• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

Rant: Warum die DSGVO eine Datenschutz-Karikatur ist

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.730
Ort
in der Zukunft
Die DSGVO bürdet zahllosen Menschen umfangreiche bürokratische Pflichten auf und schafft Rechtsunsicherheit. Doch vor was schützt sie uns eigentlich?

... Ich habe mich am Wochenende noch einmal sehr im Detail mit dem Thema beschäftigt - da ich selber keinen akuten Grund habe agieren zu müssen, hat mich das vorher nur Oberflächlich interessiert.
Außerdem gibt es kurz vor knapp besseres Material. ;D

Allgemein finde ich die Idee sehr gut, dass man als Bürger bei Firmen das Recht hat, Auskunft über seine Daten zu bekommen und eine Löschung erwirken kann und das im Internet veröffentlicht werden muss, wozu die Daten gespeichert werden. Das macht es der Werbeindustrie deutlich schwerer Placebo-Produkte zu präsentieren, nur um an Daten zu kommen.

Aber im Detail ist die Umsetzung wohl wieder einmal "Deutsch".

Die Überschrift gehört zu einem Artikel, den ich dazu am Montag gelesen habe und der es, finde ich, super gut (und mit einem lachenden und weinenden Auge) zusammenfasst.


Daher möchte ich den Artike zum Thema einfach mal für euch verlinken:
https://t3n.de/news/rant-dsgvo-datenschutz-karikatur-1078247/
 
Zuletzt bearbeitet:

LadyRavenous

in Schwarz
Teammitglied

Registriert
26 Dez. 2016
Beiträge
16.079
Ort
hello world
Wer Popcorn daheim hat, kann gerne in die Facebookgruppe zu DSGVO und Wordpress reinschauen.
Dass die DSGVO kommt, ist schon länger bekannt. Ich habe mich vor über 2 Jahren zum ersten Mal damit befasst, damals noch mit lustigen englischen Draftversionen. Eigentlich ändert sich nicht so viel, nur gibt es jetzt Strafen. Das meiste hätte man eigentlich schon vorher haben sollen.
Ich habe die DSGVO genutzt, um nochmals über meine Seiten zu gehen und paar Sachen zu optimieren.
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.730
Ort
in der Zukunft
  • Thread Starter Thread Starter
  • #3
ja und nein - das es das Thema seit 2 Jahren gibt ist korrekt - aber gab es früher wirklich eine Informations + Opt-in pflicht für jegliche Datenübersendung?
Also eigentlich jedes Formular auf einer Website auf dem ich informieren muss das ich die Daten speichere, verarbeite usw.. und eine info zur genauen Richtlinie + eine Bestätigung das der Besucher sich dessen bewusst ist?

Oder das der gesamte Verarbeitungsweg verschlüsselt sein muss - z.B. auch die Info-Mail die versendet wird mit Infos aus dem Formular (wenn dem so ist) per smtps übertragen werden müsste - oder s/mime oder ähnliches.

Oder das Bei Photos - insofern sie entweder veröffentlicht werden oder gewerblich ist (und das ist es schnell) eine explizite Einverständnis vorhanden sein muss auf der die Verwendung der Photos beschrieben wird (Schild oder so mit der Info "es wird Photografiert" reicht nicht) von jeder Person die auf irgend einem Photo drauf ist.
Viel Spaß bei jeglicher Veranstaltung.

Wenn es das alles schon früher gab dann wurde die Bevölkerung darüber echt schlecht informiert... auch wenn man aktiv Sucht was man zur Rechtssicherheit seines hobbies oder jobs benötigt.
 

LadyRavenous

in Schwarz
Teammitglied

Registriert
26 Dez. 2016
Beiträge
16.079
Ort
hello world
Ich habe nicht gesagt alles, sondern vieles.

Einiges war bisher nur empfohlen. Fotos hat uns damals im Studium vor zig Jahren schon der Rechtsprof die explizite Einverständniserklärung empfohlen. Ich weiß aber auch, dass es üblich war bzw. noch ist bei der Anmeldung eine Einverständnis mit Opt-Out zu machen.

Ersteres hatte ich bereits vorher schon teilweise. Verschlüsselt war vorher auch schon empfohlen.
 

