, und beim letzteren Einwilligungen auch zurück gezogen werden können mit entsprechenden Folgen. Am einfachsten ist es wohl, wenn die Daten aus gesetzlichen oder vertraglichen Gründen gespeichert werden. Will sagen: Meiner Meinung nach ist es bei IP-Adressen einfacher, die nicht zu speichern. Damit hat man keine rechtlichen Probleme.
Bei Cookies und den Generatoren ist es ähnlich. Da landet ein Standardtext über Cookies dann drin, der evtl. mit den tatsächlichen Verhältnissen nur wenig zu tun hat.

Und völlig unabhängig von der Website müssen sich alle Unternehmen und Verein auch außerhalb der Website mit dem Thema beschäftigen. Jeder Kunde eine Fotografen muss über die genannten 14 Punkte informiert werden. Auch wenn man eine Visitenkarte bekommt und die nicht direkt weg schmeißt, sondern in seine Kartei legt oder gar in den Computer/Telefon eingibt, muss der Kartenabgeber über die 14 Punkte informiert werden...

Wie gesagt, die Generatoren sind ein gutes Hilfsmittel, aber nur die Spitze des Eisberges.
Titel: Re: DSGVO
Beitrag von: MacFlieger am Mai 08, 2018, 08:41:50
Noch mal kurz zur Auftragsverarbeitung und IP-Logging auf Websites.

1. Oft werden Hostingprovider für Web- und Maildienste verwendet. In dem Fall muss ein Vertrag zur Auftragsverarbeitung mit dem Provider geschlossen werden.
2. IP-Adressen sind personenbezogene Daten. Wenn man keinen wirklich guten Grund für deren Speicherung hat, sollte man einfach die Speicherung der IP-Adresse in den Logdateien ausschalten.

Infos dazu bei HostEurope:
https://www.hosteurope.de/faq/kis/allgemeines0/adv-vertrag-abschliessen/
https://www.hosteurope.de/faq/webhosting/webhosting-logfiles/logfiles-einsehen-und-aendern/

Hat jemand eine Ahnung, wie man bei 1&1 einen Auftragsverarbeitungsvertrag schliesst bzw. die IP-Adressen im Log abschaltet?
Titel: Re: DSGVO
Beitrag von: MacFlieger am Mai 08, 2018, 08:48:11
Hier eine Liste von kostenlosen Datenschutzgeneratoren. Zu deren Qualität kann ich nichts sagen:

https://datenschutz-generator.de
https://rechtsanwalt-metzler.de/datenschutzerklaerung-generator/
https://www.e-recht24.de/muster-datenschutzerklaerung.html
https://www.wbs-law.de/it-recht/datenschutzrecht/datenschutzerklaerung-generator/
https://www.ratgeberrecht.eu/leistungen/muster-datenschutzerklaerung.html
Titel: Re: DSGVO
Beitrag von: Quaestor am Mai 09, 2018, 12:11:19
Mal ne Frage, wenn man bei Google MyBusiness ist, muss man da irgendwas bezüglich DSGVO beachten?
Titel: Re: DSGVO
Beitrag von: MacFlieger am Mai 09, 2018, 13:02:44
Weiß ich auch nicht.  :(

Auf der einen Seite hast Du ja keine Kontrolle über die Daten dort und Google hat (oder sollte haben? ) eine dazu passende Datenschutzerklärung.
Auf der anderen Seite gibt es z.B. aber die Pflicht ein korrektes Impressum bei Facebookseiten anzugeben.
Titel: Re: DSGVO
Beitrag von: Quaestor am Mai 09, 2018, 22:05:20
Ja, okay. Ich werde mal googlen. Im Zweifel wird der Eintrag einfach gelöscht.
Die Webseite ist schon abgestellt.
Titel: Re: DSGVO
Beitrag von: MacFlieger am Mai 17, 2018, 08:57:32
Eine Sammlung von Literatur, Musterformularen und Textgeneratoren:

https://www.heise.de/ct/ausgabe/2018-11-Die-Umsetzung-der-DSGVO-Vorgaben-laeuft-nicht-rund-4039713.html?wt_mc=print.ct.2018.11.76#zsdb-article-links
Titel: Re: DSGVO
Beitrag von: MacFlieger am Mai 23, 2018, 09:14:15
Noch ein Last-Minute Crashkurs:
https://www.datenschutz-guru.de/tag/dsgvo-last-minute/
Titel: Re: DSGVO
Beitrag von: warlord am Mai 24, 2018, 17:21:54
https://www.der-postillon.com/2018/05/ratgeber-dsgvo.html
Titel: Re: DSGVO
Beitrag von: MacFlieger am Mai 25, 2018, 09:01:31
Nachdem man gestern aus allen Rohren beschossen wurde, hat sich nun der Pulverdampf gelegt.
Jetzt warten alle gespannt auf das, was da kommt.

Tja, ich bin etwas zwiegespalten.

Positiv:
Auf der einen Seite finde ich das, was die DSGVO eigentlich erreichen will, richtig gut. Alle Unternehmen müssen sich Gedanken machen, was sie eigentlich für Daten speichern und benutzen und es soll das Prinzip der Datensparsamkeit durchgesetzt werden.
Firmen sollen nur noch die Datenspeichern, die sie wirklich brauchen.
Diese wirklich notwendigen Daten (aus gesetzlichen oder vertraglichen Gründen) dürfen sie ohne Wenn und Aber speichern.
Nur für zusätzliche Daten müssen sie entweder eine Interessenabwägung machen (schwierig ohne gerichtlich bestätigte Beispiele und rechtlich unsicher, weil das Gericht anders abwägen kann) oder eine Einwilligung einholen (schwierig, weil man das dokumentieren muss und jederzeit wieder löschen können muss).
Es wäre also wünschenswert, wenn die Firmen sich auf ihre vertraglichen Pflichten beschränken und dann wäre es auch für diese der einfachste Weg.

Negativ:
Da es wenig bis gar keine offiziellen Anleitungen gibt, was man wie machen muss, herrscht auch bei den Firmen, die eigentlich keine Probleme haben sollten, weil sie nur vertraglich notwendige Daten speichern, große Rechtsunsicherheit. Was muss man wie schreiben, damit man auf der sicheren Seite ist. Da gibt es unzählige verschiedene Meinungen zu.
Dazu kommt, dass die Informationspflicht in der DSE völlig übertrieben ist. Man muss da so viel reinschreiben (oder glaubt das), dass es so unübersichtlich ist, dass es niemand mehr liest. Z.B. der Teil über "Rechte des Benutzers" ist bei allen Firmen absolut identisch, muss aber dort stehen. Dazu kommt, dass der Teil dann der längste von allen ist, wenn man kein Tracking etc. betreibt. Diese Informationen verfehlen damit völlig ihr Ziel.

Leider Praxis:
Anstatt sich wirklich um die Ziele zu kümmern und sich zu beschränken (siehe erster Punkt) wird man von allen Firmen mit Datenschutzerklärungen tot geschmissen, die niemand liest. Anstatt das eigene Tun bezgl. Tracking, Plugins etc. zu überdenken, wird einfach ein Riesensermon in die DSE geschrieben, dass man dass unbedingt machen muss und zwar auf Grund einer Interessenabwägung. Ich möchte wetten, dass sich da keiner Gedanken über irgendwelche Interessen gemacht hat, sondern einfach von den Hausjuristen gesagt bekam: "Schreib das, dann dürfen wir weiter machen wie bisher." Ob das Interesse wirklich überwiegt, ist noch gar nicht so einfach geklärt. Es gibt keine juristischen Beispiele dazu. Ich vermute stark, dass die einfach auch darauf setzen, dass niemand gerichtlich prüfen lässt, ob die Interessenabwägung wirklich stattgefunden hat bzw. richtig ist.

Fazit für mich momentan:
Die Firmen, die sich eh schon vernünftig verhalten, haben keine Rechtssicherheit, wie sie sich verhalten sollen.
Die Firmen, die sich eigentlich ändern sollten, machen weiter wie bisher. Sie können sich dann darauf berufen, dass sie Datenschutz für wichtig nehmen, denn sie haben ja alles aufgeschrieben und informiert. Eine Prüfung der Interessenabwägung wird wohl selten bis gar nicht erfolgen, fürchte ich.
Titel: Re: DSGVO
Beitrag von: Florian am Mai 25, 2018, 13:33:38
Gutes Fazit.

Für deutsche User ändert sich nicht viel, da wir ja an sich schon ein strenges Datenschutz-Gesetz hatten. Man kann nur hoffen, dass die hohen Strafandrohungen was ändern.

Der bürokratische Wahnsinn und zunehmende Rechtsunsicherheit ist leider mittlerweile bei jeder Gesetzreform zu beobachten. Gummiparagraphen, unverständlich formulierte Texte, undefinierte Begriffe etc.pp.

Was die Medien angeht, auch die Fachpresse, ärgert mich, das zwei Jahre kaum was zu lesen war. Dabei galt die Verordnung ja an sich schon. Zum Ende dann ein Artikel nach dem anderen, die aber auch nichts klarer machten.
Titel: Re: DSGVO
Beitrag von: fränk am Mai 26, 2018, 06:06:18
Managermagazin (http://www.manager-magazin.de/politik/europa/datenschutz-drei-gruende-warum-sie-die-dsgvo-lieben-sollten-a-1209288.html)
Titel: Re: DSGVO
Beitrag von: Florian am Mai 26, 2018, 13:44:40
Leider machen nun doch immer mehr kleine Seiten lieber zu, als sich mit dem Thema zu beschäftigen.
Aber nicht nur das: Auch Regionalsperren für europäische Nutzer sind jetzt vermehrt da, v.a. bei lokalen US-Seiten, aber nicht nur da. Instapaper verweigert uns derzeit auch den Dienst. Andere Seiten leiten auf eine Minimalseite um (etwa https://text.npr.org), wenn man nicht die altbekannten Konditionen abnickt.
Facebook versucht, im Zuge der neuen Richtlinien, den EU-Nutzern die Gesichtserkennung wieder unterzujubeln. Und, und, und.

Wünsche Euch ein schönes Wochenende im „Datenparadies“ EU. :)

Titel: Re: DSGVO
Beitrag von: MacFlieger am Mai 27, 2018, 10:01:37
Was ich schlimm finde:

Es kommt bei den meisten so rüber, als ob man nun für jede Verarbeitung eine Einwilligung einholen müsse. Das wäre natürlich albern und so setzt sich bei vielen Leuten im Kopf fest, dass Datenschutz Quatsch ist und nicken alles ungelesen ab, weil "man ja für alles eine Einwilligung erteilen muss".

Aber es ist ja gerade so, dass man nur dann eine Einwilligung erteilen muss, wenn mit den Daten Sachen gemacht werden sollen, die nicht notwendig sind. D.h. ich muss nur dann eine Einwilligung erteilen, wenn der andere mit meinen Daten noch andere Sachen machen will.

Es sollte doch eher bei den Leuten in den Köpfen so sein, dass sie misstrauisch werden, wenn sie eine Einwilligung erteilen sollen bzw. danach gefragt werden! (Newsletter sind so eine Ausnahme, die auf jeden Fall eine Einwilligung brauchen, aber AFAIK nicht wegen der DSGVO, sondern wegen UWG)

Zudem gibt es ja dieses Quasi-Kopplungsverbot. Man darf nicht so ohne weiteres zu einer Einwilligung gezwungen werden, um einen davon eigentlich unabhängigen Vertrag abzuschliessen.
Titel: Re: DSGVO
Beitrag von: fränk am Mai 27, 2018, 10:28:07
Was ich schlimm finde:
.
.
.

