Suche den DSGVO-Thread, hab da so einige Fragen^^. Oder gibts tatsächlich gar keinen?

Was solls da für Fragen geben. Eine Firma die das Thema nicht seit mindestens 6 Monaten ernsthaft auf der Uhr hat ist viel zu spät dran. Deswegen geht die Welt am 25.05 nicht gleich unter, aber die Geschäftsführung / Inhaber müssen halt mit einem erheblichen Risiko leben.
Wichtig ist nur, das man nicht zufällig in so einer Firma Datenschutzbeauftragter ist. ;)

Also mir gehts hier nicht um eine juristische Durchdeklinierung bis ins letzte Detail, sondern eher um praktische Fragen und einen Erfahrungsaustausch.

Also nur mal so als Beispiel: Die c't hatte ja nen Artikel zur DSGVO und dort schreiben sie u.a., dass verantwortliche Stellen bzw. Unternehmen (da gehts schon los, gilt das für jede verantwortliche Stelle oder fürs ganze Unternehmen?) einen "Fernzugriff" (bzw. Dateidownload) für personenbezogene Daten bereitstellen müssen, so wie das z.B. Facebook und Google in ihren Pirvatsphäre-Einstellungen schon machen. Im Grunde soll der Betroffene also selbständig alle Informationen über sich, die das Unternehmen speichert, "besorgen" können (also ohne extra Auskunftsersuchen).

Wie soll sowas eigt. eine 5-Mann Handwerker-Firma, die von IT kaum Ahnung hat, bewerkstelligen? Wie stelle ich bei so einem Fernzugriff sicher, dass das auch der richtige ist, der sich die Informationen gerade "herunterlädt" oder "einsieht". Wie bewerkstellige ich die Identifizierung? Was passiert, wenn dieser Fernzugriff selber "gehackt" wird? Ich sehe allein beim Thema "Fernzugriff" schon einen Widerspruch und mir stellen sich da einige praktische Fragen.

Das nur mal als Beispiel. Ich könnte da noch einige Fragen mehr stellen, aber ich möchte erst wissen, ob es überhaupt ein Interesse hier im Forum an der DSGVO und der praktischen Umsetzung gibt.

Gruß Oli

Und wie sieht das für private Vermieter oder Untervermieter aus? Die Anforderungen sind bei 400Euro Kompletteinnahmen nicht erfüllbar.

Der Fernzugriff auf die Daten ist nicht verpflichtend.

https://dsgvo-gesetz.de/erwaegungsgruende/nr-63/

Da steht:
"Nach Möglichkeit sollte der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde."

Ah, thx, das stand in dem c't-Artikel aber etwas anders drin. Ein Punkt weniger :x.

@Poook: Bei Vermietern/Eigentümer/WEG-Verwaltungen/Immobilienmaklern bin ich auch noch nicht so richtig schlau. Ich weiß nur, dass ein Makler z.B. bei Mieterselbstauskünften auf jeden Fall eine Datenschutzerklärung beilegen und am besten diese vom potentiellen Mieter unterschrieben wegheften sollte. Kommt der Vertrag nicht zu stande, muss er diese Daten wieder vernichten (bei Papierform eben schreddern). Dazu zählen dann aber auch z.B. Emails, die man ausgetauscht hatte. Dann wurde der Rechner mit dem Emails vlt auch mal per Backup gesichert. Wie krieg ich denn die Emails jetzt aus dem Backup raus? Das sind so Detailfragen, die mich beschäftigen^^.

Das Problem geht dann aber noch weiter: Die (oder Teile von den) Daten werden ja auch weiter an den Eigentümer/Vermieter/Schuldneregister... übermittelt (= Übermittlung an Dritte). Muss man dann jeweils eine eigene Einwilligungserklärung holen? Sprich, eine für den Eigentümer, eine für das Schuldnerregister etc. Oder kann man das alles zusammenfassen und eine Datenschutzerklärung, wo alles aufgelistet ist, reicht aus? Muss ich dann auch sämtliche Kontaktdaten der Dritten aufzählen (damit der potentielle Mieter auch bei den Dritten notfalls widersprechen kann)? (Ihr seht schon, dass eine korrekte Datenschutzerklärung dann vlt sogar länger als die Miterselbstauskunft werden kann :x) Oder geht das ganze auch eleganter per Auftragsverarbeitung oder "Joint-Controllership"? Wer muss da mit wem dann eine Auftragsverarbeitung vereinbaren? Was ist mit den Haftungsrisiken? Ich würde mal behaupten, keiner der Makler könnte jemals solch eine Auftragsverarbeitung mit einem Eigentümer abschließen, da er dann verpflichtet wäre zu überprüfen, dass auch der Eigentümer/Vermieter die DSGVO ordnungsgemäß umsetzt. Ich kenne nicht einen Eigentümer, der z.B. eine VVT führt.

Gruß Oli

Der Fernzugriff auf die Daten ist nicht verpflichtend.

https://dsgvo-gesetz.de/erwaegungsgruende/nr-63/

Da steht:
"Nach Möglichkeit sollte der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde."
Ich glaube zwar, dass dir das klar ist, aber falls jemand sich gar nicht auskennt koennte es ihn verwirren. Der Anhang mit den Erwaegungsgruenden ist kein Teil der DSGVO und dementsprechend auch keine gueltige Rechtsnorm. Im Gesetz steht sowas (nach Moeglichkeit, sollte, ...) natuerlich nicht.
Das Auskunftsrecht gilt, ein Fernzugriff nicht zwingend. Man taete aber durchaus gut daran, das ganze mit einer Art von Fernzugriff zu automatisieren, denn
Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln
Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.
Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung.


Das Problem geht dann aber noch weiter: Die (oder Teile von den) Daten werden ja auch weiter an den Eigentümer/Vermieter/Schuldneregister... übermittelt (= Übermittlung an Dritte). Muss man dann jeweils eine eigene Einwilligungserklärung holen? Sprich, eine für den Eigentümer, eine für das Schuldnerregister etc. Oder kann man das alles zusammenfassen und eine Datenschutzerklärung, wo alles aufgelistet ist, reicht aus?
Grundsaetzlich mal gibt es mehrere Erlaubnistatbestaende. Die Einwilligung ist nur einer davon. Weitere sind u.a. die Notwendigkeit der Verarbeitung zur erfuellung (vor)vertraglicher Massnahmen. Siehe Art. 6. Da muesste man genau schauen, wofuer man ueberhaupt alles eine Einwilligung holen muss.
Du kannst schon eine gesammelte Einwilligungserklaerung unterschreiben lassen. Ich faende das sowieso sinnvoller, weil dann direkt vorneherein klar ist was warum wohin geht und nicht in mehreren Schritten wieder Verwirrung aufkommt. Dabei gilt es aber, das Kopplungsverbot zu beachten. D.h. du kannst nicht von dem Betroffenen verlangen, einer Weitergabe zuzustimmen, die nicht zwingend notwendig ist und ansonsten den Vertrag platzen lassen.

Was solls da für Fragen geben. Eine Firma die das Thema nicht seit mindestens 6 Monaten ernsthaft auf der Uhr hat ist viel zu spät dran. Deswegen geht die Welt am 25.05 nicht gleich unter, aber die Geschäftsführung / Inhaber müssen halt mit einem erheblichen Risiko leben.
Wichtig ist nur, das man nicht zufällig in so einer Firma Datenschutzbeauftragter ist. ;)
Ich finde es gut, wenn es einen Thread gibt. Ich habe keine eigene Firma und bin auch kein DSB, habe mich damit auch eher mal aus reinem Interesse beschaeftigt aber es kann aber trotzdem fuer jeden ploetzlich mal interessant werden.

https://planit.legal/eu-dsgvo/art-6/

Punkt 1b) dürfte dann wohl zutreffen. Bedeutet also, es reicht, wenn z.B. der Makler eine vertragliche Beziehung zu dem (potentiellen) Mieter hat und über die Datenweitergabe aufklärt. Eine extra Einwilligung wäre hier dann nicht notwendig, da die Daten ja zur Erfüllung des Geschäftszweck notwendig sind. Natürlich muss er noch die restlichen DSGVO-Dinge befolgen (VVT führen, evt. Auftragsverarbeitungsverträge abschließen, TOMs).

Das ist schonmal gut, dass es da mehrere Erlaubnistatbestände gibt, das wäre sonst ja ein riesiger Verwaltungswust geworden *puh*.

Hm, ich frage mich, wie Firmen genau die Anfragen nach Auskunft von personenbezogenen Daten bearbeiten.

Da kriegt dann Immobilienmakler XY (um mal bei den Maklern zu bleiben) ne Anfrage per Email von klaus.muellerx345@gmail.com man möge ihm doch alle gespeicherten personenbezogenen Daten von "Klaus Müller" wohnhaft in Hamburg übermitteln. Wie geht man damit um? Woher weiß der Makler denn, dass das wirklich der Klaus Müller ist, mit dem er mal nen Mietvertrag abgeschlossen hatte (der aber z.B. bei der Mieterselbstauskunft keine Email-Adresse zum abgleichen angegeben hatte). Der Makler kann doch dann nicht einfach so jemandem Auskunft erteilen, dann würde er doch mit der Auskunft selber wiederum gegen die DSGVO verstoßen, wenn es nämlich nicht der echte "Klaus Müller" ist.

Wie sieht da die Praxis aus?

Perso mitschicken (beide Seiten). Dann weißt du wer es ist.

Zumindest für Webseiten gibt es Generatoren, die sollte man nutzen.

Perso mitschicken (beide Seiten). Dann weißt du wer es ist.

Hm, nein, weiß ich nicht. Oder wie stell ich sicher, dass die angehängte Ausweiskopie auch vom echten Klaus Müller kommt und nicht von nem "Datenhändler"? Ich mein klar, wenn der "Datenhändler" schon die Daten vom Ausweis hat (Name, Geschlecht, Adresse etc.), wozu dann die Auskunft. Aber es gibt ja noch mehr personenbezogene Daten als die, die auf dem Aufweis stehen.

Und dann die Kommunikationsart: Man bekommt eine Auskunfts-Anfrage per Email, dann verschickt man die Auskunftsdaten wieder per Email (=Postkarte=Datenschutzproblem!)? Man bekommt die Anfrage per Post und antwortet per Post (=Kosten)? Sehe nur ich hier das DDOS-Missbrauchspotential? Und selbst wenn man dann überall nur Antworten darf, dass man keinerlei Daten gespeichert hat, muss man doch vorher immer erst die Identität prüfen. Ich glaube hier wurde irgendwie nur auf große Konzerne geschaut und vergessen, wie es kleinere oder Einzelunternehmen geht.

Don't spend thousands on legal fees to make your site GDPR-compliant. If you aren't targeting EU users, simply use GDPR Shield to block all traffic from the EU:
https://gdpr-shield.io/

Ob da nen eingebettetes JS der richtige Weg ist, müssen die Webseitenbetreiber entscheiden. Im Grunde können Webseiten gehostet und betrieben von außerhalb der EU darauf gut verzichten, wenn die DSGVO der EU in dem betroffenen Land nicht durchgesetzt werden kann.

Wäre ungefähr so, wenn China nen Gesetz erlässt, dass Webseitenbetreiber (ohne eine Einschränkung auf chinesiche Webseiten) nur chinesische Schriftzeichen verwenden dürften. Würde sich für deutsche Unternehmen/Menschen dann nur auswirken, wenn sie Beziehungen mit China, chinesischen Firmen/Menschen unterhalten, oder wenn die verantwortlichen Menschen dann nach China reisen wollen (wo sie dann festgenommen werden könnten, weil sie ja gegen das Gesetz verstoßen hätten).

Das Problem an DSGVO ist, dass das ein Bürokratiegenerator hoch drei ist. Man muss dokumentieren, dass man Visitenkarten in der Schublade hat. Und Faxgeräte müssen in einen abschließbaren Raum. Weil wenn da ein Fax mit persönlichen Daten ankommt und die Putzfrau das Ding sieht dann ist das ein Verstoß gegen DSGVO. Es sei denn natürlich, derjenige, der das Fax abgefeuert hat hat zugestimmt, dass die Putzfrau seine Daten sehen darf.

Das Ganze wird noch echt witzig bzw. sehr unlustig für viele KMUs. Die Daten sowieso nicht sammeln wollen aber müssen weil sie sonst gegen andere Gesetze verstoßen würden.

Hm, nein, weiß ich nicht. Oder wie stell ich sicher, dass die angehängte Ausweiskopie auch vom echten Klaus Müller kommt und nicht von nem "Datenhändler"? Ich mein klar, wenn der "Datenhändler" schon die Daten vom Ausweis hat (Name, Geschlecht, Adresse etc.), wozu dann die Auskunft. Aber es gibt ja noch mehr personenbezogene Daten als die, die auf dem Aufweis stehen.


Ich wuerde mal sagen, dass das fuer dich erstmal hinreichend sein kann.
Wenn du halt sicherer gehen willst, kannst du entweder wirklich eine Art "Fernzugriff" einrichten, dass jeder halt ein Konto hat und sich einloggen kann, inkl. 2FA. Die Frage ist, ob man das als Makler braucht? Wohl eher nicht. Dann stellt sich naemlich auch die Frage, ob man ueberhaupt die Daten von ehemaligen Kunden oder Interessenten behalten muss. Das glaube ich naemlich auch nicht. Bin aber kein Makler, darueber soll er sich auch selber Gedanken machen ;)

Und dann die Kommunikationsart: Man bekommt eine Auskunfts-Anfrage per Email, dann verschickt man die Auskunftsdaten wieder per Email (=Postkarte=Datenschutzproblem!)? Man bekommt die Anfrage per Post und antwortet per Post (=Kosten)? Sehe nur ich hier das DDOS-Missbrauchspotential? Und selbst wenn man dann überall nur Antworten darf, dass man keinerlei Daten gespeichert hat, muss man doch vorher immer erst die Identität prüfen. Ich glaube hier wurde irgendwie nur auf große Konzerne geschaut und vergessen, wie es kleinere oder Einzelunternehmen geht.
E-Mail ist kein Problem. Als Unternehmer laesst du dir vom Provider/Dienstleister der das macht sowieso einen Auftragsverarbeitervertrag unterschreiben. Als Privatperson bist du selbst dafuer verantwortlich, ob du deinem Provider vertrauen kannst. Insofern ist jeder, der die Postkarte in die Hand bekommt versorgt. Verschluesselung ist aber auch seit Ewigkeiten kein Problem mehr und ich wuerde jedem raten, das Versaeumnis endlich nachzuholen.

Gibt doch bis jetzt auch kein DDoS Problem via Post, also wuerde ich auch fuer die Zukunft keines erwarten.

Don't spend thousands on legal fees to make your site GDPR-compliant. If you aren't targeting EU users, simply use GDPR Shield to block all traffic from the EU:
https://gdpr-shield.io/
:facepalm:

Das Ganze wird noch echt witzig bzw. sehr unlustig für viele KMUs. Die Daten sowieso nicht sammeln wollen aber müssen weil sie sonst gegen andere Gesetze verstoßen würden.
Dann ist es eh durch andere Erlaubnistatbestaende als die Einwilligung abgedeckt, insofern gelten auch die speziell dafuer geltenden Rechte nicht.
Problematisch ist an der DSGVO hauptsaechlich, dass so viele so lange einen Scheiss darauf gegeben haben und jetzt ploetzlich Panik schieben, obwohl das Gesetz schon vor zwei Jahren in Kraft getreten ist. noyb.eu hat etwa angekuendigt, KMU unterstuetzen zu wollen, indem sie bswp. konforme Tools vorstellen, vergleichen usw. Aber solche Organisationen leben halt von Spenden und wenn da nichts rein kommt, passiert halt auch nichts.
Uebrigens durftest du natuerlich auch vorher schon keine personenbezogenen Daten rumliegen haben wo jede Putzfrau ran kommt.

Das Problem an DSGVO ist, dass das ein Bürokratiegenerator hoch drei ist.

Yep. Am Umgang mit Daten, was man wie lange aufbewahrt usw. hat sich eigentlich nicht wirklich viel geändert, aber man muss das, was man ohnehin schon machte, nun nochmal extra aufschreiben.

Geld-Druck-Maschine für externe Datenschutzfirmen-/beauftragte, Abmahnanwälte, Shredder-Hersteller und Dokumentenentsorgungsunternehmen :eek:.

Hätte Mal eine Frage wie ihr das seht:
Hintergrund: bin selbstständig und führe im weitesten Sinne eine Auftragsdatenverarbeitung durch. Habe dazu jetzt ein 20 Seiten Papier bekommen was mir quasi das Messer auf die Brust setzt in ein Angestellten Verhältnis überzugehen

In meinem Projektvertrag von Dezember 17 ist eindeutig vermerkt das es keinerlei mir weisungsberechtigte Personen gibt.
In der neuen Vereinbarung zur dsgvo wird mir eine weisungsbefugte Person genannt, der Projektleiter auf Kundenseite. Soweit ich weiß darf es ohne weisungsgebundenheit keine Auftragsdatenverarbeitung geben! Allerdings gibt das ein Problem bei der Thematik Scheinselbständigkeit. Hinzu kommt dass es in meinem Fall auch eine Unterauftragdatenverarbeitung ist und mein Kunde sämtliche Haftung und Verantwortung (zum gleichen Stundensatz) an mich abtreten möchte laut Vereinbarung.
Ich habe kein Problem damit die Daten meines Kunden in meiner Firma nach dsgvo zu behandeln, ist möchte allerdings nicht meine Hand ins Feuer legen wie letztlich mein Kunde mit den Daten des Endkunden umgeht, da mir täglich Datenschutzverstöße auffallen, die ich theoretisch auch melden müsste.
Darf ein auftragsdatenverarbeiter einfach seine Haftung abtreten oder ist er nicht letztlich doch selbst haftbar?

Und noch als Ergänzung zu den technischen Sicherheitsmaßnahmen:

Ich arbeite an einem MacBook meiner eigenen Firma, welches verschlüsselt ist und täglich ein Backup auf einem verschlüsselten deutschen Server erfährt (bei mir im Keller xD).
Allerdings bin ich damit nur per Apple remote Desktop mit einem Macpro meines kunden verbunden, der wiederum mehrere vms lokal und in der Cloud bedient. Und erst von diesen VMS werden die eigentlichen Daten des Endkunden verarbeitet. Hier habe ich aber gar keinen Einfluss auf die Datensicherheit und Verfügbarkeit, einige vms sind auch im nicht EU Ausland gehört, was mir per Vertrag eigentlich untersagt ist.

Wie soll man hier mit gesundem Menschenverstand eine Haftung übernehmen?

Geld-Druck-Maschine für externe Datenschutzfirmen-/beauftragte, Abmahnanwälte, Shredder-Hersteller und Dokumentenentsorgungsunternehmen :eek:.

Naja, bei uns (IT Dienstleister) brennt die Hütte und selbst wenn der Tag 48 Stunden hätte wäre die Arbeit in absehbarer Zeit nicht zu schaffen.

Praktisch jeder Kunde ist gezwungen zu investieren. Sowohl Hardware, Software als auch in die Anpassung von Geschäftsprozessen und Dokumentenvorlagen. Zusätzlich Mitarbeiterschulungen.

Absolut konform wird zum Stichtag trotzdem kein einziger Kunde sein. Hat man sich selber eingebrockt und Mitleid hab ich da überhaupt keins. In Datenschutz und Security hat man über die letzen 10 Jahre bestenfalls das absolute Minimum investiert. Argumentiert gegen Wände und selbst als die DSGVO vor der Tür stand ging das Thema noch auf die lange Bank. Aus Gesprächen mit Freunden und Bekannten welche einen anderen Weg gegangen sind und heute IT Projekte in größeren Unternehmen leiten weiß ich das es hier Stand heute meist auch nicht anders aussieht. Der Stichtag kommt und geht ;)

Wir haben uns über die letzten Jahre immer abgesichert und die Kunden für die bestehenden Misstände unterschreiben lassen. Haarsträubend ist noch eine Untertreibung wie gerade in vielen kleineren Unternehmen (10 - 50 MAs) agiert wurde und oft noch wird.

Die Woche wieder, neuer Kunde, knapp 50 MAs mit 30 Clients, seit Jahren ohne Wartungsvertrag (Server auf Stand 04/2012) und die meisten Konten im AD ohne PW. Wahnsinn mit Terminals in effektiv öffentlich zugänglichen Bereichen. Kannst direkt von vorne anfangen. Firewall ? Speedport von 2010 :P

Vieles an der DSGVO mach überhaupt keinen Spaß (Vorlagen, Dokumente, Bürokratie) und ist auch teilweise überzogen. Grundsätzlich war es aber absolut notwendig und mehr als überfällig. Man hat endlich etwas halbwegs schlagfertiges in der Hand um die Widerstände zu brechen. Natürlich verdienen wir damit unser Geld. Können aber auch meine Daten sein welche bei XY verarbeitet und für immer ;) gespeichert werden und das geht so wie in der Vergangenheit einfach überhaupt nicht. Schiebt auch manchen GFs endlich einen Riegel vor welche ihre MAs heimlich überwacht und kontrolliert haben als wäre es ein Arbeitslager.

Bezüglich Gelddrucken sehe ich den Ball eher bei Unternehmen welche Zertifizierungen (Fachkundenachweis etc.) anbieten. Minimaler Arbeitsaufwand in Relation zum Return. Die Umsetzung und Dokumentation vor Ort ist harte Arbeit. Vieles ist praktisch nur außerhalb der regulären Geschäftszeiten umsetzbar. Deshalb: Endlich mal wieder ein Wochenende :)

Hätte Mal eine Frage wie ihr das seht:
Hintergrund: bin selbstständig und führe im weitesten Sinne eine Auftragsdatenverarbeitung durch. Habe dazu jetzt ein 20 Seiten Papier bekommen was mir quasi das Messer auf die Brust setzt in ein Angestellten Verhältnis überzugehen

In meinem Projektvertrag von Dezember 17 ist eindeutig vermerkt das es keinerlei mir weisungsberechtigte Personen gibt.
In der neuen Vereinbarung zur dsgvo wird mir eine weisungsbefugte Person genannt, der Projektleiter auf Kundenseite. Soweit ich weiß darf es ohne weisungsgebundenheit keine Auftragsdatenverarbeitung geben! Allerdings gibt das ein Problem bei der Thematik Scheinselbständigkeit. Hinzu kommt dass es in meinem Fall auch eine Unterauftragdatenverarbeitung ist und mein Kunde sämtliche Haftung und Verantwortung (zum gleichen Stundensatz) an mich abtreten möchte laut Vereinbarung.
Ich habe kein Problem damit die Daten meines Kunden in meiner Firma nach dsgvo zu behandeln, ist möchte allerdings nicht meine Hand ins Feuer legen wie letztlich mein Kunde mit den Daten des Endkunden umgeht, da mir täglich Datenschutzverstöße auffallen, die ich theoretisch auch melden müsste.
Darf ein auftragsdatenverarbeiter einfach seine Haftung abtreten oder ist er nicht letztlich doch selbst haftbar?

Edit: Die Weisungsthematik ergibt sich unmittelbar aus der DVGO. Dein Vertrag ist insoweit auch darauf beschränkt?
Ich würde z.B. einen Blick auf die Muster der Datenschutzbeauftragten der Länder/des Bundes werfen und mich daran orientieren.
Zu der Haftung lässt sich so pauschal wenig sagen. Sinnvoll ist sicher eine Beschränkung auf jene Fragen, die Du auch kontrollieren kannst. Ob die jeweiligen Klauseln des Vertrags überhaupt wirksam sind, ist ja auch fraglich (Stichwort: AGB). Grundsätzlich scheint das in Art. 82 DSGVO geregelt zu sein. Will er in darüber hinaus?

Hier mal ein Link zum Muster des bayrischen Landesbeauftragten für den Datenschutz. Da siehst Du auch schön das Thema der Haftung...

https://www.lda.bayern.de/media/muster_adv.pdf

Der Absatz was die Weisungsbefugnisse umfassen fehlt in meinem Vertrag, im Prinzip ist das nur Artikel 4 des Musters aufgeführt. Das müsste auf jeden Fall ergänzt werden, das sich diese Weisungsbefugnisse nur auf die Erteilung der Aufträge bezieht, nicht aber auf Arbeitszeiten, Arbeitsorganisation etc.

Das mit der Haftung würde ich dann auch korrigiert haben wollen, in dem Muster wird auf Art 82 verwiesen, so würde ich das auch unterschreiben.
Aktuell steht sinngemäß drin: sämtliche Haftung zur Erfüllung der dsgvo übernimmt der Auftragnehmer. Was schlicht unmöglich ist für mich als Unternehmen mit mir plus Putzfrau ;0
Apropos Putzfrau: die hat Zugriff auf mein Büro. Sprich ich müsste sie auch eine Datenschutzvereinbarung unterschreiben lassen?

Thema Putzfrau: Das kommt auf die Umstaende an. Ich gehe mal davon aus, dass dein Rechner passwortgeschuetzt und die Festplatte bestenfalls auch noch verschluesselt ist (hattest du ja geschrieben), insofern sind diese Daten schonmal durch den Zugriff auf den Raum nicht offengelegt.
Bei "offline"-Dokumenten kommt es darauf an. Wenn du nur ein paar Blaetter ungeordnet auf dem Schreibtisch rumliegen hast, ist das nicht weiter relevant, denn
Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
https://dsgvo-gesetz.de/art-2-dsgvo/
Im passenden Erwaegungsgrund (https://dsgvo-gesetz.de/erwaegungsgruende/nr-15/) heisst es
Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, sollten nicht in den Anwendungsbereich dieser Verordnung fallen.
Der Aktenschrank mit Register oder aehnlichem sollte halt abschliessbar sein. Halte ich auch fuer zweckmaessiger, als die Reinigungskraft mit einzubeziehen. Was, wenn sie ausfaellt und kurzerhand jemand anderen schickt? Oder komplett wechselt, dann kann man es jedes mal neu machen. Auch aus Sicht des Betroffenen ist die Vorstellung sicherlich angenehmer, man hat die Dokumente einfach verschlossen im Schrank.

Wie immer der Disclaimer: ist meine laienhafte Meinung, im Zweifel beim Anwalt fragen ;)

Wenn man als Nicht-Firmenanhöriger IT-Support leistet (Hilfe bei IT-Problemen, Maileinrichtung, Backup, Patches einspielen, etc.), dann verarbeitet man zwar nicht direkt Personendaten, man hat aber grundsätzlich die Möglichkeit auf diese Daten zuzugreifen (Office-Dateien, Emails, etc.).

Für eine gewisse Rechtssicherheit sollte man ja trotzdem einen Auftragsverarbeitungsvertrag abschließen. Die Vorlagen die man dafür findet (https://www.lda.bayern.de/media/muster_adv.pdf) schießen für dieses Szenario weit über das Ziel hinaus. Nichts desto trotz hätte ich das als Vorlage genommen und weit zusammengekürzt.

Wie behandelt ihr das Thema?

Ich muss gestehen ich blick das im Moment nicht so ganz und wenn ich mich so umschaue blickt das keiner meiner Kunden :)

Ich betreibe hier eine kleine Firma (Studio für Werbefotografie) und arbeite nur mit gewerblichen Kunden. Muss ich jetzt mit bzw für jeden Kunden einen Auftragsdatenverarbeitungsvertrag abschließen? Wenn ja, mit jedem Ansprechpartner beim Kunden oder wie, oder watt?

Bei uns ist jeder Rechner PW geschützt, das Adressbuch wird im Moment von Apple und MS in das von Thunderbird kopiert. Ist dann halt nur Lokal gespeichert. Der Server/NAS ist PW geschützt und kommt jetzt in ein abschließbaren Schrank. Fax hamwa nicht, Mails laufen über Hosteurope...

Muss ich jetzt nen IT Menschen einkaufen der mir hier alles abnickt um am Ende zu sagen das er keine "Garantie" auf das Setup gibt?

Ätzend

Kann man ggf als Unternehmen auf's Gewohnheitsrecht plädieren? :biggrin:

Angenommen, ein Unternehmen verschickt seit 8 Jahren Werbe-Emails an seine Kunden B2B. Damals war das "unaufgefordert" möglich, da man davon ausging, dass die Werbung im Interessenbereich des Angeschriebenen lag. Da brauchte man auch noch keine Einverständniserklärung, wenn man den Kunden anrief - dokumentierte Einverständniserklärungen gibt es also in diesem Unternehmen nicht. Es gibt also auch keine Einverständniserklärungen, dass die Kundenstammdaten gespeichert werden.
Was ist jetzt ab 25.05.? Darf dieses Unternehmen dann nicht mehr mit seinen Stamm-Kunden kommunizieren und muss es alle Kundendaten löschen?
Bei Neukunden muss man jetzt halt eine Einverständnis-Erklärung vorlegen, damit man überhaupt mit ihnen in Kontakt treten darf. Das lässt sich ja organisieren, aber was ist mit dem Kundenstamm?

Die Seite "TheLegacy" macht übrigens aufgrund des DSGVO dicht:

http://www.thelegacy.de/Start/deutsch.html

ja nice...

https://youtu.be/n48DYBgqOYs?t=432

Ich habe eine Seite, die eigentlich nur "Wissen" (Chemie) darbietet und mit Piwik/Matomo und Google-Analytics (aber schon abgemeldet) anonym das Surfverhalten teste um zu sehen, ob irgendwo wieder etwas im Argen liegt (sind bis jetzt immerhin über 200 Seiten und ich habe schon Anfragen von Universitäten und Behörden bekommen, ob was man nutzen darf oder ich sollte für die Studenten, die meine Seite für das Lernen nutzen etwas Unikonformer hinschreiben).

Gerade quäle ich mich auch durch, es so zu ändern, dass nicht irgendwelche Abmahnheinis Forderungen stellen können. Dabei biete ich eigentlich nur kostenlos Tafelaufschriebe für die Schüler an.

In der aktuelle c't 11/18 (https://www.heise.de/ct/ausgabe/2018-11-Inhaltsverzeichnis-4037590.html) ist ein DSGVO-Praxisguide dabei.

ja nice...

https://youtu.be/n48DYBgqOYs?t=432

Das betrifft mich zum Glück nicht ganz da wir keine Hochzeiten machen, aber Reportagen hin und wieder schon.

Wenn mich nun Kunde X beautfragt seine Jahresfeier zu fotografieren wo alle Angestellten ordentlich einen bechern, muss ich von allen eine Einverständniserklärung unterzeichnen lassen? Wenn ja, muss ich denen ein Dokument aushändigen wo beschrieben steht wie ich deren Daten verwalte (die ich eigentlich gar nicht haben wollte).

Ist es nicht auch so das eMails nun mit Geschäftsbriefen gleichgesetzt werden? Wenn nun ein Kunde will das ich sämtliche Daten und sämtlichen Schriftverkehr lösche, was passiert dann mit den Aufforderung alle Geschäftsbriefe 10 Jahre zu archivieren?!