KaPiTN

♪♪♫ wild at heart ♪♫♫♪

Registriert
14 Juli 2013
Beiträge
29.138
Folgt man der Argumentation hinter einem der weiterführenden Links, dann ergibt sich bereits bei der Erstellung, also ohne Veröffentlichungsabsicht, bei digitalen Photographien ein Problem.
Durch mit dem Bild gespeicherte Informationen wie Zeit und GPS handelt es sich demnach um erlaubnispflichtige Datenerhebung.

Also Obacht, daß beim Selfie keiner hinter einem steht.
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.730
Ort
in der Zukunft
  • Thread Starter Thread Starter
  • #6
Eine extra einverständniss von jedem ist aber bei Photos schlicht nicht Möglich.
Wie geht das beim öffentlichen Veranstaltungen?
Selbst bei einer schlichten Hochzeit muss der Photograf bei jedem Photo vor dem abdrücken prüfen ob einer der die Unterschrift nicht gegeben hat irgendwo in der Ecke des Bildes zu sehen ist ... subba :)

Und empfohlen ist viel - aber wirklich sinnig?
Man möchte dem Benutzer ja eventuell auch nicht auf die nerven gehen - daher hat so manches wohl fast keiner freiwillig umgesetzt.
Wie gesagt ich finde den Datenschutz im Grunde sehr gut.
Aber das ich bei einem Kontakt-Formular den Besucher extra darauf hinweise das seine Daten nun gespeichert und übertragen werden ist für mich komplett Sinnfrei und führt nur dazu das noch weniger Leute solche Informationen lesen.
Wie kommt die Anfrage denn sonst an die Firma?

Das das dann wieder verschlüsselt gehört ist ja durchaus nachvollziehbar und das war es in der Tat ja schon lange vorher bei den Meisten - auch dank Lets Encrypt ^^
 

KingJamez

Aktiver NGBler

Registriert
18 Juli 2013
Beiträge
501
Ein leidiges Thema, sicher sind viele Sachen der DSGVO schon lange bekannt und sollten auch schon lange umgesetzt werden, allerdings besteht derzeit eben die große Angst vor den Abmahnanwälten die die Messer schon gewetzt haben. Die warten schon auf den 25.05 um ihre bösen Briefe an kleine Blogger und Shops schicken, die großen wird das kaum treffen. Auch traurig ist die darum entstehende Wirtschaftsmaschinerie die jetzt "Sicherheitspackete" für die DSGVO anbietet. - T3N die in Ihrem Artikel auch viel meckern sind da nicht ausgenommen, auch die versuchen aus der panikmache Geld zu ziehen.

Problematisch sehe ich derzeit die waagen Formulierungen und das keiner genau weiß, wie er sich verhalten soll. Alle warten eigentlich auf die ersten Abmahnungen um dann nochmal Änderungen an ihren Sites vorzunehmen.

aber gab es früher wirklich eine Informations + Opt-in pflicht für jegliche Datenübersendung?
...
Also eigentlich jedes Formular auf einer Website auf dem ich informieren muss das ich die Daten speichere, verarbeite usw.. und eine info zur genauen Richtlinie + eine Bestätigung das der Besucher sich dessen bewusst ist?
Eine Informationspflicht gibt es schon länger, der Verweis auf die Datenschutzerklärung reichte bisher aus, laut den meisten Aussagen soll das auch weiterhin reichen. Eine Opt-In Pflicht sehe ich nicht, das liegt aber vielleicht an der waagen Formulierungen. Bisher sehe ich es eher so, dass der Unternehmer es nur kreativ genug begründen muss, warum die Datenerhebung wichtiger ist als die Belange des Users.

Die Checkbox Regelung ist genauso waage formuliert, viele Anwälte sagen, es reicht an bestimmten Stellen auf die Datenschutzerklärung zu verweisen. Allerdings raten von den Anwälten trotzdem viele dazu lieber eine Checkbox zu nutzen um unnötigen Abmahnungen aus dem Weg zu gehen.