Die Mehrzahl der Leute ist uninformiert und sie wollen es bleiben.Sie wollen einfach nur weitermachen wie bisher. Denen war bis jetzt egal, was mit ihren Daten geschieht und die haben einen möglichen Missbrauch nie so wahrgenommen.

Eine Minderheit ist schlecht informiert und deswegen hat sie jetzt die Hosen voll. Die Leute schalten ihre Webseiten ab weil sie Angst vor... was auch immer haben. Sie regen sich über die Politik und die Verordnung auf und über Europa sowieso... das einzige was ihnen weiter helfen würde, nämlich sich mit dem Thema kurz zu beschäftigen, lassen sie aber aus.

Der Teil der Leute, die sich ernsthaft und frühzeitig mit dem Thema beschäftigt haben und ihr Handeln wirklich kritisch hinterfragt und vielleicht sogar korrigiert haben, ist wahrscheinlich verschwindend gering.

Deswegen ist es auch richtig, dass die DSGVO nicht auch Einsicht und Freiwilligkeit setzt, sondern harte Sanktionen von Beginn an angekündigt hat.

Titel: Re: DSGVO
Beitrag von: MacFlieger am Mai 27, 2018, 11:07:18
Deswegen ist es auch richtig, dass die DSGVO nicht auch Einsicht und Freiwilligkeit setzt, sondern harte Sanktionen von Beginn an angekündigt hat.

Ich hoffe nur, dass das auch wirklich mal durchgezogen wird und ein paar der Großen einen auf die Finger bekommen. Das würde ausreichend abschrecken.
Titel: Re: DSGVO
Beitrag von: MacFlieger am Mai 30, 2018, 08:25:08
Erst einmal soll es gegen die "Großen" gehen. Die wollen dem Sinn der DSGVO nicht folgen und erzwingen einfach pauschal eine Einwilligung, um so weiter zu machen, wie bisher.

DSGVO: Worauf sich die Datenschutz-Aufsichtsbehörden konzentrieren (https://www.heise.de/newsticker/meldung/DSGVO-Worauf-sich-die-Datenschutz-Aufsichtsbehoerden-konzentrieren-4060400.html)
DSGVO: Nächste Beschwerden gegen Google, Facebook, Apple, Amazon und LinkedIn (https://www.heise.de/newsticker/meldung/DSGVO-Naechste-Beschwerden-gegen-Google-Facebook-Apple-Amazon-und-LinkedIn-4060528.html)

Mal schauen, ob das zu etwas führt.
Titel: Re: DSGVO
Beitrag von: MacFlieger am Mai 31, 2018, 09:10:41
Erste Abmahnungen sind angekommen:
DSGVO: Die Abmahn-Maschinerie ist angelaufen (https://www.heise.de/newsticker/meldung/DSGVO-Die-Abmahn-Maschinerie-ist-angelaufen-4061044.html)

Aber wie erwartet ziemlich fishy:
- Die Abmahnung kam bereits am 25.5. an.
- Fristen zur Abgabe einer Unterlassungserklärung zwei(!) Werktage.
- Streitwert von 7500€ ergibt sich Zitat: "aus dem Jahreswert der Kosten für die vollständige und ordnungsgemäße Umsetzung der DSGVO“.
- Die Website der abmahnenden Kanzlei ist selber an einigen Punkten fragwürdig und könnte abgemahnt werden.
Titel: Re: DSGVO
Beitrag von: Florian am Mai 31, 2018, 13:50:07
Wirklich die unterste Schublade, was diese Leute treiben.

Mittlerweile habe ich auch einige Seiten aufgerufen, v.a. aus den USA, die einem doch tatsächlich anzeigen, an wen sie alles Daten weiterleiten. Die kann man dann deaktivieren, bzw. sie sind es meistens schon.

Beispiel: https://www.theatlantic.com/world/

Manche Seiten haben auch Seitenvarianten für europäische User, die jetzt auch die Amerikaner ansteuern, weil sie viel schneller und weniger Datenvolumen verbrauchen. Allerdings meist nur erreichbar, wenn man den riesigen „Ja, ich will Werbung“-Kasten wegfiltert.

Beispiel: https://eu.usatoday.com/
Schnell, oder? 500 KB statt 5,2 MB und unzählige Scripts weniger.

Oder The Verge:
https://www.theverge.com
Fast so zackig schnell wie unser Forum.

Gemessen hat das:
https://twitter.com/fr3ino/status/1000166112615714816

Sollte es so weitergehen, wäre ich begeistert. Auch sieht man, dass die ganze Werbefilter leider nie alles wegfiltern. Da hilft nur noch Noscript, das dann wieder die Seiten unbenutzbar macht. Oder ein entsprechender Proxy, mit demselben Problem.
Titel: Re: DSGVO
Beitrag von: MacFlieger am Juni 07, 2018, 07:53:26
Weil jetzt alle Angst vor Abmahnungen haben, hat die Union eine "Lösung" parat (warum eigentlich erst jetzt, waren die zwei Jahre nicht lang genug?):

DSGVO: Union will teure Abmahngebühren rasch aussetzen (https://www.heise.de/newsticker/meldung/DSGVO-Union-will-teure-Abmahngebuehren-rasch-aussetzen-4070328.html)

Das eigentliche Problem ist sowieso nicht die DSGVO, sondern die deutsche Besonderheit bei Abmahnungen. In anderen Ländern muss die erste Abmahnung kostenlos sein oder ist stark gedeckelt. So werden Abmahnungen nur dort verwendet, wo sie sinnvoll sind und sind kein Arbeitsfeld für Juristen, die damit schnell Geld machen wollen.
Titel: Re: DSGVO
Beitrag von: Terrania am Juni 08, 2018, 12:29:14
Abmahnung wegen Google-Fonts. Da hier die IP-Adresse übermittelt wird, ist derzeitig noch in der Diskussion, ob das Abmahnfähig ist.

Allein dieser Punkt zeigt mir, was für Mist dieses unausgegorene Gesetz ist. Es ist ein Bürokratiemonster, das den gesunden Menschenverstand komplett ausgehebelt hat und nur dafür sorgt, dass noch mehr Unsicherheit im #neuland existiert.

Stichwort WhatsApp auf dem Firmenhandy. Letztlich zeigt es nur, dass heutzutage nur noch Dinge gemacht werden, die nicht von vorn bis hinten durchdacht sind. Im Prinzip mussten in Amiland am 25. die Sektkorken gesprungen sein, weil sich die EU mal wieder selbst ins Knie gefickt hat. Gut so.

Was Solls. 3 meiner Kunden haben ihre Websites direkt geschlossen, und werden sie auf weiteres auch nicht mehr öffnen. Bei ein Shop ist das noch nicht raus. Alles honorige Leute, die sich vollkommen überfahren vorkommen. Dafür finde ich in meiner Inbox verstärkt Spam-Newsletter, musste x Newsletter bestätigen (die ich alle auslaufen liess) - die hat das alle nicht interessiert. Letztlich ist es wieder so, dass der Ottonormalverbraucher für etwas gegängelt wird, was ein paar wenige schwarze Schafe ausgelöst haben. So stelle ich mir das nicht vor. Und wir Deutschen sind wie immer die "Muster-EU-Bürger". Kann mir nicht vorstellen, dass das Ganze irgend einen Italiener in irgendeiner Weise interessiert. Oder Spanier oder Österreicher (die das Ganze erst mal entspannt sehen).
Titel: Re: DSGVO
Beitrag von: fränk am Juni 08, 2018, 12:35:53
Das sehe ich komplett anders.

Leute die ihre Webseiten abstellen, machen das entweder, weil sie nix verstanden haben oder weil sie ihre Webseite bisher zu Datenschutzverstössen genutzt haben und sie keine Verwendung mehr dafür haben, wenn sie das nicht mehr leistet.

Die pauschale EU-/Politik-Schelte ist zwar schwer angesagt, trifft es hier jedoch kaum.

Natürlich schützt die Verordnung nicht automatisch vor Spam, der Zugespamte hat jetzt aber mehr Möglichkeiten sich dagegen zu wehren. Und nur, weil das in USA oder China schwierig durchzusetzen wein wird, ist`s aber noch kein Nachteil für den EU-Bürger.
Titel: Re: DSGVO
Beitrag von: MacFlieger am Juni 08, 2018, 13:31:39
Das sehe ich auch anders, vor allen bei den Beispielen.

Die DSGVO hat Sachen, die schlecht sind. Z.B. die Form der Informationspflicht führt dazu, dass niemand die Information liest und nur noch ungelesen abnickt/abheftet. Und auch fehlende Musteranleitungen mit Schritt für Schritt Anleitungen für Vereine, KMUs, Handwerker etc. die ihnen sagen, was sie machen müssen, um rechtssicher zu sein. Z.b: wäre doch eine vorgegebene Muster-Datenschutzerklärung, in der die üblichen Sachen drin stehen und die man nur auf die eigenen Verhältnisse anpassen muss, gut. So gibt es zig verschiedene Generatoren, überall steht etwas leicht anderes, keiner weiß, welche davon rechtssicher ist oder nicht.

Aber zu Deinen Beispielen:
Abmahnung wegen Google-Fonts. Da hier die IP-Adresse übermittelt wird, ist derzeitig noch in der Diskussion, ob das Abmahnfähig ist.

Ob und wer sowas abmahnen darf, ist noch strittig. Auch ein teil der leider bestehenden Rechtsunsicherheit.
Aber: Wo ist das Problem mit Google Fonts? Wer das natürlich so einbettet, dass bei jedem Seitenaufruf Google kontaktiert wird, der hat was prinzipiell falsch gemacht. Das entspricht dann genau den Facebook-Like-Buttons etc.
Warum nicht einfach die Fonts lokal einbinden? Das hat keine(!) Nachteile und nur Vorteile.

Zitat
Allein dieser Punkt zeigt mir, was für Mist dieses unausgegorene Gesetz ist.

Nein, dieser Punkt gerade nicht. Wer jeden Besuch an x fremde Rechner meldet (Google Fonts, Google Analytics, Social Media Plugins, Tracking-Skripte etc.), der macht es sich zu einfach. Für fast alles gibt es vernünftige und simple Alternativen. Ist genau wie mit den Cookies. Werden nur technisch notwendige Cookies gesetzt, braucht man keine Einwilligung und Hinweis. das ist erst nötig, wenn man die für anderes einsetzt.

Das Problem ist doch auch, dass sich Falschmeldungen und Gerüchte über solche Sachen schnell verbreiten und dann jeder so eine Cookie-Warnung einbaut, weil "man es ja muss, denn die anderen machen es auch so".

Zitat
Stichwort WhatsApp auf dem Firmenhandy.

Ja? Wo ist das Problem?
Eine App, die leider sehr verbreitet ist, aber jede Menge aus gutem Grund verbotene Sachen macht. Die Leute haben dann den Eindruck, dass hier Messenger verboten sind. Nein, Messenger dürfen auch auf Firmenhandys benutzt werden. Warum auch nicht. Nur eben keine, die sich nicht an grundlegende Regeln halten.

Zitat
Was Solls. 3 meiner Kunden haben ihre Websites direkt geschlossen, und werden sie auf weiteres auch nicht mehr öffnen.

Warum?
Bei mir haben alle eine DSE integriert, das IP-Logging auf dem Server abgestellt und fertig.
Man muss doch nur schliessen, wenn man nicht auf "Schweinereien" verzichten will.
Titel: Re: DSGVO
Beitrag von: Terrania am Juni 08, 2018, 13:55:36
Das ist alles ganz nett beantwortet, aber:

Es geht um Whatsapp und nicht Messenger allgemein (die interessiert im privaten Bereich nämlich nur die Nerds). Hier wird auf den User geschossen und nicht den Anbieter. Der User steigt nicht auf Threema oder ginlo um, nur weil die Herrschaften das gerne wollen.