Check das alles nich :D

Es hilft, einfach mal in die Verordnung reinzuschauen. Einen Geschaeftsbrief verfasst du nicht auf Einverstaendnis des Kunden hin, sondern gemaess Art.6, Abs.(1) lit. b), c) oder f), dementsprechend kann der Kunde keine Loeschung verlangen. Lies mal Artikel 17: https://dsgvo-gesetz.de/art-17-dsgvo/

Was die Fotografen angeht: da koennt ihr euch beim deutschen Gesetzgeber bedanken. Frueher galt das KUG, das das geregelt hat. Die haben es voellig verschlafen, das Gesetz an die neue Verordnung anzupassen, ins BDSG-neu oder sonst wo zu integrieren. Entsprechende Oeffnungsklauseln gibt es ja. Da muss ich aber auch sagen, dass ihr selber Schuld seid. Die Verordnung trat vor 2 Jahren in Kraft, da reicht eine Petition 2 Wochen vor unmittelbarer Umsetzung halt nicht mehr aus.

Also wenn man Artikel 6 (4) liest, dann sind Werbe-Emails an Kunden erlaubt.

Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person ..., so berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist – unter anderem

a) jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung
...
Werbung an Kunden liegt ja im Interessenbereich, die Zwecke sind "vereinbar" - und das entscheidet ja der Verantwortliche.
D.h. die Daten des Kunden wurden zB für Auftragsabwicklung erfasst (Zweck 1), Werbung an Kunden im gleichen Interessenbereich (Zweck 2).

Ist das wirklich so leicht zu argumentieren..? :confused:

Ist das wirklich so leicht zu argumentieren..? :confused:
Standardantwort: das müssen erst Gerichte klären.

und den Zwecken der beabsichtigten Weiterverarbeitung
Ich bin Kunde für eine Leistung und nicht um später mit Werbung zugemüllt zu werden. Keine Ahnung wo du da den selben Interessenbereich siehst.
Werbung -> Extra Einwilligung wie es heute bei jedem Newsletter üblich ist.

Wird leider sehr oft, auch in Deutschland, ignoriert. Ich wähle das jedes mal ab, und trotzdem kommt mindestens eine Werbemail. :mad:

Eine Frage: DA meine Seite schon mehrmals gehackt wurde, habe ich einen Brute-Force Schutz und eine Firewall installiert. Von den Personen, die sich versuchen einzuhacken wird die IP gespeichert und für ein paar Tage geblockt. Deren IP wird auch gespeichert.

Müsste ich da, weil Speicherung der IP, das auch ändern, dass nur noch 30 Tage gespeichert wird?

Heise hatte mal ne 7 Tage-Frist in nem DSGVO-Artikel angesprochen, letztens sah ich auch 14 Tage. Ich könnte mir aber gut vorstellen, dass bei berechtigtem Interesse (häufige Hacks, die man im Zweifelsfall auch nachweisen können sollte) auch 30 Tage zulässig sind. Falls es da jemals zu einem Gerichtsfall kommt, kann ich mir nicht vorstellen, dass nen Richter dir daraus nen Strick dreht. Es gibt auch Ermessensspielräume.

Bei meinem Server hab ich mittlerweile auch auf 7 Tage Logrotate umgestellt. Achso, man muss da eigt. auch die Backups mit einbeziehen. Die meisten werden ja sicherlich irgendne Art Backup-Rotate haben (letzten x Tage/Wochen werden gesichert). Hier bin ich mir auch noch nicht sicher, wie das gehandhabt werden soll. Ich würde dann einfach allgemein in der Datenschutzerklärung darauf hinweisen, dass regelmäßig Sicherungen des Servers inkl. Logeinträge vorgenommen werden und für eine bestimmte Zeit gespeichert werden. Ob man bei den Sicherungen eine genaue Zeit-Angabe tätigen muss, weiß ich auch nicht, da das dann auch langsam sicherheitsrelevant wird (ein Angreifer auf eine Webseite könnte mit solch einer Information schon was anfangen...).

Bei Brute Force Stop kann ich gar nicht die Zeit einstellen, wie lange er das speichert. :freak:

Bei Securitycheck Pro finde ich bisher auch nichts, geht aber wohl nicht weiter als 3 Monate.

Google Analytics und Matomo fliegt wohl auch raus. Schade, weil ich schon ein wenig stolz war, dass ich bis zu 1000 Zugriffe pro Tag habe (und das für nur eine halbwissenschaftliche Seite für Chemie für Schüler). :freak:

Was meinst du denn mit "gehackt"?
Wurde evtl. schwaches Passwort oder anfaelliges CMS benutzt?

Gehackt wurde immer wieder über Plugins (Plugins) oder direkt über Joomla. Seit dem warte ich ein paar Tage, bevor ich aktualisiere (es sei denn, es ist ein Securityupdate).

Ich hatte zu Beginn meiner Firewall wohl 20 Brute Force Attacken am Tag, die geblockt werden und auch ansonsten tägliche Angriffsversuche über injections, etc....

Eigentlich ist das ganz Projekt für mich nur Stress, Zusatzarbeit und Kosten; ich verdiene ja keinen Cent; ganz im Gegenteil. Aber da man mir immer wieder versichert, dass es hilfreich ist, mag ich die Seite auch nicht offline nehmen.

Hast du fuer Nutzer die Moeglichkeit gegeben, was zu spenden? Ich wuerde mal versuchen, offen damit umzugehen und auf die Thematik aufmerksam zu machen, dass eben jetzt Massnahmen notwendig sind, mit denen nochmal extra Kosten verbunden sind und du damit ja nichts verdienst. Wenn die Seite hilfreich ist, koennte das schon jemand in Betracht ziehen. Evtl. klappts ja und dann koenntest du darueber nachdenken, einmalig nochmal etwas Zeit zu investieren um vielleicht von Joomla wegzukommen. Es gibt heute einige static site generators, die einfach zu bedienen sind und gute Ergebnisse liefern. Damit waere man dann tendenziell schonmal deutlich besser aufgestellt. Wenn kein Code dynamische interpretiert wird, gibt es nichts zu injecten und wenn es keinen Login auf der Webseite gibt, nichts zu brute-forcen ;)

Ach, die meisten Nutzer sind Schüler oder Studenten. Die brauchen das Geld zum Feiern. :biggrin: Aber vielen Dank für Deine Tipps und Hilfe. :smile:

Ich habe die Seite jetzt etliche Male umgebaut (HTML, HTML2, Joomla, Joomla mit Gantry damit die Schüler vielleicht auch kurz vor (oder während der Klausur :eek: nochmals den Tafelanschrieb via Handy anschauen können). Eigentlich wollte ich nicht zurück zu HTML, da brauchbare Ergebnisse einfach länger dauern. Auch keine Ahnung, ob die Seite dann so einfach mit dem Handy zu lesen ist.

Aber falls sich All-Inkl nochmals meldet und meint, ich müsse was machen, dann könnte das durchaus eine Überlegung wert sein. Aber 200+ Seiten neu einbinden... :confused:

Hm, Joomla und Plugins sind natürlich immer wieder ein Problem. Aber wenn du die Seite nicht gewerblich betreibst, ist die DSGVO eh nicht unbedingt deine Baustelle (daher würd ich mir "Spenden"-Buttons auch überlegen, weil es dann in die Gewerblichkeit geht). Ich betreibe meinen Blog auch nicht gewerblich, nutze ihn aber teilweise als Übung und habe deswegen eine Datenschutzerklärung hinterlegt. Hier und da fehlt noch etwas (z.B. Hinweise zu den Drittquellen: Youtube-/Fonts/JS-Ressources die von Wordpress- oder Google-Servern stammen und nicht von meinem Server geladen werden oder Datenschutzhinweis+Pflichtfeldangabe beim Kommentieren), aber von der DSGVO wär der Blog jetzt auch nicht betroffen.

Ich betreibe meinen Blog auch nicht gewerblich, nutze ihn aber teilweise als Übung und habe deswegen eine Datenschutzerklärung hinterlegt.

Ja, sieht bei Dir gut aus. Aber muss man nicht den Datenschutz allein schon deshalb hinterlegen, weil der Hoster ja IPs sammelt?

Du hast Matomo-Hinweis zum Laufen gebracht. Bei mir funktionierte das mit dem iframe nicht und deshalb flog Matomo ganz raus. :biggrin:

www.w-hoelzel.de

Wenn du ein Webhosting-Paket nutzt, braucht man ein Vertrag über die Auftragsverarbeitung mit dem Hoster (bei dir als nichtgewerbliche Webseite nicht, aber wenn du jetzt Geld verdienen würdest). Ich administriere allerdings unseren (V-)Server selber. Nur der VM-Host unterliegt der Administration des Hosters. Diese Art Hosting nennt man auch Server-Housing (wobei das bei Virtuellen Servern mMn. nicht so 100%ig stimmt) und hier benötigt man kein Vertrag über die Auftragsverarbeitung. Das gilt übrigens auch für IT-Firmen, die die Wartung von IT-Equipment für andere Firmen übernehmen, da sie nicht direkt personenbezogene Daten verarbeiten. Hier ist dann eine Verschwiegensheitsvereinbarung wichtiger.

Zu Piwik/Matomo: Wenn man Tracking einbauen will, dann mMn. Matomo/Piwik, da man die Matomo-Instanz i.d.R. selber hostet und somit schonmal eine Auftragsverarbeitung über die Tracking-Daten einspart. Bei Google-Analytics musst du den Vertrag nach Irland schicken^^. Und das ganze gilt auch nur solange Privacy-Shield bestand haben wird. Wenn Max Schrempf dagegen wieder Erfolg haben sollte, geht die Eierei wieder von vorne los. Mit nem selbstgehosteten Matomo hast du das Problem nicht.

PS: Auch wenn bei dir nicht unbedingt notwendig (Benutzer können über Formularfelder keine personenbezogenen Daten zum Server schicken), würde ich den Hoster nach einer Möglichkeit zur kostenlosen Verschlüsselung (Letsencrypt z.B.) fragen.

Google: 500 Jahre Arbeit stecken in Vorbereitung auf die DSGVO (https://www.heise.de/newsticker/meldung/Google-500-Jahre-Arbeit-stecken-in-Vorbereitung-auf-die-DSGVO-4049131.html)

PS: Auch wenn bei dir nicht unbedingt notwendig (Benutzer können über Formularfelder keine personenbezogenen Daten zum Server schicken), würde ich den Hoster nach einer Möglichkeit zur kostenlosen Verschlüsselung (Letsencrypt z.B.) fragen.

Ich danke Dir. Werde ich machen, sobald etwas Zeit ist. Ich danke Dir.

Zu Matomo: Ja, diese Software ist wirklich nicht schlecht. Ich habe zu Beginn an nur anonymisierte IPs benutzt. Aber um ganz sicher zu gehen, lasse ich das vorerst auch. Ich kann es mir ja in einem Jahr nochmals anschauen, wenn sich manches geklärt hat.

[...] Das gilt übrigens auch für IT-Firmen, die die Wartung von IT-Equipment für andere Firmen übernehmen, da sie nicht direkt personenbezogene Daten verarbeiten. Hier ist dann eine Verschwiegensheitsvereinbarung wichtiger.[...]

Danke für diesen guten Hinweis! In der Tat ist für klassischen IT-Support eine Verschwiegenheitsvereinbarung passender als ein Vertrag zur Auftragsverarbeitung. Ich habe hier ein gutes Muster gefunden: https://www.activemind.de/datenschutz/dokumente/verpflichtungserklaerung/

Gehackt wurde immer wieder über Plugins (Plugins) oder direkt über Joomla. Seit dem warte ich ein paar Tage, bevor ich aktualisiere (es sei denn, es ist ein Securityupdate). ...
Ich hoste auch eine Joomla-Seite und habe alle wichtigen Unterverzeichnisse per .htaccess abgeriegelt.
Das nervt zwar, wenn man mal ein Update einspielen muss (alle htaccess deaktivieren), dafür kann aber kein Unfug bzw Schadcode eingespielt werden.

Ich danke Dir. Werde ich machen, sobald etwas Zeit ist. Ich danke Dir.
...

Wenn du die HTTPS-Geschichte hinter dir hast, empfehle ich noch:
https://observatory.mozilla.org/analyze/www.w-hoelzel.de

Du kannst auf die einzelnen Einträge gehen und dir Erklärungen dazu ansehen. Außer HKPK würd ich versuchen alles irgendwie umzusetzen, ist aber schon etwas gehobener (vor allem die CSPs) und aufwendiger (bei manchen Dingen kann es sein, dass nur der Webhoster das konfigurieren kann). Unter https://www.ssllabs.com/ssltest/ kannst du dann deine Verschlüsselung auf Schwachstellen testen lassen. Aber wir driften ab - obwohl, die DSGVO ja auch "technische und organisatorische Maßnahmen" (TOM) vorschreibt, die die unerlaubte Verarbeitung von personenbezogenen Daten unterbinden o. zumindest einschränken sollen. Darunter fällt dann auch sowas wie Verschlüsselung :F.

Gestern war ich in der Apotheke. Und die haben von allen Leuten, die was per Whatsapp vorbestellen eine schriftliche Genehmigung eingeholt. Toller Datenschutz und so ...

Wundert mich nicht. Immerhin muss hier aufgeklärt werden, dass medizinische Daten in ein Drittland übertragen werden. Diesem muss explizit zugestimmt werden und die Apotheke muss das nachweislich dokumentieren.

Wenn es dann irgendwann mal nen Hack bei Whatsapp/Facebook gibt und persönliche, medizinische Daten offengelegt werden oder zur Werbung oder anderen Analysen (Krankenkassen interessiert?) "genutzt" werden, dann denken die Leute vlt. mal darüber nach, ob es eine gute Idee ist, über Whatsapp Medikamente o.Ä. zu bestellen. Man gibt wichtige Informationen über sich selber einfach einem Dritten, eigentlich Unbeteiligten.

Warum tun die Menschen sowas? Weil sie es nicht wissen und vor allem die Konsequenzen nicht erahnen können (deswegen die Einwilligung und gleichzeitige Aufklärung seitens der Apotheke)! Wenn man eine Urlaubsreise bucht, gibt man ja auch nicht die Buchungsdaten einem fremden Dritten, damit der dann während des Urlaubs gemütlich die Bude ausräumen kann.

Exxtreme ist schon klar, dass die Apotheke das wegen des Haftungsrisikos machen muss. Aber im Grunde läuft alles genau so ab wie vorher.
"Hier, da unterschreiben, sonst darfst nix mehr bestellen mit dem Handy". "OK; scheiß neue Gesetze..."

Die "Leute" lesen in der Bild, dass das super sichere Handy von Angela Merkel dauernd überwacht wird bzw. Regierungs-PCs gehackt werden. Ergo geht man eh davon aus, dass alles, was ich am Handy mache, die Amis oder Russen mitlesen. So jedenfalls mein Eindruck der "Leute"

Ich hab meine privaten Webseiten jetzt abgeschaltet. Ich hab damit kein Geld verdient, waren alles reine Spaß/Programmier-Projekte. Bei dem einen waren über 500 Nutzer registriert, sorry ist mir alles zu heiß. So wie ich im Netz quer gelesen haben schalten auch viele andere Blog/Foren/Spiele und Webseitenbetreiber ihre Projekte lieber ab, als sich von den Abmahnanwälten bei schwammigen Gesetzestexten ausnehmen zu lassen.

Selbst wenn man es irgendwie schafft alles umzusetzen, die Arbeit lohnt sich für mich einfach nicht. Da es sich beim Hauptprojekt um ein Browsergame gehandelt hat, wäre das wohl nochmal extra kompliziert geworden. (Datenverarbeitung/Speicherung ist da ja ein Muss)
Ich befürchte das Gesetz trägt nur dazu bei, dass viele private Projekte aus dem Netz verschwinden und man maximal noch Social Media nutzt.

Exxtreme ist schon klar, dass die Apotheke das wegen des Haftungsrisikos machen muss. Aber im Grunde läuft alles genau so ab wie vorher.
"Hier, da unterschreiben, sonst darfst nix mehr bestellen mit dem Handy". "OK; scheiß neue Gesetze..."

Die "Leute" lesen in der Bild, dass das super sichere Handy von Angela Merkel dauernd überwacht wird bzw. Regierungs-PCs gehackt werden. Ergo geht man eh davon aus, dass alles, was ich am Handy mache, die Amis oder Russen mitlesen. So jedenfalls mein Eindruck der "Leute"

Naja, ich denke es liegt auch zum großen Teil am praktischen Fehlen von Alternativen. Warum gibts in der EU, dem Bund oder auch in den Ländern keinerlei (weitläufig bekannte) Initiativen für ein eigenes Messenger-Netz, z.B. auf Basis von XMPP/OMEMO/Gajim/Conversations/<insert XMPP-APP für iOS>? Jede Behörde, jedes (EU-/Bundes-)Land, jede Schule etc. könnte seinen eigenen Jabber-Server laufen lassen oder man könnte ein gut ausgebautes XMPP-Server-Netz aufbauen, was dann nämlich unter der Jurisdiktion der EU und der DSGVO stehen würde. Schüler könnten z.B. mit ihren Lehrern o. Eltern kommunizieren ohne dass die Daten überhaupt die EU (bzw. dem Einfluss der EU) verlassen müssen o. ein Großkonzern aus den Daten daraus Geschäfte macht. Klar muss das auch finanziert werden, aber das wären mMn. mal eine sinnvolle Investition in die Datensouveränität von EU-Bürgern. Dachte Deutschland und die EU will die Digitalisierung voran bringen? Möglichkeiten gibts da genug, werden die aber nicht umgesetzt und angeboten, bleiben die Leute halt beim Bekannten.

Das DSGVO ist imo eine Schritt in die falsche Richtung.
Die Reaktion zeigt maximum oben sehr deutlich.

Aus Angst vor (noch) Arbeitslosen Anwälten, geht man lieber den sicheren Weg. Es ist schwammig und in manchen Branchen müsste man eigentlich das Geschäft komplett einstellen, weil es praktisch unmöglich ist DSGVO konform zu arbeiten.

Mal laienhaft gesponnen als richtiger Ansatz:
Jeder EU Bürger bekommt eine ID. Dahinter steckt ein digitaler Datencontainer mit all seinen persönlichen Daten. Wenn ich etwas telefonsich bestelle, gebe ich nichts an außer diese ID. Anschließend bekomme ich eine Mail, dass Anbieter XY auf meine ID zugreifen möchte. Dort wähle ich dann aus, welche Daten ich ihm übermittele.
Diese ID kann für alle Transaktionen verwendet werden. Der Anbieter sendet einen request an die EU-Datenstelle mit meiner ID und ich als Nutzer kann verwalten, wer meine Daten lesen kann und in welchem Umfang.
Aber stattdessen bekommen wir die DSGVO und schaden damit uns allen.
Umso länger ich darüber nachdenke umso stinkiger werde ich.
Ausländische Unternehmen freuen sich umso mehr. Wirtschaftlicher Vorteil (Steuern im Ausland...) und jetzt auch noch ein Handicap für die inländische Konkurrenz, weil die ihre Daten im Ausland bunkern. Näher möchte ich aber nicht darauf eingehen, weil hier das falsche Forum dafür ist.

Aber gut, abwarten was in der Praxis passiert. Es wird jedenfalls spannend, wie viele Abmahnungen bereits am Stichtag in die Post gehen werden. Hoffentlich hat die Post schon genug Briefträger in Reserve.

Eigentlich habe ich nicht alles gelöscht sondern alles hinter ein htaccess mit Passwortschutz gesetzt. (so kann zumindest ich die Seiten noch nutzen)
Da kann mir sicherlich niemand was oder?

Ich habe auch einen kleinen Online Shop als One Man Show. Der existiert seit 1998, eigenes System, eigener Server nie gehackt. Die einzigen Daten die auf dem Server liegen sind Kundenadressen und natürlich Bestellhistorie in einer MySQL Datenbank. Dazu Email Adressen und eventuell Bankverbindungen wenn hinterlegt. Da jeder Kunde ja immer noch bestellen könnte und dies auch manchmal nach ewiger Zeit noch macht, ist es sinnfrei die Accounts nach X-Monaten zu löschen.

Newsletter Mails hab ich, wie früher üblich, an alle die mal was bestellt haben gesandt. Ich ging/gehe davon aus, dass wenn die was bestellt haben, auch an weiteren Angeboten interessiert sind. Mails kamen aber nicht sehr häufig, abmelden geht natürlich auch.

Nun hab ich keinen richtigen Plan was ich tatsächlich machen muss. Neue Mail an alle Newsletter Empfänger dass man sich bitte mit einem Klick neu anmelden soll? Machen viele nicht auch wenn die sonst den Newsletter lesen würden. Einfach an neue Kunden keinen Newsletter mehr senden und nur noch an die alten Adressen?

Auf dem Server selbst sehe ich aktuell überhaupt keinen Handlungsbedarf, ich speichere ja nur die Daten die minimal für eine Bestellung nötig sind. Natürlich alles nur per HTTPS und keine Kreditkartendaten. Hab ich als Zahlungsmittel komplett deaktiviert da zu aufwändig und der Umsatz wurde immer geringer.

Die Texte in der DSGVO sind m.E. zum Teil echt zu schwurbelig.

Ich habe hier so eine kleine Checkliste, die hilft mir aber auch nur bedingt weiter

> Erstellen oder aktualisieren Sie ihr Verzeichnis von Verarbeitungstätigkeiten
- Keinen Plan was ich da real erstellen sollte

> Finden Sie heraus, ob eine Datenschutz-Folgeabschätzung erforderlich ist, und führen sie die ggfls durch
- Was bitte?

> Analysieren Sie ihre Einwillungstexte.
-Reicht das in der AGB? Oder bei der Anmeldung? Beim Bestellvorgang? Das ich die Kundendaten speichern muss um die Bestellung abzuarbeiten sollte ja offensichtlich sein.

> Passen Sie die Datenschutzerklärung an
- Doppelt gemoppelt zu den Einwillungstexten?

> Führen Sie einen Reaktionsplan für Datenpannen ein
- Hacks müss(t)en ja jetzt gemeldet werden. Ansonsten reicht dann eine Notiz "Server abschalten, Meldung, Kunden anschreiben" - Über die Serversicherheit hab ich mir viele Gedanken gemacht und, wie gesagt, bis jetzt wirklich nichts passiert.

> Aktualisieren Sie ihre Prozesse zur Wahrung der Betroffenenrechte
- Wüsste ich ebenfalls nichts was ich da jetzt machen sollte

> Prüfen Sie Verträge mit Dienstleistern
- Ich gebe keine Kundendaten weiter, von daher wohl nicht relevant

> Erstellen Sie ein Formular für Auskunftsersuchen
- Reicht da auch ein "Bitte schreiben Sie eine Email an xxx"? Gibt ja eh nicht viele Daten.

Kommt mir jetzt bitte nicht, wenn Du keine Ahnung hast, schalte den Shop lieber ab. Ich glaube letztlich wird das alles weniger heiss gegessen als es jetzt gekocht wird. Mir ist das alles nur zu schwurbelig und viel zu viel Aktionismus für Nix.

Naja, ich denke es liegt auch zum großen Teil am praktischen Fehlen von Alternativen. Warum gibts in der EU, dem Bund oder auch in den Ländern keinerlei (weitläufig bekannte) Initiativen für ein eigenes Messenger-Netz, z.B. auf Basis von XMPP/OMEMO/Gajim/Conversations/<insert XMPP-APP für iOS>? Jede Behörde, jedes (EU-/Bundes-)Land, jede Schule etc. könnte seinen eigenen Jabber-Server laufen lassen oder man könnte ein gut ausgebautes XMPP-Server-Netz aufbauen, was dann nämlich unter der Jurisdiktion der EU und der DSGVO stehen würde.

Alternativ könnte man auch die beiden Messenger die mit sicherer End zu End Verschlüsselung arbeiten benutzen:
https://www.eff.org/deeplinks/2018/03/why-we-cant-give-you-recommendation
Ich nutze whatsapp selbst nicht, würde ich mir Medikamente in der Apotheke vorbestellen würde ich dem signal Protokol weitaus mehr vertrauen als Mails, SMS oder dass die Apotheke ihre Datenbank oder auch nur lose Faxsammlung im Griff hat. Dass Whatsapp Metadaten sammelt ist schlecht, aber dass die Leute Signal selbst oder gar weitestgehend in der Versenkung verschwundene Messenger für sich entdecken ist eher unwahrscheinlich. Im Prinzip bizarr dass eine Maßnahme zur Sicherstellung des Datenschutzes somit vermutlich verhindert dass niemand mitlesen kann.

Wenn du die HTTPS-Geschichte hinter dir hast, empfehle ich noch:
https://observatory.mozilla.org/analyze/www.w-hoelzel.de


Ich danke Dir. Laut All-Inkl könnte ich "Let's encrypt" für meine Domains einstellen. Da ich eigentlich bald selbst überhaupt keine IPs (außer Firewall) mehr speichere und auch kein Kontaktformular bzw. Registrierungsmöglichkeiten besitze, müsste das dann damit ok sein, oder?

1. Zum VVT, guck mal hier:
https://www.lda.bayern.de/de/kleine-unternehmen.html
https://www.lda.bayern.de/media/muster_9_online-shop_verzeichnis.pdf

Das ist eine verkürzte Version eines VVT wo dann auch die TOMs (technische u. organisatorische Maßnahmen) mit aufgelistet werden. Ob sowas im Ernstfall reicht, ka. Ich sehe das aber als guten Start und "Zeigen des guten Willens", die DSGVO auch wirklich anzugehen :F.

2. Datenschutzfolgenabschätzung wäre z.B. notwendig, wenn du Profiling machst oder medizinische Daten speichern würdest. Evt aber auch beim Speichern von Kreditkarteninformationen :F.

3. Explizite Einwilligungen müsstest du z.B. bei deinem Newsletter einholen und auch speichern/nachweisen können. Weiterhin müssen die Kunden auch widerrufen können. Hast du keine Einwilligungen, darfst du keine Newsletter versenden:
Ich ging/gehe davon aus, dass wenn die was bestellt haben, auch an weiteren Angeboten interessiert sind.
Genau das ist eben nicht erlaubt (Kopplungsverbot). Du musst eine extra Einwilligung für den Newsletter einholen, weil es mit dem eigentlichen Geschäftsvorfall (Kaufen deiner Produkte/Dienstleistungen) nichts zu tun hat. Achso, wenn du den Newsletter anbietest, muss der "Haken" standardmäßig immer deaktiviert sein (Opt-In).

4. Nein, die Datenschutzerklärung muss angepasst werden, da die DSGVO dem Grundsatz der Transparenz folgt. D.h. du musst transparent machen, was du mit den Daten anstellst, wo sie herkommen, wie lange sie gespeichert werden, wo/wie der Betroffene widerrufen/-sprechen kann, wo man sich beschwerden kann, ob du die Daten weitergibts (Auftragsverarbeitung) etc. Das ist übrigens genau das, was Abmahnanwälte als erstes aufs Korn nehmen. Ob du z.B. nen VVT führst oder nicht, können nur Aufsichtsbehörden feststellen.

5. Der Reaktionsplan wäre im Prinzip ein Teil der VVT. Also was muss konkret unternommen werden, wenn es ein Datenleck gab/festgestellt wurde. Das wird da einfach nur dokumentiert, ne Art Ablaufplan, damit man z.B. nichts vergisst. Kunden informieren wäre da dann nur 1 Punkt. Server absichern gehört eher zu den TOMs, das Absichern soll ja gerade ein Datenleck verhindern bzw. einschränken.

6. Ja hier kommen wir langsam zum Overkill der DSGVO. Betroffenen haben verschiedenste Rechte (Auskunft, Berichtigung, Löschen, Einschränkung der Verwendung, Widerspruch etc.). Du musst dann im VVT reinschreiben, wie z.B. die Löschung von Daten einer Person ablaufen soll, oder wenn von jemandem der Nachname falsch geschrieben wurde und das berichtigt werden muss. Richtig lustig wirds dann beim Recht auf Datenportabilität, wo ich mich dann langsam frage, was sich die EU-Bürokraten da gedacht haben. Was für Google, Facebook & Co. keinerlei Probleme bedeutet, gucken die kleinen Unternehmen in die Röhre und müssen evt. teure Zusatzsoftware einkaufen. Hier fehlt ganz klar eine Differenzierung. Achso, für solche Anfragen von Betroffenen hat man 1 Monat Zeit, diese umzusetzen.

7. Hast du einen Webhosting-Vertrag mit einem Anbieter? Dann brauchst einen Vertrag zur Auftragsverarbeitung. Administrierst du deinen Server selber und mietest z.B. einen kompletten physischen oder virtuellen Server? Dann brauchst du keinen Vertrag. Ansonsten musst du hier einfach nur prüfen, ob es noch andere externe Dritte gibt, die Zugriff auf die personenbezogenen Daten haben und ob diese Dritte diese Daten auch wirklich verarbeiten (also beim phys./V-/Server hat der Hosting-Provider zwar Zugriff, aber er verarbeitet die personenbezogenen Daten nicht, ist er allerdings Webhoster, verarbeitet er deine Datenbank und sehr wahrscheinlich deine Logdateien).

8. Das ist optional, Google/Facebook etc. bieten z.B. ein Dateidownload als .zip-Paket an, wo sämtliche personenbezogenen Daten drin gespeichert sind. Das ist "gewünscht", aber wohl keine Pflicht. Ergo reicht ein einfaches "Für Anfragen bzgl. Datenschutz, Auskunftsersuchen etc. wenden sie sich an ....." in deiner Datenschutzerklärung aus.

Vielen Dank! Das hilft mir schon mal weiter, werde ich mal umsetzen. Server ist ein normaler Linux Server selbst verwaltet.

Ach ja IPs speichere ich auch. Muss ich die nach ner Weile löschen? Eigentlich sollte das ja eh Wumpe sein, da die bei den Providern nach X-Monaten eh nix mehr wert sind. Logge so nur die Bestellungen und die Downloads der Bestellungen (reiner Download Shop)

Heise empfiehlt 7 Tage, wobei das alles nicht so einfach ist, da man ja i.d.R. auch Backups anlegt, wo möglicherweise (je nach Sicherungsmethode) die Logs mit drin stecken und die Backups hebt man ja i.d.R. etwas länger als 7 Tage auf.

Heise empfiehlt 7 Tage, wobei das alles nicht so einfach ist, da man ja i.d.R. auch Backups anlegt, wo möglicherweise (je nach Sicherungsmethode) die Logs mit drin stecken und die Backups hebt man ja i.d.R. etwas länger als 7 Tage auf.

Das könnte noch richtig Bauchschmerzen machen, wenn man Backups um Logs und Daten bereinigen muss. Viele Firmen haben für viele Jahre zurück noch 1 Backup pro Monat auf der Seite.

Mal zur Erheiterung ein Interview (https://www.zeit.de/digital/datenschutz/2018-05/vera-jourova-eu-kommissarin-datenschutz-grundverordnung-dsgvo) mit einer EU-Kommissarin, welche an dem Werk beteiligt war:

"ZEIT ONLINE: Die großen Konzerne können einfach einen Anwalt anrufen, um die DSGVO umzusetzen. Aber kleinere Betreiber, gerade Blogger und Vereine, haben oft nicht das Geld und wissen nicht, wie sie alle Kriterien umsetzen sollen.