Oder das der gesamte Verarbeitungsweg verschlüsselt sein muss - z.B. auch die Info-Mail die versendet wird mit Infos aus dem Formular (wenn dem so ist) per smtps übertragen werden müsste - oder s/mime oder ähnliches.
Auch hier ist die Kreativität der Begründung es nicht zu tun gefragt - sagen viele. Und es kommt auch immer darauf an wie sensibel diese Daten sind - man sollte das Missbrauchsrisiko soweit wie möglich vermeiden, eine komplette Verschlüsselung der Daten ist sogut wie nicht möglich.
Wir betreiben Online Shops - diese Regelung würde ja bedeuten das wir jeglich Kundendaten in der Datenbank verschlüsselt ablegen müssen - das steht aber nirgends - es soll nur der höchstmögliche Schutz (kreative Begründung) für die Daten geschaffen werden.
Wir legen den höchstmöglichen Schutz so aus: Die Datenbank ist von außen nicht einsehbar, die Software die die Daten abgreift wird regelmäßig gewartet und aktualisiert. Die Übertragung der Daten vom Client zu uns findet via SSL statt.

Es werden auch keine unnötigen Daten vom Kunden abgefragt. Die Telefonnummer wird abgefragt um den Bestellprozess sauber abschließen zu können, diese wird, wie in unserer Datenschutzerklärung beschrieben, nur dafür verwendet das die Spedition den Kunden avisieren kann. Ein Geburtsdatum fragen wir nicht ab, einige Zahlungsdienstleister tun das, diese Daten werden allerdings nicht bei uns gespeichert sondern nur an den Zahlungsdienstleister übertragen (steht auch in der Datenschutzerklärung).
Das ist das höchste Maß an Sicherheit das wir als kleines Unternehmen gewährleisten können.

Wir versuchen einen vorsichtigen Mittelweg zu gehen und warten die nächsten Wochen ab, was sich bei den anderen so tut. Fressnapf.de wird derzeit oft als lobendes Beispiel erwähnt, die haben schon vieles umgesetzt und es trotzdem relativ elegant gelöst.
 

LadyRavenous

in Schwarz
Teammitglied

Registriert
26 Dez. 2016
Beiträge
16.079
Ort
hello world
Auch traurig ist die darum entstehende Wirtschaftsmaschinerie die jetzt "Sicherheitspackete" für die DSGVO anbietet. - T3N die in Ihrem Artikel auch viel meckern sind da nicht ausgenommen, auch die versuchen aus der panikmache Geld zu ziehen.

Das ist mir auch schon negativ aufgestoßen. Gefühlt gibt es die Leute, die Panik schieben, die, die unbekümmert sind, die, die sich aufregen und die, die Geld verdienen.

BayLDA und andere LDAs bieten finde ich angenehme Checklisten und Muster an.
 

Jester

★★★★☆ (Kasparski)

Registriert
1 Dez. 2014
Beiträge
6.059
Ort
Code Azure
Eine Informationspflicht gibt es schon länger, der Verweis auf die Datenschutzerklärung reichte bisher aus, laut den meisten Aussagen soll das auch weiterhin reichen. Eine Opt-In Pflicht sehe ich nicht, das liegt aber vielleicht an der waagen Formulierungen. Bisher sehe ich es eher so, dass der Unternehmer es nur kreativ genug begründen muss, warum die Datenerhebung wichtiger ist als die Belange des Users.

Die Checkbox Regelung ist genauso waage formuliert, viele Anwälte sagen, es reicht an bestimmten Stellen auf die Datenschutzerklärung zu verweisen. Allerdings raten von den Anwälten trotzdem viele dazu lieber eine Checkbox zu nutzen um unnötigen Abmahnungen aus dem Weg zu gehen.

Wir setzen sicherheitshalber die "Ich habe die (verlinkte) Datenschutzerklärung gelesen und willige ein"-Checkbox schon seit geraumer Zeit ein und ich würde ernsthaft davon abraten, dieses Opt-In nicht einzuholen, auch wenn sich die Vorgabe schwammig liest.
 

Amixor33

NGBler

Registriert
10 Apr. 2018
Beiträge
862
Ort
BY, BW, HE
Da bekomm ich einen Hals bei diesem Thema, ich hatte leider bislang kaum Zeit mich damit auseinander zu setzen, gestern und heute erst zwei Prüfungen nachgeschrieben für dich ich sehr viel tun musste und naja - sind ja nur noch 10 Tage, ggf. überlege ich mir auch meine Blogs vorübergehend offline zu nehmen, sind zwar über Blogspot gehostet aber das ist mir alles viel zu unübersichtlich und ich weiß nicht inwiefern überzogene und drakonische Strafen, vergleichbar mit dem Netzdurchsuchungsgesetz auch nur annähernd irgendwas positives tun.