Es geht um Google Fonts und nicht um Tracking allgemein. Dass das mit einem Plugin und Caching der Schriften auf der Site geht, ist mir auch klar. Es geht um einen Aufwand, der letztlich nichts, aber auch gar nichts erreicht, weil es am Kern vorbei geht und vermutlich gefühlte 20 Mio deutsche Seiten betrifft. Kostet ein Vermögen damit man FONTS, ich rede von FONTS, einbinden kann, ohne dass jemand sein Höschen nass macht. Genauso wie 100 Seiten Software AGBs die jeder wegklickt und dann doch weiter macht. Es ist und bleibt ein Scheiss, was da abgeliefert wurde. Meine Meinung.
Titel: Re: DSGVO
Beitrag von: MacFlieger am Juni 08, 2018, 14:07:07
Es geht um Whatsapp und nicht Messenger allgemein (die interessiert im privaten Bereich nämlich nur die Nerds).

Eben, und wenn alle etwas verbotene nutzen, kann man nicht erwarten, dass man darauf Rücksicht nimmt.
Du kannst auch nicht argumentieren, dass viele in der 30er Zone 70 fahren und dann meckern, wenn man geblitzt wird.

Zitat
Es geht um Google Fonts und nicht um Tracking allgemein. Dass das mit einem Plugin und Caching der Schriften auf der Site geht, ist mir auch klar.

Dafür braucht man kein Plugin oder Caching. Einfach die Fonts auf seinem Rechner speichern und dort, wo man die externe Quelle angibt, die interne angeben. Fertig. Ist völlig simpel, eher noch einfacher als die externe Einbindung und ist auch für die Website selber vorteilhaft.
Externe Google Fonts haben null Vorteile. Nur Nachteile.

Zitat
Es geht um einen Aufwand, der letztlich nichts, aber auch gar nichts erreicht, weil es am Kern vorbei geht und vermutlich gefühlte 20 Mio deutsche Seiten betrifft.

Es liegt daran, dass diese 20 Mio deutsche Seiten vorher nicht nachgedacht haben und etwas unsinniges implementiert haben. Und der Aufwand das lokal zu hosten ist eher kleiner als Google zu benutzen.

Zitat
Kostet ein Vermögen damit man FONTS, ich rede von FONTS, einbinden kann, ohne dass jemand sein Höschen nass macht.

Nein.
Die Google Fonts dürfen auch lokal eingebunden werden. Ist also finanziell identisch, ob man die jedes Mal von Google holt oder vom eigenen Server.
Titel: Re: DSGVO
Beitrag von: Florian am Juni 08, 2018, 14:27:51
Habe auch nie verstanden, warum alle für jeden Furz Inhalte von anderen Anbietern laden. Die Google Fonts sind da das beste Beispiel.

In Deutschland hat sich sowieso kaum was geändert! Wir hatten schon vorher ein sehr strenges Datenschutzgesetz, das nur kaum jemand beachtet hat. Und die DSGVO gilt eigentlich auch schon zwei Jahre, wurde nur nicht vollstreckt.

Auch das IP-Adressen als persönliche Daten zu gelten haben, ist seit längerem - auch höchstrichterlich - klargestellt und wurde oft von Seiten bejubelt, die gegen die Vorratsdatenspeicherung agitierten, selbst aber kein Problem damit hatten, IP-Adressen an allerlei andere Parteien weiterzuleiten.
In den letzten Jahren dann immer wildere Tracking-Orgien zur Verfolgung und Vermessung der User, die nicht nur die Privatsphäre aushöhlten, sondern auch noch Seiten zigfach langsamer und voluminöser machten. Doch die meisten User schoben dann Browser oder dem Computer die Schuld zu.

Wer jetzt seine Seite zumacht, fällt der allgemeinen Panik und Gerüchten zum Opfer.
 Ich sehe ein, dass man sich nicht mit dem Thema beschäftigen wollen kann. Aber 'nen Generator-Text wird man ja wohl noch hinklatschen können, wenn einem an der Seite etwas liegt.

Und die Newsletter: Ist doch gut! Oft hat man doch längst vergessen, wann oder warum man eine Mail bekommt. Weg damit durch Nichtstun? ideal.

Die DSVGO ist wie alle Gesetze heutzutage: Kompliziert. Aber was teilweise für Gerüchte und Geschichten kursieren, ist schon arg übertrieben. Habe auch selbst erlebt, dass massenhaft Fehlinformationen zu finden sind. Man macht es also alles noch komplizierter.
Titel: Re: DSGVO
Beitrag von: Terrania am Juni 08, 2018, 15:14:07
"Eben, und wenn alle etwas verbotene nutzen, kann man nicht erwarten, dass man darauf Rücksicht nimmt.
Du kannst auch nicht argumentieren, dass viele in der 30er Zone 70 fahren und dann meckern, wenn man geblitzt wird."

Das hätte ich von dir nun nicht gedacht. Was soll das? Das ist absolut nicht vergleichbar. Normalerweise diskutier ich nach solchen "Argumenten" nicht mehr weiter.

Dafür braucht man kein Plugin oder Caching. Einfach die Fonts auf seinem Rechner speichern und dort, wo man die externe Quelle angibt, die interne angeben. Fertig. Ist völlig simpel, eher noch einfacher als die externe Einbindung und ist auch für die Website selber vorteilhaft.
Externe Google Fonts haben null Vorteile. Nur Nachteile.

??? Irgendwie reden wir aneinander vorbei. Oder du verstehst nicht, wovon ich rede. Egal.

Es liegt daran, dass diese 20 Mio deutsche Seiten vorher nicht nachgedacht haben und etwas unsinniges implementiert haben. Und der Aufwand das lokal zu hosten ist eher kleiner als Google zu benutzen.

Es ist für dich unsinnig, für alle anderen nicht. Das Wesen des Internet ist seine vernetztheit. Früher haben die Nerds auch gerne Java abgeschaltet, weil das "böse" war. Da hat das Web dann auch ausgesehen, wie vom Mickeymausdesigner. Das war im Übrigen die genauso dämliche Argumentation wie das 30/70 Beispiel... wobei das noch mehr an den Haaren herbeigezogen war.

Die Google Fonts dürfen auch lokal eingebunden werden. Ist also finanziell identisch, ob man die jedes Mal von Google holt oder vom eigenen Server.

Na eben.


Aber ich sehe schon, wir sehen das beide ziemlich anders und vertreten verschiedene Standpunkte. Das ist ok.
Titel: Re: DSGVO
Beitrag von: Florian am Juni 09, 2018, 00:31:57
Bindet man die Fonts über den eigenen Server ein, übermittelt man keine IP-Adressen an Google, macht sich nicht von deren ständigen Verfügbarkeit abhängig und die Seite wird tendenziell schneller. Finanziell macht es keinen Unterschied.

Nur Vorteile, Nachteile nicht vorhanden, zero, null.

Dasselbe ist es mit den ganzen Share-Buttons.

Es ist einfach schlechte Herangehensweise, die sicher von den Anbietern gewollt ist, aber niemanden sonst etwas bringt. Vielmehr hilft man Google und co. bei der Überwachung der User der eigenen Webseite. Finde ich persönlich eine unfreundliche Aktion, deshalb filtere ich den Mist auch weg.

Das 90% der Leute der Schutz ihrer eigenen Daten nicht am Herzen liegt, mag sein. Das gibt ihnen aber nicht das Recht, die Daten aller anderen an alle möglichen Firmen weiterzuleiten. Ich finde auch, es lässt tief blicken, wenn eine Seite dutzende Scripts nachlädt, damit Ressourcen (Rechenkraft/Strom/Datenvolumen/Zeit) des Nutzers stiehlt, nur um ein paar Euro zu machen oder auch aus Ignoranz.

Da finde ich es gut, dass jetzt endlich darüber nachgedacht wird.

Das die DSGVO kompliziert ist, habe ich ja schon geschrieben. Aber nach eingehender Beschäftigung sehe ich die Folgen auch nicht so gewaltig, zumindest nicht für Deutsche.
Problem hierzulande doch v.a. der Abmahnungsmissbrauch, dem die Politik leicht einen Riegel vorschieben könnte.
Titel: Re: DSGVO
Beitrag von: radneuerfinder am Juni 09, 2018, 08:04:46
Es kommt bei den meisten so rüber, als ob man nun für jede Verarbeitung eine Einwilligung einholen müsse.

War unlängst in einem kleinem ostdeutschen Beherbergungsbetrieb. Dort musste ich eine DSGVO Erklärung unterschreiben, um übernachten zu dürfen. Begründung: es müssen die vorgeschriebenen Meldedaten ans GemeindeAmt übermittelt werden.
Titel: Re: DSGVO
Beitrag von: Terrania am Juni 09, 2018, 19:53:40
Ich empfehle folgenden Artikel:
https://www.cr-online.de/blog/2018/05/23/21-thesen-zum-irrweg-der-ds-gvo/
Titel: Re: DSGVO
Beitrag von: MacFlieger am Juni 19, 2018, 08:54:44
War unlängst in einem kleinem ostdeutschen Beherbergungsbetrieb. Dort musste ich eine DSGVO Erklärung unterschreiben, um übernachten zu dürfen. Begründung: es müssen die vorgeschriebenen Meldedaten ans GemeindeAmt übermittelt werden.

Genau das meine ich. Ähnlich wie bei den Cookie-Popups und den "Garantie- und Gewährleistungsausschluss" bei privaten ebay-Verkäufen macht/schreibt das mal jemand, dann wird es von anderen übernommen und irgendwann machen das ganz viele, weil es ja "überall" gemacht wird.

Bei Deinem Beispiel ist meiner Meinung nach glasklar, dass eine Einwilligung hier absoluter Unsinn ist und es nur zeigt, dass sich jemand nicht mit der Materie beschäftigt hat:
- Eine Einwilligung braucht man nur(!), wenn man keine andere Rechtsgrundlage hat. Man braucht sie selbstverständlich nicht, wenn die Daten für die vertragliche Erfüllung notwendig ist oder die Verarbeitung gesetzlich vorgeschrieben ist (dürfte hier ja der Fall sein) oder ein berechtigtes Interesse besteht. Also oft (abgesehen von Newslettern) braucht man die Einwilligung nur, wenn mit den Daten Sachen gemacht werden sollen, die nicht nötig sind.
- Was soll denn passieren, wenn Du diese Einwilligung nachträglich zurück nimmst? Denn dazu musst Du das Recht haben. Dann löschen die die Daten und geben die Löschanweisung weiter? Ist doch Unsinn und zeigt schon klar, dass hier eine Einwilligung unsinnig ist.
- Korrekt wäre einfach nur eine Information gewesen, dass sie die Daten ans Gemeindeamt wegen der Meldepflicht weitergeben.

Genauso bauen plötzlich Leute Checkboxen in Kontaktformulare oder Gästebücher ein, wo die Leute der Datenschutzerklärung zustimmen sollen (geht eh nicht) oder ihre Einwilligung zur Verarbeitung der Daten geben sollen (unnötig).
Sobald irgendjemand so etwas eingebaut hat, sehen es andere und übernehmen das und so verbreiten sich solche Unsinnigkeiten.

Das ganze resultiert meiner Meinung nach eben aus den zwei hauptsächlich schlechten Sachen der DSGVO.
- Zum einen die viel zu umfangreiche Informationspflicht, die dazu führt, dass alle mit langen DSE zugefüllt werden, die zu großen Teilen identisch sind (die Aufklärung über die Rechte sind bei allen gleich) und daher von niemandem mehr wirklich gelesen werden.
- Zum anderen die fehlenden verbindlichen Vorgaben und Beispiele, was in welchen Fällen zu tun ist. Das führt zu einer Rechtsunsicherheit, die dann zu diesen genannten Auswüchsen führt.
Beides vermittelt dann dem Bürger, das der Datenschutz etwas übertriebenes und weltfremdes ist. Leider.
Titel: Re: DSGVO
Beitrag von: MacFlieger am Juni 19, 2018, 09:38:47
??? Irgendwie reden wir aneinander vorbei. Oder du verstehst nicht, wovon ich rede. Egal.