Jourová: Die sollen mir eine E-Mail schicken.

ZEIT ONLINE: Wir werden das genauso veröffentlichen.

Jourová: Ja, ja. Machen Sie das. Ich werde ihnen raten, dass sie sich auf ihren gesunden Menschenverstand verlassen sollen."

"Jourová: Ich kenne mich auch nicht mit Technik aus, meine Kinder lachen mich deswegen sogar aus. Ich versichere Ihnen aber, dass selbst ich die Regeln der DSGVO umsetzen kann. "


Also stellt euch mal nicht so an...alles ganz einfach :eek:.
Wenns nicht so traurig wäre, wäre es zum Lachen....

Lacher wirklich, die EU ist so ein Haufen unfähiger Beamter. Alleine so einen Krampf zu veranstalten ohne tatsächlich zu wissen wo es hingeht. Was soll ich 7 Tage mit der IP? Viel zu wenig für mich. Wobei bringen tut die heute ja auch nicht mehr wirklich viel. Anfangs wurden Strafanzeigen von mir für Online Fälle noch wirklich verfolgt, aktuell passiert da gar nix mehr. Selbst wenn ich sicher Namen etc benennen konnte (einige stellen sich etwas doof an beim Betrügen). Datenschutz ok, aber der Käse jetzt ist albern.

Hm, interessantes Interview. Aber dieses "die sollen mir ne Mail schreiben" zeigt auch deutlich, dass sich die Fr. Jourová überhaupt keine Gedanken über die Diskrepanz von kleinen Unternehmen und Großkonzernen gemacht hat. Das spiegelt sich lediglich im "Ermessensspielraum" bei den Strafen wider, die die Datenschutzbehörden verhängen sollen, bzw. in der Annahme der EU-Kommissarin, dass die Datenschutzbehörden sich mehr auf die großen Unternehmen konzentrieren sollen.

Und mit "gesundem Menschenverstand" hat man in Deutschland schneller ne Abmahnung an der Backe, als man gucken kann. Weiß gar nicht, ob es Abmahnungen z.B. aufgrund des Wettbewerbsrechts in anderen EU-Staaten auch so gibt. Wenn es sowas in Tschechien nicht gibt, wundert mich die Haltung der EU-Kommissarin gar nicht.

eigentlich finde ich das ja garnicht so schlecht, nun kann ich endlich google ganz ohne anwalt dazu zwingen alles von mir gesammelte zu löschen ;D

ein arbeitskollege meinte, das haben die politiker deshalb verabschiedet, damit sie vorher gefragt werden müssen bevor belastendes material an die öffentlichkeit dringt.

ich hab erst gelacht, aber ist da nicht was dran?

wenn ich Cem Özdemir mit ner nutte im rotlicht viertel rummachen sehe und es auf, zb. facebook als bild poste, kann er mich dann verklagen? oder vl die paparazi und deren boulevard blätter?

ein arbeitskollege meinte, das haben die politiker deshalb verabschiedet, damit sie vorher gefragt werden müssen bevor belastendes material an die öffentlichkeit dringt.

ich hab erst gelacht, aber ist da nicht was dran?

wenn ich Cem Özdemir mit ner nutte im rotlicht viertel rummachen sehe und es auf, zb. facebook als bild poste, kann er mich dann verklagen? oder vl die paparazi und deren boulevard blätter?

denke das ist dann pressefreiheit :confused:

und was ist mit meinen fotos auf FB? ich habe keinen pressepass oder bin sonst wie angestellt.

Das hat nichts mit der DSGVO zu tun. Fotos von Personen darfst du auch jetzt schon nicht einfach so ohne Einwilligung veröffentlichen, außer es handelt sich um eine Person, die in der Öffentlichkeit steht (also z.B. Politiker, Schauspieler etc.).

Das könnte noch richtig Bauchschmerzen machen, wenn man Backups um Logs und Daten bereinigen muss. Viele Firmen haben für viele Jahre zurück noch 1 Backup pro Monat auf der Seite.
Aber wer soll das denn kontrollieren?
Ohne gerichtlichen Durchsuchungsbefehl dürfen Webserver ja nicht einfach von der Polizei untersucht werden.
Bei zig millionen Webservern in D-Land hätten die ja dann viel zu tun. Ergo ist die Wahrscheinlichkeit, dass man "erwischt" wird relativ niedrig.

Das hat nichts mit der DSGVO zu tun. Fotos von Personen darfst du auch jetzt schon nicht einfach so ohne Einwilligung veröffentlichen, außer es handelt sich um eine Person, die in der Öffentlichkeit steht (also z.B. Politiker, Schauspieler etc.).
People und Streetfotografie mit künstlerischer oder journalistischer Absicht fotografiert fällt nach wie vor nicht unter die DSGVO und wird es in Zukunft auch nicht. Dazu ein Beitrag hier. (http://www.fotocommunity.de/blog/fotografisches/informationen/dsgvo-fuer-fotografen)
(...) Das Anfertigen von Fotografien wird sich auch zukünftig auf eine – wie bislang schon – jederzeit widerrufbare Einwilligung oder alternative Erlaubnistatbestände wie die Ausübung berechtigter Interessen (Art. 6 Abs. 1 lit. f) DS-GVO) stützen können. Diese Erlaubnistatbestände (nach geltender Rechtslage Art. 7 der geltenden EU-Datenschutz-Richtlinie 95/46/EG i.V.m. den nationalen Umsetzungsgesetzen) decken seit vielen Jahren datenschutzrechtlich die Tätigkeit von Fotografen ab und werden in Art. 6 DS-GVO fortgeführt. Die Annahme, dass die DS-GVO dem Anfertigen von Fotografien entgegen stehe, ist daher unzutreffend.

Für die Veröffentlichung von Fotografien bleibt das Kunsturhebergesetz auch unter der ab dem 25. Mai 2018 anwendbaren Datenschutz-Grundverordnung erhalten. Es sind, wie ich bereits in meiner Antwort ausgeführt habe, keine Änderungen oder gar eine Aufhebung mit Blick auf die Datenschutz-Grundverordnung vorgesehen.

Die Ansicht, das Kunsturhebergesetz werde durch die DS-GVO ab dem 25. Mai 2018 verdrängt, ist falsch. Das Kunsturhebergesetz stützt sich auf Artikel 85 Abs. 1 DS-GVO, der den Mitgliedstaaten nationale Gestaltungsspielräume bei dem Ausgleich zwischen Datenschutz und der Meinungs- und Informationsfreiheit eröffnet.
Das Kunsturhebergesetz steht daher nicht im Widerspruch zur DS-GVO, sondern fügt sich als Teil der deutschen Anpassungsgesetzgebung in das System der DSGVO ein. Eine gesetzliche Regelung zur Fortgeltung des Kunsturhebergesetzes ist nicht erforderlich. Ebenso führen die Ansätze anderer Mitgliedstaaten, die sich in allgemeiner Form zum Verhältnis von Datenschutz und Meinungs- und Informationsfreiheit verhalten, in der praktischen Umsetzung nicht weiter und führen nicht zu mehr Rechtssicherheit.
Die grundrechtlich geschützte Meinungs- und Informationsfreiheit fließt zudem unmittelbar in die Auslegung und Anwendung der DS-GVO ein, insbesondere stellen sie berechtigte Interessen der verantwortlichen Stellen nach Art. 6 Abs. 1 lit. f) DS-GVO dar. Die DS-GVO betont, dass der Schutz personenbezogener Daten kein uneingeschränktes Recht ist , sondern im Hinblick auf seine gesellschaftliche Funktion und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden (Erwägungsgrund 4). Zu den von der DS-GVO in diesem Zusammenhang genannten Grundrechten zählt ausdrücklich auch die Freiheit der Meinungsäußerung und Informationsfreiheit.

So Datenschutzerklärung ist online, ist wohl das Wichtigste. Newsletter mach ich wohl noch mal ein Opt-In, für Zukünftige dann auch. Das sollte es erstmal sein. VVT erstelle ich auch mal, wird ja eh erst fällig wenn abgefragt.

Jetzt merkt es auch die Presse, dass Visitenkarten auch ein Problem sind.

https://www.welt.de/wirtschaft/article176468214/DSGVO-Visitenkarten-werden-durch-neue-EU-Regel-zum-Datenschutz-Problem.html

Eine richtig gute Arbeitsbeschaffungsmaßnahme für Gutachter, Berater und Anwälte. Am Datenschutz an sich ändert es nichts.

Also zum Thema Newsletter: Wenn man bereits eine gültige Einverständnis-Erklärung der Empfänger hat, dann muss die nicht nochmal wiederholt werden.

Und ungefragt E-Mails an Kunden verschicken, mit denen man schon Geschäftskontakt hat, das scheint erlaubt zu sein. Dazu gibt es die "Interessenabwägung".
Mehr dazu hier (https://www.ddv.de/alle-news-kacheln/eu-ds-gvo-auslegungstipp-interessenabwaegung.html)

... Bei der Abwägung ist nach Erwägungsgrund 47 relevant, ob der Adressat die Verwendung seiner Daten zu Dialogmarketingzwecken erwarten konnte. Bei kommerziellen Kontakten mit Betroffenen ist dies stets der Fall. ...

Da kann sogar die Weitergabe an Dritte erlaubt sein, wenn der Datenverarbeitende den Versand nicht selbst vornimmt.
=> Spam wird es weiterhin geben.

Die Hälfte spricht sich dafür aus, dass bei Verstößen zunächst nur Verwarnungen ausgesprochen werden. „Auch für die Behörden muss das Motto zunächst einmal lauten: helfen statt bestrafen“

Seh ich genauso. Gerade bei kleinen Unternehmen oder Vereinen sollte es bei einer ersten Kontrolle erstmal nur darum gehen, zu helfen und Hinweise zu geben. Ich würde mal behaupten, dass nur sehr Wenige eine vollständig DSGVO-konforme Verarbeitungskette haben. Tatsächlich befinden sich in meiner Reichweite einige Unternehmen u. Vereine, die noch nichtmal nen Ansatz haben.

Wenn ich denen sage, dass es ein Problem ist, wenn sie sämtliche Kontakte (persönliche und geschäftliche) mit ihrem Smartphone über ein Google-Konto synchronisieren und dann noch Whatsapp installiert haben (solch eine Kombination ist durchaus nicht unüblich), gucken die mich erstmal an, als ob ich paranoid wär. Erst wenn ich denen genau erkläre (was viele schon gar nicht mehr hören bzw. sich mit beschäftigen wollen), was mit den Daten genau passiert, kommt ein wenig Verständnis dafür auf. Die wenigsten ändern aber ihr Verhalten und würden bei einer genauen Kontrolle dann wohl angemahnt/verwarnt werden, wenn sie ihre Kunden/Kontakte etc. nicht informieren, Einwilligungen einholen und diese auch dokumentieren.

Bei kommerziellen Kontakten mit Betroffenen ist dies stets der Fall.

Das ist der entscheidende Punkt. Newsletter müssen Unternehmen auch schon jetzt erdulden, wenn man mit dem Newsletter versendenden Unternehmen geschäftlich zu tun hatte. Bei Privatpersonen sollte eine (ungekoppelte) Einverständniserklärung vorliegen. Unter welchen Bedingungen es trotzdem zulässig ist, ohne extra Einwilligung Newsletter an Privatpersonen zu versenden, sollen sich die Juristen den Kopf zerbrechen. Ich würds als Unternehmer nicht machen.

Das ist der entscheidende Punkt. Newsletter müssen Unternehmen auch schon jetzt erdulden, wenn man mit dem Newsletter versendenden Unternehmen geschäftlich zu tun hatte. Bei Privatpersonen sollte eine (ungekoppelte) Einverständniserklärung vorliegen. Unter welchen Bedingungen es trotzdem zulässig ist, ohne extra Einwilligung Newsletter an Privatpersonen zu versenden, sollen sich die Juristen den Kopf zerbrechen. Ich würds als Unternehmer nicht machen.
Ich habe zum Glück nur B2B! :cool:

ich würde die verordnung ja als aufforderung sehen mein geschäft vor dem staat abzusichern. ab ins ausland, holding, eigentumsverhältnisse verschleiern usw.

Also zum Thema Newsletter: Wenn man bereits eine gültige Einverständnis-Erklärung der Empfänger hat, dann muss die nicht nochmal wiederholt werden.

Und ungefragt E-Mails an Kunden verschicken, mit denen man schon Geschäftskontakt hat, das scheint erlaubt zu sein. Dazu gibt es die "Interessenabwägung".
Mehr dazu hier (https://www.ddv.de/alle-news-kacheln/eu-ds-gvo-auslegungstipp-interessenabwaegung.html)



Da kann sogar die Weitergabe an Dritte erlaubt sein, wenn der Datenverarbeitende den Versand nicht selbst vornimmt.
=> Spam wird es weiterhin geben.

spam kannst jetzt aber abstellen "woher haben sie die e-mail adresse? - ich glaube nicht das ich gestattet habe das sie die nutzen dürfen" --> anwalt, geld kassieren :biggrin:

Wir machen ADV und dürfen die richtige Bezeichnung der Daten, die wir von unseren Kunden anfordern, nicht mehr nennen, höchstens noch mündlich im Telefongespräch, da der Datensatz, den wir benötigen, zweckgebunden ist :facepalm:

Ich gebe zu, dass ich nicht verstehe was Du meinst. Kannst Du ein Beispiel bilden?

Wir analysieren Abrechnungsdaten von Krankenhäusern, was eben nicht ihrem ursprünglichen Zweck entspricht. Das ist nach DSGVO wohl problematisch.
Jetzt steht nur noch eine inhaltliche Beschreibung des Datensatzes in den Verträgen.

´nabend
habe jetzt von vielen eine email bekommen und würde doch gerne dieser neuen Verordnung widersprechen.

Hat jemand von euch ein Musterschreiben von euch zu dem DSGVO ?


DANKE

Wir analysieren Abrechnungsdaten von Krankenhäusern, was eben nicht ihrem ursprünglichen Zweck entspricht. Das ist nach DSGVO wohl problematisch.
Jetzt steht nur noch eine inhaltliche Beschreibung des Datensatzes in den Verträgen.

Und die Bezeichnung des Datensatzes wäre dann z.B. Diagnose? Oder Blutabnahme? Da verstehe ich nicht, wo das Problem sein soll.

Hier ein Artikel über die Frage "Wann handelt es sich um eine Auftragsverarbeitung?":
https://regina-stoiber.com/2018/04/12/wann-handelt-es-sich-um-einen-auftragsverarbeiter-auftragsdatenverarbeiter-dsgvo/

Ist nämlich nicht immer so einfach zu trennen.

Achso und hier noch eine AV-Liste mit allen möglichen Firmen, die im Internet Dienste anbieten:
https://www.blogmojo.de/av-vertraege/

Interessant fand ich ja, dass es für die kostenlosen Varianten von Gmail und Google Drive keine AV-Verträge gibt (Gmail-Konten nutzen bestimmt so einige Kleinunternehmer, und wenns nur unwissend im Smartphone hinterlegt ist), sondern man dafür zur GSuite wechseln muss.

Hier ein Artikel über die Frage "Wann handelt es sich um eine Auftragsverarbeitung?":
https://regina-stoiber.com/2018/04/12/wann-handelt-es-sich-um-einen-auftragsverarbeiter-auftragsdatenverarbeiter-dsgvo/

Ist nämlich nicht immer so einfach zu trennen.

Achso und hier noch eine AV-Liste mit allen möglichen Firmen, die im Internet Dienste anbieten:
https://www.blogmojo.de/av-vertraege/

Interessant fand ich ja, dass es für die kostenlosen Varianten von Gmail und Google Drive keine AV-Verträge gibt (Gmail-Konten nutzen bestimmt so einige Kleinunternehmer, und wenns nur unwissend im Smartphone hinterlegt ist), sondern man dafür zur GSuite wechseln muss.

Vielen Dank! Die Liste von Blogmojo hilft mir ungemein.

sent by fefe: https://twitter.com/koenfucius/status/997783004155187200

;D;D;D

;D Aber manche Kommentare... :freak:

Mal ne (evt. hypothetische?) Frage: Was ist denn, wenn ich meine Webseite und meinen Server so konfiguriere, dass keinerlei personenbezogene Daten erhoben/gespeichert werden (keine Cookies, Tracking, Kontaktformular, keine IPs in Apache-/Kernellog, kein fail2ban/WebApplication-Firewall etc.). Ist ja durchaus machbar. Braucht man dann noch ne Datenschutzerklärung? Ich mein klar, man soll den User aufklären, aber ihn aufzuklären, dass auf meiner Webseite absolut gar keine personenbezogenen Daten gespeichert werden, ist doch auch irgendwie hirnrissig. Eigentlich sollte das der Standard sein? Sprich, keine Datenschutzerklärung=die Webseite erhebt keinerlei personenbezogene Daten? *kopfkratz*

Achso und noch ne Frage: Die Datenschutzerklärung auf einer Webseite eines Unternehmens, bezieht die sich immer auf die von der Webseite/Server verarbeiteten, personenbezogenen Daten? Oder muss die Datenschutzerklärung auch andere Verarbeitungsprozesse (die eben nicht über die Webseite laufen) des Unternehmens abbilden? *nochmal-kopfkratz*

Musst Du nicht alleine wegen des Hosters "was" schreiben?

Ich nutze gerade eine neue Software für Foren (elkArte). In der nächsten Version gibt es ein Popup in dem aufgeklärt wird, dass man Cookies setzt. Lehnt man das ab, kommt man zu der Seite, in der man sich selbst sofort und ohne Rückstand löschen kann.

Ich überlege mir noch, ob ich in mein Popup-Fenster zum Cookie-Akzeptieren und Ablehnen (in der Zwischenzeit gibt es unten sogar Hinweise, wie man das rückgängig machen kann) explizit hinschreibe, dass wenn jemand unsicher ist, er doch bitte mein Angebot (Chemie-Lernseite) einfach nicht nutzt und verschwinden soll.

Meine Brute-Force-Software, bei der ich nicht einstellen kann, wie lange sie den Hackerangriff speichert, deinstalliere ich wohl noch. :rolleyes:

Mal ne (evt. hypothetische?) Frage: Was ist denn, wenn ich meine Webseite und meinen Server so konfiguriere, dass keinerlei personenbezogene Daten erhoben/gespeichert werden (keine Cookies, Tracking, Kontaktformular, keine IPs in Apache-/Kernellog, kein fail2ban/WebApplication-Firewall etc.). Ist ja durchaus machbar. Braucht man dann noch ne Datenschutzerklärung? Ich mein klar, man soll den User aufklären, aber ihn aufzuklären, dass auf meiner Webseite absolut gar keine personenbezogenen Daten gespeichert werden, ist doch auch irgendwie hirnrissig. Eigentlich sollte das der Standard sein? Sprich, keine Datenschutzerklärung=die Webseite erhebt keinerlei personenbezogene Daten? *kopfkratz*

Denk einfach mal darueber nach, wohin du die Webseite ausliefern willst, wenn eine Anfrage kommt, die du laut eigener Aussage nicht verarbeiten willst, weil da Sachen wie IP Adresse und User Agent drin stehen.
Der Webserver verarbeitet diese Daten selbstverstaendlich immer, sonst funktioniert es ja gar nicht. Dementsprechend brauchst du natuerlich eine Datenschutzerklaerung.

Musst Du nicht alleine wegen des Hosters "was" schreiben?

Mit einem eigenen Server hat man wohl keinen Hoster.
Ansonsten hat man, wie du richtig feststellst, einen Vertrag zur Auftragsverarbeitung, wenn ich das gerade korrekt in der Birne habe (mir raucht ebenjene durch die DSGVO inzwischen).

Denk einfach mal darueber nach, wohin du die Webseite ausliefern willst, wenn eine Anfrage kommt, die du laut eigener Aussage nicht verarbeiten willst, weil da Sachen wie IP Adresse und User Agent drin stehen.
Der Webserver verarbeitet diese Daten selbstverstaendlich immer, sonst funktioniert es ja gar nicht. Dementsprechend brauchst du natuerlich eine Datenschutzerklaerung.

Die Verarbeitung solcher Daten ist (größtenteils) eine technische Grundvoraussetzung für die Funktion eines Webservers. Wenn er sie nur verarbeitet, um seinen Dienst zu verrichten und sie nicht speichert/archiviert, findet im rechtlichen Sinne keine Erhebung von personenbezogenen Daten statt. Die Datenschutzerklärung könnte dann aus dem Satz "Diese Seite erhebt keine personenbezogenen Daten" bestehen, und man hätte Ruhe.

Blöd ist, dass selbst dann die Pflicht zur "leicht zu findenden Datenschutzerklärung" besteht, sprich, selbst wenn sie aus dem zuvorgenannten Satz besteht.

Denk einfach mal darueber nach, wohin du die Webseite ausliefern willst, wenn eine Anfrage kommt, die du laut eigener Aussage nicht verarbeiten willst, weil da Sachen wie IP Adresse und User Agent drin stehen.
Der Webserver verarbeitet diese Daten selbstverstaendlich immer, sonst funktioniert es ja gar nicht. Dementsprechend brauchst du natuerlich eine Datenschutzerklaerung.

User-Agent muss man auch nicht verarbeiten. Aber jetzt kommt der für mich auch interessante Part (hatte schon gehofft, dass jemand sowas schreibt):

Ich stelle also mein Server so ein, dass nix gespeichert wird. Natürlich muss der Webserver die Client-IP-Adresse verarbeiten (die ist also, wenn auch nur kurzfristig, im RAM des Servers), sonst weiß er ja nicht, wo die Daten der Webseite hingeschickt werden sollen.

Obwohl es für mich als Betreiber des Servers keinerlei Möglichkeit gibt, die IP-Adresse im nachhinein festzustellen, gilt das als Verarbeitung eines personenbezogenen Datums? Das wäre schon ziemlich absurd, vor allem wenn man bedenkt, dass ich als Serverbetreiber mit der IP-Adresse allein immer noch nicht weiß, welche Person auf meinen Server zugegriffen hat. Hier fehlt mMn auch ne Differenzierung in der DSGVO vor allem bzgl. des Aufwands der Zuordnung IP-Adresse<->Identität einer Person, aber das ist noch ne andere Geschichte.

Mir stellt sich jetzt allerdings die Frage, wenn der RAM als Speicher (auch wenn nur kurz) für IP-Adressen schon problematisch ist, wie sieht es dann mit sämtlichen Layer-3-Kopplungsgeräten aus, die für die Verbindung vom Besucher zum Webserver und vom Webserver zum Besucher (müssen ja nicht zwangsläufig dieselben Wege sein) genutzt werden? Jedes dieser Geräte wird mindestens eine Art Pufferspeicher (auch nix anderes als sehr kleiner RAM) haben. Wenn man danach geht, müsste ich als Webseitenbetreiber mit sämtlichen Tier1-3-Providern AV-Aufträge abschließen, denn die verarbeiten ja auch die IP-Adresse des Besuchers meiner Webseite.

Also was ich damit sagen will: Es fehlt in der DSGVO irgendwie auch eine Abgrenzung "theoretisch möglich"<->"praktisch umsetzbar". Eine IP-Adresse würde ich nie einfach so pauschal als ein personenbezogenes Datum ansehen. Hier fehlt ganz klar die Zugriffsebene für die Zuordnung. Erst die Kombination mit anderen Daten (nämlich die des ISPs) machen aus der IP-Adresse ein personenbezogenes Datum (und selbst das ist ja bei den ganzen NAT-Routern schon fraglich). Es gibt hier aber gar keine Unterscheidung. Ich als Webseitenbetreiber habe keine Zugriffe auf die Daten der ISPs (und das zurecht).

[...] Also was ich damit sagen will: Es fehlt in der DSGVO irgendwie auch eine Abgrenzung "theoretisch möglich"<->"praktisch umsetzbar". Eine IP-Adresse würde ich nie einfach so pauschal als ein personenbezogenes Datum ansehen. Hier fehlt ganz klar die Zugriffsebene für die Zuordnung. Erst die Kombination mit anderen Daten (nämlich die des ISPs) machen aus der IP-Adresse ein personenbezogenes Datum (und selbst das ist ja bei den ganzen NAT-Routern schon fraglich). Es gibt hier aber gar keine Unterscheidung. Ich als Webseitenbetreiber habe keine Zugriffe auf die Daten der ISPs (und das zurecht).

Eine IP-Adresse ist aber nunmal laut BGH ein personenbezogenes Datum, das bei Weiterverarbeitung (unerheblich ob mit Kombination mit anderen Daten oder nicht) zu einer Identifizierung führen kann.

Außerdem verstehe ich das Problem nicht. Die DSGVO verbietet niemandem anlassbezogen IP-Adressen zu erheben und zu verarbeiten. Es muss nur Transparenz darüber herrschen, in welchem Umfang sie verarbeitet und/oder gespeichert werden.

Bei einem Webserver, der nichts davon in einem Dateisystem speichert, kann getrost von "keiner Erhebung" ausgegangen werden, da eine Erhebung nicht nachgewiesen werden kann – problem solved.

User-Agent muss man auch nicht verarbeiten. Aber jetzt kommt der für mich auch interessante Part (hatte schon gehofft, dass jemand sowas schreibt):
Musst du schon, denn der wird dir zugeschickt. Auch wenn du es nur verwirfst, ist das in meinen Augen ein Verarbeitungsschritt.
Wenn du ein Postfach hat, dessen Schlitz direkt in einen Schredder fuehrt und Leute werfen dort ihr Zeug ein, muessen sie trotzdem nachvollziehen koennen, was damit passiert, denn sie geben die Daten weg und in deine Verantwortung. Und dafuer ist die Belehrung/Erklaerung da.

Ich stelle also mein Server so ein, dass nix gespeichert wird. Natürlich muss der Webserver die Client-IP-Adresse verarbeiten (die ist also, wenn auch nur kurzfristig, im RAM des Servers), sonst weiß er ja nicht, wo die Daten der Webseite hingeschickt werden sollen.

Obwohl es für mich als Betreiber des Servers keinerlei Möglichkeit gibt, die IP-Adresse im nachhinein festzustellen, gilt das als Verarbeitung eines personenbezogenen Datums? Das wäre schon ziemlich absurd, vor allem wenn man bedenkt, dass ich als Serverbetreiber mit der IP-Adresse allein immer noch nicht weiß, welche Person auf meinen Server zugegriffen hat. Hier fehlt mMn auch ne Differenzierung in der DSGVO vor allem bzgl. des Aufwands der Zuordnung IP-Adresse<->Identität einer Person, aber das ist noch ne andere Geschichte.
Diese Differenzierung gibt es sehr wohl. Personenbezogene Daten beziehen sich auf eine identifizierte *oder identifizierbare Person*. Dementsprechend sind die Daten fuer dich zwar pseudonymisiert, aber trotzdem noch personenbezogen.

Mir stellt sich jetzt allerdings die Frage, wenn der RAM als Speicher (auch wenn nur kurz) für IP-Adressen schon problematisch ist, wie sieht es dann mit sämtlichen Layer-3-Kopplungsgeräten aus, die für die Verbindung vom Besucher zum Webserver und vom Webserver zum Besucher (müssen ja nicht zwangsläufig dieselben Wege sein) genutzt werden? Jedes dieser Geräte wird mindestens eine Art Pufferspeicher (auch nix anderes als sehr kleiner RAM) haben. Wenn man danach geht, müsste ich als Webseitenbetreiber mit sämtlichen Tier1-3-Providern AV-Aufträge abschließen, denn die verarbeiten ja auch die IP-Adresse des Besuchers meiner Webseite.
Selbst wenn fluechtiger Speicher ausgenommen waere, was machst du, wenn das System swappt und vom RAM was auf die nicht-fluechtige Festplatte kommt? Oder wenn durch einen Exploit was aus dem RAM abhanden kommt? Du bist dafuer verantwortlich, auch wenn es dann vielleicht nicht deine Schuld ist. Und vorher zu behaupten, es wuerden keine Daten verarbeitet, obwohl es sehr wohl der Fall war, ist halt nicht. Es ist Verarbeitung, egal wie lange die Daten vorhanden bleiben, deshalb schreibst du dann hin, dass die Daten ausschliesslich zur Durchfuehrung von x gespeichert und dann sofort geloescht werden.
Deshalb laesst du ausschliesslich verschluesselten Traffic zu. Fuer das Weitere hast du (und der Nutzer) einen Vertrag mit seinem Provider und gibt es die ganzen Erlaubnistatbestaende. Dadurch dass die Webseite logischerweise uebers Internet abgerufen und ausgeliefert wird, und du entsprechende Datenschutzbelehrung hast ergibt sich das dann schon und man muss eben nicht jeden Hop aufzaehlen, was natuerlich Unsinn waere.

Also was ich damit sagen will: Es fehlt in der DSGVO irgendwie auch eine Abgrenzung "theoretisch möglich"<->"praktisch umsetzbar". Eine IP-Adresse würde ich nie einfach so pauschal als ein personenbezogenes Datum ansehen. Hier fehlt ganz klar die Zugriffsebene für die Zuordnung. Erst die Kombination mit anderen Daten (nämlich die des ISPs) machen aus der IP-Adresse ein personenbezogenes Datum (und selbst das ist ja bei den ganzen NAT-Routern schon fraglich). Es gibt hier aber gar keine Unterscheidung. Ich als Webseitenbetreiber habe keine Zugriffe auf die Daten der ISPs (und das zurecht).
Ist aber personenbezogenes Datum. Und wenn du oder jemand anders einen Leak hat, wodurch sich dann die Daten aus verschiedenen Quellen zusammenfuehren lassen, juckt es keinen, ob sie fuer sich "wertlos" oder pseudonymisiert sind. Das ist der ganze Sinn der Sache. Zumal es ja ueberhaupt kein Drama ist, man muss es einfach nur dokumentieren.

Außerdem verstehe ich das Problem nicht. Die DSGVO verbietet niemandem anlassbezogen IP-Adressen zu erheben und zu verarbeiten. Es muss nur Transparenz darüber herrschen, in welchem Umfang sie verarbeitet und/oder gespeichert werden.
Er meint nicht, dass es verboten waere, sondern dass er nicht darueber aufklaeren muesse.

"Identifizierbar" - das hab ich schon wieder komplett vergessen. Aber genau das ist halt der Punkt. Ich muss über Dinge aufklären, die evt. auftreten könnten, die sich aber gar nicht in meiner Machtssphäre abspielen. Soll ich mir hier Dinge ausdenken? Woher soll ich denn wissen, was die ISPs und Netzbetreiber noch so alles mit IP-Adressen anstellen? Aber gut, Frage war auch eher hypothetisch.

Wie siehts denn mit meiner 2. Frage aus?: https://www.forum-3dcenter.org/vbulletin/showthread.php?p=11701627#post11701627

Er meint nicht, dass es verboten waere, sondern dass er nicht darueber aufklaeren muesse.