Derjenige der bewusst dagegen verstoßen kann, weil er die Mittel hat, juckt es oft nicht.

Und ja die Abmahnanwälte sind für mich Pest pur, ich finde dagegen sollte etwas getan werden. Die bringen keinerlei Mehrwert oder Nutzen für die Gesellschaft sondern arbeiten schön in die eigene Tasche und können damit Existenzen ruinieren.

Naja, ich glaub ich kauf mir die Woche mal ne Zeitung oder irgendwas zu dem Thema. So klar scheint ja auch nichts zu sein, wollte nicht irgendwer das Gesetz auch kurz vor knapp wieder einkassieren?
 

Shodan

runs on biochips

Registriert
14 Juli 2013
Beiträge
661
Ort
Citadel Station
Vor der DSGVO ein wenig "Angst" zu haben macht schon Sinn, denn in Sachen Datenschutz wird, so unterstelle ich, von vielen massiv gepfuscht. Eine Verschärfung war dringend notwendig, damit auf dem Gebiet endlich eine Trendwende einsetzt.

Ein kleines Beispiel: ein Unternehmen erzählt dir wie wichtig ihnen Datenschutz ist und bla blub bla bla. Du registrierst dich, bekommst eine E-Mail und in der ist ein Trackingpixel eines anderen Unternehmens. Im Pixel werden Daten übergeben, wie z.B. die E-Mail-Adresse des Empfängers.
Man kann das jetzt auf zwei Arten formulieren:
1. Das Unternehmen braucht das um die Funktionalität ihrer Software zu verbessern.
2. Das Unternehmen gibt systematisch alle E-Mailadressen ihrer Kunden an einen Dritten weiter.

Die Sorge um "die Kleinen" hat schon was wahres: es sind gerade "die Kleinen", die sich ihre Online-Angebote halt nach dem "viel hilft viel" Prinzip aus "Gratisangeboten" zusammenklicken, obwohl sie keine Ahnung haben, was sie da machen. Diese "Kleinen" stellen auch öffentlich zugängliche Memcached Server ins Netz, verfassen auf Facebook strafrechtlich relevante Beiträge und fahren besoffen mit dem Auto. (hehe Google-Auto mit 2 Promille toxischer Prozesse überfährt Fußgänger.. scnr) Selbstverständlich müssen auch die "kleinen Leute" Daten schützen, immerhin hat sich ein ganzer Industriezeig entwickelt, der viele tolle Features gratis anbietet, wenn sie "nur ein paar Daten der User" dafür bekommen.

Das t3n, eine Seite über die mir Ghostery sagt, dass sie neun Tracker einbindet öffentlich gegen die DSGVO hetzt, wundert mich nicht im Geringsten. Immerhin werfen die mit den Daten ihrer Nutzer nur so um sich. Positiv anzumerken ist, dass t3n ihre Tracker in ihrer Datenschutzbestimmung auch aufführen. "Bevor ich so ein Risiko eingehe, lass ich es lieber bleiben." heißt es in dem Rant. - Ja klar, schön wärs. Datenvermeidung wäre ganz in unserem Sinne. (Wir, das sind die Leute, mit deren Daten ihr so lieblos umgeht). (Ja ich weiß, dass ich es aus dem Kontext reiße und er Bloggen meint).

In dem Rant wird Stimmung gemacht, mit teils zweifelhaften Argumenten. Zum Beispiel verwendet der Autor eine "Inflation of conflict": verschiedene Experten diskutieren über Fotos, also ist die DSGVO schlecht, weil es Leuten schadet, die Kultur schaffen. Wat? Fotos gegen den Willen der Fotografierten sind schon seit Jahren ein Streitthema, siehe z.B. Paparazzis, da braucht es keine DSGVO für. Oder das Tu-quoque-Argument, dass sich quer durch den Rant zieht: Warum sollen wir Datenschutz machen, wenn der Staat, Google und Facebook doch die größten Sünder sind? - Weil es der richtige Weg ist, ihr Narren!

t3n.de/datenschutz/ schrieb:
Zu den statistischen Erhebungen gehört ebenfalls die Feststellung, ob die Newsletter geöffnet werden, wann sie geöffnet werden und welche Links geklickt werden. Diese Informationen können aus technischen Gründen zwar den einzelnen Newsletter-Empfängern zugeordnet werden. Es ist jedoch weder unser Bestreben, noch das von MailChimp, einzelne Nutzer zu beobachten. Die Auswertungen dienen uns viel mehr dazu, die Lesegewohnheiten unserer Nutzer zu erkennen und unsere Inhalte auf sie anzupassen oder unterschiedliche Inhalte entsprechend den Interessen unserer Nutzer zu versenden.
Wunderschöne Formulierung, ich meine fast die kognitive Dissonanz rauslesen zu können. Da steht drin "wir haben etwas implementiert, was wir nicht brauchen und erfassen deshalb mehr, wie wir eigentlich haben wollen" :D Schon mal darüber nachgedacht die Implementation zu ändern?