Ja, ich habe auch den Eindruck, dass wir aneinander vorbei reden. Das finde ich nicht egal. Vielleicht versuchen wir das noch einmal etwas aufzudröseln?
Unterschiedlicher Meinung darf man natürlich trotzdem sein.

Da gab es verschiedene Themenkreise, die meiner Meinung nach durcheinander gingen. Ich versuche das mal zu strukturieren, dann können wir uns da besser austauschen.

1. Abmahnungen wegen Einsatz von Google Fonts über einen Google Server.

Über die Bewertung einer solchen Abmahnung bzw. der Sinnhaftigkeit von Abmahnungen zum Geldverdienen sind wir uns glaube ich einig.
Nicht einig sind wir uns wohl darüber, ob es akzeptabel ist, Google Fonts über den Google Server zu benutzen.
Meine Meinung dazu:
- Prinzipiell finde ich es besser, möglichst nur lokale Dienste/Skripte etc. einzusetzen, wenn es möglich ist und keine Nachteile hat. Das hat meiner Meinung nach nichts mit Vernetztheit des Internets zu tun.
- Das Einbinden von externen Quellen führt immer dazu, dass Informationen über meine Besucher an andere Firmen abfliessen, siehe Google Analytics, Facebook Like Button, und eben auch Google Fonts. Das war auch schon vor dem 25.5. nicht unbedingt in Ordnung, wurde aber nie geahndet, daher wurde es trotzdem umgesetzt.
- Speziell bei den Google Fonts kann ich ohne Aufwand diese auch lokal hosten. Kein zusätzlicher finanzieller Aufwand, keine Installation von Plugins, Caches oder ähnlichem nötig, keine funktionale Einschränkung bei der Benutzung/Aussehen der Website, es funktioniert auch, wenn die Verbindung zum Google Server langsam oder kaputt ist. Wenn ich Aufwand treiben will, dann kann ich sogar die Dateigröße des Fonts meinen Bedürfnissen anpassen. Dahingegen kenne ich keinen(!) wirklichen Vorteil einer Einbindung als externe Quelle.

2. Einsatz von WhatsApp in Unternehmen

Das eigentliche Problem ist doch, dass sich speziell WhatsApp (nicht Messenger generell) nicht an den Datenschutz hält und es somit ein Problem beim Einsatz im Firmenumfeld gibt. Und nicht erst seit dem 25.5. Nur wurde es nie verfolgt und daher ignoriert. Man kann auch WhatsApp im Firmenumfeld einsetzen, wenn man dafür sorgt, dass u.a. das Hauptproblem (Upload des kompletten Adressbuches) nicht stattfindet. Ist machbar, aber mit Arbeit verbunden, weil WhatsApp das nicht möchte. Die Schuld liegt meiner Meinung nach nicht beim Gesetzgeber, wenn sich ein Programm schon seit Jahren nicht an geltendes Gesetz hält. Ist wie mit jedem anderen Werkzeug auch.

3. Schliessen von Websites

Du hast geschrieben, dass 3 Deiner Kunden ihre Websites geschlossen haben. Es würde mich wirklich interessieren, was die Gründe waren. Waren wirklich Funktionen nötig, die sich nicht oder nur mit großem Aufwand datenschutzkonform machen liessen. Oder war es nur die leider kursierende Angst vor Abmahnungen wegen der vielen falschen Meldungen und der tatsächlichen Rechtsunsicherheit?
Bei mir hat ein Kunde abgeschaltet. Das aber nur deshalb, weil sie sowieso einen kompletten Relaunch im Juni machen wollen und daher die bei denen notwendige Umstellung auf SSL mit allen Anpassungen nicht für die wenigen Tage durchführen und bezahlen wollten (verständlicherweise). Es wäre nur sinnvoller gewesen, den Relaunch auf April-Mai zu legen. Prinzipielles Problem hätte es aber bei einer Anpassung auf die DSGVO nicht gegeben.

4. Beispiel "30/70"

Zitat
"Eben, und wenn alle etwas verbotene nutzen, kann man nicht erwarten, dass man darauf Rücksicht nimmt.
Du kannst auch nicht argumentieren, dass viele in der 30er Zone 70 fahren und dann meckern, wenn man geblitzt wird."

Das hätte ich von dir nun nicht gedacht. Was soll das? Das ist absolut nicht vergleichbar. Normalerweise diskutier ich nach solchen "Argumenten" nicht mehr weiter.

Ja, das Beispiel hinkt natürlich wie alle Beispiele. Ich hatte es so gemeint:
- Auch vor dem 25.5. gab es schon Datenschutzregeln. An die haben sich viele nicht gehalten, weil Verstöße praktisch nicht verfolgt/geahndet wurden. So haben viele sich die Arbeit gespart, über Datensparsamkeit nachzudenken, egal ob die Umsetzung mit viel Aufwand (Ersatz von Google Analytics), etwas Aufwand (Zweiklickmethode für Facebook Like Buttons) oder wenig bis keinem Aufwand (Google Fonts) verbunden war. Es wurde einfach ohne Nachdenken eingebaut, was andere angeboten haben. Natürlich ist Google/Facebook etc. daran interessiert die Benutzer auch auf anderen Seiten zu tracken und so bieten sie diese Dienste entsprechend an.
Schau Dir einfach mal an, wie viele Trackingskripte und Server eigentlich kontaktiert werden bei einem harmlosen Seitenabruf. Ich war selber davon überrascht (z.B. bei MTN 65 Cookies, 177 fremde Inhalte und 58 fremde Server). Das ist völlig ausgeartet und hat meiner Meinung nach nichts mehr mit Verletztheit zu tun, sondern mit fehlendem Nachdenken bei der Planung und Ignoranz gegenüber dem Benutzer.
- Seit dem 25.5. sollen Verstöße verfolgt und geahndet werden. D.h. eigentlich neu ist, dass man erwischt werden kann und das Strafe kostet. Von vielen habe ich Jammern und Meckern über die DSGVO gehört, weil sie ich nun an die schon vorher geltenden Gesetze halten sollen. Nur das meinte ich mit dem Beispiel.
Titel: Re: DSGVO
Beitrag von: MacFlieger am Juni 20, 2018, 09:13:19
DSGVO: Bevölkerung sieht EU-Datenschutzgrundverordnung skeptisch (https://www.heise.de/newsticker/meldung/DSGVO-Bevoelkerung-sieht-EU-Datenschutzgrundverordnung-skeptisch-4085000.html)

Das bestätigt so ziemlich meine Befürchtung. Durch die Rechtsunsicherheit und die übertriebene Informationspflicht werden die Leute genervt, lesen das verständlicherweise nicht mehr und die Stimmung bezgl. Datenschutz kippt weiter ins Negative. Ein Bärendienst für die Firmen, die den Datenschutz eh mit Füßen treten wollen.

Alle naselang soll man (unsinnige) Einwilligungen ausfüllen und Cookie-Warnungen weg klicken. Der Normalbürger nimmt das nur noch als: "Dieser Quatsch ist von der EU vorgegeben und nervt nur" wahr, und klickt alles ungelesen und ohne Nachdenken weg. Kann ich niemandem verübeln.
Eigentlich sollten nur Einwilligungen und Cookiewarnungen auftauchen, wenn dort mit den Daten mehr als notwendig gearbeitet werden soll, also ein Warnsignal. Effektiv sollte eigentlich im Kopf des Normalbürgers sein: "Da will jemand eine Einwilligung? Was will der machen, was ich vielleicht nicht will?"
Titel: Re: DSGVO
Beitrag von: Terrania am Juni 20, 2018, 14:14:03
MacFlieger: alles soweit nachvollziehbar. Auch deine Einwände, bzw. Erläuterungen. z.B. das hier:

"Genauso bauen plötzlich Leute Checkboxen in Kontaktformulare oder Gästebücher ein, wo die Leute der Datenschutzerklärung zustimmen sollen (geht eh nicht) oder ihre Einwilligung zur Verarbeitung der Daten geben sollen (unnötig)."

Dann braucht man diese Checkboxen nicht? Verstehe ich das richtig? Wo steht das? Alle Firmen, mit denen ich zusammenarbeite bestehen auf solche Lösungen, unter anderem auch durch ihre Datenschutzbeauftragten. Wer hat nun recht? Warum kann ich der Datenschutzerklärung nicht zustimmen? Kann ich dann den AGB einer Software auch nicht zustimmen? Fragen über Fragen.

Fakt ist: Es scheint niemand wirklich Bescheid zu wissen. Alles scheint nur Hörensagen, und die Unsicherheit ist gigantisch. Alles ein Zeichen dafür, dass ein Gesetz mangelhaft bis ungenügend implementiert wurde. Ein Armutszeugnis.
Titel: Re: DSGVO
Beitrag von: fränk am Juni 20, 2018, 14:40:03
MacFlieger: alles soweit nachvollziehbar. Auch deine Einwände, bzw. Erläuterungen. z.B. das hier:
Dann braucht man diese Checkboxen nicht? Verstehe ich das richtig? Wo steht das? Alle Firmen, mit denen ich zusammenarbeite bestehen auf solche Lösungen, unter anderem auch durch ihre Datenschutzbeauftragten.

Früher stand in Kneipen immer: „Für Garderobe keine Haftung“.

Das war falsch und hatte nie Gültigkeit. Wenn ein Mantel von der Garderobe geklaut wurde, haftete der Wird sehr wohl.
Und nur weil alle Wirte das gleiche Schild aufgehangen hatten und der Rechtsbeistand des Verbandes der Gastwirte ebenfalls zu diesem Schild geraten hatte, war es trotzdem ohne Wirkung (außer vielleicht der, dass einige Beklaute sich wegen des Schildes gar nicht erst an Gastwirt wendeten).

So ist das mit vielen Checkboxen wohl auch. Wenn sie versuchen geltendes Recht auszuhebeln, sind sie selbstverständlich nichtig.

Und auch schon damals stand nirgends geschrieben „So ein Schild hat keine Wirkung“.

 ;)
Titel: Re: DSGVO
Beitrag von: Terrania am Juni 20, 2018, 15:22:02
Sie Hebeln aber mit der Checkbox geltendes Recht nicht aus. Im Gegenteil, denn wenn die Satenschutzerklärung nicht geltendem Recht entspricht, gibt es hier auch Probleme. Deshalb weiter meine Frage: warum soll man die Checkbox nicht benötigen?
Titel: Re: DSGVO
Beitrag von: fränk am Juni 20, 2018, 15:47:43
Sie Hebeln aber mit der Checkbox geltendes Recht nicht aus. Im Gegenteil, denn wenn die Satenschutzerklärung nicht geltendem Recht entspricht, gibt es hier auch Probleme. Deshalb weiter meine Frage: warum soll man die Checkbox nicht benötigen?

Geltendes Recht muss der Seitenbetreiber doch einhalten. Er muss die Daten nach geltendem Recht behandeln (speichern, nicht speichern, weitergeben, nicht weitergeben, archivieren, löschen, sichern...).

Zu was soll denn ein Seitenbesucher seine Zustimmung geben, was soll er denn per Haken setzen akzeptieren?
Soll er akzeptieren/zur Kenntnis nehmen, dass der Seitenbetreiber seine Daten nach geltendem Recht behandelt? Das ist doch sinnlos bzw. das kann er doch gar nicht.