OK, ja, das regt mich auch auf. Dennoch hab ich auf meinen eigenen Seiten einen Extra-Link "Datenschutzerklärung" hinzugefügt, der zum Datenschutz-div innerhalb des Impressums führt, indem ein Zweizeiler darüber aufklärt, dass der Webserver zur Erbringung seiner technischen Funktion für einen kurzen zeitraum grundlegende Daten (IP, UA, Referrer, abgrufene URL) zwischenspeichern muss und darüber hinaus keine personenbezogenen Daten erhoben oder verarbeitet werden.

Habe mir übrigens sagen lassen, dass ein "kurzer Zeitraum" in diesem Zusammenhang (nach einer BGH-Entscheidung) auf jeden Fall 24 Stunden und maximal 7 Tage betragen kann. ^^

"Identifizierbar" - das hab ich schon wieder komplett vergessen. Aber genau das ist halt der Punkt. Ich muss über Dinge aufklären, die evt. auftreten könnten, die sich aber gar nicht in meiner Machtssphäre abspielen. Soll ich mir hier Dinge ausdenken? Woher soll ich denn wissen, was die ISPs und Netzbetreiber noch so alles mit IP-Adressen anstellen? Aber gut, Frage war auch eher hypothetisch.
Du sollst nichts ausdenken, sondern einfach nur offen kommunizieren, was gemacht wird. Was dann dadurch passieren kann, muss der Nutzer schon auch noch selbst abschaetzen koennen.

Wie siehts denn mit meiner 2. Frage aus?: https://www.forum-3dcenter.org/vbulletin/showthread.php?p=11701627#post11701627
MMn. nur Verarbeitungsvorgaenge die Webseite betreffend - was allerdings ja Kontakt via E-Mail z.B. auch automatisch mit einschliessen kann. Falls dann noch andere Verarbeitungsvorgaenge stattfinden, muss der Nutzer eh gesondert aufgeklaert werden oder sogar zustimmen (z.B. man bietet ein Online Game an, bei dem auch Daten verarbeitet werden), z.B. bei Installation der Software, Registrierung, Abschluss eines Vertrags etc.
Aber sicher bin ich dabei gerade auch nicht, also nochmal einen Anwalt, DSB o.ae. fragen.

Das wäre schon ziemlich absurd...
Nach allem, was ich bisher zu dem Thema gelesen habe, ich die komplette Verordnung total absurd. Ein bürokratisches Monster und ein rechtlicher Alptraum, wie dafür geschaffen, bei Abmahnanwälten die Kasse klingeln zu lassen. Damit bleibt "Neuland" auf ewig Neuland, die informationelle Revolution findet außerhalb der EU statt. Irgendwann haben es unser ahnungslosen Politiker wirklich geschafft den Wirtschaftsstandort EU komplett an die Wand zu fahren: https://www.welt.de/debatte/kommentare/article176538511/DSGVO-Wer-Datenhoheit-ueber-alles-stellt-verspielt-seine-Zukunft.html

Ist Quatsch und eh nur Gejammere der Unternehmen. Die sind schon ganz alleine selbst dran Schuld, dass sie nicht mit den Amis oder sonst wem mithalten koennen. Zumal sich durch die DSGVO auch riesige Chancen fuer oertliche Unternehmen ergeben haetten, marktbeherrschende anzugreifen. Hat aber wohl keinen interessiert.

Du sollst nichts ausdenken, sondern einfach nur offen kommunizieren, was gemacht wird. Was dann dadurch passieren kann, muss der Nutzer schon auch noch selbst abschaetzen koennen...

Ja eben nicht. Ich kläre zwar über alles auf, was unser Unternehmen betrifft, aber die wenigsten Betroffenen können abschätzen, was das für sie tatsächlich bedeutet. Max Schrempf wollte irgendwie die neue Datenschutzerklärung von Facebook nicht zustimmen und hatte nur die Möglichkeit, sein Konto zu löschen. So eindeutig ist das ja in den seltensten Fällen.

Whatsapp ist da immer ein gutes Beispiel: Erklär ich dem Otto-Normalo, dass Whatsapp einfach die Telenummern von sämtlichen Kontakten im Smartphone regelmäßig auf Whatsapp (bald wohl auch Facebook)-Servern hochlädt, egal ob diese bei Whatsapp sind oder nicht, wissen viele das gar nicht (obwohl das ja in den Datenschutzerklärungen durchaus kommuniziert wird). Wenn ich denen dann noch sage, dass sie dann eigt. von all ihren Kontakten vorher eine Einwilligung einholen müssten, gucken die mich erstmal an.

Der Informationsfluss von personenbezogenen Daten ist mittlerweile so vielfältig und undurchsichtig, da helfen Erklärungen sogut wie gar nicht. Die Tragweite können die wenigsten Menschen richtig abschätzen. Selbst ich würde mir das nicht 100%ig zutrauen, wenn man z.B. ein Google-Konto inkl. Mail anlegt und das mit Desktop-Browser und Smartphone verknüpft.

Ist Quatsch und eh nur Gejammere der Unternehmen. Die sind schon ganz alleine selbst dran Schuld, dass sie nicht mit den Amis oder sonst wem mithalten koennen. Zumal sich durch die DSGVO auch riesige Chancen fuer oertliche Unternehmen ergeben haetten, marktbeherrschende anzugreifen. Hat aber wohl keinen interessiert.
Wohl kaum. Kleine Mittelständler, die sich diesb. nie etwas zuschulden kommen lassen haben oder werden, werden hier zu bürokratischen Maßnahmen gezwungen, die nichts verbessern werden, aber jede Menge wertschöpfungsfreie "Arbeit", Mehrausgaben und "Chancen" für Abmahn"anwälte" generieren. Gleichzeitig wird das "Spiel" derjenigen, die wirklich personenbezogene Daten mißbrauchen (Einwohnermeldeämter AHOI!) mehr oder weniger ungehindert weitergehen. Das ist wirklich wieder eine herausragende Leistung der Politik.

Ist Quatsch und eh nur Gejammere der Unternehmen. Die sind schon ganz alleine selbst dran Schuld, dass sie nicht mit den Amis oder sonst wem mithalten koennen. Zumal sich durch die DSGVO auch riesige Chancen fuer oertliche Unternehmen ergeben haetten, marktbeherrschende anzugreifen. Hat aber wohl keinen interessiert.

Das ist einfach nur ein zynisches Kommentar. Ich kenne einige, die im Internet nur ihre angemeldete Dienste anbieten (z.B. Lektoren). Als Ein-Mann-Betrieb hat man da nicht sofort die richtige Lösung. Konsequenz von vielen in meinem Umfeld ist, dass diese Seiten einfach dicht gemacht werden, weil sie eben nicht die Zeit und die juristische Kenntnisse haben sich wirklich abzusichern. Und da sie häufig eher am Existenzminimum arbeiten, machen sie die Seiten einfach dicht. Davon hat weder der Kunde etwas, noch der Anbieter solcher Dienste.

Übrigens: Könnte man mir mal eine klare Auskunft geben. Auf meiner Joomla-Plattform ist ein Brut-Force-Schutz installiert, der wohl die IPs von Menschen speichert, die versucht haben, sich widerrechtlich in meinem Account einzuhacken. Diese Speicherung dient ja auch dazu, dass diese Hacker keine weiteren Hackversuche mehr starten können und werden geblockt.

Legal oder Illegal, da die IPs länger als 1 Woche gespeichert werden? Im Datenschutz steht es drin.
https://w-hoelzel.de/datenschutzbestimmungen :confused:

Wohl kaum. Kleine Mittelständler, die sich diesb. nie etwas zuschulden kommen lassen haben oder werden, werden hier zu bürokratischen Maßnahmen gezwungen, die nichts verbessern werden
Ja klar, viele merken es ja nichtmal wenn sie Daten "verlieren" :rolleyes: "Nichts zu Schulden kommen lassen" ist auch witzig, wenn offensichtlich nicht mal irgendwer auch nur den Hauch eines Plans hat, wer wo ueberhaupt welche Daten hat und was er damit anfangen kann, sonst waere das ganze Drama ja nicht da. Zumal die schon 20 Jahre (und insbesondere in der zweijaehrigen Uebergangsfrist seit die Verordnung in Kraft ist) gepennt haben, wenn sie jetzt derartigen Stress haben, das muss man einfach klar so sagen.

Es ging im Uebrigen um Schwergewichte der Industrie, globale Konkurrenz und dem Wirtschaftsstandort im allgemeinen, nicht Einzelpersonen oder -unternehmer. In dem obigen Artikel wird z.B. behauptet, eine Firma wie Apple habe wegen Datensparsamkeit Probleme, ueberhaupt noch mitzukommen. Das ist einfach voellig absurd. Dass es dementsprechend hier keine Konkurrenz zu Apple oder google liegt hat mit der DSGVO mal ueberhaupt nichts zu tun. Lest vielleicht mal den Zusammenhang, bevor ihr mich anspringt.

Übrigens: Könnte man mir mal eine klare Auskunft geben. Auf meiner Joomla-Plattform ist ein Brut-Force-Schutz installiert, der wohl die IPs von Menschen speichert, die versucht haben, sich widerrechtlich in meinem Account einzuhacken. Diese Speicherung dient ja auch dazu, dass diese Hacker keine weiteren Hackversuche mehr starten können und werden geblockt.

Legal oder Illegal, da die IPs länger als 1 Woche gespeichert werden? Im Datenschutz steht es drin.
https://w-hoelzel.de/datenschutzbestimmungen :confused:

Ich kann jetzt nur für Wordpress-Blogs sprechen: Das Plugin "Limit Login Attempts" hatte jetzt ein Update bekommen, welches eine Funktion einführt, die die gesperrten und geloggten IPs nur noch gehashed anzeigt/speichert ("GDPR compliant"). Muss man nach dem Update manuell aktivieren und funktioniert auch wunderbar. Vielleicht gibt es so eine Funktion ja auch bald für dein Joomla-Brute-Force Schutz?

Ich kann jetzt nur für Wordpress-Blogs sprechen: Das Plugin "Limit Login Attempts" hatte jetzt ein Update bekommen, welches eine Funktion einführt, die die gesperrten und geloggten IPs nur noch gehashed anzeigt/speichert ("GDPR compliant"). Muss man nach dem Update manuell aktivieren und funktioniert auch wunderbar. Vielleicht gibt es so eine Funktion ja auch bald für dein Joomla-Brute-Force Schutz?

Eine Software habe ich jetzt schon gelöscht. Da gab es die letzten 3 Jahre nichts neues, da glaube ich kaum, dass da noch etwas bis zum Freitag kommt.

Bei Securitycheck Pro schaue ich schon jeden Tag vorbei. Morgen haben die ja noch. :freak:

iuno: Nein, es geht hier genau um die Einzelunternehmer, Privatpersonen oder kleinen Klitschen die die Probleme haben. Die Schwergewichte kaufen sich da einfach jemanden dazu und lassen es zur Not auf ein Verfahren ankommen.

Ich bin im Wesentlichen bei iuno. Das Problem taucht halt (auch) auf, wenn man (irgendwelche) SW bei sich auf der Webseite laufen hat. Ja, auch das soll erfasst sein (man denke nur mal an Google Analytics).
Und es gibt durchaus die Möglichkeit sich z.B. kostengünstig DSGVO-konform zu machen. Z.B. für 9,90 € im Monat (monatlich kündbar):

https://www.it-recht-kanzlei.de/agb-starterpaket.php

Und es gibt durchaus die Möglichkeit sich z.B. kostengünstig DSGVO-konform zu machen. Z.B. für 9,90 € im Monat (monatlich kündbar):

https://www.it-recht-kanzlei.de/agb-starterpaket.php

Dem habe ich gleich mal geschrieben. Da hätte ich dann doch ein paar Fragen. :biggrin:

Übrigens: Könnte man mir mal eine klare Auskunft geben. Auf meiner Joomla-Plattform ist ein Brut-Force-Schutz installiert, der wohl die IPs von Menschen speichert, die versucht haben, sich widerrechtlich in meinem Account einzuhacken. Diese Speicherung dient ja auch dazu, dass diese Hacker keine weiteren Hackversuche mehr starten können und werden geblockt.

Legal oder Illegal, da die IPs länger als 1 Woche gespeichert werden? Im Datenschutz steht es drin.
https://w-hoelzel.de/datenschutzbestimmungen :confused:

Die Speicherung einzelner IPs, die versucht haben Deinen Account zu hacken ist solange erlaubt, wie es notwendig ist, um Deinen Server dagegen zu schützen, also bei Bedarf auch deutlich länger als 7 Tage.

Bei der Max-7-Tage-Regelung geht es um nicht-anonymisierte Speicherung aller Besucher-IPs z.B. in access.logs des Webservers.

Die Speicherung einzelner IPs, die versucht haben Deinen Account zu hacken ist solange erlaubt, wie es notwendig ist, um Deinen Server dagegen zu schützen, also bei Bedarf auch deutlich länger als 7 Tage.

Bei der Max-7-Tage-Regelung geht es um nicht-anonymisierte Speicherung aller Besucher-IPs z.B. in access.logs des Webservers.

Ich danke Dir. Dann kann ich mir etwas Zeit lassen, bis die Antwort von Securitycheck kommt. Danke nochmals (hier fehlt wirklich ein Danke-Button).


Und es gibt durchaus die Möglichkeit sich z.B. kostengünstig DSGVO-konform zu machen. Z.B. für 9,90 € im Monat (monatlich kündbar):

https://www.it-recht-kanzlei.de/agb-starterpaket.php

Schneller Service und klare Antwort vom Rechtsanwalt: Für meine Belange passen die Rechtstexte nicht, klar abgelehnt. Also keine individuelle Lösung. Aber immerhin nicht versucht mir etwas anzudrehen.

So und jetzt? :rolleyes:

Was sind denn Deine Belange?

Ich habe ihm meine Homepage erklärt; selbst aufgesetzt, Joomla (siehe Link oben) und er meinte nur, dass dazu ihre Texte nicht passen würden.

Mein Belang ist Rechtssicherheit und keine Abmahnung, weil ich etwas übersehen habe. :biggrin:

Hm: https://blog.fefe.de/impressum.html
Der Webserver schreibt Logdateien mit den Zugriffen und den IP-Adressen der Zugreifer. Diese dienen der Fehlersuche im Krisenfall und werden ansonsten nicht ausgewertet. Da es hier keine Benutzerkonten und keine Tracking-Cookies o.ä. gibt, betrachte ich diese Logdateien nicht als personenbezogen.

Fefe denkt da anscheinend wie ich? Auch wenn der BGH das wohl anders sieht...

Apropo fefe, hat nen Link zu nem Podcast gepostet, wo ne Juristin sich nochmal über Abmahnungen bezüglich der DSGVO äußert und ein paar Gründe nennt, warum sie nicht glaubt, dass es zu großen Abmahnungen kommen wird ab (1:28:28): https://klabautercast.de/folge-154-datenschutz/

Ein Verstoß gegen das von ihr angesprochene Marktverhalten wird wohl von Gerichten nur bei sehr wenigen Fällen als gegeben angesehen, z.B. gar keine verlinkte Datenschutzerklärung (damit wäre das Thema "keine Datenschutzerklärung" auch erledigt^^).

Hier noch 2 Links dazu:
https://www.datenschutz-guru.de/abmahngefahren-durch-die-dsgvo/
https://loeffel-abrar.com/newsblog/sind-verstoesse-gegen-die-datenschutz-grundverordnung-wettbewerbswidrig/
Ein Mitbewerberschutzzweck lässt sich den Erwägungsgründen der DSGVO u.E. nicht entnehmen.

Und hier noch ne recht umfangreiche DSGVO-FAQ:
https://regina-stoiber.com/2018/05/23/fragen-und-antworten-zum-datenschutz-dsgvo-faqs/

Ich glaube, ich bekomme "Zustimmungsmails" von "Newslettern", die ich noch nie abonniert hatte.:ulol: Wer weiß, wo die Links hinführen.:ulol:

Ab morgen werde ich bild.de im privaten Fenster besuchen dürfen? ;D

*edit*
Vorsichtshalber in den EU-Thread im PoWi verschoben....

iuno: Nein, es geht hier genau um die Einzelunternehmer, Privatpersonen oder kleinen Klitschen die die Probleme haben.
Dir vielleicht. In dem Beitrag inkl. Artikel, auf die ich mich bezog halt nicht.

Die Schwergewichte kaufen sich da einfach jemanden dazu und lassen es zur Not auf ein Verfahren ankommen.
Deshalb sagte ich ja auch, dass es laecherlich ist.

Sonst stimme ich dir ja zu, dass die kleinen es schwer haben. Trotzdem war eigentlich genug Zeit.

Sonst stimme ich dir ja zu, dass die kleinen es schwer haben. Trotzdem war eigentlich genug Zeit.

Glaube mir, ich habe viel Zeit investiert. Das Problem ist, dass

- je nachdem wen man fragt, durchaus unterschiedliche Antworten bekommt;
- bestimmte Software erst in den letzten Wochen/Tagen/Stunden Lösungen anbietet;

Dieser Thread zeigt doch, dass es in vielen Punkten noch gar keine Klarheit herrscht.

Und ich bin mir sicher, dass die, die Daten sammeln das ohne großes Abbremsen machen werden; nur noch geschickter.

Hat hier schon jemand auf Ebay die DGSVO umgesetzt? Mit einem Ebay Shop hat man die Möglichkeit innerhalb des Shops eine Hilfeseite zu erstellen die man mit der Datenschutzerklärung befüllen kann.
Allerdings ist diese dann nur innerhalb des Ebay Shops sichtbar. Innerhalb der einzelnen Angebote oder außerhalb des Ebay Shops gibt es aber keine Möglichkeit die Erklärung irgendwo unterzubringen.
An die AGBs kann man die Erklärung wegen einer Zeichenbegrenzung, die kaum genug Raum für die AGBs bietet, nicht anhängen.

Weiß jemand eine Lösung?

Hm: https://blog.fefe.de/impressum.html

Fefe denkt da anscheinend wie ich? Auch wenn der BGH das wohl anders sieht...


Grundsätzlich fallen ja, soweit ich das verstanden habe, auch Daten unter Personenbezogene Daten, die dazu gebraucht werden können, Daten zusammen zu führen und die Benutzer dann zu identifizieren.

Im Grunde wäre es ja möglich, sich die Logs von Fefe zu besorgen und dann bei Zuckerberg nachzufragen: Hey, kannst du mir nicht sagen, wem diese IPs gehört haben zu dem Zeitpunkt. Schon weiss man von 80% der Besucher wer sie sind.


Edit, wer sich amüsieren will: https://gdprhallofshame.com/

Glaube mir, ich habe viel Zeit investiert. Das Problem ist, dass

- je nachdem wen man fragt, durchaus unterschiedliche Antworten bekommt;
- bestimmte Software erst in den letzten Wochen/Tagen/Stunden Lösungen anbietet;

Dieser Thread zeigt doch, dass es in vielen Punkten noch gar keine Klarheit herrscht.

Und ich bin mir sicher, dass die, die Daten sammeln das ohne großes Abbremsen machen werden; nur noch geschickter.

Wenn man es richtig machen will, ist es doch recht umfrangreich, was man alles anpassen und protokollieren muss. z.B. musst du in jeder Dateneingabemaske die möglichkeit bieten, die Quelle anzugeben, ebenfalls bei jedem Datenexport. Bei älterer Softwarwe ist auch gern mal Uralt-Code betroffen, den passt man nicht einfach so an.

Eine mir unbekannte Firma hat mich angeschrieben, daß sie meine Daten hätten für "Personalvermittlung". Ich habe Auskunft verlagt und die Datensätze. Ganz tolle Antwort:

Sehr geehrte Damen und Herren,

weil Sie nicht zugestimmt haben, haben wir Ihre Daten komplett gelöscht.

Wir wünschen Ihnen weiterhin alles Gute.

Ihre FIMAD GmbH

Ich weiß nicht, was und welche Daten sie haben und die verweigern mit die Auskunft. Toll. :rolleyes:

Eine mir unbekannte Firma hat mich angeschrieben, daß sie meine Daten hätten für "Personalvermittlung". Ich habe Auskunft verlagt und die Datensätze. Ganz tolle Antwort:



Ich weiß nicht, was und welche Daten sie haben und die verweigern mit die Auskunft. Toll. :rolleyes:

Naja, ich weiss jetzt nicht was die chronologische Reihenfolge war, aber wenn die von dir keine Erlaubnis erhalten haben, ist das löschen der Daten der korrekte Weg.

Glaube mir, ich habe viel Zeit investiert. Das Problem ist, dass

- je nachdem wen man fragt, durchaus unterschiedliche Antworten bekommt;
- bestimmte Software erst in den letzten Wochen/Tagen/Stunden Lösungen anbietet;

Dieser Thread zeigt doch, dass es in vielen Punkten noch gar keine Klarheit herrscht.
Was fuer Software ist das? Hast du angedroht, sie nicht mehr zu kaufen, wenn sie bis Zeitpunkt X nicht konform einsetzbar ist? Wenn sie das nicht ist, war sie es mit relativ hoher Wahrscheinlichkeit unter BDSG eh auch schon nicht. Falls es sich um freie Software handelt: wurde dem Entwickler Unterstuetzung angeboten, ob finanziell, durch Informationen oder sonst was?
Ich glaube dir das schon, dass du dich informiert hast. Aber wenn das alles naemlich schon genuegend Leute vor 2 Jahren gemacht haetten, waere jetzt das Drama nicht da.

Und ich bin mir sicher, dass die, die Daten sammeln das ohne großes Abbremsen machen werden; nur noch geschickter.
Das war auch nicht Sinn der Sache, sondern bessere Information der Nutzer und haertere bzw. ueberhaupt mal ernstzunehmende Strafen, die auch durchgesetzt werden. Es gibt ja genuegend Erlaubnistatbestaende, sodass man eben nicht alle Verarbeitungen einstellen muss, wie oft von irgendwelchen Leuten suggeriert wird, natuerlich werden "die Grossen" da nicht Abbremsen muessen wenn die Nutzer eh allem zustimmen.

Teilweise bezahlte oder freie Plug-Ins für Joomla. Gerade Cookie-Banner wurden relativ spät so eingeführt, dass sowohl Opt-In wie auch Opt-Out funktioniert. Oder dass man, wie auf meiner Seite, jederzeit seine Entscheidung überdenken und rückgängig machen kann.

Ich habe nichts dagegen, dass mehr Klarheit verlangt wird und der Datenschutz einen höheren Stellenwert bekommt, aber schon allein die Auslegung für Fotografen zeigt doch, dass an vielen Stellen wirklich nicht weit genug gedacht wurde.

Noch etwas; warum schaffen wir hier in Deutschland es nicht, wenn wir schon die DSGVO durchsetzen, endlich eine Regelung bzgl. der Abmahnung durchzubekommen? Gefahr geht für mich eher davon aus, dass ich wegen einer übersehen Kleinigkeit einer nichtkommerziellen Webseite und Forums abgemahnt werde, als dass ich auf einmal mehr anonymisiert wäre (vorher und jetzt ublock + Ghostery Benutzer, trotzdem online-Einkäufer und Socialmedia-Nutzer) beziehungsweise meine Daten besser geschützt wären.

Ich habe mich jetzt mal so ein bisschen in die DSGVO eingelesen und im Grunde ist der Aufwand für eine "sich sinnig verhaltende" Webseite relativ gering. Bin aber auch kein Anwalt :D

Im Grunde muss man dokumentieren, was man mit den Daten der Nutzer eigentlich alles so anstellt und wie viel eigentlich erhoben wird. Das ist jedoch nicht allzu neu. Letztendlich speichert jeder Webserver in seinen Log-Files die Zugriffe, das schreibt man halt rein, wenn es nicht schon seit längerem drin steht.

Wer natürlich seine Webseite mit Social Media Buttons, Google Analytics und Co. vollgeballert hat, muss hier schon etwas mehr "Aufwand" rein stecken. Oder anders ausgedrückt: Wenn mit meinen Daten mehr passiert, als mir auf den ersten Blick ersichtlich ist, dann muss der Betreiber ran.

tl;dr: Wenn man als Anbieter keine Ahnung hat, was mit den Daten die man hat eigentlich passiert, dann hat man ein Problem. Alle anderen dokumentieren das einfach in der Datenschutzerklärung und fertig ist die Sache.

Analog betrifft das dann auch Firmen, die auch über andere Wege meine Daten haben.

Was fuer Software ist das? Hast du angedroht, sie nicht mehr zu kaufen, wenn sie bis Zeitpunkt X nicht konform einsetzbar ist? Wenn sie das nicht ist, war sie es mit relativ hoher Wahrscheinlichkeit unter BDSG eh auch schon nicht. Falls es sich um freie Software handelt: wurde dem Entwickler Unterstuetzung angeboten, ob finanziell, durch Informationen oder sonst was?
Ich glaube dir das schon, dass du dich informiert hast. Aber wenn das alles naemlich schon genuegend Leute vor 2 Jahren gemacht haetten, waere jetzt das Drama nicht da.


Es geht wahrscheinlich eher darum, dass die Software Hilfestellungen für die gängigen Tasks bieten. z.B. die Möglichkeit auf Knopfdruck die gespeicherten Daten in einem geeigneten Format zu exportieren, etc.

warum habe ich heute eigentlich hier kein popup erhalten was 3DC mit meinen daten anstellt? O_o

Liegt der Server des 3DCs nicht irgendwo auf den Jungferninseln oder so :biggrin:
Da war doch mal was.

warum habe ich heute eigentlich hier kein popup erhalten was 3DC mit meinen daten anstellt? O_o

Es ist soweit ich das gelesen habe nicht nötig explizit auf das DSGVO hinzuweisen. Hauptpunkt ist, dass man auf eine Datenschutzerklärung verlinkt.

Und wenn man keine Nutzer-Daten im "neuen DSGVO-Sinne" verarbeitet, dann braucht man auch keine erneute Einwilligung einholen. Ob und wie das 3DC (oder alle anderen Seiten im Netz) das jetzt alles rechtskonform umsetzt, dass kann wohl kaum einer mit 100%iger Sicherheit sagen.

Selbst die Datenschutz-Beauftragten von Heise sagten in der entsprechenden HeiseShow dazu, dass vermutlich niemand das DSGVO vollständig korrekt umsetzt.

Problematisch ist es nur, wenn du heute keine Datenschutzerklärung hast. Das ist dann in etwa so wie ein fehlendes Impressum. Ob deine Datenschutzerklärung konform ist, ist dann der nächste Schritt.

Liegt der Server des 3DCs nicht irgendwo auf den Jungferninseln oder so :biggrin:
Da war doch mal was.

Das ist für das DSGVO vollkommen egal. Wenn dein Angebot an europäische Benutzer gerichtet ist (oder sein kann), dann ist es vollkommen egal wo dein Server steht. Darum blocken auch gerade einige US-Seiten den Zugang von Europa aus.

Stimmt, sollte ich eigentlich wissen :biggrin::rolleyes:
Schande auf mein Haupt :freak:

BTW: Weiß hier wirklich niemand wo man seine Datenschutzerklärung rechtssicher auf Ebay verlinkt als gewerblicher Dealer mit Ebay Shop?
Auf Amazon könnte ich Hilfestellung geben aber Ebay überfordert mich gerade und scheinbar auch deren Hotline Mitarbeiter.

Das ist doch mal eine Datenschutzerklärung:
https://www.tagesspiegel.de/verlag-der-tagesspiegel-datenschutzerklaerung/22603436.html

X-D

Ok. DSGVO ergibt einen Sinn:

VII. Newsletter-Tracking
1. Beschreibung und Umfang der Datenverarbeitung
Mit der Öffnung eines Newsletters beginnt eine Newsletter-bezogene Messung des Leseverhaltens in dem Newsletter. Dieses Tracking erfolgt anonym ohne einen Bezug auf die Person des Nutzers und seiner gespeicherten personenbezogenen Daten. Eine Ausnahme davon bildet das Tracking der kostenpflichtigen Newsletter „Background“: wir können die Öffnungsrate eines Newsletters einer IP-Adresse zuordnen.

4. Dauer der Speicherung
Die Daten werden gelöscht, sobald sie für unsere Aufzeichnungszwecke nicht mehr benötigt werden.

https://www.tagesspiegel.de/verlag-der-tagesspiegel-datenschutzerklaerung/22603436.html

krass was so an emails reinkommt. hab bestimmt schon 30 emails deshalb erhalten, vl sogar mehr.

Dachte unser Datenschutzerklärung wäre schon lang. Aber GZ zur Tagesschau :biggrin:

Selbst die Datenschutz-Beauftragten von Heise sagten in der entsprechenden HeiseShow dazu, dass vermutlich niemand das DSGVO vollständig korrekt umsetzt.


Das würde auch absurde Formen annehmen, wenn man die DSGVO immer zu 100% einhält.
Q_P6Q3fkZB8

https://www.heise.de/security/meldung/l-f-Das-DSGVO-Absurditaetenkabinett-4057866.html

echt skurile Dinge dabei, z.B. die Telefon-Geschichte: telefonische Terminvergabe oder das Löschen von TelNr. aus den Telefonen. Ob solche Dinge überhaupt bedacht wurden? Die mehrere Seiten langen Datenschutzerklärungen sind auch der Hammer. Da kommt bestimmt noch einiges...

Für eure Kundenverteiler:

Hallo!

Aufgrund der neuen Datenschutzverordnung DSGVO, welche am Freitag 25.05.2018 in Kraft tritt habe ich eine neue Handynummer.

Ich möchte, dass Ihr sie vertraulich behandelt, deshalb sende ich sie euch verschlüsselt.

Einfach hier mit dem Schraubenzieher frei kratzen
0123/▓▓▓▓▓▓▓

Das ist doch mal eine Datenschutzerklärung:
https://www.tagesspiegel.de/verlag-der-tagesspiegel-datenschutzerklaerung/22603436.html

X-D
riesige ABM für Anwälte - als ob es davon nicht schon wesentlich mehr als genug gibt
Wo soll das noch hinführen?

Ich finde es prinzipiell recht positiv, dass die Unternehmen jetzt gezwungen sind klar zu dokumentieren, wo sie ihre (bzw. eher meine) Daten hinschicken.

Naja sind sie das wirklich? Das werden wir erst mal sehen.

Naja sind sie das wirklich? Das werden wir erst mal sehen.

Was ist denn dein Zweifel daran? Das ist doch der Sinn an der ganzen Geschichte des DSGVO.

"Papier" ist geduldig und so

Nein, der Grundgedanke der DSGVO ist durchaus richtig; und Datenschutz ist bestimmt auch keine Lappalie.