Auf "bürokratischen Irrsinn" wird da geschimpft und dass das alles viel zu schwierig wäre.
Ja, wenn man verklausulieren will, warum es Datenschutzrechtlich alles ok ist, wenn man neun anderen Unternehmen erzählt, dass ein User sich gerade die Seite ansieht... dann braucht man dafür wohl einen Anwalt. Der Datenschutzbeauftragte wird zum Dokumentationsbeauftragten degradiert und soll das Unternehmen vor den Ansprüchen der betroffenen Personen schützen, statt halt... Daten zu schützen.

Aber dann Angst haben, dass man Ärger bekommen könnte.

Und wir Datenschützer greifen nicht zur Abmahnung als Mittel der Wahl. Erstmal gilt es das Unternehmen (oder die Person, Blogger, Fotografin, etc) anzusprechen, Fristen zu setzen, mehrfach nachzufragen, dann geht es zur zuständigen Behörde, mit der noch mal nachgefragt wird und dabei heißt es stets erstmal eine Verbesserung anstreben. Und nur wenn nichts passiert, wenn der Datenverarbeiterin die Grundrechte am Arsch vorbei gehen, wenn systematisch gepfuscht wird, dann reden wir über Strafen.

Das Abmahnanwälte auf zweifelhafter Basis Abmahnungen versenden ist ein ganz anderes Problem, das wenig mit Datenschutz an sich zu tun hat. Die Sache mit dem Impressum liegt uns allen noch übel im Magen, weil wir nie richtig aufgearbeitet haben, wer denn da eigentlich den Bloggern "unlauteren Wettbewerb" vorwirft.


es soll nur der höchstmögliche Schutz (kreative Begründung) für die Daten geschaffen werden.
Wir legen den höchstmöglichen Schutz so aus: Die Datenbank ist von außen nicht einsehbar, die Software die die Daten abgreift wird regelmäßig gewartet und aktualisiert. Die Übertragung der Daten vom Client zu uns findet via SSL statt.
Der Server steht im ISO/IEC 27001 zertifizierten Rechenzentrum. Auf die Datenverarbeitungssysteme haben nur einzelne Spezialisten Zugriff, um den technischen Betrieb des Systems sicherzustellen. Diese Spezialisten sind geschult und haben eine NDA unterschrieben. Die Entwicklungsumgebungen für die eingesetzte Software verarbeiten keine personenbezogenen Daten.

Es geht nicht um kreative Begründungen, kreative Begründungen sind der verzweifelte Versuch der Schafe ungeschoren davonzukommen. Es geht um Transparenz der Unternehmen gegenüber ihren Kunden und darum sich als Unternehmer und als Mensch mal Gedanken darüber zu machen, was man da eigentlich für einen Müll fabriziert.
Aber irgendwie hat die Industrie es geschafft die tatsächliche Umsetzung der DSGVO durch Unternehmen zu einer Karrikatur zu machen. Zumindest darin stimme ich dem Artikel zu.
 
Zuletzt bearbeitet:

electric.larry

\''; DROP TABLE user; --
Teammitglied

Registriert
13 Dez. 2014
Beiträge
4.549
Ort
Raum 43
Ich habe in den letzten Wochen einige Websites aus den unterschiedlichsten Branchen hinsichtlich der DSGVO überarbeitet. Die Anweisungen, was zu tun ist, wurden jeweils von unterschiedlichen Rechtsanwaltskanzleien geliefert.

Auffällig dabei war, dass ausnahmslos alle Anwälte die Anforderungen der DSGVO unterschiedlich interpretieren und dass kein einziger dabei war, der wirklich den technischen Hintergrund verstanden hat. Auch auf explizite Rückfrage, habe ich unterschiedliche Auskünfte zu den selben Punkten bekommen. Das ist aber bei einem neuen Gesetz, für das es noch keine konkreten Gerichtsentscheidungen gibt, vielleicht zu erwarten.