Das ist doch so, als würde das Kind in der Spielstrasse dem Autofahrer quittieren müssen, dass der sich an Tempo 30 hält.
Titel: Re: DSGVO
Beitrag von: MacFlieger am Juni 20, 2018, 15:52:21
Eins vorab:

Fakt ist: Es scheint niemand wirklich Bescheid zu wissen. Alles scheint nur Hörensagen, und die Unsicherheit ist gigantisch.

Da sind wir uns 100% einig. Die aktuelle Rechtsunsicherheit ist neben der ausgeuferten Informationspflicht das Hauptproblem bei der DSGVO. Dabei hat der Gesetzgeber doch gut 2 Jahre Zeit zum Ausarbeiten gehabt, um rechtlich verbindliche Musterlösungen zu erstellen und auch dem generellen Problem der Abmahnungen in D den Zahn zu ziehen.

Zitat
Dann braucht man diese Checkboxen nicht? Verstehe ich das richtig? Wo steht das?

Ähm, das ist die falsche Frage. Es muss nirgendwo stehen, dass man die nicht braucht. Es muss irgendwo stehen, dass man die braucht. Und wo steht das?
Ansonsten könnte ich ja auch behaupten, dass man eine Checkbox mit dem Text "Sie überlassen mir ihr Erstgeborenes" haben muss, denn es steht nirgendwo, dass man das nicht braucht...

Interessant dazu:
https://www.datenschutz-guru.de/braucht-mein-kontaktformular-jetzt-eine-checkbox/
Das so ein Häkchen sogar nachteilig sein kann, wird hier erläutert:
https://www.datenschutz-guru.de/datenschutzhinweise-bei-der-registrierung-im-online-shop/

Effektiv: Wo steht, dass man eine Checkbox benötigt und was genau(!) soll man da anhaken müssen?

Aber erkläre mir doch bitte wirklich die Sachen, bei denen wir aneinander vorbei geredet haben.

1. Abmahnungen wegen Einsatz von Google Fonts über einen Google Server.

Wo ist das jetzt wirklich das Problem beim korrekten Einsatz von Google Fonts?
Das der externe Einsatz von Google Fonts problematisch ist, ist seit langem bekannt. Spätestens jetzt mit Beginn der Strafmöglichkeit sollte man das umstellen. Man kann sich nicht darauf berufen, dass es ganz viele lange falsch gemacht haben.

2. Einsatz von WhatsApp in Unternehmen

WhatsApp im Firmenumfeld ist nicht unmöglich, aber wegen der Wünsche von Facebook nur mit Arbeit legal benutzbar. Wo ist jetzt das Problem?

3. Schliessen von Websites

Du hast geschrieben, dass 3 Deiner Kunden ihre Websites geschlossen haben. Es würde mich wirklich interessieren, was die Gründe waren. Waren wirklich Funktionen nötig, die sich nicht oder nur mit großem Aufwand datenschutzkonform machen liessen. Oder war es nur die leider kursierende Angst vor Abmahnungen wegen der vielen falschen Meldungen und der tatsächlichen Rechtsunsicherheit?

Früher stand in Kneipen immer: „Für Garderobe keine Haftung“.

Oder das bekannte "Eltern haften für ihre Kinder"...
Titel: Re: DSGVO
Beitrag von: Terrania am Juni 20, 2018, 16:32:16
1. Google Fonts:
Ob das der korrekte Einsatz ist, das resident auf der Website zu halten, mag ja stimmen. Andererseits ist die Strafmöglichkeit in meinen Augen Blödsinn, weil sicher wird die IP übermittelt, aber WAS BITTE hat google davon, zu wissen, dass die IP xy die Schrift xyz der Website xzy angefordert hat, zumal Google Analytics auch noch mitläuft - natürlich DSGVO konform? Nicht viel oder? Einigen wir uns darauf, dass das Spitzfindigkeiten sind. Die Hosenscheisser unter uns halten die Font-Daten auf der Website. Soweit d’accord. Bei zukünftigen Projekten wird das vermutlich automatisiert so laufen.

2. WhatsApp:
Was soll ich da antworten? Mir isses komplett Wurscht, weil ich nichts in meiner Benutzung ändern werde. Ob sie illegal ist oder nicht. Im übrigen: wenn mir jemand eine WhatsApp schickt (aus dem Kundenkreis) ist es sein Privatvergnügen. Und wenn ich jemandem was schicke WEIL ER DIE INFO ÜBER WHATSAPP haben will, dann ist mir das DSGVO auch Wurscht. Ich verhalte mich damit illegal. WTF.

3. Schliessen von Websites
Das war nötig, weil:
der erste Kunde vom Internet keine Ahnung hat, und der Meinung ist, für seine Publikation (Print, Online (Readly), Amazon) benötigt er keine Website. Es wäre ihm zu anstrengend gewesen (vulgo anzusehen), seine Site auf den richtigen Stand zu bringen (hätte maximal 2 Stunden gedauert).
Der zweite Kunde keine Zeit gefunden hat, sich darum zu kümmern und schlicht das Ganze auf einen späteren Zeitpunkt verschoben hat (der war schon recht Safe, wollte das Ganze aber nicht herausfordern - auch dieser Kunde sieht den Nutzen des Internet nur eingeschränkt).
Der dritte Kunde Ende des Jahres in Rente geht, und damit kein Geld mehr in die Hand nehmen will. (die Site habe ich von einem anderen Webdesigner übernommen, und eigentlich nicht gepflegt, weil der Kunde auch vom Internet nicht viel gehalten hat.)
Bei meiner Frau im Unternehmen haben die wochenlang ihre Datenbestände DSGVO-safe durchforstet und den Internetshop komplett neu aufgesetzt. Dabei war die Shop 4 Wochen offline, weil alles nicht "so schnell gegangen" ist.

Allen ist gemeinsam: Die Rechtsunsicherheit steht in keinem Verhältnis zu dem Nutzen, den sie sich ausgerechnet haben. Es ist schlicht "unconvenient"  (neudeutsch) für die Herrschaften, die allesamt ältere Semester sind.

Natürlich kann man da argumentieren, dass die vermutlich nichts vermissen werden. Und die Welt vermutlich auch nicht. Aber interessant ist das durchaus.

Danke für den Hinweis mit den Checkboxen.
Titel: Re: DSGVO
Beitrag von: MacFlieger am Juni 20, 2018, 17:00:02
Ob das der korrekte Einsatz ist, das resident auf der Website zu halten, mag ja stimmen. Andererseits ist die Strafmöglichkeit in meinen Augen Blödsinn, weil sicher wird die IP übermittelt, aber WAS BITTE hat google davon, zu wissen, dass die IP xy die Schrift xyz der Website xzy angefordert hat, zumal Google Analytics auch noch mitläuft - natürlich DSGVO konform?

Google kann dadurch, genau wie bei Google Analytics, mit protokollieren, wer welche Website wann aufgerufen hat. Und mit diesen Daten kann Unsinn gemacht werden. Deshalb muss man über diese Weitergäbe an persönlichen Daten nachdenken.
Aber mir scheint da bei Dir ein Denkfehler zu sein:
Google Fonts ist nicht weniger DSGVO konform als Google Analytics. Bei Google Analytics werden (je nach Einsatz) noch mehr Daten übertragen. Wie setzt Du Google Analytics DSGVO-konform ein?

Zitat
Einigen wir uns darauf, dass das Spitzfindigkeiten sind.

Finde ich nicht. Wenn Du meine Daten einfach ohne Notwendigkeit an eine Firma weitergibst, ist das fragwürdig.

Zitat
Und wenn ich jemandem was schicke WEIL ER DIE INFO ÜBER WHATSAPP haben will, dann ist mir das DSGVO auch Wurscht. Ich verhalte mich damit illegal. WTF.

Auch hier hast Du mich falsch verstanden. Ein solcher Einsatz ist nicht illegal. Was schon immer illegal war, dass Du die Kontaktdaten von allen Deinen Kontakten an WhatsApp schickst, nicht die Benutzung von WhatsApp selber.
Hierzu auch:
https://www.datenschutz-guru.de/ist-die-nutzung-von-whatsapp-zur-rezeptbestellung-in-apotheken-unzulassig/
Das kann man aber verhindern. Ich nutze WhatsApp gezwungenermaßen auch, aber eben ohne mein Adressbuch da hochzuladen.

3. Schliessen von Websites

Zitat
Allen ist gemeinsam: Die Rechtsunsicherheit steht in keinem Verhältnis zu dem Nutzen, den sie sich ausgerechnet haben. Es ist schlicht "unconvenient"  (neudeutsch) für die Herrschaften, die allesamt ältere Semester sind.

Ja, also doch das, was ich vermutet habe. Die Angst vor der Rechtsunsicherheit. Und wahrscheinlich leider völlig ohne Grund, denn die Beschreibung klingt nicht danach, als ob nicht einfach das hinzufügen einer DSE gereicht hätte.
Aber: Kann ich verstehen, dass die Angst hatten. Die Rechtsunsicherheit und die leider verbreiteten Panikmeldungen sind schon erheblich.
Titel: Re: DSGVO
Beitrag von: Florian am Juni 24, 2018, 14:24:49
Bzgl. Google Fonts gibt es noch einen großen Nachteil, wenn man sie von Google lädt.
Immer mehr Leute nutzen Werbefilter und/oder Anti-Tracking-Addons. Damit bleiben die typographischen Absichten des Webdesigners u.U. vor ihnen verborgen, da die Fonts ja blockiert werden können.
Titel: Re: DSGVO
Beitrag von: radneuerfinder am August 01, 2018, 23:13:59
http://www.spiegel.de/lebenundlernen/schule/nordrhein-westfalen-kita-schwaerzt-gesichter-in-fotoalben-wegen-datenschutz-a-1221215.html
Titel: Re: DSGVO
Beitrag von: MacFlieger am August 12, 2018, 09:29:19
http://www.spiegel.de/lebenundlernen/schule/nordrhein-westfalen-kita-schwaerzt-gesichter-in-fotoalben-wegen-datenschutz-a-1221215.html

Da kann man nur der Kopf schütteln. Anstatt einfach um Erlaubnis zu bitten, macht man sich viel unnötige und sinnlose Arbeit.
Es wird an vielen Stellen einfach nur völlig übers Ziel hinausgeschossen. Fast immer aus Unwissen und teils aus Angst. Und dem eigentlich sinnvollen datenschutz wird damit ein  schlechtes Image verpasst. Die Umsetzung seitens des Gesetzgebers ist wirklich mangelhaft und kontraproduktiv. :(
Titel: Re: DSGVO
Beitrag von: Jochen am September 13, 2018, 12:34:24
Werden auf Polizei Verwarnungsgeld Mitteilungen die Fotos geschwärzt wegen DSGVO ;D
Habe hier Schreiben mit „Beweisfotos“ auf dem man aber nichts sieht, da alles geschwärzt ist.

Jochen
Titel: Re: DSGVO
Beitrag von: MacFlieger am September 13, 2018, 12:57:45
Für Behörden gilt die DSGVO nicht.
Titel: Re: DSGVO
Beitrag von: Jochen am September 13, 2018, 13:07:58
Für Behörden gilt die DSGVO nicht.

Dachte ich mir schon. ;)
Dann werde ich mal bitten mir ein „Beweisfoto“ zu schicken, auf dem der Fahrer/ die Fahrerin zu sehen ist.
Ich bin nicht gefahren.

Jochen
Titel: Re: DSGVO
Beitrag von: radneuerfinder am Oktober 12, 2018, 21:57:07
http://www.spiegel.de/netzwelt/netzpolitik/datenschutz-grundverordnung-220-000-wiener-mieter-verlieren-klingelschilder-a-1232989.html
Titel: Re: DSGVO
Beitrag von: MacFlieger am Oktober 13, 2018, 08:45:05
Nun ja, eine Stilblüte ohne wirkliche Auswirkung.