Aus dem Heise-Beitrag hier die für mich ehrlichste Datenschutzerklärung, die ich nun zum Teil auch übernommen habe, weil

a) ich auch eine private, eigenfinanzierte Webseite habe;
b) es verständlich ist;
c) es eindeutig steht;
d) und ich mich beim Durchlesen köstlich amüsiert habe. Lesen lohnt sich in diesem Fall wirklich.

man muss ja nicht auf meine Seite kommen. :rolleyes:

https://ditze.net/datenschutzerklaerung/

Naja, ich weiss jetzt nicht was die chronologische Reihenfolge war, aber wenn die von dir keine Erlaubnis erhalten haben, ist das löschen der Daten der korrekte Weg.
Nicht ganz, sie sind trotzdem nach BDSG 34 und 17 auskunftspflichtig, woher sie meine Daten haben.

Nein, der Grundgedanke der DSGVO ist durchaus richtig; und Datenschutz ist bestimmt auch keine Lappalie.
[...]
a) ich auch eine private, eigenfinanzierte Webseite habe;
[...]


Für private (nicht-kommerzielle) Webseiten gilt das DSGVO auch gar nicht. Sicherlich kann man, wie beim Impressum, "vorsichtshalber" sowas hinzufügen, aber niemand interessiert irgend ein 08/15 Blog im Internet. Genauso wie beim Impressum auch schon.

Es verlangt somit auch niemand von irgend einem kleinen Blogger irgendwo, dass er die Tätigkeiten von anderen großen Anbietern überwacht. Deswegen muss man meiner Meinung nach auch nicht gleich Drama-Queen spielen.

Wer sich bisher so gar nicht mit Datenschutz beschäftigt hat, für den ist das jetzt ein wunderbarer Weckruf. Nicht wenig Seiten bauen die ganzen Social Media Buttons überall ein, ohne auch nur zu wissen was das eigentlich alles für Auswirkungen hat. Hab auch schon ein paar Seiten gesehen die sich, nachdem sie sich damit endlich mal beschäftigt haben, sogar freiwillig den ganzen Kram entfernt haben. Ein paar sind auch freiwillig von Google Analytics auf Matomo/Piwik umgestiegen.

Es geht, wenn man will... oder... wenn man überhaupt gewusst hatte was man vorher für einen Blödsinn gemacht hatte.

Nein, der Grundgedanke der DSGVO ist durchaus richtig; und Datenschutz ist bestimmt auch keine Lappalie.

Aus dem Heise-Beitrag hier die für mich ehrlichste Datenschutzerklärung, die ich nun zum Teil auch übernommen habe, weil

a) ich auch eine private, eigenfinanzierte Webseite habe;
b) es verständlich ist;
c) es eindeutig steht;
d) und ich mich beim Durchlesen köstlich amüsiert habe. Lesen lohnt sich in diesem Fall wirklich.

man muss ja nicht auf meine Seite kommen. :rolleyes:

https://ditze.net/datenschutzerklaerung/


Man hab ich gelacht am frühen Morgen. Danke dafür!

Für private (nicht-kommerzielle) Webseiten gilt das DSGVO auch gar nicht. ...
Afaik gilt die DSGVO flankiert vom neuen BDSG für alle. edit: wenn es wirklich eine rein private Webseite, die sich nur mit eigenen/familiären Belangen bschäftigt, auf einem eigenen Server, ist, dann hat man wohl keinen Handlungsbedarf https://dsgvo-gesetz.de/art-2-dsgvo/

Afaik gilt die DSGVO flankiert vom neuen BDSG für alle. edit: wenn es wirklich eine rein private Webseite, die sich nur mit eigenen/familiären Belangen bschäftigt, auf einem eigenen Server, ist, dann hat man wohl keinen Handlungsbedarf https://dsgvo-gesetz.de/art-2-dsgvo/

Hast es ja schon selbst rausgefunden ;) Es gilt halt eben nicht für alle. In späteren Artikeln werden die "Dinge die man tun muss" noch weiter eingeschränkt, je nachdem wofür man diese Dinge tut.

Und ein Großteil der kleinen Webseiten fliegt schon bei Artikel 2 einfach mal raus. Und wer sich unsicher ist, der benutzt halt einfach mal 2 min einen Generator, wie man vermutlich schon vor Jahren beim Impressum getan hat, und legt sich wieder schlafen.

Natürlich machen die großen Medien-Webseiten, als größte Datenschleuder im Land überhaupt, gut Stimmung gegen das Gesetz... es betrifft sie ja direkt.

Für private (nicht-kommerzielle) Webseiten gilt das DSGVO auch gar nicht. Sicherlich kann man, wie beim Impressum, "vorsichtshalber" sowas hinzufügen, aber niemand interessiert irgend ein 08/15 Blog im Internet. Genauso wie beim Impressum auch schon.



Ist eine Seite, die sich an alle Chemie-Interessierten oder Schüler wendet privat? Bitte ein ja oder nein und eine Versicherung von Dir, dass Du für mögliche Konsequenzen haftest. :wink:

Man hab ich gelacht am frühen Morgen. Danke dafür!

Was mir besonders gefällt, ist, dass eben darauf eingegangen wird, wie es aussieht mit E-Mails, PlugIns, ...!

Sobald die Webseite etwas "kontroverser" wird, ist das DSGVO/BDSG sicher ein "wunderbarer" neuer Ansatzpunkt für Schikanen.

Ist eine Seite, die sich an alle Chemie-Interessierten oder Schüler wendet privat? Bitte ein ja oder nein und eine Versicherung von Dir, dass Du für mögliche Konsequenzen haftest. :wink:

Hab doch schon geschrieben: Wenn du dir unsicher bist, generiere bzw. schreibe dir eine Datenschutzerklärung und gut ist. Wenn du, mal von der IP-Adresse abgesehen, sonst keine persönlichen Daten hast, ist es noch ein Grund weniger rumzuheulen ;)

Ja, sagst Du. Aber das fängt ja schon mit Google Analytics an (welches nun mal noch bis Juni läuft).

Aber Deine Wortwahl gefällt mir.... "rumheulen". :freak:

Aber Deine Wortwahl gefällt mir.... "rumheulen". :freak:

Man verzeihe mir, dass ich beim Thema Datenschutz nicht allzu viel Humor habe ;) Und deine Datenschutz-Erklärung fällt da halt auch mit rein. Auf der einen Seite beschweren sich immer alle, was Google doch für eine bösartige Datenkrake doch ist, auf der anderen Seite "omg, ich nutze Google Analytics ihr werdet alle sterben, NICHT"...

Ist auch jetzt alles nicht nur an dich gerichtet, sondern einfach mal allgemein gesehen. Google tracked dich mit, ob du einen Account hast oder nicht, Facebook tracked dich auch mit, ob du einen Account hast oder nicht und all die ganzen Webseiten, Blogs und Co. helfen dabei fleißig mit. Und jetzt sollen sie sich mal hinsetzen und dokumentieren was sie eigentlich alles so umherschleudern und schon geht das große Mimimi los.

Man verzeihe mir, dass ich beim Thema Datenschutz nicht allzu viel Humor habe ;) Und deine Datenschutz-Erklärung fällt da halt auch mit rein. Auf der einen Seite beschweren sich immer alle, was Google doch für eine bösartige Datenkrake doch ist, auf der anderen Seite "omg, ich nutze Google Analytics ihr werdet alle sterben, NICHT"...

Ist auch jetzt alles nicht nur an dich gerichtet, sondern einfach mal allgemein gesehen. Google tracked dich mit, ob du einen Account hast oder nicht, Facebook tracked dich auch mit, ob du einen Account hast oder nicht und all die ganzen Webseiten, Blogs und Co. helfen dabei fleißig mit. Und jetzt sollen sie sich mal hinsetzen und dokumentieren was sie eigentlich alles so umherschleudern und schon geht das große Mimimi los.

Was glaubst Du, wie viel Leute momentan kein Humor bzgl. DSGVO haben. Und damit meine ich alle die, für die das Internet eine Möglichkeit war, trotz ihres begrenzten Wissens über Software, IP, ... einfach mit der weiten Welt zu kommunizieren. Egal ob das ein kleiner Verein, ein persönlicher Blog, eine Dorfhandwerksklitsche, der Bauer mit Dorfladen, ein Hobbyimker, ... ist.

Die meisten Leute sind die Daten egal; Google Fonts wurde automatisch bei der Installation des Templates mitinstalliert und aktiviert, etc. pp.! Die meisten von denen hegen keine böse Absichten sondern wollten im Rahmen ihrer Möglichkeiten einfach mit ihren paar Kunden informieren, ihre Interessen kundtun, schauen, wer alles auf ihrer Webseite vorbeischaut (ohne deren Namen zu ergründen), Vereinsnachrichten bekanntgeben und so weiter.

Und Deine Wortwahl zeigt doch genau das Problem. Die Leute, die unsicher sind, werden dann noch verächtlich gemacht und von oben herab behandelt. "Hättet ihr halt euch rechtzeitig darum gekümmert [ohne die ganze Panik vorher hätten sie die Konkretisierung doch gar nicht mitbekommen]", "sollte halt wissen, was sie tun", "heulen rum".

Mir ist das scheißegal, wer mich trackt oder nicht. Entweder installiere ich entsprechende Sachen für mein Browser oder ich lasse es.
Edit: Man konnte eigentlich auch schon vor der DSGVO auf seine Daten achten, wenn man denn wollte. Es ist ein Fehler zu glauben, dass wenn man Google, Facebook, Amazon, etc. nutzt und keine Vorkehrungen trifft, dann die Daten, die man angibt oder wo man sich bewegt nicht irgendwo gespeichert werden. Das wird sich auch mit DSGVO nicht ändern.
Und warum es gar nicht so einfach ist, alles zu dokumentieren zeigt doch sehr anschaulich die Datenschutzerklärung von Ditze. Durchgelesen? Es ist nämlich gar nicht so einfach.

Kannst Du jetzt die Frage beantworten, ob meine Seite als "privat" gilt? Du eierst nämlich genauso doof rum. :rolleyes:

Die Haushaltsausnahme faellt fuer dich IMHO flach, sobald du geschaeftlich vom Betrieb der Webseite profitierst.
Eine sichere Rechtsauskunft kann dir hier aber keiner geben, das wurde dir jetzt schon mehrfach gesagt.

Google Fonts wurde automatisch bei der Installation des Templates mitinstalliert und aktiviert, etc. pp.! Die meisten von denen hegen keine böse Absichten sondern wollten im Rahmen ihrer Möglichkeiten einfach mit ihren paar Kunden informieren, ihre Interessen kundtun, schauen, wer alles auf ihrer Webseite vorbeischaut (ohne deren Namen zu ergründen), Vereinsnachrichten bekanntgeben und so weiter.
Das ist ja genau das Problem. Sie wissen ueberhaupt nicht, was sie da tun. Und "gut gemeint" ist halt das Gegenteil von "gut gemacht". Nun schuetzt aber Torheit zum Glueck vor Strafe nicht.

Und Deine Wortwahl zeigt doch genau das Problem. Die Leute, die unsicher sind, werden dann noch verächtlich gemacht und von oben herab behandelt. "Hättet ihr halt euch rechtzeitig darum gekümmert [ohne die ganze Panik vorher hätten sie die Konkretisierung doch gar nicht mitbekommen]", "sollte halt wissen, was sie tun", "heulen rum".
Das ist doch im Prinzip das, was ich seit Anfang des Threads sage. Es stimmt halt einfach. Man kann halt nicht einfach eine Webseite bereiben und Nutzerdaten sammeln, einfach nur zum Spass. Du darfst ja auch beispielsweise nicht einfach zum Spass Busfahrer werden, sondern musst dich vorher erstmal mit allem befassen und das mit dem Erwerb einer Fahrerlaubnis nachweisen koennen. Wer dann ohne auf die Strasse geht und irgendwen oder irgendwas umfaehrt, es muss ja nicht gleich Personenschaden sein, kann dann auch sagen "ich wusste das aber gar nicht", bestraft wird er trotzdem, und das zu Recht. Das wirst du doch auch nicht abstreiten wollen?

Mir ist das scheißegal, wer mich trackt oder nicht. Entweder installiere ich entsprechende Sachen für mein Browser oder ich lasse es.
Mir ist es auch scheissegal, ob es anderen scheissegal ist. Aber es ist mir halt an dem Punkt nicht mehr egal, wo ich selbst betroffen bin, also z.B. meine Kontakte Dinge ueber mich offenlegen. Wenn meine Kontakte WhatsApp benutzen haben sie auch nichts "Boeses" im Sinn, trotzdem schicken alle meine Kontaktdaten dort hin, obwohl ich das nicht will.

Edit: Man konnte eigentlich auch schon vor der DSGVO auf seine Daten achten, wenn man denn wollte. Es ist ein Fehler zu glauben, dass wenn man Google, Facebook, Amazon, etc. nutzt und keine Vorkehrungen trifft, dann die Daten, die man angibt oder wo man sich bewegt nicht irgendwo gespeichert werden. Das wird sich auch mit DSGVO nicht ändern.
Die werden auch gespeichert, wenn man die genannten Dienste nicht nutzt. Und genau hier setzt die DSGVO an, dass korrekte und vollstaendige Information der Betroffenen und konformes Verhalten durchgesetzt werden koennen. noyb hat beispielsweise schon mit dem Klagen begonnen, ich waere mal vorsichtig mit der Aussage es aendere sich nichts.

Die meisten Leute sind die Daten egal

Was ihnen aber nicht automatisch das Recht gibt diese Daten durch die halbe Welt zu schleudern. Sei es Unwissen oder Absicht. Vollkommen egal. Wer all den Scheiß einbindet, der muss sich auch damit befassen. Mir braucht keiner erzählen, dass die Webseite ohne Googly Analytics und Social Media Buttons nicht funktionieren würde. Das ist albern.

Und niemand wird Max Mustermann aus Musterhausen wegen seinem Blog vor's Gericht zerren. Auch nicht irgend einen Verein der eine reine Info-Seite hat. Man muss auch einfach mal realistisch bleiben, statt das Gejammer der Medien-Seiten nachzuäffen.

Mir ist das scheißegal, wer mich trackt oder nicht.

Mir nicht.

Es ist ein Fehler zu glauben, dass wenn man Google, Facebook, Amazon, etc. nutzt und keine Vorkehrungen trifft, dann die Daten, die man angibt oder wo man sich bewegt nicht irgendwo gespeichert werden.

Wie ich bereits gesagt habe: Du brauchst diese Dienste gar nicht aktiv nutzen, um von ihnen getracked zu werden. Du brauchst weder einen Account, noch brauchst du diese Webseiten aktiv aufrufen. Das machen all die Webseiten, Blogs und Co. für dich ganz von alleine.

Kannst Du jetzt die Frage beantworten, ob meine Seite als "privat" gilt? Du eierst nämlich genauso doof rum. :rolleyes:

Wie ich bereits gesagt habe: Das kann nur der Betreiber der Seite für sich ausmachen. Wenn diese Webseite in keinem kommerziellen Interesse steht, dann ist sie privat. Ob deine Webseite für dich in einem kommerziellen Interesse steht, kann ich dir schlecht beantworten. Ich bin nicht du und ich kenne dich auch nicht. Darum sagte ich: Wirf im Zweifel einen Generator an, klatsche es auf die Seite und gut ist. Kein Schwein interessiert sich für deine Seite im Speziellen. Und mach dir vielleicht Gedanken, ob du den ganzen Quatsch auf der Webseite überhaupt benötigst.

Und es wurden doch schon Verbesserungen im Gesetz angekündigt. Man muss nicht so tun als wurde gerade jede kleine Webseite auf der Welt angezeigt.

Einfach mal auf dem Teppich bleiben und nicht so tun als wäre man Facebook höchstpersönlich.

Das Problem sind auch die Default-Einstellungen von eingesetzter Software. Damit mein ich jetzt nicht nur aktuelle Microsoft-, Google- oder Apple-Produkte, sondern auch z.B. Wordpress und die Plugins: Ich hatte mich damit nie groß beschäftigt und war erstaunt, dass die Standard-Wordpress-Themes sich die Fonts von den Google-Servern holen, anstatt die einfach lokal aufm Server zu speichern. Selbst im Backend wurden Verbindungen zu Google aufgebaut oO. Bei den Plugins musste auch aufgeräumt werden, hatte aber nur 2, welche wirklich problematisch waren.

Ich selber bin gar kein Webentwickler und ich denke so geht es bei vielen Blogs zu, dass die Dinge erstmal Out-of-the-Box benutzt werden. Am Ende zählt bei vielen einfach nur das Ergebnis und nicht wie es erreicht wird. Bei mir werden die Fonts jetzt von meinem Server abgerufen, die Seite sieht aber immernoch genauso aus.

Das ist halt auch einer der Gründe, warum die Umsetzung der DSGVO so aufwendig ist. Eigentlich hätte die E-Privacy-Verordnung mit ihrem Privacy-by-Design/Default noch vor der DSGVO herauskommen müssen. Dann wäre vlt schon die ein oder andere Software angepasst oder Geräteeinstellungen standardmäßig anders gesetzt worden.

Noch ein Beispiel: Falls in eurem Unternehmen Windows 10-Clients in Windows-Domänen eingesetzt werden, könnt ihr Euch ja mal von den Admins die Gruppenrichtlinien bezüglich des Datenschutzes zeigen lassen. Die werden fast so lang wie Datenschutzerklärungen mancher Webseiten. :eek:

Ist auch jetzt alles nicht nur an dich gerichtet, sondern einfach mal allgemein gesehen. Google tracked dich mit, ob du einen Account hast oder nicht, Facebook tracked dich auch mit, ob du einen Account hast oder nicht und all die ganzen Webseiten, Blogs und Co. helfen dabei fleißig mit. Und jetzt sollen sie sich mal hinsetzen und dokumentieren was sie eigentlich alles so umherschleudern und schon geht das große Mimimi los.
Das Problem ist, die mMn. exorbitanten Dokumentationspflichten stehen der Datensparsamkeit diametral gegenüber. Mit "hinsetzen und dokumentieren" ist das bei Weitem nicht getan. Da werden mehrere Leute mehrere Wochen sitzen und bedrucktes Papier produzieren. Zweitens, ein Unternehmen welches unabsichtlich Daten sammelt weil das "kostenlose" CMS beim Hoster was an Google schickt wird eh' nicht in der Lage sein das zu dokumentieren was da an Google geschickt wird. Das werden wohl selbst IT-Spezialisten nicht gesetzeskonform können angesichts der Schnellebigkeit irgendwelcher "Web-Frameworks". Das Einzige was hier hilft ist die Website abschalten.

Das Problem ist, die mMn. exorbitanten Dokumentationspflichten stehen der Datensparsamkeit diametral gegenüber. Mit "hinsetzen und dokumentieren" ist das bei Weitem nicht getan. Da werden mehrere Leute mehrere Wochen sitzen und bedrucktes Papier produzieren. Zweitens, ein Unternehmen welches unabsichtlich Daten sammelt weil das "kostenlose" CMS beim Hoster was an Google schickt wird eh' nicht in der Lage sein das zu dokumentieren was da an Google geschickt wird. Das werden wohl selbst IT-Spezialisten nicht gesetzeskonform können angesichts der Schnellebigkeit irgendwelcher "Web-Frameworks". Das Einzige was hier hilft ist die Website abschalten.

Ja wie ich gestern schon geschrieben habe: Wenn du keine Ahnung hast, was mit deinen (bzw. meinen) Daten eigentlich passiert, dann hast du ein Problem. Und ich finde es verdammt gut, dass diese Leute jetzt ein Problem haben.

Es ist aber unsinnig jetzt das absolute Worst-Case Szenario zu konstruieren und es dann als Regelfall hochzupushen und es auf jede noch so kleine Webseite oder Blog anzuwenden. Gerade wenn wir "nur" von der Verarbeitung der IP-Adresse reden.

Es wird vom Gesetz her schnell klar, dass es dabei hauptsächlich um "wirkliche" persönliche Daten geht wie deine Telefon-Nummer, Name, Anschrift und Co. Darum finde ich es albern hier dauernd von kleinen Blogs, Vereins-Seiten oder kleineren Firmen-Seiten zu reden, die nicht mal solche Daten erfassen.

Es ist aber unsinnig jetzt das absolute Worst-Case Szenario zu konstruieren und es dann als Regelfall hochzupushen und es auf jede noch so kleine Webseite oder Blog anzuwenden. Gerade wenn wir "nur" von der Verarbeitung der IP-Adresse reden.
Das gilt aber auch nur fuer ausschliesslich private Blogs, die eben keine CDNs oder Analytics oder Affiliate-Links benutzen. Und das machen soweit ich das sehe, fast alle. Eben auch, weil man nur irgendwelche Homepage-Baukaesten benutzt oder vorgefertigte CMSe mit Plugins.
Irgendwie hat sich halt die oeffentliche Meinung durchgesetzt, dass wirklich jeder ohne die geringste Ahnung eine Webseite betreiben kann, erst mit diesen Baukaesten, dann mit Wordpress usw. Dass WP und die ganzen Pluginanbieter kein Geld verlangen hat offenbar auch nie wen gewundert und jetzt haben sie es halt an der Backe.

Es wird vom Gesetz her schnell klar, dass es dabei hauptsächlich um "wirkliche" persönliche Daten geht wie deine Telefon-Nummer, Name, Anschrift und Co. Darum finde ich es albern hier dauernd von kleinen Blogs, Vereins-Seiten oder kleineren Firmen-Seiten zu reden, die nicht mal solche Daten erfassen.
Der kleine Privatblog vielleicht nicht, aber gerade Vereine verarbeiten Kontaktedaten, Anschrift, Bankverbindungen, Leistungsdaten, Anwesenheit, Fotografien ... zu Mitgliedern, teils auch welchen, die laengst ausgetreten sind, nie Mitglied waren, oft auch besonders schuetzenswerte Daten Kinder oder Jugendlicher aus der Jugendarbeit usw. usf. Und was man da sieht, ist hanebuechen. Deshalb gibt es eigentlich auch Verbaende, die da Hilfestellung fuer Vereine gleicher Gattungen geben sollten, aber die haben so wie ich das sehe auch schon alle gepennt.

Ok, jetzt läuft einiges auf; wobei qiller und Exxtreme schon das meiste gesagt haben.


Eine sichere Rechtsauskunft kann dir hier aber keiner geben, das wurde dir jetzt schon mehrfach gesagt.


Das ist mir klar. Ich wollte damit nur Ganon aufzeigen, dass es eben nicht so einfach ist, wie er es darstellt. :wink:

Das ist doch im Prinzip das, was ich seit Anfang des Threads sage. Es stimmt halt einfach. Man kann halt nicht einfach eine Webseite bereiben und Nutzerdaten sammeln, einfach nur zum Spass. Du darfst ja auch beispielsweise nicht einfach zum Spass Busfahrer werden, sondern musst dich vorher erstmal mit allem befassen und das mit dem Erwerb einer Fahrerlaubnis nachweisen koennen.

Autovergleich im weitesten Sinne. :wink: Dieser Vergleich passt auf so viele Ebenen nicht, dass ich damit gar nicht anfangen mag das zu hinterfragen.

Ich bekomme kein Bus für lau, eine Internetseite aber durchaus. Lassen wir es einfach dabei und kommen damit direkt zum Punkt, welcher qiller auch angesprochen hat: Dann sollte man halt zunächst ein Softwarepaket schnüren, welches die DSGVO-Regeln beachtet.


Bzgl. WhatsApp: Dann sollte man doch eher WhatsApp bzw. deren Praxis verbieten als die Kunden haften, die zum Großteil Minderjährig sind und deren Eltern doch sowieso schon überfordert sind.


Was ihnen aber nicht automatisch das Recht gibt diese Daten durch die halbe Welt zu schleudern. Sei es Unwissen oder Absicht. Vollkommen egal. Wer all den Scheiß einbindet, der muss sich auch damit befassen. Mir braucht keiner erzählen, dass die Webseite ohne Googly Analytics und Social Media Buttons nicht funktionieren würde. Das ist albern.


Und ich denke, man muss doch auch nicht die Seiten besuchen, die das machen, oder? Nutze halt nur die Seiten, von denen Du sicher bist, dass sie Deine Daten nicht durch die Welt schicken.

Und niemand wird Max Mustermann aus Musterhausen wegen seinem Blog vor's Gericht zerren. Auch nicht irgend einen Verein der eine reine Info-Seite hat. Man muss auch einfach mal realistisch bleiben, statt das Gejammer der Medien-Seiten nachzuäffen.

Du überzeugst mich mit dieser Aussagen: abstruse Abmahnverfahren gab es hier in Deutschland noch nie.:wink: Kein Mensch würde sich über DSGVO aufregen, wenn es keine Möglichkeiten gäbe sofort abzumahnen. Warum nicht einfach die Möglichkeit schaffen, dass zunächst nur Ermahnt und im Wiederholungsfall dann richtig zugegriffen wird?


Und es wurden doch schon Verbesserungen im Gesetz angekündigt. Man muss nicht so tun als wurde gerade jede kleine Webseite auf der Welt angezeigt.

Einfach mal auf dem Teppich bleiben und nicht so tun als wäre man Facebook höchstpersönlich.

Es ist jetzt nicht böse gemeint, aber Du scheinst Dich nicht in andere Personen hineinversetzen zu können. Die können keine Abmahnung einfach mal so wegwischen. Und auch wenn die Gefahr gering sein mag, die öffentliche Wahrnehmung ist eine andere. Ich kenne aus meinen persönlichen Umfeld leider schon einige Vereinsseiten und Einmannbetriebseiten, die jetzt einfach (edit: die Seite) schließen, weil vieles eben nicht klar ist. Deine persönliche Versicherung, dass sie bestimmt nicht abgemahnt werden ist halt keine Rechtssicherheit.

Ich bekomme kein Bus für lau, eine Internetseite aber durchaus. Lassen wir es einfach dabei und kommen damit direkt zum Punkt, welcher qiller auch angesprochen hat: Dann sollte man halt zunächst ein Softwarepaket schnüren, welches die DSGVO-Regeln beachtet.
Das ist doch genau der Punkt: eine Webseite laesst sich eben *nicht* kostenfrei betreiben. Domain, Server und Traffic, die Entwicklung der Software, die du einsetzt, verursachen Kosten. Wenn du das nie hinterfragt hast, ist das dein Problem, nicht das des Nutzers.

Und das andere hatte ich auch schon angesprochen: wenn es keine Nachfrage nach solcher Software gibt, wird sie halt nicht entwickelt. Software entwickelt sich naemlich eben auch *nicht* umsonst, sondern wird immer von Menschen geschrieben, die auch von etwas leben muessen. Dabei ist es auch voellig egal, ob es sich um proprietaere oder freie Software handelt.


Bzgl. WhatsApp: Dann sollte man doch eher WhatsApp bzw. deren Praxis verbieten als die Kunden haften, die zum Großteil Minderjährig sind und deren Eltern doch sowieso schon überfordert sind.
Das ist zwar im Grundgedanken richtig, man kann aber nicht alles grundsaetzlich einfach mal so verbieten, sondern muss sich daran halten, wer nicht rechtskonform handelt. WA laesst sich von jedem Nutzer vor der Nutzung ausdruecklich bestaetigen, dass er das Einverstaendnis aller seiner Kontakte hat. Wenn man das bejaht, obwohl man es nicht stimmt, kann man zu Recht Probleme bekommen.
Ausserdem habe ich ja schon gesagt, dass noyb u.A. gegen WA vorgeht.

Vielleicht verfärben sich meine Erinnerungen bzgl. Internet ja dank meines fortgeschritten Alters. Aber hat das Internet nicht mit einer anderen Prämisse begonnen?

Ich finde es bedenklich, wenn man die Arroganz besitzt und sagt, wenn ihr keine IT-Spezialisten sind, macht keinen Blogs, keine Seite; nutzt das Internet nur als passive Konsumenten. :rolleyes:

Mich irritiert eher die Hysterie von denen, die meinen dass ihre Freiheit dank Google-Fonts und Facebook-Like Buttons zerstört wird. Dann nutzt diese doch nicht.

Ich denke aber auch, dass eine positive Entwicklung ist, dass Software in Zukunft datenschutzkonformer wird. Um die vielen, kleinen Hobbyseiten und ihre Nutzer, die jetzt abspringen tut es mir, im Vergleich zu euch beiden, wirklich leid. Damit wird das Internet nur ärmer und einseitiger; ohne dass sich für die Großen großartig was ändern wird (da bin ich ziemlich überzeugt von).

Edit: Es gibt durchaus schon positive Auswirkungen: http://www.badische-zeitung.de/freiburg/erzdioezese-stoppt-livestreams-aus-dem-freiburger-muenster-wegen-des-datenschutzes

BTW: Darf man eigentlich noch Sendungen ausstrahlen, wo Menschen; Kinder im Hintergrund zu sehen sind? Zum Beispiel Sportveranstaltungen?

Zu den Abmahnungen hatte ich ja schon geschrieben, dass die Chance eher gering ist, vor allem bei reinen privaten Seiten (siehe auch meine Links in diesem Post (https://www.forum-3dcenter.org/vbulletin/showthread.php?p=11702583#post11702583)). Was auch positiv zu sehen ist: Wer bezgl. der DSGVO andere Unternehmen abmahnt, muss auch selber die DSGVO vollständig konform umsetzen, sonst kann er sich genauso eine Gegenabmahnung einhandeln. Und bei der jetzigen Gemenge-Lage würde ich mir nicht anmaßen, ein 100%-DSGVO-proved-Siegel anzutackern.

Was auch schon erwähnt wurde: Die Trennung privat<->geschäftlich ist nicht immer so einfach zu treffen. Vermeintlich private Webseiten, die einen Bezug zur beruflichen Tätigkeit herstellen, sind da auf jeden Fall grenzwertig. Spätestens wenn die Seite Werbecharakter hat, würden Richter auch eine kommerzielle Absicht unterstellen.

Ich bin auch eher auf der positiven Seite der Reform. Natürlich ist es hier und da schwierig, aber der Nutzen überwiegt IMHO. Bei uns ist es auch eine Menge Arbeit, aber es gibt dadurch z.B. auch Druckmittel, die wir vorher gegenüber unseren Auftragnehmern so nicht hatten (überzeuge mal MS davon ihre Datenschutzthemen für Dich als Kunden zu ändern: Viel Spaß).

Klar ist es für den 08/15-Webseitenbetreiber schwierig. Aber ja, dann muss er sich mit ein paar Dingen beschäftigen oder sie eben lassen.
Man sehe sich nur mal an wie Zuckerberg bei dem Thema der Schattenaccounts (Leute, die nicht bei FB sind, aber dennoch "mittelbar" getrackt werden) laviert.