Unter den Angaben der Rechtsanwälte waren teilweise kuriose Vorschläge, wie, dass sämtliche Datenträger (von Festplatte über Handy) am Abend in einen Tresor versperrt werden müssten oder auf allen Geräten (Handy sowie Standrechner und Server) eine Firewall und Intrusion Detection installiert werden sollte.
Drei Anwälten habe ich die Frage gestellt, was sie sich unter einer Firewall genau vorstellen und keiner davon konnte korrekt erklären, was eine Firewall ist oder kann. Keiner der betroffenen Websitebetreiber betreibt eine eigene Server-Infrastruktur sondern hostet seine Seiten auf irgendeinem shared Webspace. Auf meine Frage, wie denn so ein Betreiber ein Intrusion Detection System auf einem shared Webspace installieren sollte, gab es keine sinnvollen Antworten. Dass das Angelegenheit des Hosters wäre, haben sie nicht verstanden.

Unterschiedliche Antworten habe ich auch zum Thema EU-Cookie-Banner bekommen, also das Popup, das jeder einfach wegklickt ohne es zu lesen. Ich bin mir sicher, wenn du da drauf schreibst, dass der Besucher sein Erstgeborenes an den Sysadmin opfern muss, würden 90 % der Besucher auf EINVERSTANDEN klicken.
Meine konkrete Frage dazu war, ob Cookies erst ab dem Moment, wo ein Besucher auf OK geklickt hat gespeichert werden dürfen, oder ob alleine der sichtbare Hinweis auf die Cookies ausreicht. Der erste Anwalt meinte, der Hinweis genügt. Der zweite meinte, dass so lange keine Cookies gespeichert werden dürfen, bis der Besucher seine Zustimmung erteilt. Die Cookie Banner Module, die wir bisher im Einsatz hatten, ignorieren, ob ein Besucher zustimmt oder nicht.

Grundsätzlich bin ich bei dem, was Shodan zu dem Thema sagt. Datenschutz darf nicht auf die leichte Schulter genommen werden. Die Website-Betreiber, mit denen ich zu tun hatte, verkaufen keine Daten ihrer Kunden und Website Besucher, verstehen aber die technischen Zusammenhänge zwischen der eigenen Website und z. B. Google Analytics oder Social-Media-Share-Buttons in keinster Weise. Ich unterstelle, dass den meisten auch niemals auf verständliche Art und Weise erklärt wurde, was eigentlich passiert, wenn man Google Analytics, reCaptcha oder Youtube Videos in die eigene Website einbindet.

Hier dann zu sagen, es wäre einfach die Pflicht des Betreibers sich mit diesen Dingen im Detail auseinander zu setzen, wäre zu einfach. Wenn ich einen Architekten mein Haus planen lasse, dann hinterfrage ich auch nicht jede einzelne Entscheidung, dafür habe ich ja einen Experten engagiert. Auf der anderen Seite die Verantwortung bei den Programmierern/der Agentur alleine zu suchen, ist imho auch nicht korrekt. Wir haben viele Kunden, die trotz unserer Aufforderung, sich um die DSGVO zu kümmern oder Upgrades in ihre Websites einspielen zu lassen nicht reagiert haben. Soll ich als Programmierer jetzt dafür verantwortlich sein? Soll ich das dann gratis machen, wenn ein Kunde nicht versteht, wofür Security Upgrades und Datenschutzvereinbarungen gut sind?

Dass diese Betreiber die günstigsten Lösungen anstreben, kann ihnen auch nicht vorgeworfen werden. Viele unserer Kunden, denen wir die Wahl zwischen einer eigenen Piwik-Infrastruktur und Google Analytics anbieten, entscheiden sich schon alleine aus Kostengründen für Google Analytics, weil sie mit ihren Seiten teilweise kein oder kaum Geld verdienen.