Was ist denn im Endeffekt dort passiert: Der Vermieter soll nicht mehr gegen den Willen des Mieters dessen Namen öffentlich an die Klingel schreiben dürfen.
Was hat das für Auswirkungen? Der Vermieter hat nun zwei Möglichkeiten:
1. Er fragt jeden Mieter, ob er das will, muss das irgendwo vermerken und ändert der Mieter seine Meinung, muss er das Schild ändern. Das ist Arbeit und daher machen sie das nicht.
2. Er überlässt es jedem Mieter selber, seinen Namen an die Klingel zu schreiben. Problem gelöst und der Vermieter hat sogar noch weniger Arbeit als vorher.

Ich kenne es von den Wohnungen, bei denen ich zur Miete gewohnt habe, auch nur so, dass jeder Mieter selbst das Schild beschriftet hat.

Es geht also eigentlich nur darum, ob der Vermieter den Namen des Mieters gegen dessen Willen anbringen darf. Und der Rechtsberater hat dagegen plädiert. Ob man es wirklich nicht darf, ist sicher nicht unstrittig, aber da lohnt es sich nicht, darüber zu streiten. Es ist doch viel einfacher: Möchte es der Mieter nicht, dann macht es der Vermieter nicht. Kein Streit, kein Problem.
Titel: Re: DSGVO
Beitrag von: radneuerfinder am Oktober 19, 2018, 09:10:41
https://www.heise.de/newsticker/meldung/DSGVO-Wiener-Klingelschild-Posse-sorgt-in-Deutschland-fuer-Verunsicherung-4195736.html


Update:
https://www.bfdi.bund.de/DE/Home/Kurzmeldungen/Klingelschilder.html
Titel: Re: DSGVO
Beitrag von: radneuerfinder am Oktober 24, 2018, 14:13:08
Tim Cook preist die DSGVO als Vorbild:
https://9to5mac.com/2018/10/24/watch-tim-cooks-speech-about-why-privacy-dignity-and-respect-are-key-tech-issues/

https://m.heise.de/mac-and-i/meldung/Apple-Chef-Tim-Cook-Datensammlung-fuehrt-zu-Ueberwachung-und-Extremisierung-4202018.html
https://m.heise.de/mac-and-i/meldung/Apple-Chef-Datenschutzprobleme-bald-zu-gross-um-sie-zu-beheben-4202736.html
Titel: Re: DSGVO
Beitrag von: radneuerfinder am November 12, 2018, 15:10:22
Wie die EU Cookie Regelung, einfach Zustimmung verlangen und weiter machen wie bisher.

"Die einfachste und eleganteste Lösung also um in datenschutzrechtlicher Hinsicht auf der sicheren Seite zu sein, ist die Einholung einer „Einwilligung“ des Arbeitnehmers":
https://www.anwalt.de/rechtstipps/wann-muss-ich-nach-dsgvo-vom-angestellten-eine-einwilligung-anfordern_134919.html
Titel: Re: DSGVO
Beitrag von: MacFlieger am November 12, 2018, 16:12:48
Ich bezweifle ganz stark, dass das die "einfachste und eleganteste" Lösung ist.
Die hat einige Fallstricke und ist daher gar nicht gut nutzbar:
1. Es geht hierbei sowieso nur um Daten des Arbeitnehmers, die der Arbeitgeber nicht benötigt.
2. Von dieser Einwilligung dürfen keine anderen Verträge oder Ähnliches abhängen (Stichwort Freiwilligkeit und Kopplungsverbot)
3. Die Einwilligung kann jederzeit rückgängig gemacht werden und dann müssen die Daten gelöscht werden.

Die einfachste und eleganteste Lösung ist:
Man speichert nur Daten, die benötigt werden. Dann braucht es keine Einwilligung, das reicht schon als Rechtsgrundlage.

Die Einwilligung ist, gerade auch wegen der Widerrufbarkeit, die in der Praxis schlechteste Möglichkeit von allen.

Und zu den Cookies:
Es gibt IMHO aktuell keine gültige EU Cookie Regelung. Was wir da erleben, ist an vielen Stellen vorauseilender Gehorsam gepaart mit einem Hoax, der sich selber verbreitet.
In Wirklichkeit sind diese Banner Warnungen, dass die jeweilige Seite Schindluder mit den Daten treiben will. Leider schreiben sie es nicht so deutlich. Und korrekt umgesetzt ist das meist auch nicht.
Titel: Re: DSGVO
Beitrag von: Florian am November 13, 2018, 00:12:12
Damit musste ich mich auch beruflich beschäftigen und Macflieger liegt, nach allen was ich eruiert habe, 100% richtig.
Wüsste auch nicht, was ein Arbeitgeber ohne Einwilligung vor der DSVGO über die wirklich notwendigen Daten hinaus speichern hätte dürfen. Löschen muss man - falls möglich und verlangt - auch schon immer.

Wirkliche Änderung, falls man sich vorher an die Regeln hielt: Null.

Bei dieser Richtlinie sieht man mal wieder, in welch aufgeregten Zeiten wir heute leben. Davon profitieren nur Geschäftemacher, die einen dann „beraten“. Zugegeben, die DSVGO ist ein schwer zu durchdringender Moloch. Zeit, sie umzusetzen, war aber echt genug. Und Datenschutzverordnungen gab es auch vorher schon, und die waren auch nicht wirklich Laien-freundlich!
Titel: Re: DSGVO
Beitrag von: MacFlieger am November 23, 2018, 10:04:34
Es hat jetzt das erste Bußgeld gegeben, welches bekannt wurde:
20.000€ für die Chatplattform Knuddels.de

Im Juli 2018 sind durch einen Hackerangriff personenbezogene Daten (u.a. E-Mail-Adressen und Kennwörter) von ca. 330.000 Nutzern erbeutet und im September veröffentlicht worden.
Das Bußgeld gab es dafür, dass die Kennwörter im Klartext gespeichert waren. Seit Jahrzehnten ist es bekannt, dass man Kennwörter nur gesalzen und als Hashwert speichert. Knuddels hatte diese trotzdem im Klartext gespeichert, damit im Chat ein Filter die Eingabe des eigenen Kennwortes verhindern konnte.

Aufsichtsbehörde Baden-Württemberg verhängt Bußgeld von 20.000 € (https://www.datenschutz-guru.de/aufsichtsbehorde-baden-wurttemberg-verhangt-bussgeld-von-20000/)
Erstes Bußgeld in Deutschland nach der DSGVO in Höhe von „nur“ 20.000 EUR verhängt – Eine Einordnung (https://diercks-digital-recht.de/2018/11/erstes-dsgvo-bussgeld-20000-eur-eine-einordnung/)
Passwörter im Klartext: 20.000 Euro Bußgeld nach DSGVO gegen Knuddels.de (https://www.heise.de/newsticker/meldung/Passwoerter-im-Klartext-20-000-Euro-Bussgeld-nach-DSGVO-gegen-Knuddels-de-4229798.html)
Titel: Re: DSGVO
Beitrag von: MacFlieger am November 23, 2018, 14:08:31
Gut dazu passt meiner Meinung nach auch das hier:
Untersuchung: Microsoft Office sammelt Daten und verstößt gegen die DSGVO (https://www.heise.de/newsticker/meldung/Untersuchung-Microsoft-Office-sammelt-Daten-und-verstoesst-gegen-die-DSGVO-4224823.html)

Vor allem kann hier anders als bei Knudels nicht darauf plädiert werden, dass man gut mit den Behörden zusammen arbeitet. Ähnlich gelagert auch das Verhalten der anderen großen Datenkraken und der Nutzer von Werbenetzwerken und Marketingfirmen.

Es wäre schön, wenn man sich nun den großen "Sündern" zuwendet, und denen nicht einfach alles durchgehen lässt.
Interessant wären auch Entscheidungen bei den vielen Fällen von "berechtigtem Interesse" bzw. erzwungener Einwilligung, was meiner Meinung nach ohne Nachzudenken immer eingesetzt wird. Denn die Grenze, was ein "berechtigtes Interesse" ist und was nicht, ist leider noch nicht festgelegt.
Titel: Re: DSGVO
Beitrag von: Florian am November 26, 2018, 00:12:15
Ich denke, die Großen kommen auch noch dran.
Könnte allerdings sein, dass man derzeit Trump nicht provozieren will…  :(
Titel: Re: DSGVO
Beitrag von: fränk am November 27, 2018, 16:34:05
Das Abo meiner Life-Traffic-Funktion in meinem Auto ist nach drei Jahren abgelaufen. Verlängern lässt sie sich nur, wenn man das größere „connect me“ von Mercedes abonniert. In diesem Abo gibt es dann auch die Life-Traffic-Funktion.
Weil mein Auto aber über ein nie aktiviertes „connect me-Abo“ verfügt, ist das nun von meinem Händler, für umme, aktiviert worden und drei Jahre beginnen heute.
Auf meine Nachfrage, ob ich denn Live-Traffic nutzen kann, ohne Daimler permanent meine Position und den Servicestand meines Fahrzeugs mitzuteilen, sagte man mir, dass ich die Dienste einzeln an- und abwählen kann.
Wählt aber nur eine Funktion ab, sind alle anderen auch nicht verfügbar... ein Fall für die DSGVO...
Titel: Re: DSGVO
Beitrag von: MacFlieger am November 28, 2018, 10:51:34
Uber sind 2016 57 Millionen Nutzerdaten gestohlen worden. Das wurde aber erst im Dezember 2017 bekannt. Da Uber nicht wie vorgeschrieben den Diebstahl innerhalb von 72h gemeldet hatte, müssen sie nun 600.000€ Strafe zahlen.

Das gehört zwar nicht 100% zur DSGVO, weil es vor Inkrafttreten der Strafen der DSGVO stattfand, aber ich denke, es passt hier trotzdem ganz gut. Kann gut sein, dass nun mit der DSGVO bei solchen Sachen auch höhere Strafen möglich sind.

Datenleck verschwiegen: 600.000 Euro Strafe in den Niederlanden gegen Uber (https://www.heise.de/newsticker/meldung/Datenleck-verschwiegen-600-000-Euro-Strafe-in-den-Niederlanden-gegen-Uber-4233285.html)
Titel: Re: DSGVO
Beitrag von: radneuerfinder am Januar 20, 2019, 15:30:32
https://www.maclife.de/news/apple-soll-dsgvo-nicht-vollstaendig-erfuellen-100111423.html
Titel: Re: DSGVO
Beitrag von: Florian am Januar 21, 2019, 20:16:17
Mittlerweile kommt es ja zu Strafen, Milliardenbußgelder waren noch nicht dabei.