Du verkennst doch voellig den ganzen Zweck der Sache. Es geht eben nicht darum, dass man Experte sein muss und sonst nichts duerfen soll, sondern darum, dass man sich vorher mal Gedanken darueber machen sollte, was man da ueberhaupt tut. So wie in allen anderen Lebensbereichen halt auch.
Eine solche Webseite funktioniert ganz gut auch ohne Google Fonts, Like-Buttons und sonstige Tracker und wenn der Betreiber drei Sekunden darueber nachdenkt, wird er wohl hoffentlich zu diesem Schluss kommen. Wofuer brauchst du das ueberhaupt auf einer Privatseite? Einfach nur weil's dich interessiert? Du kannst auch nicht die Strasse abfilmen, weil dich interessiert wer da rum faehrt oder vorbeilaeuft und die Daten an irgendwen schicken. Es muss doch ueberhaupt kein Kleinbetrieb oder Privater seinen Dienst wegen der DSGVO einstellen, er soll sich nur mal Gedanken darueber machen, was er all die Jahre falsch gemacht hat und mal aufraeumen. Dass das fuer die Kleinen eben nicht das angeprangerte Hexenwerk ist, haben wir jetzt glaube ich auch schon hinreichend diskutiert.
Du verstehst ja gar nicht, dass das dann eben nicht den Betreiber, sondern in erster Linie Google und Facebook trifft. Was meinst du denn, warum die wollen, dass jeder deren Kram benutzt?
Das Web ist in dieser Hinsicht entartet und hat mit den Anfangszeiten des Internets doch ueberhaupt nichts mehr zu tun. Deshalb verstehe ich auch auch nicht, wozu du hier die Nostalgie-Karte ziehst.

Und bei der Kirche findest du es aber ploetzlich gut? Warum, weil du ein Problem mit Religionen hast? Weil Videoaufnahmen eines Messdieners, der da oeffentlich und freiwillig seinen Dienst verrichtet fuer dich schuetzenswerter sind als die Daten der Webseitenbesucher, aus denen sich im Allgemeinen der Tagesablauf, der raeumliche Aufenthaltsort, Einkommen, Infos zum sozialen Umfeld, Hobbies, Interessen, Job, ... schliessen lassen? Es geht doch gar nicht darum, was du mit den Daten machst, sondern eben Google mit den *Daten aller Besucher aller Webseiten*, deren Betreiber zu faul sind, selbst ihre Fonts zu hosten.

Stell dir einfach mal vor, du haettest keine Webseite, sondern eine kleine Bibliothek mit Chemie-Buechern. Da sind also ein paar Regale drin und ein paar Schreibtische. Hinter jeder Wand ist ein venezianischer Spiegel, hinter denen Mitarbeiter von Google, Facebook, usw. stehen und die Leute beobachten. Wer ein und aus geht, wann, wie sie angezogen sind, was sie bei sich tragen, welche Bucher sie lesen, welche Seiten aus den Buechern fuer welche Personen besonders interessant erscheinen. Welche Buecher eher fuer besser gekleidete Personen interessant sind und welche fuer Maenner mit Brille. Willst du das deinen Besuchern wirklich zumuten, nur weil sie dir dann jeden Tag sagen koennen "heute waren 18 Leute in deiner Bib" und sie einen Anteil an der Raummiete zahlen? Brauchst du das wirklich? Jetzt ist es halt so, dass es keine Spiegel mehr sind, sondern Fenster und du draussen ein Schild aufhaengen musst, dass diese Leute da sind und alles beobachten. Wird die Hemmschwelle jetzt groesser diese Leute in dein Haus zu lassen? Meinst du nicht, dass das eventuelle Interessenten abschreckt?
Wenn sich jeder Betreiber einfach mal Gedanken darueber machen wuerde, waere schon vielen geholfen. Und das hat gar nichts damit zu tun, dass ich irgendwem verbieten will, eine Webseite zu veroeffentlichen.

Mich irritiert eher die Hysterie von denen, die meinen dass ihre Freiheit dank Google-Fonts und Facebook-Like Buttons zerstört wird. Dann nutzt diese doch nicht.


Zumindest was Google-Fonts betrifft: Das ist in den Themes von WP standardmäßig eingebaut. Wenn du von sowas nur wenig Ahnung hast, denkst du doch erstmal nicht daran, dass deine selber gehostete Webseite sich Ressourcen von außerhalb holt. Ich mein dann kann ich den Blog auch gleich auf Blogspot o.ä. online bringen. Deswegen hätte man ja auch die E-Privacy-Verordnung schon vorher oder zumindest zeitgleich mit der DSGVO scharf schalten müssen, damit eben standardmäßig der Datenschutz ein höheren Stellenwert bekommt.

Für Otto-Normalo sind verpflichtende, datenschutzfreundliche Default-Einstellungen viel wichtiger, als ellenlange Datenschutzerklärungen mit verschiedensten Opt-Out-Möglichkeiten. Die DSGVO erhöht nur den Bürokratieaufwand für die Unternehmen, die E-Privacy-Verordnung bringt dann (hoffentlich) den Datenschutz zum Normalo-Bürger. Ich sehe nicht, dass die Tracker auf den großen Portal- und Newsseiten geringer geworden sind, sondern nur längere Datenschutzerklärungen.

Ich glaube, wir reden die ganze Zeit massiv aneinander vorbei. Das meiste wurde doch sowieso schon gesagt und jetzt sind es halt Standpunkte, die noch ausgetauscht werden.

Nochmals: Ich finde Datenschutz als solches richtig und wichtig; ich finde die Umsetzung aber in Teilen unglücklich. Auch gebe ich Dir Recht, dass es Zeit wird, dass man z.B. über die Problematik von Google Fonts aufklärt.


Eine solche Webseite funktioniert ganz gut auch ohne Google Fonts, Like-Buttons und sonstige Tracker und wenn der Betreiber drei Sekunden darueber nachdenkt, wird er wohl hoffentlich zu diesem Schluss kommen.


1. Den Webseitenbetreiber wird das bei der Erstellung gar nicht mitgeteilt, welche Probleme es mit sich bringt;
2. Die ganze Welt vormacht, dass an jeder Ecke Like-Buttons sind;
3. Tracker durchaus die Neugierde befriedigt, woher und wie viele Menschen meine Seite überhaupt nutzen.

Einfach nur weil's dich interessiert? Du kannst auch nicht die Strasse abfilmen, weil dich interessiert wer da rum faehrt oder vorbeilaeuft und die Daten an irgendwen schicken.

Wusste nicht, dass meine Seite die "Straße" darstellt; ich mit meiner Seite Fotos der Personen mache und diese sonstwohin schicke. Deine Vergleichskunst (siehe Bus) und Differenzierungsmöglichkeit ist eine hohe. ;-)


Es muss doch ueberhaupt kein Kleinbetrieb oder Privater seinen Dienst wegen der DSGVO einstellen, er soll sich nur mal Gedanken darueber machen, was er all die Jahre falsch gemacht hat und mal aufraeumen. Dass das fuer die Kleinen eben nicht das angeprangerte Hexenwerk ist, haben wir jetzt glaube ich auch schon hinreichend diskutiert.


Tja, das sagst Du. Das Ergebnis ist aber häufig ein komplett anderes. Die Leute lassen es einfach, selbst wenn sie es nicht müssten. Auch ich war kurz davor es zu lassen; aber da meine Seite inhaltlich eher Monate als Woche an Zeit verschlungen habe, lasse ich sie vorerst online; hoffe, dass ich alle Plug-Ins, die veraltet sind, entfernt habe und ich in allen Tiefen Google-Fonts entfernt habe [nicht zuletzt weil mir etliche Leute geschrieben habe, was für eine Erleichterung diese Seite darstellt].

Deine Arroganz darüber, dass es für Dich kein Hexenwerk ist, hilft ja den Leuten nicht, die sich damit schwer tun. Und die hier geposteten Beispiele zeigen ja, dass eine wörtliche Umsetzung dieser Verordnung gar nicht möglich ist (was die Sache an und für sich schon etwas absurd macht).

Du verstehst ja gar nicht, dass das dann eben nicht den Betreiber, sondern in erster Linie Google und Facebook trifft. Was meinst du denn, warum die wollen, dass jeder deren Kram benutzt?

:eek: Und hier widerspreche ich Dir. Wo trifft es jetzt Google oder Facebook? Warum hören viele mit ihrer Seite auf, wenn es doch eigentlich nur Google und Facebook trifft? Warum fragen viele nach?

Also diese Aussage, dass es nur die Großen trifft, halte ich jetzt doch für fast dreist. ;-)


Und bei der Kirche findest du es aber ploetzlich gut?

Ok. Ironie ist ein schwieriges Gebiet. :wink:

@qiller: Ich bin komplett bei Dir. :smile: Ich meinte damit, dann nutzt diese Seite nicht.

Edit: Frage an iuno und ganon: Habt ihr alle neue Datenschutzerklärungen der Seiten gelesen, die ihr nun besucht?

Und ich denke, man muss doch auch nicht die Seiten besuchen, die das machen, oder? Nutze halt nur die Seiten, von denen Du sicher bist, dass sie Deine Daten nicht durch die Welt schicken.

Und das weiß ich woher? Genau: Durch die Datenschutzerklärung.


Du überzeugst mich mit dieser Aussagen: abstruse Abmahnverfahren gab es hier in Deutschland noch nie.:wink: Kein Mensch würde sich über DSGVO aufregen, wenn es keine Möglichkeiten gäbe sofort abzumahnen. Warum nicht einfach die Möglichkeit schaffen, dass zunächst nur Ermahnt und im Wiederholungsfall dann richtig zugegriffen wird?

Wurde dir ja schon gesagt. Du kannst hier nicht einfach blind abmahnen.

Es ist jetzt nicht böse gemeint, aber Du scheinst Dich nicht in andere Personen hineinversetzen zu können.

Ich bin von der ganze Sache auch betroffen, nur so zur Info. Aber auch wenn ein Verein jetzt plötzlich seine Seite zumacht. Sie haben die Daten ja trotzdem noch. D.h. sie können sich damit nicht einfach "rausmogeln".

Wie viele von denen, die du kannst, haben denn überhaupt das Gesetz mal gelesen?

Edit: Frage an iuno und ganon: Habt ihr alle neue Datenschutzerklärungen der Seiten gelesen, die ihr nun besucht?

Mit großem Interesse, ja.

1. Den Webseitenbetreiber wird das bei der Erstellung gar nicht mitgeteilt, welche Probleme es mit sich bringt;
2. Die ganze Welt vormacht, dass an jeder Ecke Like-Buttons sind;
3. Tracker durchaus die Neugierde befriedigt, woher und wie viele Menschen meine Seite überhaupt nutzen.
Wer soll es denn allen mitteilen? Man hat sich einfach darueber zu informieren, was man macht, was man darf und was nicht. Ich habe es schonmal gesagt: Torheit schuetzt vor Strafe nicht. Es kann nicht ueberall jedem jemand hinterherrennen, der einem sagt, was man zu tun und zu lassen hat. Und wer soll das ueberhaupt sein? Dass die Mehrheit irgendwas macht, war noch nie ein besonders guter Grund oder Rechtfertigung fuer irgendwas. Man muss schon mit sich selbst ausmachen, was man verantworten will und kann.
Wenn diese Neugier so unbedingt befriedigt werden muss kannst du auch anonyme Statistiken fuehren, ohne die Daten deiner Besucher an derartige Konzerne offenzulegen.

Wusste nicht, dass meine Seite die "Straße" darstellt; ich mit meiner Seite Fotos der Personen mache und diese sonstwohin schicke. Deine Vergleichskunst (siehe Bus) und Differenzierungsmöglichkeit ist eine hohe. ;-)
Man ist ja foermlich gezwungen, solche Vergleiche zu ziehen, weil der Datenschutz staendig ueberall bagatellisiert und das Verhalten schoengeredet wird. Bringt aber auch nichts, wenn man alles an sich abperlen laesst und offenbar einfach keinen Bock auf die Thematik hat. Wenn wir schon dabei sind uns gegenseitig persoenliche Vorwuerfe zu machen: Du kannst einfach nicht projizieren oder tust einfach nur so, weil du es nicht willst. Du behauptest ja schon wieder, es ginge nicht um schuetzenswerte Daten. Nochmals: nicht was du damit machst ist entscheidend, sondern welche Schluesse die anderen daraus ziehen konnen. Auch wenn ich es leid bin, mich zu wiederholen, fuer dich nochmal: Die Daten aller Besucher aller Webseiten, die z.B. Google Fonts benutzen sagen viel mehr ueber eine Persoenlichkeit aus, als wenn du ein einziges Foto einer Person auf der Strasse machst. Und nur darum geht es.

Die Leute lassen es einfach, selbst wenn sie es nicht müssten. Auch ich war kurz davor es zu lassen; aber da meine Seite inhaltlich eher Monate als Woche an Zeit verschlungen habe, lasse ich sie vorerst online; hoffe, dass ich alle Plug-Ins, die veraltet sind, entfernt habe und ich in allen Tiefen Google-Fonts entfernt habe [nicht zuletzt weil mir etliche Leute geschrieben habe, was für eine Erleichterung diese Seite darstellt].

Deine Arroganz darüber, dass es für Dich kein Hexenwerk ist, hilft ja den Leuten nicht, die sich damit schwer tun. Und die hier geposteten Beispiele zeigen ja, dass eine wörtliche Umsetzung dieser Verordnung gar nicht möglich ist (was die Sache an und für sich schon etwas absurd macht).

:eek: Und hier widerspreche ich Dir. Wo trifft es jetzt Google oder Facebook? Warum hören viele mit ihrer Seite auf, wenn es doch eigentlich nur Google und Facebook trifft? Warum fragen viele nach?

Also diese Aussage, dass es nur die Großen trifft, halte ich jetzt doch für fast dreist. ;-)
Ist ja auch ihr gutes Recht, es einfach zu lassen, wenn man keinen Bock hat, sich damit zu beschaeftigen was es bedeutet Nutzerdaten zu verarbeiten. Und wenn jemand wie du, der sich ja immerhin schon damit befasst hat und Datenschutz grundsaetzlich fuer richtig haelt, schon so wenig Einsicht zeigst, tut es mir auch um die, die es ueberhaupt nicht juckt kein bisschen leid, dass sie jetzt ihren Dienst einstellen "muessen".

Das hat mit Arroganz immer noch nichts zu tun, aber findest du diesen Vorwurf nicht recht dreist weil ich hier schon seitenlang mit dir darueber diskutiere, obwohl es mir persoenlich keinen Vorteil bringt und ich in keinem Verhaeltnis zu dir oder deiner Seite stehe? Das wir und die anderen hier was schreiben beweist doch nur, dass die Leute, die du ansprichst, die sich damit schwer tun, eben Hilfe bekommen koennen, wenn sie nur suchen. Es wurde ja auch schon oft genug gesagt: an Verhaeltnismaessigkeit denken und einfach den gesunden Menschenverstand benutzen. Man wird nicht einfach so fuer einen privaten Blog abgemahnt, da kann man sich bei Gleichgesinnten schon hinreichende Hilfe holen. Und wenn man geschaeftliche Ambitionen hat, kann man auch dafuer bezahlen, oder man laesst es halt und lebt mit dem Risiko oder wandert aus und verzichtet auf die sonstigen Annehmlichkeiten die einem das Leben hier bietet. Es ist doch ganz einfach, wer ein Geschaeft machen will, hat sich an die Regeln zu halten. Wenn das fuer dich Arroganz ist, ok.

Und ja, ich lese Datenschutzerklaerungen, schon aus Interesse. Viele erkennt man aus Generatoren wieder, aber manche geben sich auch tatsaechlich grosse Muehe.

Genau für diesen Meinungsaustausch ist der Thread ja da. Versucht bitte nur nicht immer nur von Eurem persönlichen Standpunkt auszugehen (und deswegen Vorwürfe an den anderen zu richten :x).

@Menace: Ich würde mich mal mit meinen Laienkenntnissen sehr weit aus dem Fenster lehnen und behaupten, dass deine Seite zumindest wegen der DSGVO niemals abgemahnt werden wird.

-Opt-In für Cookies/Google Analytics
-umfangreiche Datenschutzerklärung
-Impressum
-wenig Verbindungen zu 3.Quellen: das einzige was ich neben dem einwilligungspflichtigen GA gefunden habe, waren deine Fotos
-privater Charakter, Bildungsauftrag

Also mal ganz ehrlich. Falls es hier nen Juristen gibt, wärs schön, wenn der mal darlegen könnte, auf welcher Grundlage so ein Webseitenbetreiber abgemahnt werden können soll. Mir ist klar, 100% safe ist nix, aber aus meiner Sicht gibts da kein Grund.

Ist ja auch ihr gutes Recht, es einfach zu lassen, wenn man keinen Bock hat, sich damit zu beschaeftigen was es bedeutet Nutzerdaten zu verarbeiten. Und wenn jemand wie du, der sich ja immerhin schon damit befasst hat und Datenschutz grundsaetzlich fuer richtig haelt, schon so wenig Einsicht zeigst, tut es mir auch um die, die es ueberhaupt nicht juckt kein bisschen leid, dass sie jetzt ihren Dienst einstellen "muessen".


Bzgl. fett markiert: :freak: Dass es Dir um die anderen nicht leid tut, habe ich schon gemerkt, das liest man aus dem Kontext. Ich weiß nicht, wo ich wenig Einsicht gezeigt habe; aber vielleicht sollte man manche Punkte nicht hinterfragen, sondern -so wie Du es so schön demokratisch formulierst- einfach an die Regeln halten oder ansonsten Auswandern.

Bzgl. meiner Seite: Ich gab Google Analytics, Facebook likes schon vor einem Jahr auf meinem Impressum an. Ich habe Piwik/Mamoto von Beginn (vor 2-3 Jahre) an anonymisiert (nur die ersten paar IPs anzeigen lassen). Was meinst Du, warum ich keine Werbung schalte. :rolleyes: Und trotzdem ist man als Laie immer unsicher, ob man alles bedacht hat.


Und wenn man geschaeftliche Ambitionen hat, kann man auch dafuer bezahlen, oder man laesst es halt und lebt mit dem Risiko oder wandert aus und verzichtet auf die sonstigen Annehmlichkeiten die einem das Leben hier bietet. Es ist doch ganz einfach, wer ein Geschaeft machen will, hat sich an die Regeln zu halten. Wenn das fuer dich Arroganz ist, ok.


;D Wieso erinnert mich das an die Diskussionen vor langer Zeit mit dem "Wenn es Dir nicht passt, dann gehe doch nach drüben."

Und was für eine Wendung nimmt den jetzt die Diskussion hier um die Umsetzung von DSGVO hin zu "Man hat sich an die Regeln zu halten."? Soll ich jetzt mit der moralischen Entwicklung nach Kohlberg kommen? Darf man Regeln und Verordnungen nicht nach ihrer praktischen Nutzen und ihre Auswirkungen hinterfragen?


Und ja, ich lese Datenschutzerklaerungen, schon aus Interesse. Viele erkennt man aus Generatoren wieder, aber manche geben sich auch tatsaechlich grosse Muehe.

Ehrliches Interesse: Könntest Du mir die Quellen nennen, wo man sieht, dass bei Google, Facebook und Co. jetzt eine andere, positivere Herangehensweise gibt?

-wenig Verbindungen zu 3.Quellen: das einzige was ich neben dem einwilligungspflichtigen GA gefunden habe, waren deine Fotos


Ich danke Dir. Kannst Du mir sagen, wie Du das erkannt hast? Kann man eigentlich erkennen, ob man nicht doch Google Fonts hat (ich hoffe wirklich, ich habe alles abgeschaltet.

Damit die Opt In für Google Analytics richtig arbeiten (bei meinem Template) braucht ich 2-3 Tage. :freak: :biggrin:

Ehrliches Interesse: Könntest Du mir die Quellen nennen, wo man sieht, dass bei Google, Facebook und Co. jetzt eine andere, positivere Herangehensweise gibt?

https://www.golem.de/news/trotz-dsgvo-whatsapp-teilt-nun-massenhaft-nutzerdaten-mit-facebook-1805-134528.html

sieht wohl nicht so aus...

Ich danke Dir. Kannst Du mir sagen, wie Du das erkannt hast? Kann man eigentlich erkennen, ob man nicht doch Google Fonts hat (ich hoffe wirklich, ich habe alles abgeschaltet.

Damit die Opt In für Google Analytics richtig arbeiten (bei meinem Template) braucht ich 2-3 Tage. :freak: :biggrin:

Firefox im privaten Modus + Addon uMatrix + Netzwerkanalyse in den Webentwicklertools.

https://www.golem.de/news/trotz-dsgvo-whatsapp-teilt-nun-massenhaft-nutzerdaten-mit-facebook-1805-134528.html

sieht wohl nicht so aus...

https://noyb.eu/?lang=de

Firefox im privaten Modus + Addon uMatrix + Netzwerkanalyse in den Webentwicklertools.

Bei Chrome, Rechtsklick -> Untersuchen -> Tab "Sources".

https://noyb.eu/?lang=de


Kann ich nur begrüßen. Ich frage mich nur, ob die Konsequenzen, die Google, Facebook & Co. aus einer eventuellen Niederlage ziehen, die sind, die noyb sich erhofft. Irgendwie hab ich meine Zweifel, aber die Hoffnung stirbt ja bekanntlich zum Schluss.

Kann ich nur begrüßen. Ich frage mich nur, ob die Konsequenzen, die Google, Facebook & Co. aus einer eventuellen Niederlage ziehen, die sind, die noyb sich erhofft. Irgendwie hab ich meine Zweifel, aber die Hoffnung stirbt ja bekanntlich zum Schluss.

Wird sich dann ja zeigen. Aber einfach den Kopf in den Sand stecken und nichts tun ist halt noch weniger förderlich.

Und wir sind ja schon lange von "dann nutze den Dienst halt nicht" entfernt. "Dann nutze den Dienst halt nicht" heißt heutzutage "Schalte dein Internet ab" und das kann's ja einfach nicht sein.

Bzgl. fett markiert: :freak: Dass es Dir um die anderen nicht leid tut, habe ich schon gemerkt, das liest man aus dem Kontext. Ich weiß nicht, wo ich wenig Einsicht gezeigt habe; aber vielleicht sollte man manche Punkte nicht hinterfragen, sondern -so wie Du es so schön demokratisch formulierst- einfach an die Regeln halten oder ansonsten Auswandern.
[...]
Und was für eine Wendung nimmt den jetzt die Diskussion hier um die Umsetzung von DSGVO hin zu "Man hat sich an die Regeln zu halten."? Soll ich jetzt mit der moralischen Entwicklung nach Kohlberg kommen? Darf man Regeln und Verordnungen nicht nach ihrer praktischen Nutzen und ihre Auswirkungen hinterfragen?
Natuerlich darf man hinterfragen. Deshalb diskutieren wir ja darueber. Dir ist das vielleicht nicht klar, aber ich diskutiere auch gerne darueber, sonst waere ich ja nicht hier. Ich versuche ja auch auf die anderen Argumente einzugehen und habe glaube ich jetzt auch schon oft genug geschrieben, dass ich deinen Standpunkt nachvollziehen kann.

Das hat im Uebrigen auch nichts mit undemokratischem Verhalten zu tun. Dass man sich an geltendes Recht zu halten hat, gilt auch in einer Demokratie. Der Unterschied ist, dass man in der Entscheidungsfindung mitwirken (dafuer ist es aber halt Jahre zu spaet) oder noch nachbessern kann.

Bzgl. meiner Seite
Das kannst du noch 10x schreiben und ich kann noch 10x schreiben, dass du dich darum kuemmerst. Bringt halt nichts. Du liest ja offenbar nicht mal was ich schreibe, versteifst dich wieder nur auf einen Halbsatz, der ueberhaupt nicht auf deine Handlungen bzgl. deiner Seite bezogen war, sondern auf deine Aussagen hier im Thread.

;D Wieso erinnert mich das an die Diskussionen vor langer Zeit mit dem "Wenn es Dir nicht passt, dann gehe doch nach drüben."
Du hast uebrigens damit angefangen, mit der Forderung, man solle doch als Nutzer einfach die Seiten nicht mehr besuchen, also effektiv kein Internet mehr benutzen. Das kommt heute ungefaehr auf das selbe hinaus ;p

Ehrliches Interesse: Könntest Du mir die Quellen nennen, wo man sieht, dass bei Google, Facebook und Co. jetzt eine andere, positivere Herangehensweise gibt?
Ganz ehrlich? Nein, nicht am ersten Tag nach der DSGVO. Das Recht muss jetzt erst durchgesetzt werden, deshalb gibt es ja auch Klagen, die sich die zustaendigen Behoerden anschauen. Wo kein Klaeger, da kein Richter und nur weil es eine neue Verordnung gibt, stellen die Konzerne nicht ihr ganzes Gebaren um. Da wird jetzt erstmal ausgelotet, was so geht und Bussgelder zur Not auch in Kauf genommen. noyb hat die *Maximal*strafen aufgelistet, das sind ein paar Milliarden, die Unternehmen dieser Groesse vielleicht kurz weh tun, aber in keinem Fall bedrohen. Und dann entscheidet sich ab jetzt in den Gerichten, was geltendes Recht ist. Das ist halt leider so.
Aber so allgemein: Ich habe kein Google- oder Facebookkonto. Aber ich habe bei anderen schon gesehen, dass man bei Google sogar schon relativ vieles einstellen konnte. Auch Facebook hat offenbar die Datenschutzeinstellungen ueberarbeitet. Das betrifft halt leider erstmal nur die Nutzer, die dort Konten haben und angemeldet sind. Weiteres wird sich erst erstreiten lassen. Oder erzwungen, z.B. von Seitenbetreibern, die eben den Trackingkram nicht mehr blind ueberall einbauen und stattdessen verzichten oder auf sauberere Alternativen setzen. Dann wuerden die schon zum Handeln gezwungen und ihr Zeug entsprechend anpassen, aber dafuer ist man halt auf das Mitdenken und die Mitarbeit dieser Verantwortlichen angewiesen.

iuno, wir drehen uns nur noch im Kreis. :wink:

Du liest ja offenbar nicht mal was ich schreibe, versteifst dich wieder nur auf einen Halbsatz, der ueberhaupt nicht auf deine Handlungen bzgl. deiner Seite bezogen war, sondern auf deine Aussagen hier im Thread.


Du siehst, ich lese sogar die Halbsätze. :biggrin: Und meine Aussagen hier im Thread haben durchaus mit meinen Handlungen und Erfahrungen zu tun. Dass ich die Regel versuche zu erfüllen, bedeutet nicht, dass ich diese in ihrer Ausformulierung momentan teilweise für wenig hilfreich halte (nicht als ganzes, da bin ich ja bei euch (auch schon 10x erwähnt)). Es gibt hier im Thread jetzt genug Links und Beispiele, die zeigen, wie absurd die Geschichte wird, wenn man die Verordnung wirklich komplett anwenden möchte.

@Ganon und quiller: Ich danke Euch. Im Source-Bereich sehe ich also auch, ob man Google-Fonts lädt. Firefox installiere ich mal.

Das ist mir auch aufgefallen, deshalb sollten wir es wohl dabei belassen.

Fuer einen schnellen Ueberblick lohnt IMHO uebrigens auch https://webbkoll.dataskydd.net/en/. Aber wenn du schon mit den Entwicklertools hantierst, bist du darueber wohl hinaus ;) Trotzdem gibt es noch weitere hilfreiche Tipps, z.B. auch fuer die TLS Konfiguration.

Mir persönlich ist es egal, wer meinen Namen, Telefonnummer oder Adresse hat. Das steht eh alles im Telefonbuch.

Schlimm finde ich hingegen die ganzen Tracker, die mein ganzes Leben mitverfolgen wollen.
Die ganzen Minispione kommen zwar von Google und Facebook, aber sie werden halt von jeder kleinen Website bedenkenlos eingesetzt. Und ich hoffe das sich das hiermit ein wenig bessert.
Es müssen ja nicht gleich gigantische Abmahnwellen sein, ein paar Musterprozesse sollten für den Anfang reichen.

Zum Thema: Privat vs. Kommerziell
Wenn ich die Daten meiner Leser an irgendeinen Konzern weitergebe, um kostenlos Dienstleistungen von ihm zu bekommen, dann ist das für mich ein gewerbliches Tauschgeschäft.
In so einem Fall ist der Leser das Produkt, den ich an die Konzerne verkaufe. Und genau darüber muss ich ihn nun informieren.
Das ganze passt auch gut zu den Abmahnwellen in der Musikindustrie. Wenn ich nur etwas heruntergeladenen habe, ist die Abmahnung echt lächerlich. Habe ich aber etwas getauscht, ist die Abmahnung gleich viel höher. Einmal ist es nur illegales kopieren und einmal ist es ein krimineller Tauschhandel von zwei wertvollen Gütern.

Die Blogger und Webseitenbetreiber, die jetzt herum heulen, sind halt jahrelang mit den Datenkraken ins Bett gegangen und haben die erst richtig groß gemacht. Jetzt ist man plötzlich dazu gezwungen einmal aufzuräumen und Produkte einzusetzen die Geld als Bezahlung verlangen und nicht die Daten der Leser.
So What?!
Andere Hobbys Kosten auch Geld!
Oder man gibt zu, das man die Leser an den meist Bietenden verramscht.

Fuer einen schnellen Ueberblick lohnt IMHO uebrigens auch https://webbkoll.dataskydd.net/en/. Aber wenn du schon mit den Entwicklertools hantierst, bist du darueber wohl hinaus ;) Trotzdem gibt es noch weitere hilfreiche Tipps, z.B. auch fuer die TLS Konfiguration.

Hast Du eine Ahnung, wie schwer ich mich damit tue. :wink: Danke für den Link. während ich noch SSL erzwingen konnte und HSTS noch aktivieren konnte (Danke Allinkl); sagt mir der Rest noch wenig bis gar nichts.

Ich schaue mal weiter.

So, hier mal ein paar Beispiele von einem Anwalt durchgespielt.
Recht amüsant und wie er selber zugibt realitätsfern :freak:

Q_P6Q3fkZB8

https://oli.new-lan.de/2018/05/dsgvo-linksammlung/

Gilt die Erstellung eines digitalen Fotos auch dann noch als "Datenerhebung", wenn weder Zeit, Datum noch Ort erfasst werden?

Gilt die Erstellung eines digitalen Fotos auch dann noch als "Datenerhebung", wenn weder Zeit, Datum noch Ort erfasst werden?

bei einer datei hast du system bedingt immer einen zeitstempel

Es geht darum, ob erkennbare Personen auf dem Bild sind. Wenn das der Fall ist, ist die Fotografie ein personenbezogenes Datum (Abbild der Person, ist ein Datum wie z.B. der Name), Metadaten kommen nur noch oben drauf (wann war die Person wo?).
Es wird aber auch davon ausgegangen, dass das Bild selbst schon "Metadaten" enthaelt, denn ein Ortskundiger wird u.U. erkennen koennen, wo das Foto geschossen wurde, auch ohne EXIF-Daten. Mglw. sieht man auch eine besonderes Ereignis, wodurch sich auf das Datum schliessen laesst.

während ich noch SSL erzwingen konnte und HSTS noch aktivieren konnte (Danke Allinkl); sagt mir der Rest noch wenig bis gar nichts.
Das waere schon mal gut. Sonst sind das auch eher fortgeschrittene Dinge, die der verbesserten Sicherheit dienen aber auch einigermassen gut beschrieben sind. Fuer eine DSGVO-Konforme Webseite natuerlich auch nicht zwingend notwendig - was bei einem Webshop ggf. wieder anders aussehen kann (Art und Umfang der Daten, Verhaeltnismaessigkeit).

Schlimm finde ich hingegen die ganzen Tracker, die mein ganzes Leben mitverfolgen wollen.
Die ganzen Minispione kommen zwar von Google und Facebook, aber sie werden halt von jeder kleinen Website bedenkenlos eingesetzt. Und ich hoffe das sich das hiermit ein wenig bessert.


IMHO (als Noob):

dafür reicht doch schon uMatrix oder NoScript aus, oder? Bei uMatrix laufen normalerweise nur die Domain Javascripts und die ganzen google- und facebook scripts sind abgeschaltet. Sieht man bei uMatrix zumindest so im DroopDown Menü.

sieht man zum Beispiel auch schön im 3DCenter Forum. :)

Ghostery oder uBlock Origin? Ich glaube, wenn man nicht getrackt werden möchte kann man sich durchaus mit TOR was basteln. Man nutzt dann das Internet halt anders (keine Social-Likes drücken, entsprechende Add Ons oder Proxy nutzen.

IMHO (als Noob):

dafür reicht doch schon uMatrix oder NoScript aus, oder? Bei uMatrix laufen normalerweise nur die Domain Javascripts und die ganzen google- und facebook scripts sind abgeschaltet. Sieht man bei uMatrix zumindest so im DroopDown Menü.

sieht man zum Beispiel auch schön im 3DCenter Forum. :)

Und was ist mit dem großen Rest der Menschheit, die sich nicht mit Anti-Tracking-/Profiling-Methoden auskennt? Oder Geräte verwenden, wo man nicht so einfach nen Script-Blocker installiert bekommt oder sinnvoll einsetzen kann (Smart-TVs, Smartphones?)? Die Idee hinter der DSGVO (und wahrscheinlich auch der künftigen E-Privacy-VO) ist schon vollkommen richtig, nur hapert es an praktischen Details bzw. einer rechtssicheren Umsetzung.

bei einer datei hast du system bedingt immer einen zeitstempel

Wenn der Zeitstempel nicht korrekt ist, ist er de facto ungültig. (z.B. 01.01.1970)

Es geht darum, ob erkennbare Personen auf dem Bild sind. Wenn das der Fall ist, ist die Fotografie ein personenbezogenes Datum (Abbild der Person, ist ein Datum wie z.B. der Name), Metadaten kommen nur noch oben drauf (wann war die Person wo?).
Es wird aber auch davon ausgegangen, dass das Bild selbst schon "Metadaten" enthaelt, denn ein Ortskundiger wird u.U. erkennen koennen, wo das Foto geschossen wurde, auch ohne EXIF-Daten. Mglw. sieht man auch eine besonderes Ereignis, wodurch sich auf das Datum schliessen laesst.


Es geht um die "Datenerhebung". Ein Bild ist kein "Datensatz". Eine Person oder ein Ort muss erst "erkannt" werden, bevor von einer Datenerhebung die Rede sein kann. Schließlich müssen Daten auch im datentechnischen Sinne verwendbar sein. Wenn ein Gesichtserkennungsprogramm kein Ergebnis bringt, kann wohl kaum davon die Rede sein, dass im datentechnischen Sinne persönliche Daten erhoben wurden. Umgekehrt, nur weil vielleicht (!) irgendein Mensch oder eine sehr kleine Gruppe von Menschen ev. dazu in der Lage sind, eine Person auf einem Foto (zweifelsfrei und eindeutig!) identifizieren zu können, kann von "Erkennbarkeit" (im datentechnischen Sinne) wohl kaum die Rede sein, denke ich.

"Doch warum ist jedes Foto mit einer erkennbaren Person darauf ab dem 25. Mai 2018 eine erlaubnisbedürftige Datenerhebung? Weil bei der modernen, digitalen Fotografie neben dem Abbild der Person zudem noch weitere Daten gespeichert werden, die mit der Person in Verbindung gebracht werden können. Moderne Kameras erhalten neben dem auf dem Foto abgebildeten Ort auch unter Umständen GPS-Daten, Datum, Tageszeit etc. fest. Diese finden sich z.B. in den EXIF-Daten und/oder den IPTC-Daten. Damit kann dann z.B. darauf rückgeschlossen werden, wann sich diese Person wo befand. Eine Erhebung solcher personenbezogenen Daten ist zukünftig von einer Erlaubnis aus der DSGVO oder Einwilligung der abgebildeten Person abhängig"

Es geht um die "Datenerhebung". Ein Bild ist kein "Datensatz".
Und warum nicht? Weil es nicht aus schwarzen Zahlen und Buchstaben auf weissem Hintergrund besteht? Natuerlich ist es das. Genau wie z.B. auch eine Tonaufnahme.

Eine Person oder ein Ort muss erst "erkannt" werden, bevor von einer Datenerhebung die Rede sein kann.Schließlich müssen Daten auch im datentechnischen Sinne verwendbar sein. Wenn ein Gesichtserkennungsprogramm kein Ergebnis bringt, kann wohl kaum davon die Rede sein, dass im datentechnischen Sinne persönliche Daten erhoben wurden. Umgekehrt, nur weil vielleicht (!) irgendein Mensch oder eine sehr kleine Gruppe von Menschen ev. dazu in der Lage sind, eine Person auf einem Foto (zweifelsfrei und eindeutig!) identifizieren zu können, kann von "Erkennbarkeit" (im datentechnischen Sinne) wohl kaum die Rede sein, denke ich.
Denkst du, ist aber falsch. Eine IP-Adresse muss auch nicht erst vom Provider auf Name und Anschrift zurueckgefuehrt werden, sondern ist an sich schon ein personenbezogenes Datum. Im Uebrigen identifiziert ein Name allein eine Person auch nicht eindeutig, trotzdem wirst du hier auch nicht abstreiten, dass es ein personenbezogenes Datum ist.

„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;

Der Punkt ist sehr klar und ich sehe nicht, wie man da zu einem anderen Schluss kommen kann. Im Uebrigen waere es schoen, zu Zitaten auch Quellen anzugeben.

Und was ist mit dem großen Rest der Menschheit, die sich nicht mit Anti-Tracking-/Profiling-Methoden auskennt? Oder Geräte verwenden, wo man nicht so einfach nen Script-Blocker installiert bekommt oder sinnvoll einsetzen kann (Smart-TVs, Smartphones?)? Die Idee hinter der DSGVO (und wahrscheinlich auch der künftigen E-Privacy-VO) ist schon vollkommen richtig, nur hapert es an praktischen Details bzw. einer rechtssicheren Umsetzung.

Ich sage ja nichts gegen die DSGVO.
Ich wollte nur wissen ob nicht schon ein simples Addon hilft. Tut es aber anscheinend. uMatrix gibt es übrigens auch für den Android-Firefox zusammen mit einigen wichtigen anderen Security Addons.
Leider wird der Firefox dadurch SEHR langsam!

Und was ist mit dem großen Rest der Menschheit, die sich nicht mit Anti-Tracking-/Profiling-Methoden auskennt? Oder Geräte verwenden, wo man nicht so einfach nen Script-Blocker installiert bekommt oder sinnvoll einsetzen kann (Smart-TVs, Smartphones?)? Die Idee hinter der DSGVO (und wahrscheinlich auch der künftigen E-Privacy-VO) ist schon vollkommen richtig, nur hapert es an praktischen Details bzw. einer rechtssicheren Umsetzung.

Aber werden sich die meisten Menschen nicht einfach die Datenschutzerklärung (bzw. Cookie-Accept-Popup) akzeptieren, damit der Banner weg ist?

Opera bietet für Handy noch VPN an, um den Aufenthaltsort zu fälschen. Aber richtig ist es schon, DSGVO ist ein erster Schritt.

Hätte man aber nicht auch weiter oben ansetzen können? Das heißt Anbietet wie Google z.B. verbieten können, Daten beim Google Fonts zu sammeln? Facebook das Tracking unterbinden?

Aber immerhin sind die jetzt mit ordentlich Klagen belegt worden. Hoffe das zeigt dann doch einmal Konsequenzen.

Aber werden sich die meisten Menschen nicht einfach die Datenschutzerklärung (bzw. Cookie-Accept-Popup) akzeptieren, damit der Banner weg ist?

Opera bietet für Handy noch VPN an, um den Aufenthaltsort zu fälschen. Aber richtig ist es schon, DSGVO ist ein erster Schritt.

Hätte man aber nicht auch weiter oben ansetzen können? Das heißt Anbietet wie Google z.B. verbieten können, Daten beim Google Fonts zu sammeln? Facebook das Tracking unterbinden?

Aber immerhin sind die jetzt mit ordentlich Klagen belegt worden. Hoffe das zeigt dann doch einmal Konsequenzen.

Wahrscheinlich nicht gross, weil der Vertrag lautet in etwa: Nutzung des Dienstes gegen deine für die Werbung relevanten Daten damit wir damit den Dienst finanzieren können. Das Crux mit der Werbung ist ja, desto mehr Facebook und Konsorten über dich wissen, desto besser lässt sich die Werbung verkaufen. Möglicherweise werden sie einzelne gewisse Bestimmungen ändern müssen.

Aber werden sich die meisten Menschen nicht einfach die Datenschutzerklärung (bzw. Cookie-Accept-Popup) akzeptieren, damit der Banner weg ist?


Ich habe in meinem Blog ja jetzt auf Opt-In umgestellt (Default=Tracking aus). Auch wenn die Zugriffszahlen eher gering sind, werd ich ja an den Matomo-Statistiken im Vergleich zu den Vormonaten sehen, ob die Besucher mehrheitlich dem Tracking zugestimmt haben oder nicht. Allerdings ist die Entscheidung bei mir an nichts gekoppelt, die Leute müssen jetzt nicht 0,01€ pro Besuch bezahlen o.ä., wenn sie dem Tracking nicht zustimmen. Wie das Google, Facebook etc. handhaben werden, wenn die ein echtes, ungekoppeltes Opt-In einbauen müssen, weiß ich natürlich nicht.

Also sehe ich das jetzt richtig?

- Firmen passen einfach ihre AGBs an, die Kunden dürfen ablehnen, müssen dann jedoch auf die Services verzichten. De facto bleibt also alles beim Alten.
- Allerdings kann man sich irgendeinen Datensatz, sich selbst betreffend, herunterladen. (Ob es sich jedoch tatsächlich um alle, dem Unternehmen vorliegenden Daten zur eigenen Person handelt, kann nicht geprüft werden.)
- Spielen sich irgendwo Katastrophen aller Art ab (Massenmigration, Bürgerkrieg, Volksaufstand, Demos, Verhaftungen, Naturkatastrophen, kriminelle Übergriffe aller Art etc.), werden diese nur dann noch der Öffentlicheit bekannt sein, wenn die "renommierte Presse" darüber berichtet. Berichterstattung durch alle anderen Menschen ist damit de facto ein Verstoß gegen die DSGVO, sofern auch nur eine einzige Person ohne deren schriftliches Einverständnis abgebildet wird.

Stimmt das so oder liege ich daneben? Was meint ihr?

Bin gerade dabei die AVVs zu komplettieren. Da scheint es die ein oder andere Unstimmigkeit zu geben unter den Versand Dienstleistern. Während z.b. Fedex uns gerne einen AVV zukommen lässt und die DHL sich zumindest bemüht entsprechende Dokumente bis Mitte Juni zur Verfügung zu stellen ist die DPD der Meinung sie wären keine Auftragsverarbeiter da eine Ausnahme für gesetzlich geregelte Dienste besteht (das stimmt auch). Allerdings besteht diese Ausnahme imo nur für "Postdienste für den Brieftransport" und nicht für Warensendungen.

Nach Art. 28 DSGVO bin ich allerdings der Meinung das auch die DPD ein Auftragsverarbeiter ist und dementsprechend auch einen AVV mit uns schließen muss.

Was stimmt nun?

Also sehe ich das jetzt richtig?

- Spielen sich irgendwo Katastrophen aller Art ab (Massenmigration, Bürgerkrieg, Volksaufstand, Demos, Verhaftungen, Naturkatastrophen, kriminelle Übergriffe aller Art etc.), werden diese nur dann noch der Öffentlicheit bekannt sein, wenn die "renommierte Presse" darüber berichtet. Berichterstattung durch alle anderen Menschen ist damit de facto ein Verstoß gegen die DSGVO, sofern auch nur eine einzige Person ohne deren schriftliches Einverständnis abgebildet wird.

Stimmt das so oder liege ich daneben? Was meint ihr?

IMHO:
du gehst also davon aus, das mit diesem Gesetz durch die Hintertür die unabhängige/alternative Berichterstattung verhindert werden soll?

Ich denke nicht, dass das funktioniert. Die DSGVO gilt ja nur für Europa. Bereits jetzt musste man sich in "Übersee" informieren wenn man einen vollständigeren Überblick über viele Themen haben wollte. Das ändert sich nicht. Wer bisher nur auf europäische oder gar deutsche Medien vertraut hat war auch bisher oft nur unzureichend bzw. einseitig informiert.

Europäische Blogger oder News-Seiten können in Zukunft für die Bilder ja einfach auf Seiten aus Übersee verlinken und ihren eigenen Text dazu schreiben. Vielleicht mit ein wenig Polemik gegen das Gesetz als "Würze". :)

IMHO:
du gehst also davon aus, das mit diesem Gesetz durch die Hintertür die unabhängige/alternative Berichterstattung verhindert werden soll?

Ich denke nicht, dass das funktioniert. Die DSGVO gilt ja nur für Europa. Bereits jetzt musste man sich in "Übersee" informieren wenn man einen vollständigeren Überblick über viele Themen haben wollte. Das ändert sich nicht. Wer bisher nur auf europäische oder gar deutsche Medien vertraut hat war auch bisher oft nur unzureichend bzw. einseitig informiert.

Europäische Blogger oder News-Seiten können in Zukunft für die Bilder ja einfach auf Seiten aus Übersee verlinken und ihren eigenen Text dazu schreiben. Vielleicht mit ein wenig Polemik gegen das Gesetz als "Würze". :)

Also Du meinst, es ist ok, wenn die Verordnung so umgangen wird? Auch dann noch, wenn der Urheber durch Kameras in der Öffentlichkeit identifizierbar ist? Und was ist mit Vollzug am Tatort? Rechtfertigt die Verordnung nicht auch Kontrollen am Tatort und ggf. auch Beschlagnahmung etc.?

Ich habe noch keine Meinung dazu, stelle einfach nur Fragen oder versuchsweise Behauptungen auf, um das abzuklären.

Wir sind bei uns gerade dabei, das VVT zu ergänzen und zu berichtigen (wir hatten das vor paar Monaten nur schludrig zusammengestellt) und überlegen, ob die Übermittlung von den Lohndaten ans Finanzamt und die Krankenkassen eine Auftragsverarbeitung ist. Ich weiß nicht genau, welchen Weg die Daten von solchen Programmen wie sv.net/standard und Elster zu den zuständigen Stellen gehen. Zumindest bei sv.net weiß ich, dass dahinter eine ITSG GmbH steckt, die auch stolz ihre DSGVO-Konformität bewirbt. Die Daten gehen über die Server dieser Firma und werden dann an die Krankenkassen weitergeleitet. Eine "Auswertung" findet nicht statt, schreiben sie (was immer das heißen mag). Lange Rede, kurze Frage: Muss ich ein AV-Vertrag mit denen abschließen (so direkt nen AV-Vertragsmuster downloaden konnte ich bei denen nicht)?

PS: http://www.spiegel.de/netzwelt/netzpolitik/datenschutz-grundverordnung-dsgvo-sascha-lobo-vs-jan-philipp-albrecht-a-1209779.html

J. P. Albrecht und Sascha Lobo über die DSGVO.

Die DSGVO wird für uns zur Hölle.

Wir tracken unsere Fahrzeuge z.b. mit GPS, die Arbeitzeiten, Schichtzeiten usw werden darüber erfasst. Was also wenn ein Angestellter dies nicht möchte, da es ja sein Recht auf "informelle Selbstbestimmung" verletzt und er mit der Datenverarbeitung nicht einverstanden ist?

Ohne diese Hilfsmittel ist heutzutage kein Arbeiten und Übersicht möglich. Wenn sich nun die Angestellten verweigern, bleibt mir nichts anderes übrig als Sie zu entlassen, da ein Arbeiten wie vor 30 Jahren heutzutage unmöglich ist.

Ganze Produktions- und Informationsprozesse sind von diesen Informationen abhängig.

Was unternehme ich z.b. wenn ich einem Kunden die Ankunft einer Lieferung anmelden muss, was viele wollen. Die wollen Kennzeichen, Fahrername, Ladungsmenge etc. um das Entladen effektiver zu gestalten, d.h. der Fahrer braucht sich nicht mehr jedesmal neu anmelden im System, die Daten wurden ja übermittelt.

Ich denke die meisten Menschen haben überhaupt nicht begriffen was für ein Riesenimpact die DSVGO ist.

was ich noch viel perverser finde, Jan Philip Albrecht ist mit Mitglied von NOYB, der selbsternannte Vater der DSVGO. Sieht hier niemand einen Interessenkonflikt?

Schrems, Albrecht und Co. haben die Internetgiganten als Feinde auserkoren udn führen ihren Feldzug auf dem Rücken der übrigen Nutzer des Internets.

Die Ironie daran ist, das die DSVGO zu einem Sterben der kleinen Seiten im Internet führen wird und noch mehr Macht bei den großen Anbietern gebündelt wird.

Die DSVGO führt zum Tod des Internets, so wie es eigentlich mal gedacht wird, und läutet die neue Ära der totalen Kommerzialisierung des Internets ein, weil nur die großen Konzerne sich Datenschutz leisten können, die privaten und halbprivaten Anbieter werden dies nicht leisten können, sei finanziell oder Zeittechnisch. Traurig, aber ist schon immer so gewesen. Linke Politik verkehrt sich immer in das Gegenteil und behindert die die es eigentlich schützen wollte.

Also bei ner dienstlichen Fahrt im Logistikbereich könnte man ein GPS-Tracking durchaus mit dem "berechtigten Interesse" argumentieren. Du solltest dann nur daran denken, Privatfahrten mit Dienstfahrzeugen ausdrücklich zu untersagen und natürlich deine Mitarbeiter über das Tracking aufklären. Eine "informierte Einwilligung" ist dann gar nicht nötig. Ist dasselbe Problem wie mit den Emailpostfächern. Achso: Ihr solltet die GPS-Daten nicht unnötig lange speichern. Dann kann man das Tracking auch nicht als Überwachung/Profiling der Arbeitnehmer auslegen. Siehe auch der Vergleich Speicherung IP-Adressen für kurzen Zeitraum (24h-7Tage) für Abwehrmaßnahmen bei Webseiten.

Arbeitszeiten sind überhaupt kein Problem, das muss jede Firma schon allein wegen dem Mindestlohngesetz machen (2 Jahre Aufbewahrungsfrist).

Dass ueber die DSGVO so ein Unsinn verbreitet wird wie hier, ist das groesste Problem, das sie hat.
Natuerlich braucht man keine Einwilligung um Arbeitszeiten zu erfassen :facepalm:

Uebrigens heisst das informationelle Selbstbestimmung - ganz ohne Formalitaeten.

Dass ueber die DSGVO so ein Unsinn verbreitet wird wie hier, ist das groesste Problem, das sie hat.
Natuerlich braucht man keine Einwilligung um Arbeitszeiten zu erfassen :facepalm:

Uebrigens heisst das informationelle Selbstbestimmung - ganz ohne Formalitaeten.

Du verstehst das glaube ich nicht. Es geht hier nicht um die Arbeitszeiterfassung für die Lohnbuchhaltung. Es geht um die Übermittelung an Kunden / Auftraggeber etc etc.

z.b. wenn Fahrzeug A morgens um 07.30 Uhr die Ladestelle erreicht, wird automatisch eine Meldung generiert und an den jeweiligen Kunden übermittelt "Fahrzeug XX - XX 132 hat Ladestelle erreicht", nach Verlassen die nächste Meldung " Fahrzeug XX -XX 132 hat Ladestelle verlassen". Jetzt folgen ETA ( Estimated Time of Arrival) stellenweise Positionsdaten des Fahrzeuges usw. Unser Kunde gibt die Daten automatisiert, nicht anonymisiert, an deren Kunden weiter etc. Dort werden dann auch die persönlichen Daten weitergegeben wie Fahrernahme / Telefonnr. Restfahrzeiten etc, Pausenzeiten, Schichtzeiten. Das wird alles mit übermittelt, damit halt eine Realistische ETA Zeit ermittelt wird. Bei Verzögerungen geht automatisiert eine neue Meldung raus, mit Positionsmeldungen und neuer ETA und akualisierten Fahr- und Arbeitszeiten.

Die DSGVO sagt "erforderlich" und das ist mmn Auslegungssache, kommst du an einen Datenschutzfanatiker, dann ist das alles nicht notwendig und erforderlich, ging früher ja auch oder die Geschäfte müssen aufgegeben werden, gibt ja auch Geschäfte bei denen dies nicht notwendig ist. Wir haben einfach keine Rechtssicherheit.

Mit wem muss ich nun Verträge und Vereinbarungen schliessen, mit meinen Kunden, ja, mit deren Kunden auch, da diese Unternehmen auch meine Daten verarbeiten? Das geht leicht in die Tausende! Bin ich verplichtet deren Datenschutz zu überprüfen oder langt dem jeweiligem Amt eine Vereinbarung. Meine Erfahrung, dem einen ja, dem anderen nicht. Wir haben diverse Zertifizierungssystem im Unternehmen und obwohl die eigentlich auch eindeutig sind, unterscheiden sich die Prüfungen teils massiv, je nach dem welcher Prüfer uns auditiert. Dem einen genügen einfache Vereinbarungen, dem anderen nicht, der will das wir zu unseren Kunden fahren und wie Sie vor Ort auditieren.

Die DSGVO ist lange nicht so banal wie von den Befürwortern dargstellt wird.

Die DSGVO wurde als Waffe gegen Facebook, Google und Co geschaffen, es wurde übersehen wieviel Kollateralschäden Sie aber anrichtet, Sie hat das Potential das freie Internet zu zerstören.

Sie hat das Potential das gesamte Geschäftleben lahmzulegen. Würde sich jeder daran halten, siehe Solmecke Video, wäre ein normales Arbeiten überhaupt nicht mehr möglich..

Du verstehst das glaube ich nicht. Es geht hier nicht um die Arbeitszeiterfassung für die Lohnbuchhaltung. Es geht um die Übermittelung an Kunden / Auftraggeber etc etc.

z.b. wenn Fahrzeug A morgens um 07.30 Uhr die Ladestelle erreicht, wird automatisch eine Meldung generiert und an den jeweiligen Kunden übermittelt "Fahrzeug XX - XX 132 hat Ladestelle erreicht", nach Verlassen die nächste Meldung " Fahrzeug XX -XX 132 hat Ladestelle verlassen". Jetzt folgen ETA ( Estimated Time of Arrival) stellenweise Positionsdaten des Fahrzeuges usw. Unser Kunde gibt die Daten automatisiert, nicht anonymisiert, an deren Kunden weiter etc. Dort werden dann auch die persönlichen Daten weitergegeben wie Fahrernahme / Telefonnr. Restfahrzeiten etc, Pausenzeiten, Schichtzeiten. Das wird alles mit übermittelt, damit halt eine Realistische ETA Zeit ermittelt wird. Bei Verzögerungen geht automatisiert eine neue Meldung raus, mit Positionsmeldungen und neuer ETA und akualisierten Fahr- und Arbeitszeiten.

Die DSGVO sagt "erforderlich" und das ist mmn Auslegungssache, kommst du an einen Datenschutzfanatiker, dann ist das alles nicht notwendig und erforderlich, ging früher ja auch oder die Geschäfte müssen aufgegeben werden, gibt ja auch Geschäfte bei denen dies nicht notwendig ist. Wir haben einfach keine Rechtssicherheit.

Mit wem muss ich nun Verträge und Vereinbarungen schliessen, mit meinen Kunden, ja, mit deren Kunden auch, da diese Unternehmen auch meine Daten verarbeiten? Das geht leicht in die Tausende! Bin ich verplichtet deren Datenschutz zu überprüfen oder langt dem jeweiligem Amt eine Vereinbarung. Meine Erfahrung, dem einen ja, dem anderen nicht. Wir haben diverse Zertifizierungssystem im Unternehmen und obwohl die eigentlich auch eindeutig sind, unterscheiden sich die Prüfungen teils massiv, je nach dem welcher Prüfer uns auditiert. Dem einen genügen einfache Vereinbarungen, dem anderen nicht, der will das wir zu unseren Kunden fahren und wie Sie vor Ort auditieren.

Die DSGVO ist lange nicht so banal wie von den Befürwortern dargstellt wird.

Die DSGVO wurde als Waffe gegen Facebook, Google und Co geschaffen, es wurde übersehen wieviel Kollateralschäden Sie aber anrichtet, Sie hat das Potential das freie Internet zu zerstören.


Sorry... das sind aber auch einfach zuviel Informationen die über einen Mitarbeiter versendet werden. Anstatt jetzt rumzumaulen, das das Geschäft so nicht mehr möglich ist sollte man vieleicht auch mal drüber nachdenken, wie leichtsinnig man bisher mit sensiblen Daten umgegangen ist.

Sorry... das sind aber auch einfach zuviel Informationen die über einen Mitarbeiter versendet werden. Anstatt jetzt rumzumaulen, das das Geschäft so nicht mehr möglich ist sollte man vieleicht auch mal drüber nachdenken, wie leichtsinnig man bisher mit sensiblen Daten umgegangen ist.

Welche Daten meinst Du jetzt genau?

Welche Daten meinst Du jetzt genau?

Standortdaten von Mitarbeitern, Klarnamen, Pausenzeiten ? Noch dazu mit dem Wissen, das das an Dritte weitergeleitet wird ?

Alle meine "Kunden" kennen meinen Klarnamen, Pause- und Arbeitszeiten. :biggrin:

Aber eine gewisse Anonymisierung wäre durch auch angebracht. Anderseits; wie viele Kunden kennen denn die Klarnamen, Arbeits- und Pausenzeiten nicht? Wenn ich hier ein Handwerker habe, weiß ich das auch alles. :confused:

Öh, wenn ich das richtig sehe gibt es an der ganzen Geschichte nur 2 Probleme:

- Name des Fahrers
- seine Telefon-Nummer, sofern es sich hierbei um seine private Nummer handelt (BYOD war und ist schon immer scheiße)

Bei einem Dienst-Telefon bleibt nur noch der Name des Fahrers. Ist das denn relevant für die Erfüllung des Auftrags?

Sorry... das sind aber auch einfach zuviel Informationen die über einen Mitarbeiter versendet werden. Anstatt jetzt rumzumaulen, das das Geschäft so nicht mehr möglich ist sollte man vieleicht auch mal drüber nachdenken, wie leichtsinnig man bisher mit sensiblen Daten umgegangen ist.

Weil die Daten notwendig sind, damit die Produktion entsprechend geplant werden kann, wäre ja mal ein Grund. Logistik ist irre komplex, da greifen Hunderte von kleinen Rädchen ineinander.

Die Pausenzeiten sind wichtig, damit der Kunde weiß: ETA ist 15.00 Uhr, Entladung dauert 2 Stunden. Fahrer XYZ muss aber um 15.45 Uhr eine Pause einlegen, also wird dann um 15.00 Uhr ein anderes Fahrzeug entladen, da ansonsten die Entladung unterbrochen werden müsste, um die Pause des Angestellten zu gewährleisten.

Und die Daten müssen vorher übersendet werden, damit der Fahrer in ein Entladefenster eingebucht werden kann. Die Klarnamen sind stellenweise wegen Terrorgesetzgebungen notwendig. Viele unsere Kunden hantieren mit gefährlichen Gütern, die müssen vorher wissen wann welche Person zu denen auf das Betriebsgelände muss.

Wie gesagt, Jan Philip Albrecht und Max Schrems haben sich überhaupt keine Gedanken gemacht, was die DSVGO für Auswirkungen in der Realwirtschaft, abseits von Google und Co sie hat. Sie haben die DSVGO als Waffe gegen Facebook erfunden und der Rest der Wirtschaft muss unter Hass, den beide auf Facebook und Co haben, leiden.

Irgendwann ist der Punkt erreicht in dem es unpraktikabel wird und die Verordnungen so überhaupt nicht durchgeführt werden können.

Und die Daten müssen vorher übersendet werden, damit der Fahrer in ein Entladefenster eingebucht werden kann. Die Klarnamen sind stellenweise wegen Terrorgesetzgebungen notwendig. Viele unsere Kunden hantieren mit gefährlichen Gütern, die müssen vorher wissen wann welche Person zu denen auf das Betriebsgelände muss.

Na dann... wo siehst du jetzt genau ein Problem? Wenn du deine Arbeit ohne diese Daten nicht erledigen kannst, dann fällst du unter die Vertrags-Ausnahme. Artikel 6.

Na dann... wo siehst du jetzt genau ein Problem? Wenn du deine Arbeit ohne diese Daten nicht erledigen kannst, dann fällst du unter die Vertrags-Ausnahme. Artikel 6.

und wer garantiert mir das? Unterschreibst du mir, das du für alle anstehende Bussgelder aufkommst, wenn ein DAtenschutzbeauftragter dies anders sehen sollte, ersetzt du mir die Gerichtskosten, die daraus entstehen.

Wie ich schon dargelegt habe. Wir haben ISO Normen, SQAS, BBS etc etc. Die sagen auch eindeutig etwas aus, bis der Prüfer vor Ort ist und dann hat jeder Prüfer seine eigene Ansicht, wie die jeweilige Vorschrift seiner Meinung nach ausgelegt werden sollte. Soll ich jetzt jedes mal eine Klage anstrengen?

Wir mussten schon oft unsere gesamte ISO Dokumentationen umstelle, weil dem jeweiligen Prüfer die Form nicht zugesagt hat. Dem nächsten war es wieder genehm, dafür legte er eine andere Vorschrift anders aus.

Die Gesetze und Verordnungen sind einfach schlecht geschrieben, Sie schaffen keinerlei Rechtssicherheit.

Wie gesagt, ein Prüfer sagt "ok ist berechtigtes Interesse", ein Datenschutzfetischist wird es mir um die Ohren hauen und sagen, dann stell dein Geschäft um, die Daten deiner Angestellten sind höher zu bewerten als das Interesse unserer Firma an Profiten.

Was mache ich Emails die mir gesendet werden, ich muss jede Email archivieren, auch Spam, muss ich jetzt jedem Kontakt erstmal erklären das seine Emails und Kontaktdaten gespeichert werden, mit Dauer, Löschfristen etc?

Ich bekomme hunderte von Emails täglich und leider nicht immer von den gleichen Personen. Wenn mich ein neuer Kontakt per Telefon erreicht, muss ich ihn erstmal darüber aufklären, was ich gleich mit seinem Namen, Telefonnummer, Emailadresse etc machen werden, eintragen in eine Datei, vielleicht sogar zu Outlook als Kontakt hinzufügen. Wo soll das ganze hinführen, das führt zu einer riesigen Dokumentationspflicht.