Gegen Kleine, die sich recht blöd angestellt haben:
https://www.heise.de/newsticker/meldung/DSGVO-5000-Euro-Bussgeld-fuer-fehlenden-Auftragsverarbeitungsvertrag-4282737.html
Gegen die große Datenkrake, noch wenig bedrohliche Strafe:
https://www.heise.de/newsticker/meldung/DSGVO-Verstoesse-Frankreich-verhaengt-Millionen-Strafe-gegen-Google-4283765.html
Titel: Re: DSGVO
Beitrag von: MacFlieger am Januar 22, 2019, 09:03:30
Gegen Kleine, die sich recht blöd angestellt haben:
https://www.heise.de/newsticker/meldung/DSGVO-5000-Euro-Bussgeld-fuer-fehlenden-Auftragsverarbeitungsvertrag-4282737.html

Die haben sich wirklich blöd angestellt und sind selber Schuld, meiner Meinung nach.
Sie arbeiten mit einem Partner zusammen und müssen daher mit diesem einen Auftragsverarbeitungsvertrag schliessen. Auch nach mehrfacher Nachfrage stellt dieser Partner keinen Vertrag zur Verfügung. Die Datenschutzbehörde erteilt ihnen die Auskunft, dass sie auf jeden Fall einen Vertrag brauchen und auch selber einen Vertrag erstellen können. Das verweigern sie, weil es Arbeit und Geld kostet. Sie wissen ganz genau, dass sie so nicht arbeiten dürfen, machen aber einfach weiter. Deshalb kam es dann zu einem Bußgeld.
Sie hätten mehrere Optionen gehabt:
1. Selber einen Vertrag erstellen und den Partner unterschreiben lassen. Wenn der das nicht macht, bleibt noch Option 2.
2. Einen anderen Partner beauftragen. Wenn sich der Geschäftspartner weigert, sich an geltendes Gesetz zu halten, muss man sich eben einen neuen Partner suchen.

Zitat
Gegen die große Datenkrake, noch wenig bedrohliche Strafe:
https://www.heise.de/newsticker/meldung/DSGVO-Verstoesse-Frankreich-verhaengt-Millionen-Strafe-gegen-Google-4283765.html

Das ist schon mal ein Anfang. Auch wenn immer die Maximalstrafen genannt werden: Es ist nicht Ziel der DSGVO jeweils die Maximalstrafe einzuziehen, sondern den datenschutz zu verbessern. Es wurde von Anfang an gesagt, dass man zunächst mit keinen/geringen Strafen in einem Fall anfängt und die Maximalstrafen dann für Firmen sind, die sich trotz Aufforderung weiter falsch verhalten.
Titel: Re: DSGVO
Beitrag von: fränk am Januar 22, 2019, 09:30:37
Eine Blüte zur DSGVO:

Ich brauchte einen Entschäumer, kleines Gebinde, Warenwert um die 25,-€.
Im Netz wurde ich schnell fündig, allerdings war die Internetseite der Firma eine langsame und unübersichtliche Katastrophe. Ich rufe also an und die Sekretärin eröffnet mir, dass ich, im Fall einer Bestellung, unbedingt meine Umsatzsteuer ID angeben muss. Auf meine Frage warum, antwortet sie: Wegen dem neuen Datenschutz, sie müsse die Umsatzsteuer ID abfragen.

Ich habe dann ohne die Angabe der Umsatzsteuer-ID, per Mail bestellt und siehe da...sie liefern.
Titel: Re: DSGVO
Beitrag von: MacFlieger am Januar 22, 2019, 10:23:15
Die haben sich wirklich blöd angestellt und sind selber Schuld, meiner Meinung nach.

Evtl. bin ich an der Stelle auch zu voreilig.
Es gibt durchaus Stimmen, dass hier gar keine Auftragsverarbeitung vorliegt und daher kein Vertrag nötig ist. Beurteilen kann ich das nicht.
Allerdings würde ich mit einem Partner, der sich auf meine Anfrage zu einem Vertrag nicht rührt und wenigstens zurückmeldet, dass man keinen benötigt, nicht zusammen arbeiten. Die betroffene Firma war ja der Meinung, dass ein Vertrag notwendig wäre und hat auf dieser Basis weiter gearbeitet ohne einen zu haben. So ganz unschuldig sind sie dann auch nicht.

Ich rufe also an und die Sekretärin eröffnet mir, dass ich, im Fall einer Bestellung, unbedingt meine Umsatzsteuer ID angeben muss. Auf meine Frage warum, antwortet sie: Wegen dem neuen Datenschutz, sie müsse die Umsatzsteuer ID abfragen.

Na da wüßte ich aber gerne, warum das so sein soll. Dazu fällt mir gar nichts ein.
Steuergründe, Produktsicherheitsgründe etc. könnte ich mir vorstellen, aber Datenschutzgründe?
Titel: Re: DSGVO
Beitrag von: fränk am Januar 22, 2019, 10:31:06
Na da wüßte ich aber gerne, warum das so sein soll. Dazu fällt mir gar nichts ein.
Steuergründe, Produktsicherheitsgründe etc. könnte ich mir vorstellen, aber Datenschutzgründe?

Ganz einfach.

Der Laden betreibt auch einen Online-Shop (sehr nervend, weil sehr langsam, unübersichtlich und man muss einen Tag warten, bis der Admin den Account frei schaltet) und dort gibt es dann auch ein Feld, wo die Umsatzsteuer-ID eingetragen werden muss.
Will man die Umsatzsteuer-ID also nicht mitteilen, kann man auch nicht online bestellen. Ich gehe davon aus, dass sich schon mehrere Kunden über diese alberne Angabe aufgeregt haben und der Laden deswegen schon im Vorfeld darauf hinweist, anstatt das Feld zu entfernen.

Die Umsatzsteuer-ID wird ja von vielen Shops abgefragt, ich habe noch immer nicht begriffen, wozu.
Titel: Re: DSGVO
Beitrag von: MacFlieger am Januar 22, 2019, 10:57:58
Die Umsatzsteuer-ID wird ja von vielen Shops abgefragt, ich habe noch immer nicht begriffen, wozu.

Üblicherweise wird das gemacht, damit eine Rechnung ohne MwSt geschrieben werden kann (Steuergrund). Oder weil man sicher stellen muss, dass nur ein gewerblicher Kunde bestellt (Produktsicherheit).
Aber was das mit Datenschutz zu tun hat, ist mir schleierhaft. Vermutlich sagen die das nur, weil das sofort jeder glaubt und nicht auf den Laden sauer ist, sondern auf die DSGVO.
Titel: Re: DSGVO
Beitrag von: fränk am Januar 22, 2019, 12:52:11
Üblicherweise wird das gemacht, damit eine Rechnung ohne MwSt geschrieben werden kann (Steuergrund).

Eine Umsatzsteuer-ID haben doch nur gewerbliche Kunden und denen wird doch die MWST im der Rechnung ausgewiesen.
Und die privaten Kunden, haben keine Umsatzsteuer-ID, mit der sie eine Rechnung ohne MWST bekommen können.

Ich bleibe verwirrt.
Titel: Re: DSGVO
Beitrag von: MacFlieger am Januar 22, 2019, 13:18:18
Üblicherweise wird das gemacht, damit eine Rechnung ohne MwSt geschrieben werden kann (Steuergrund).

Eine Umsatzsteuer-ID haben doch nur gewerbliche Kunden und denen wird doch die MWST im der Rechnung ausgewiesen.

Ja, entweder ein gewerblicher Kunde erhält eine Rechnung über den Betrag x + MwSt und auf der Rechnung steht diese einzeln ausgewiesen drauf.
Oder er erhält eine Rechnung nur über den Betrag x.
Es ist auch möglich, eine Rechnung ohne die MwSt zu stellen, wenn der Empfänger eine UStID hat. Also die gar nicht erst in Rechnung zu stellen. Denn effektiv ist die MwSt bei einem Geschäft zwischen zwei gewerblichen eigentlich Humbug: Der Verkäufer zahlt die erhaltene MwSt an das Finanzamt, der Käufer holt sich die gezahlte MwSt vom Finanzamt zurück. In dem Fall geht das Geld nur einmal im Kreis.

Ich habe es manchmal beim Kauf in anderen EU-Ländern genutzt. Denn da müsste man die gezahlte MwSt bei dem ausländischen Finanzamt (oder in Saarlouis) zurückfordern und für geringe Beträge lohnt sich dieser Aufwand nicht. So zahle ich dann direkt nur den Betrag ohne MwSt.
Titel: Re: DSGVO
Beitrag von: Florian am Januar 22, 2019, 14:14:43
Die wurde vorher auch schon oft verlangt, mit anderen Begründungen. Die DVSGO ist einfach der ideale Sündenbock für alles.
Titel: Re: DSGVO
Beitrag von: MacFlieger am Januar 22, 2019, 15:13:05
Die DVSGO ist einfach der ideale Sündenbock für alles.

Genau das glaube ich auch.
Titel: Re: DSGVO
Beitrag von: Florian am Januar 22, 2019, 16:47:28
Meinte natürlich die DSGVO, nicht die DVSGO, das ist ja die Daseinsverweigerungssondergrundordnung.
Titel: Re: DSGVO
Beitrag von: radneuerfinder am Januar 24, 2019, 14:38:09
Ähnliche Vereinbarungen wie mit Japan gibt es bereits mit zwölf anderen Staaten, darunter Neuseeland, Kanada, die Schweiz und die USA. Mit Japan wurde erstmals eine Vereinbarung auf Basis der im Mai 2018 in Kraft getreteten EU-Datenschutz-Grundverordnung (DSGVO) geschlossen. Allerdings gelten die Vereinbarungen mit Kanada und den USA nur eingeschränkt:
https://www.golem.de/news/dsgvo-datenaustausch-mit-japan-uneingeschraenkt-moeglich-1901-138955.html
Titel: Re: DSGVO
Beitrag von: radneuerfinder am März 23, 2019, 13:50:33
https://www.golem.de/news/dsgvo-zeitenwechsel-im-datenschutz-1903-140201.html
Titel: Re: DSGVO
Beitrag von: Florian am März 27, 2019, 15:21:47
Heute rufe ich wo an, da kommt folgende Ansage:
Zitat
Seit 24.Mai 2018 gilt die Europäische Datenschutzverordnung. Wenn sie damit nicht einverstanden sind, teilen sie uns das bitte mit.

:)
Titel: Re: DSGVO
Beitrag von: MacFlieger am März 27, 2019, 15:40:28
Und? Hast Du es Ihnen mitgeteilt?  ;D
Titel: Re: DSGVO
Beitrag von: fränk am März 27, 2019, 15:45:09
Großartig! ;D
Titel: Re: DSGVO
Beitrag von: radneuerfinder am April 30, 2019, 11:41:19
https://www.golem.de/news/datenschutz-faq-nutzer-dsgvo-konform-tracken-1904-140951.html
Titel: Re: DSGVO
Beitrag von: radneuerfinder am Mai 29, 2019, 09:17:53
https://www.heise.de/newsticker/meldung/Kommentar-Ein-Jahr-DSGVO-ein-Grund-zum-Feiern-4433915.html
Titel: Re: DSGVO
Beitrag von: radneuerfinder am Mai 26, 2020, 12:46:19
https://www.golem.de/news/dsvgo-nichts-weniger-als-staatsversagen-2005-148700.html
Titel: Re: DSGVO
Beitrag von: radneuerfinder am September 29, 2020, 15:41:23
https://www.heise.de/news/Datenschutz-Korrekturen-gefordert-Deutsche-Firmen-hadern-mit-der-DSGVO-4915068.html
Titel: Re: DSGVO
Beitrag von: Florian am September 30, 2020, 17:55:12
Seit die Verordnung in Kraft ist, haben wie ja diese tollen Cookie-Hinweise.
Mein Eindruck ist, dass es, seit der Nutzer eh zustimmen muss, gar kein Halten mehr gibt. Teilweise hunderte Cookies müssen abgelehnt werden. Manche Seiten speichern trotz Abwahl aller möglichen abwählbaren Cookies und Verbot von Drittanbieter-Cookies in den Browser-Einstellungen noch zehn oder mehr Cookies auf meinen Rechnern.

Das kann es ja wohl nicht sein. Nun löschen ich die Cookies fortwährend, aber bald sind wieder hunderte da. Nicht unbedingt ein Problem, aber brauchen würde es sie nicht und kein Seitenbetreiber hat eigentlich das Recht für diese Keks-Orgie.

Mir langt es und ich filtere jetzt wieder aggressiver. Was dann nicht mehr funktioniert, kann sich andere Nutzer suchen.