Sie hat das Potential das gesamte Geschäftleben lahmzulegen. Würde sich jeder daran halten, siehe Solmecke Video, wäre ein normales Arbeiten überhaupt nicht mehr möglich..

Die DSGVO ist im Grundsatz schon gut, nur leider handwerklich extrem schlecht gemacht. Grundsätzlich hätte es ja im B2B Geschäft gereicht, wenn man die Datennutzung eng an den Zweck der ursprünglichen Datenweidergabe geknüpft hätte. z.B. bei Übergabe einer Visitenkarte: Kontaktaufnahme zwecks anbahnung eines Geschäftes. Bestehende Kunden: Informationen über neue Produkte und Wichtiges im Zusammenhang mit den Produktgruppen die der Kunde erworben hat. Natürlich immer mit der Möglichkeit explizit zu wiedersprechen.

Oder das Mindestalter 16 Jahre: Statt dem Mindestalter 16 Jahre, hätte man für Kinder ab 12 auf einen strengen und guten Jugendschutz bestehen sollen. Was machen jetzt die Teenies? Sie gehen hin, registrieren sich neu und geben an, dass sie 16 sind. Von Jugendschutz oder besonderem Datenschutz keine Spur und die Dienste sind erst noch frei raus...

Die EU sollte dringend Vernehmlassungen einführen.

@desert: Du sollst nicht jeden einzelnen Fall im Detail dokumentieren, sondern nur das Verfahren allgemein. Dass du als Telefon nen T-Sinus hastenichtgsehen und als Emailprogramm Outlook verwendest ist vollkommen egal für das VVT.

Und für allgemeine Dinge in der Geschäftswelt (und ich zähle dazu z.B. den unangekündigten Email-/Telefonkontakt) sind eben auch die AGBs da. Wenn man dort einen Passus zum Datenschutz einbaut und dort erklärt, was man mit personenbezogenen Daten macht, die einem einfach so "zugetragen" wurden und dann einen Hinweis auf die AGBs bringt, wird kein Datenschützer daraus ein Strick drehen. Ich weiß, dass mit dem Hinweis auf AGBs in Telefongesprächen (bei der Email wäre es ja noch einfach, wobei HTML-Links aus anderen Gründen wiederum problematisch sind :x) immer blöd klingt. Vielleicht muss man auch darauf nicht hinweisen (deswegen heißen die ja auch Allgemeine Geschäftsbedingungen), ich bin aber kein Jurist.

und wer garantiert mir das? Unterschreibst du mir, das du für alle anstehende Bussgelder aufkommst, wenn ein DAtenschutzbeauftragter dies anders sehen sollte, ersetzt du mir die Gerichtskosten, die daraus entstehen.

Die rechtliche Sicherheit der Firma basiert doch hoffentlich nicht rein auf Foren-Beiträgen im Internet? Wer klärt denn sonst die rechtlichen Belange in der Firma? Wie hast du denn das BDSG bisher umgesetzt?

Wie wäre es mit: "Ich nehme an, dass das unter die Vertrags-Klausel fällt, frage meine Mitarbeiter lieber trotzdem noch mal"?

Auf der einen Seite den Tod des Internets prophezeien, das DSGVO als "total unbedacht" bezeichnen, aber dann jede Ausnahme die dich betreffen könnte in ihrer Gänze anzweifeln...

Was genau erwartest du also hier? Das Forum ist keine kostenlose anwaltliche Beratung, wenn hier überhaupt ein Anwalt ist.

Was mich auch noch interessiert: angenommen man hat die Daten eines Bewerbers im ERP-System gespeichert. Er wird aber nie für die Firma arbeiten und verlangt jetzt die Löschung der Daten. Wenn man jetzt jeden Tag ein DB-Dump zieht, was man ja machen sollte und die Daten des Bewerbers jetzt in zig oder gar hundert Dumps drin stehen, wie bekommt man die wieder raus? Theoretisch müsste man jetzt jedes Dump importieren, die Daten löschen und ein neues Dump erstellen mit dem gelöschten Datensatz. :freak:

Was genau erwartest du also hier? Das Forum ist keine kostenlose anwaltliche Beratung, wenn hier überhaupt ein Anwalt ist.

Wollte er das überhaupt? Er hat nur ein Beispiel beschrieben und welche Konsequenzen dieses Gesetz haben kann.

@Exxtreme: Auch gute Frage.

Das Problem stellt sich generell bei Backups. Hab da auch noch keine praktikable Lösung. Deswegen ja der Thread :F

PS: Meine Frage zur Finanzbehörde/ITSG -> AV ja oder nein ist noch offen :F.
https://www.forum-3dcenter.org/vbulletin/showthread.php?p=11706824#post11706824

PPS: Oder wär das dann 1c in Artikel 6 DSGVO?

Was mich auch noch interessiert: angenommen man hat die Daten eines Bewerbers im ERP-System gespeichert. Er wird aber nie für die Firma arbeiten und verlangt jetzt die Löschung der Daten. Wenn man jetzt jeden Tag ein DB-Dump zieht, was man ja machen sollte und die Daten des Bewerbers jetzt in zig oder gar hundert Dumps drin stehen, wie bekommt man die wieder raus? Theoretisch müsste man jetzt jedes Dump importieren, die Daten löschen und ein neues Dump erstellen mit dem gelöschten Datensatz. :freak:

Das Problem hatte man im Kleinen auch schon mit dem BDSG. Hier gab es aber noch eine Aufwands-Klausel, die aber auch relativ schwammig war. Das DSGVO hat diese Klausel nicht.

Generell hast du schon recht. Im Grunde müsste man jedes Backup einspielen und dann die Daten da rauslöschen. Aber jeder der ein komplexeres Backup-System kennt, weiß, dass das in der Regel gar nicht realistisch möglich ist, aus einem Backup gezielt Daten zu löschen. Hier steht dann das Gesetz, dass du deine Daten korrekt sichern sollst dem irgendwie entgegen.

Das ist vermutlich auch noch eines der Dinge die noch angepasst werden. Alternativ müssten Backup-Systeme etwas schlauer werden.

Wollte er das überhaupt? Er hat nur ein Beispiel beschrieben und welche Konsequenzen dieses Gesetz haben kann.

Ja, und wenn man sagt "schaue dir mal Artikel #X an" und nur ein "wer garantiert mir das, du?" zurück kommt, dann ist das schon eine Suche nach Beratung. Auch hier gilt: Ich bin weder Mitarbeiter, noch Geschäftsführer der Firma. Nur die kennen diese Verträge.

Ich kann auch nur auf das zeigen was im Gesetz steht und wenn er selbst sagt, dass es zur Vertragserfüllung notwendig ist, dann passt das genau darauf.

Und wenn man selbst schonmal davon betroffen war, dass die private Handy-Nummer das Unternehmen verlassen, und dich ein Kunde am WE und im Urlaub angerufen hat, dann denkt man eben etwas anders über Datenschutz nach.

Was mich auch noch interessiert: angenommen man hat die Daten eines Bewerbers im ERP-System gespeichert. Er wird aber nie für die Firma arbeiten und verlangt jetzt die Löschung der Daten. Wenn man jetzt jeden Tag ein DB-Dump zieht, was man ja machen sollte und die Daten des Bewerbers jetzt in zig oder gar hundert Dumps drin stehen, wie bekommt man die wieder raus? Theoretisch müsste man jetzt jedes Dump importieren, die Daten löschen und ein neues Dump erstellen mit dem gelöschten Datensatz. :freak:

Find ich cool, muss ich mir für den Rest des Lebens nicht mehr darum sorgen, dass ich keinen Job mehr habe. :freak:

Ne ehrlich, ein Albtraum.

Edit: Software-Seitig würde ich das wohl so lösen, dass jedesmal ein Log erstellt wird, wenn eine auf dem DSGVO basierende Löschung von Daten geschieht. Im Wiederherstellungsfall würde ich das Log auslesen und die Löschungen erneut vornehmen.

Ja, und wenn man sagt "schaue dir mal Artikel #X an" und nur ein "wer garantiert mir das, du?" zurück kommt, dann ist das schon eine Suche nach Beratung. Auch hier gilt: Ich bin weder Mitarbeiter, noch Geschäftsführer der Firma. Nur die kennen diese Verträge.


Das ist deine Interpretation. Ich interpretiere das eher als rhetorische Frage (zumal ja auch der Kontext die Erfahrung nach ISO-Standards war); dass das Abwiegeln der möglichen Konsequenzen der DSGVO halt dann letztlich keine rechtssichere (und somit stichhaltige) Aussage, sondern nur eine mögliche Interpretation/Auslegung der DSGVO ist.

Das ist Teil der Diskussion hier.

Person 1: Dank DSGVO haben wir wohl praktisch einige Nachteile.
Person 2: Nö, wird abgesichert durch Art. XY. Ihr könnt das weiterhin so handhaben. DSGVO ist kein Problem.
Person 1: Wirklich, garantierst Du das?
Person 2: Bin ich Anwalt?

Und schon hat Person 1 bewiesen, dass es eben doch Nachteile gibt. :wink:

Das ist deine Interpretation. Ich interpretiere das eher als rhetorische Frage (zumal ja auch der Kontext die Erfahrung nach ISO-Standards war); dass das Abwiegeln der möglichen Konsequenzen der DSGVO halt dann letztlich keine rechtssichere Aussage, sondern nur eine mögliche Interpretation/Auslegung der DSGVO ist.

[..]

Und schon hat Person 1 bewiesen, dass es eben doch Nachteile gibt. :wink:

Es geht nicht um das Abwiegeln rechtlicher Konsequenzen... ich hab extra gefragt wo er noch ein Problem sieht, wenn die Angabe persönlicher Daten rechtlich und vertraglich notwendig ist. Und Artikel 6 nennt eigentlich ganz klar den Vertragsfall.

Darum hätte ich halt auch gerne mal aus Auskunft warum dieser Punkt _NICHT_ gelten sollte. Wenn wir jeden Paragraphen in jedem Gesetz mit "Wer garantiert mir das? Du?" wegschmettern, dann dürften wir gar keine Gesetze haben. Dann wäre so gut wie jedes Gesetz ein Stillstand von allem.

Wie soll man denn hier über das Gesetz diskutieren, wenn ich für jede meine Aussagen erst persönlich haften soll, bevor sie überhaupt beachtet werden?

edit:

Oder um es in deiner Form auszudrücken:

1. Das DSGVO behandelt solche Fälle gar nicht!!!
2. Doch hier im Artikel So und So
3. Haftest du dafür?

Siehst, schon ist sämtliche Diskussion sinnlos. Es ist immer noch ein Diskussionsforum und keine Rechtsauskunft.

Nein, es geht doch nicht, dass Du persönlich haftest, sondern eher das Aufzeigen, dass dieses Gesetz für jemanden halt andere Konsequenzen hat, als ein leicht dahergesagtes; Art 6 regelt das.

Da es zu dieser Verordnung halt noch keine praktische Rechtsprechung gibt und man manches unterschiedliche auslegen könnte (und dass das unterschiedliche ausgelegt wird, zeigt ja dieser Thread hier) ist diese Diskussion eben nicht so schnell zu klären.

Natürlich wäre eine Rückfrage wie "gibt es keine andere Möglichkeit den Art 6 auszulegen?" rhetorisch abgespeckter. :biggrin:

OT
BTW: Diese Diskussionen führe ich mit mir gerade, wenn es um Plugin-PVs geht. :freak:
/OT

Nach diversen Telefonaten heute warte ich eigentlich nur noch darauf das die DS-GVO zurück genommen wird. So ziemlich jedes kleine bis mittelständische Unternehmen ist nicht voll DS-GVO konform und die Abmahnindustrie wetzt gerade massiv die Klingen. Ich bin echt gespannt wie schnell und wie hart zurück gerudert wird. In unserem Industriezweig (Reproduktion und Verkauf von KFZ Teilen) kann ich behaupten das 90% aller Firmen nicht DS-GVO konform sind. Ganz ganz viele Unternehmen wissen nicht mal was das ist und das sie davon betroffen sind. Ich könnte dato heute 90% unserer Mitbewerber anzeigen - und das sind nur die Firmen die öffentlich nicht mal eine Datenschutzerklärung haben. Intern in den Firmen sieht es noch ganz anderes aus - viel schlimmer. Und ja, ich spreche hier von Europaweit, wir sind ein weltweit operierendes Unternehmen mit Groß und Kleinkunden aus aller Welt.

Das fängt schon bei den alten XT Commerce Onlineshops an die Datensicherheit gar nicht gewährleisten können und die DS-GVO mäßig komplett raus fallen, da nicht state of the art. Geht weiter über eine sehr verbreitete Warenwirtschaft im KFZ Bereich die noch auf DOS basiert und die Datenbank und das Hostsystem sich nicht verschlüsseln lassen. Und so weiter und so fort ;D
Hier sind Investitionen von mehreren hundert tausend € fällig für diese Firmen um die IT Landschaft zu modernisieren. Die Firmen haben aber teils das Geld gar nicht um sich einen neuen Onlineshop und Warenwirtschaft zu leisten ganz zu schweigen von den Folgekosten.

Ich lach mich schon jedesmal weg wen ich mit unseren Partnern telefoniere und nach dem Termin zu Inspektion ihrer IT Anlagen frage ;D Weil ich muss mich ja vergewissern das die mit unseren überlassenen Daten auch DS-GVO konform umgehen.

Ich bin definitiv pro Datenschutz! Aber die DSGVO ist ein Haufen Vorschriften von Leuten die es vielleicht richtig machen wollten - aber versagt haben. Auf ganzer Linie.

Gehört abgeschafft und überarbeitet!

€:

Ganz großes Kino ist wenn die DPD Dir ein Schreiben vom deutschen Datenschutzbund zukommen lässt das der DPD bescheinigt das sie kein Auftragsverarbeiter sind Du dann aber von der DHL und von Fedex einen AVV bekommst und deren staatliche Datenschützer der Meinung sind sie wären Auftragsverarbeiter. Im Gesetz steht das Postdienste für den Briefversand ausgenommen sind weil staatlich geregelt.

So viel mal dazu - die staatlichen Datenschützer wissen selbst nicht was Sache ist. Zu den anderen Millionen unsäglicher Kleinigkeiten sag ich mal nichts ;)

Es geht nicht um das Abwiegeln rechtlicher Konsequenzen... ich hab extra gefragt wo er noch ein Problem sieht, wenn die Angabe persönlicher Daten rechtlich und vertraglich notwendig ist. Und Artikel 6 nennt eigentlich ganz klar den Vertragsfall.


Der Artikel 6 regelt dies eben nicht. Es ist nicht definiert wer denn festgelegt, was notwendig und erforderlich ist. Und ich garantiere dir, es wird Klagen geben, weil die Datenschutzbeauftragen zu diesen Punkt eine völlig andere Auffassung haben werden, die werden den Datenschutz höher bewerten.

Das sind Wischi/Waschi Paragraphen, die können sowohl das eine, als auch das andere aussagen. Das sagte selbst eine Datenschutzbeauftrage, ich weiß nicht mehr genau welche, das die nächsten 4-5 Jahren massive Rechtsunsicherheiten herrschen wird, bis das ganze gerichtlich geklärt. Und das kann es einfach nicht sein.

Die Österreicher mag ich :)
Dort gibt es erstmal keine Strafen.
https://www.heise.de/newsticker/meldung/Keine-Strafen-Oesterreich-zieht-neuem-Datenschutz-die-Zaehne-4031217.html?seite=all

Die Österreicher mag ich :)
Dort gibt es erstmal keine Strafen.
https://www.heise.de/newsticker/meldung/Keine-Strafen-Oesterreich-zieht-neuem-Datenschutz-die-Zaehne-4031217.html?seite=all

Da fängt es schon an. Deutschland bitte next :biggrin:

Die Österreicher mag ich :)
Dort gibt es erstmal keine Strafen.
https://www.heise.de/newsticker/meldung/Keine-Strafen-Oesterreich-zieht-neuem-Datenschutz-die-Zaehne-4031217.html?seite=all

Wie soll das eigentlich gehen? EU-Recht steht doch über den Recht der einzelnen Länder.

Wie soll das eigentlich gehen? EU-Recht steht doch über den Recht der einzelnen Länder.
Nein. Die EU erlässt ein Richtlinie. Diese muss dann in nationales Recht umgesetzt werden. Und hier gibt es viel Spielraum.

Nein. Die EU erlässt ein Richtlinie. Diese muss dann in nationales Recht umgesetzt werden. Und hier gibt es viel Spielraum.

Ah OK. Naja gut, dann geht's ja mit schlechter IT und schlechtem Datenschutz ja einfach weiter. Imo überleben entsprechende Firmen zukünftige Verordnungen eh nicht, schon aufgrund maroder IT. Braucht sich keiner wundern, wenn er dann von Startups überholt wird.

Braucht sich keiner wundern, wenn er dann von Startups überholt wird.

Du bist viel zu IT Firmen fixiert. Es gibt z.b. kein Unternehmen oder Startup welches uns, als Firma, jemals gefährlich werden könnte. Wenn wir heute zumachen, gibt es die Teile auf der ganzen Welt nicht mehr. Und keiner wird die jemals nachbauen können -> wir haben so Dinge wie Patente auf unsere Produkte. Ohne unsere Produkte ist ein ganzer Markt tot und wird nicht wiederbelebt.

Nur ein Beispiel, davon bringe ich Dir dutzende!
Wobei wir - für unsere Branche - sehr DS-GVO fit sind und das mit einer Wawi die mehr als 20 Jahre auf dem Buckel hat.

Ah OK. Naja gut, dann geht's ja mit schlechter IT und schlechtem Datenschutz ja einfach weiter. Imo überleben entsprechende Firmen zukünftige Verordnungen eh nicht, schon aufgrund maroder IT. Braucht sich keiner wundern, wenn er dann von Startups überholt wird.
Datenschutz muss nicht schlecht sein nur weil er nicht dem entspricht was sich die EU-Politiker von Beratern ausdenken ließen. Bei uns ist das auch "nur" Dokumentation. Dummerweise bindet das sehr viel Manpower derzeit und wir müssen sogar mehr Daten produzieren als ohne dieses Gesetz. Deshalb mag ich dieses Gesetz auch nicht weil es halt Facebook und Mittelständler über einen Kamm schert.

Du bist viel zu IT Firmen fixiert.

Das mit den Startups war ja auch nur ein Beispiel. Startups gibt's nicht nur im IT Bereich. Das DSGVO wird nicht die einzige Verordnung in der Richtung bleiben und je länger eine Firma einfach gar nichts tut, desto schlimmer wird die ganze Sache für sie. Da lache ich entsprechend über das Gejammere der Firmen, die plötzlich daran erinnert werden, dass sie mal was tun müssten. Ich kenne ebenso genug Firmen in Deutschland, wo ich weiß, dass deren IT einfach eine ganz große Katastrophe ist und es einfach nur Glück ist, dass sie ihre Daten überhaupt noch haben.

Diese "uns kann nichts anhaben" Haltung hat schon einige Firmen in der Geschichte in den Abgrund gerissen. Wünsche ich dir jetzt persönlich natürlich nicht, aber Aussagen wie "unsere IT ist so alt, wir können das DSGVO nicht mal im Ansatz umsetzen", sind einfach mal für mich ein dicker fetter Grund _für_ das Gesetz.

Datenschutz muss nicht schlecht sein nur weil er nicht dem entspricht was sich die EU-Politiker von Beratern ausdenken ließen.

Sicherlich. Aber einige der hier vorgebrachten Punkte sind schon im Sinne des BDSG schon fragwürdig (z.B. uralt-IT, die bestimmte Dinge gar nicht ermöglicht). Hier ist auch keiner dran gestorben oder wurde in Grund und Boden verklagt. Wie schon gesagt wurde, sollte man bei der allgemeinen Bewertung auf die Verhältnismäßigkeit achten, trotzdem reden die Meisten noch vom armen kleinen Blog von irgendeiner Person, für den scheinbar die Benutzung eines Datenschutzerklärungs-Generator schon viel zu viel Arbeit ist.

Auf welchem Level überall gejammert wird, geht schon sehr krass auseinander. Klar ist es Arbeit für die Firmen, gilt ja auch für mich. Aber wie ich ja schon mal sagte, ist es ein guter Weckruf sich mal über ein paar Punkte Gedanken zu machen, gerade wenn es darum geht alle Daten in die Cloud und/oder in die USA zu blasen. Hätte natürlich schon vor Ablauf des Ultimatums stattfinden müssen, aber nunja ;)

In Hamburg, nicht aber in Baden-Württemberg, wird demnach eine Datenschutz-Folgenabschätzung für Datenverarbeitungen in einem Drittland verlangt. Das ist beispielsweise dann nötig, wenn eine Schule oder ein Krankenhaus nicht-europäische Dienstleister nutzt. US-Dienste können damit bei besonders sensiblen personenbezogenen Daten nur genutzt werden, wenn entsprechende Sicherungen durchgeführt werden.

https://www.heise.de/newsticker/meldung/DSGVO-Worauf-sich-die-Datenschutz-Aufsichtsbehoerden-konzentrieren-4060400.html?seite=2

Na das wird ja lustig, kenne so einige Kleinstunternehmer, die ihre Email bei Gmail haben...

Nein. Die EU erlässt ein Richtlinie. Diese muss dann in nationales Recht umgesetzt werden. Und hier gibt es viel Spielraum.

DSGVO ist eine Verordnung und gilt auch ohne Umsetzung in die nationale Gesetzgebung in der ganzen EU. Es gibt Öffnungsklauseln, wo der nationale Gesetzgeber was anpassen kann. Aber dass die deutsche Regierung mal ihren Arsch hochbekommt und da was anpasst - nunja, am Schweigen sah (hörte?) man ja, wie wichtig der Regierung das ist. So wie ich J. P. Albrecht im Interview verstanden habe, wollte das zuständige Innenministerium diese DSGVO nie haben und hat auch massiv dagegen lobiiert. Vielleicht ist das Scheigen auch einfach Kalkül der Bundesregierung bzw. des Innenministeriums, um die Stimmung gegen die DSGVO "anzuheizen".

PS: https://www.forum-3dcenter.org/vbulletin/showpost.php?p=11707169&postcount=227

Weiß das wirklich keiner? Muss ich nen AV-Vertrag abschließen? Oder kann man sich das aufgrund der "rechtlichen Verpflichtung" (Art. 6 Abs. 1 lit. c) schenken?

Nein. Die EU erlässt ein Richtlinie. Diese muss dann in nationales Recht umgesetzt werden. Und hier gibt es viel Spielraum.
Das stimmt nicht. Bzw. ja, es stimmt - bei Richtlinien.
Eine Verordnung ist aber keine Richtlinie, sondern wird unmittelbar umgesetzt. Deshalb sind auch die ganzen alten nationalen Datenschutzgesetze am Stichtag der Umsetzung wirkungslos geworden.
https://de.wikipedia.org/wiki/Europarecht#Sekund%C3%A4rrecht

Wie soll das eigentlich gehen? EU-Recht steht doch über den Recht der einzelnen Länder.
Ist halt IMHO nur billiger Populismus. Zunaechst mal geht das vielleicht gut, weil die nationalen bzw. sogar foederalen Aufsichtsbehoerden zustaendig sind. Wenn Oesterreich aber nicht dafuer sorgt, dass geltendes EU-Recht umgesetzt wird bzw. es auch noch aktiv blockiert, gibt es halt Aerger.
Zumal es ja ueberhaupt keinen Sinn macht. Die Behoerden verhaengen die Bussgelder von *bis zu* 10/20 Mio. EUR bzw. 2/4% des Jahresumsatzes. Es sagt ja keiner, dass die gleich mal den ersten Mittelstaendler mit dem Hoechstbetrag belegen *muessen*. Statt Bussgelder gleich komplett auszusetzen haetten sie sich also auch auf europaeischer Ebene fuer "humane" Richtlinien zur Verhaengung von Bussgeldern einsetzen koennen.

oh, quiller war schneller, hatte die letzte Seite verpasst :D

Deshalb mag ich dieses Gesetz auch nicht weil es halt Facebook und Mittelständler über einen Kamm schert.
Tut es nicht. TOMs sind z.B. immer Verhaeltnismaessig anzusetzen, bei Unternehmen mit <250 MA (AFAIR auch die Grenze fuer "den Mittelstand") muss man z.B. auch nicht zwangslaeufig ein VVT fuehren, einen DSB braucht man als kleines Unternehmen auch nicht zwingend.
Ich zitiere zudem mal aus EG13:
Außerdem werden die Organe und Einrichtungen der Union sowie die Mitgliedstaaten und deren Aufsichtsbehörden dazu angehalten, bei der Anwendung dieser Verordnung die besonderen Bedürfnisse von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen.

Oder was waere denn eine Differenzierung, die dir genehm waere? Unternehmen mit einem Umsatz von <x oder <x Betroffenen oder <x Verantwortlichen sollen machen duerfen was sie wollen? Das ist doch Quatsch.

Tut es nicht.


Hier muss ich mal widersprechen. In der Umsetzung werden sehr wohl (fast) alle über einen Kamm geschert. Nur bei der Bestrafung bei Verstößen kommt es dann zu einer Ausdifferenzierung durch die Landesbehörden (und hier kann das auch noch von Bundesland zu Bundesland unterschiedlich aussehen^^), was eigentlich ja fast schon einem Eingeständnis nahe kommt, dass die DSGVO die Rechtsunsicherheit befördert (das ist die Argumentation von Sasch Lobo, als J.P.Albrecht das ansprach).

Ein Stück weit kann ich ja die Gleichbehandlung auch verstehen: Du könntest ja auch als Mini-Unternehmen (mit nur ner handvoll Leuten) Millionen von Datensätzen mit personenbezogenen Daten verarbeiten. Oder sie hantieren mit besonders schützenswerten personenbezogenen Daten. Hier zu sagen, solche Unternehmen brauchen die DSGVO oder Teile davon nicht umzusetzen, nur weil sie z.B. aus 8 Mitarbeitern besteht, wäre auch nicht richtig.

Dass es aber hier dann zu einer großen Anzahl an (i.d.R. Klein-)Unternehmen kommt, die dann (fast schon zu unrecht) mit Auflagen schikaniert werden, wurde eben bei der DSGVO nicht bedacht. Und ich behaupte mal, der Großteil dieser Kleinunternehmen sammelt eben nicht Millionen von personenbezogenen Datensätzen.

Hier muss ich mal widersprechen. In der Umsetzung werden sehr wohl (fast) alle über einen Kamm geschert. Nur bei der Bestrafung bei Verstößen kommt es dann zu einer Ausdifferenzierung durch die Landesbehörden (und hier kann das auch noch von Bundesland zu Bundesland unterschiedlich aussehen^^), was eigentlich ja fast schon einem Eingeständnis nahe kommt, dass die DSGVO die Rechtsunsicherheit befördert (das ist die Argumentation von Sasch Lobo, als J.P.Albrecht das ansprach).

Ein Stück weit kann ich ja die Gleichbehandlung auch verstehen: Du könntest ja auch als Mini-Unternehmen (mit nur ner handvoll Leuten) Millionen von Datensätzen mit personenbezogenen Daten verarbeiten. Oder sie hantieren mit besonders schützenswerten personenbezogenen Daten. Hier zu sagen, solche Unternehmen brauchen die DSGVO oder Teile davon nicht umzusetzen, nur weil sie z.B. aus 8 Mitarbeitern besteht, wäre auch nicht richtig.

Dass es aber hier dann zu einer großen Anzahl an (i.d.R. Klein-)Unternehmen kommt, die dann (fast schon zu unrecht) mit Auflagen schikaniert werden, wurde eben bei der DSGVO nicht bedacht. Und ich behaupte mal, der Großteil dieser Kleinunternehmen sammelt eben nicht Millionen von personenbezogenen Datensätzen.

Das Problem an der DSGVO ist, das Albrecht und Schrems diese Verordnungen als Waffe gegen Facebook sehen. Es wurde komplett ausgeblendet, welche Auswirkungen die DSGVO auf Unternehmen hat die eben keine SocialMedia Daten verwalten.


Da macht Datenschutz sinn, aber beim Handwerker um die Ecke, der sich nun Gedanken machen muss, ob er überhaupt noch Visitenkarten annehmen kann oder was er mit Telefonischen Anfragen machen soll, da macht diese Verordnung keinen Sinn. Das freie Internet wird auf dem Altar der Egos von Albrecht und Schrems geopfert. Die werden genau das gegenteil von dem erreichen, was Sie eigentlich erreichen wollten. Durch die schwammige Ausformulierungen, ich zitiere " Außerdem werden die Organe und Einrichtungen der Union sowie die Mitgliedstaaten und deren Aufsichtsbehörden dazu angehalten, bei der Anwendung dieser Verordnung die besonderen Bedürfnisse von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen. ". Angehalten ist nicht gleichbedeutend mit angewiesen, das ist dem gutdünken der Behörde überlassen oder besser dem Prüfer, er war ja nur angehalten und nicht angewiesen.

Die ganze Verordnungen wimmelt geradezu nur von unpräziser Sprache und Anweisungen, aus vielen Paragraphen kann man sowohl das eine oder auch das andere draus lesen, je nach Standpunkt. Ganon und Albrecht sind auf dem Standpunkt, das die Behörden ja angehalten sind, und ja erst mal beratend tätigen werden sollten, bevor Sie strafend tätig werden. Das steht aber so nicht in der Vorschrift, das sind kann Verordnungen, aber keine Muss.

So entsteht massive Rechtsunsicherheiten und verunsichert den Großteil der Webseitenbetreiber, die sich eben nicht diesem Risiko aussetzen wollen, das der Prüfer eben nicht dem Standpunkt "angehalten" anhängt, sondern die gegensätzlichen Ansicht vertritt.

Gestern bei den Eltern zum Abendessen gewesen. Mein Vater ist 60+ und im Vorstand eines Angelvereins mit 250+ Mitgliedern. Ich erzählte so von meiner Arbeit die letzten Wochen und die Pro und Contras der DSGVO und ließ eher beiläufig fallen für wen diese so gilt.

Ratet mal was passiert ist und was ein 60 Jähriger und dessen Vereinskollegen von der DSGVO halten und wie diese dort umgesetzt wird :biggrin:;D

Ich mache es mal kurz um den Thread nicht zu müllen: Wer denkt sich ein derart bescheuertes Gesetz aus? Da machen wir nicht mit! Da soll nur Geld mit gemacht werden von den kleinen Leuten! Blöde EU! Und so weiter und so fort. In einer Art das das Gesprächsthema gewechselt werden musste um den Abend zu retten, da ein paar Emotionen hochkochten ;)

PS: Habe mein Lieblingssatz der älteren Generation vergessen (höre ich fast täglich von diversen Leuten): Sollen die doch alle meine Daten sammeln, ich habe nichts zu verbergen!™

https://www.heise.de/newsticker/meldung/DSGVO-Die-Abmahn-Maschinerie-ist-angelaufen-4061044.html

Geneau das was man befürchtet hat. Abmahnungen ohne Ende.