Ein Hoch auf die Apfelinsel, die Datensparsamkeit vorlebt. Jetzt, wo ich nicht mehr zuständig bin, kann ich ja loben.
Aber das Web generell kann mir allmählich gestohlen bleiben.

Titel: Re: DSGVO
Beitrag von: MacFlieger am Oktober 01, 2020, 09:08:39
Seit die Verordnung in Kraft ist, haben wie ja diese tollen Cookie-Hinweise.
Mein Eindruck ist, dass es, seit der Nutzer eh zustimmen muss, gar kein Halten mehr gibt.

Ich habe eher den Eindruck, dass nun endlich gezeigt wird, was vorher die ganze Zeit schon gemacht wurde.
Man sieht ein eindeutiges Rückzugsgefecht dieser Webseiten.
Nach Einführung der DSGVO wurden erstmal überall Cookie-Banner eingeführt, die nur sagten, dass Cookies gesetzt werden und man das einfach nur durch Klick oder weiter surfen bestätigen soll.
Dann wurde geklärt, dass das so nicht richtig ist und man aktiv zustimmen muss. Daraufhin wurden die Banner umgebaut und das "Alles erlauben" war standardmäßig ausgewählt und nur mit Tricks konnte man die Cookies ablehnen.
Dann wurde noch deutlicher geklärt, dass man die Möglichkeit zur Konfiguration haben muss und aktiv zustimmen muss (keine Vorauswahl). Daraufhin wurden die Banner noch größer und komplizierter mit einem großen Button "Alles erlauben" und einen kleinen Button "Mehr Informationen" mit dem man dann irgendwo hinkommt, wo man mit viel Arbeit die Cookies ablehnen kann. Dabei dann aber auch immer groß und hervorgehoben der Button "Alles erlauben".

Eigentlich ist die Situation von Anfang an klar, aber die wollen von ihrem Geschäftsmodell nicht weg und so wird es immer nerviger.

Argument ist immer: "Wir brauchen Werbung, um uns zu finanzieren, und daher benötigen wir diese ganzen Cookies".
Da werden aber immer zwei Sachen vermischt. Die Finanzierung durch Werbung (was legitim ist) und die dadurch angeblich notwendige Verfolgung aller Benutzer. Und da ist der Knackpunkt. Die Werbewirtschaft hat über lange Zeit diese Verfolgung aufgebaut und behauptet nun, dass sie unverzichtbar ist. Aber warum eigentlich? In allen anderen Medien ist auch Werbung vorhanden, ohne dass der einzelne Benutzer verfolgt wird. Klar, wenn sowohl gezielte als auch ungezielte Werbung möglich ist, dann erzielt gezielte Werbung mehr Einnahmen und wird von den Werbenden bevorzugt. Für die Werbenden wäre ein Verzicht darauf ein Rückschritt, aber nicht für Webseiten, die sich über Werbung finanzieren. Es würde doch genauso viel Geld in Werbung gesteckt werden und am Ende bei den Webseiten landen. Nur wenn beides erlaubt ist, dann wird natürlich mehr Geld in Werbung mit Tracking gesteckt und Webseiten, die nur auf ungezielte Werbung setzen, bekommen weniger vom Kuchen ab.
Titel: Re: DSGVO
Beitrag von: Florian am Oktober 01, 2020, 14:00:23
Ob nun wirklich mehr ist oder nur transparenter... ist halt mein Eindruck aus Filterergebnissen und Cookie-Zählereien.
Glaube aber schon, dass man auf Erlaubnis des Nutzers hin erst recht zu tracken versucht. Auch die anderen Trackingmethoden haben angeblich zugenommen, las ich erst neulich.

Wie auch immer, ich sehe das auch als Rückzugsgefecht. Anstatt aber mal datenschutzkonforme Werbenetzwerke zu etablieren, werden allerlei Trick, wie teilweise von Dir beschrieben, angewandt.

Natürlich sehe ich das Problem der Seitenbetreiber. Die Werbekunden zahlen für nicht zuzuordnende Werbung eben deutlich weniger. Auch sind sie nicht bereit, z.B. Serverlogs oder andere Methoden zur Reichweitenbestimmung zu nutzen.
Es wird alles nach Schema F verhandelt. Webmaster baut Google und andere ein, die Werbung wird automatisch geschaltet. Ist ja auch praktisch.

Warum aber z.B. große Medienhäuser nicht ihre Werbeabteilung, die sie ja für Print- oder TV-Produkte auch haben, nicht auch für den Webauftrag nutzen und also direkt mit den Werbekunden reden, erschließt sich wirklich nur aus dem minderen Wert nicht trackbarer Werbung im Internet. Glaube nicht, dass sie die Preise angleichen würden, wenn Tracking überhaupt nicht mehr ginge. Dann wirbt man halt in Apps, wer überprüft die eigentlich? Apple jedenfalls nicht.
Titel: Re: DSGVO
Beitrag von: MacFlieger am Oktober 01, 2020, 16:05:32
Natürlich sehe ich das Problem der Seitenbetreiber. Die Werbekunden zahlen für nicht zuzuordnende Werbung eben deutlich weniger.

Meiner Meinung nach aber nur, weil es gezielte und ungezielte Werbung gibt. Wenn es beides gibt, dann ist die gezielte Werbung natürlich von der Werbeindustrie her erwünschter und entsprechend mehr wert=teurer. Würde die gezielte Werbung über Tracking aber verboten werden und alle könnten nur noch ungezielte Werbung ausstreuen, würden dann die ganzen Werbeetats verringert werden? Ich glaube nicht. Es mag sein, dass es auch dann weniger Geld pro Werbung gibt, aber ich gehe davon aus, dass das Gesamtvolumen der Werbung praktisch gleich bleibt und somit die gleichen Summen durch Werbung erzielt werden können.
Titel: Re: DSGVO
Beitrag von: Florian am Oktober 01, 2020, 17:10:56
Nun, ich bin da kein Experte.
Aber ich denke es würde halt umverteilt. Eben hin zu Apps, und wenn es dort auch ein Verbot durchgesetzt würde, eben zu den klassischen Medien, im öffentlichen Raum (hier tun sich ja neue Möglichkeiten auf!) und womöglich sogar wieder Postwurfsendungen etc.

Wäre das so, würde der Kuchenanteil für Webseiten-Betreiber kleiner. Die Werbenetzwerke und asozialen Medien müssten bluten, denn ihr ganzes Geschäftsmodell basiert ja auf Tracking.

Daher wird das auch nicht kommen, wenn es nicht die Gerichte durchsetzen sollten. Und selbst dann kann es noch dauern, siehe Transfer nach USA.
Titel: Re: DSGVO
Beitrag von: MacFlieger am Oktober 02, 2020, 08:11:50
Nun, ich bin da kein Experte.
Aber ich denke es würde halt umverteilt. Eben hin zu Apps, und wenn es dort auch ein Verbot durchgesetzt würde, eben zu den klassischen Medien, im öffentlichen Raum (hier tun sich ja neue Möglichkeiten auf!) und womöglich sogar wieder Postwurfsendungen etc.

Ich bin ja auch kein Experte und kann falsch liegen. :)
Bezgl. Umverteilung zu Apps: Ich sehe keinen Grund, warum Tracking auf Webseiten verboten und in Apps erlaubt sein sollte. Wenn das Tracking untersagt werden sollte, dann natürlich auch in den Apps. Es wäre also maximal eine Umverteilung auf klassische Medien möglich. Aber daran glaube ich nicht. Eher, dass noch mehr Geld in Influencer gesteckt wird.
Titel: Re: DSGVO
Beitrag von: MacFlieger am Oktober 03, 2020, 09:57:54
Passt gut dazu:

Online-Werbung: Programmatic Advertising übernimmt den Markt (https://www.heise.de/news/Online-Werbung-Programmatic-Advertising-uebernimmt-den-Markt-4919067.html)
Titel: Re: DSGVO
Beitrag von: radneuerfinder am Oktober 05, 2020, 10:42:21
Gut dazu passt meiner Meinung nach auch das hier:
Untersuchung: Microsoft Office sammelt Daten und verstößt gegen die DSGVO (https://www.heise.de/newsticker/meldung/Untersuchung-Microsoft-Office-sammelt-Daten-und-verstoesst-gegen-die-DSGVO-4224823.html)

Die Datenschutzkonferenz des Bundes und der Länder (DSK) hat am 22. September mit knapper Mehrheit beschlossen, dass derzeit "kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich ist"
https://www.heise.de/news/Microsoft-Office-365-Die-Gruende-fuer-das-Nein-der-Datenschuetzer-4919847.html

Beim Verhängen von Bußen und Stilllegung von technischen Geräten sind Behörden bei abgelaufenem TÜV etwas schneller und konsequenter. Warum hier nicht?
Titel: Re: DSGVO
Beitrag von: fränk am Oktober 05, 2020, 12:17:06
Beim Verhängen von Bußen und Stilllegung von technischen Geräten sind Behörden bei abgelaufenem TÜV etwas schneller und konsequenter. Warum hier nicht?

Weil Microsoft vielen Behörden, Schulen, Unternehmen... das Arbeiten im Homeoffice während Corona ermöglicht hat. Ich weiß, das wäre auch anders gegangen, aber der Durchschnitts-Admin ist halt eher ahnungslos.
Egal wie übel das alles ist, es gibt Dinge, die werden einfach durch gewunken... Fußball mit Zuschauern, voll besetzte Malle-Flieger und eben auch üble Software.
Titel: Re: DSGVO
Beitrag von: Florian am Oktober 05, 2020, 17:54:40
Klar ist MS-Software (auch Windows) unter den neuen Bestimmungen nur sehr schwer zu rechtfertigen oder eben auch gar nicht.
Aber auch bei besten Willen dauert die Installation einer Alternative einige Jahre. Das liegt auch daran, dass haben alle bisherigen Linux-Umstellungen gezeigt, dass fast alle Dienstleister ausschließlich Windows betreuen. Man kann also entweder lange warten, bis man einen findet und der mit wenig Manpower das umgesetzt hat oder man bildet in irgendeiner Kooperation selber Leute aus.
Und alles kann man eben auch noch nicht mit Web-Technologien machen, wo es mehr Dienstleister gibt.

Wäre IT, schreibe ich mal generell, Fach in der Schule, würde es vielleicht anders aussehen.

Was mich halt ärgert: Auch unter den alten deutschen Datenschutz-Regeln war der Einsatz von vielen MS-Produkten nicht erlaubt.
Man hat also Jahrzehnte einfach vor sich hingewerkelt wie die ganze Industrie und ist nun abhängig - genau wie all die Jahre gewarnt wurde.



Strafzahlung über 35,3 Mio. soll H&M wegen übler Ausspähung der Mitarbeiter zahlen. Wenn man das so liest, müssten eigentlich die Verantwortlichen ins Gefängnis, ist meine Meinung.
https://www.ndr.de/nachrichten/hamburg/Datenschutzverstoesse-HM-soll-35-Millionen-Euro-zahlen,datenschutz708.html
Titel: Re: DSGVO
Beitrag von: radneuerfinder am Oktober 06, 2020, 08:33:57
https://www.golem.de/news/office-365-warum-microsoft-die-datenschuetzer-spaltet-2010-151315.html
Titel: Re: DSGVO
Beitrag von: radneuerfinder am Oktober 11, 2020, 18:01:06
Die DSGVO sollte eigentlich den Datenschutz voranbringen, aber die großen Datensammler am Markt werden nur noch größer. Ist das Kartellrecht ein besserer Hebel?
https://www.heise.de/hintergrund/Missing-Link-Wie-die-DSGVO-wirkt-schmutzige-Tricks-und-Macht-der-Staerkeren-4925977.html?seite=all