Der wohl schmerzhafteste Punkt der neuen DSGVO für die Kunden, die ich betreue, ist das Thema Newsletter. Diese Firmen sammeln seit Jahren bei Meetings und Veranstaltungen E-Mail-Adressen oder Visitenkarten und pflegen diese in ihr Newslettersystem ein. Dass sie nicht von jedem der Empfänger, eine schriftliche Einwilligung für den Versand haben, bereitet ihnen nun Probleme. Viele haben darauf so reagiert, dass sie in den letzten Wochen einen Newsletter mit einer Info zur DSGVO und einen Link zu einem Zustimmungsformular verschickt haben. Dass am Ende nur noch ein winziger Bruchteil ihrer Abonnenten übrig ist, war für alle Beteiligten äußerst schmerzhaft.

Wie gesagt, ich bin Befürworter von Maßnahmen zum bessere Datenschutz. Aus meiner Sicht hat der Gesetzgeber es aber verabsäumt, sinnvolle Ausnahmen für kleine Websites von einigen Punkten der DSGVO zu schaffen. Ich sehe ein, Unternehmen die durch Datenhandel Geld verdienen oder mit sehr sensiblen Daten (Krankenakte, Geldangelegenheiten, etc.) in die Verantwortung zu nehmen; Stichwort: Banken, Versicherungen, Social Networks oder Werbenetzwerke.

Ein Punkt, der nicht in erster Linie die Websites trifft, ist das Datenverarbeitungsregister. Das ist im einfachsten Fall eine Excel Liste, in der zu finden ist, welche Daten ein Unternehmen von jedem Kunden/Interessenten und jedem Mitarbeiter hat und wo diese gespeichert werden.

Ein Rechtsanwalt hat mir den - theoretischen - Ablauf einer Firmenprüfung so beschreiben: Jemand kommt in die Firma, lässt sich das Datenverarbeitungsregister zeigen und sagt dann zu dir: Zeige mir die Orte, die in deinem Register genannt sind. Dann wird sich der Prüfer ansehen, ob er an Stellen, die nicht im Register sind, weitere Daten findet.
Woher diese Prüfer die dafür notwendige, technische Expertise nehmen sollten, konnte mir der Anwalt aber nicht erklären. Wahrscheinlich werden im Zweifelsfall spezialisierte Privatunternehmen darauf angesetzt.

Das klingt zunächst nicht so schlimm, stellt aber bereits kleinere Unternehmen vor einen irrsinnigen bürokratischen Aufwand.

Ich nehme unsere Firma als Beispiel: Uns gibt es seit ca. 15 Jahren. Jetzt sollten wir ein Register erstellen, in dem zu finden ist, welche Informationen wo in unserer Infrastruktur zu finden sind; Und zwar von jedem der bei uns jemals etwas gekauft oder auch nur eine E-Mail oder eine Anfrage via Kontaktformular geschickt hat.
Solche Anfragen und Mails sind teilweise an interne Verteiler gegangen und liegen auf mehreren Computern unserer Mitarbeiter. Wenn der Mitarbeiter seine Mails vielleicht auch auf seinem privaten Handy abgerufen hat, liegen sie auch dort.
Meine Frage an unseren Rechtsanwalt war, ob ich nun jede Mailbox von jedem Mitarbeiter prüfen muss. Seine Antwort: Ja! Ausserdem müssen alle Firmenmails, die älter als 7 Jahre sind, gelöscht werden.

Grundsätzlich gäbe es - meines Wissens nach - auch eine Ausnahme für die Erstellung dieser Register für Unternehmen mit weniger als 250 Mitarbeiter. Dummerweise gilt diese Ausnahme nur dann, wenn diese Firma KEINE Daten digital erhebt und auch kein Kundenverzeichnis führt. Auf wie viele Firmen diese Ausnahme zutrifft, kann ich nicht abschätzen, ich traue mich aber zu behaupten, dass so gut wie jede Firma in unseren Breiten inzwischen zumindest E-Mail nutzt oder Rechnungen mit Word oder einer Buchhaltungssoftware erstellt.

Noch spannender wird es, wenn ein ehemaliger Kunde/Interessent eine Löschung seiner Daten beantragt. In diesem Fall würde es nicht genügen, alleine die E-Mails und Dateien, die er uns geschickt hat, von allen Rechnern aller Mitarbeiter zu löschen. Wir müssten darüber hinaus auch seine Daten von allen unseren Backups entfernen. Jetzt machen wir Backups von Buchhaltung, E-Mails und Projektdateien auf Magnetband. Man müsste sämtliche Bänder ausheben und einzeln durchsuchen, auf welchem Band Infos von dieser Person abgelegt wurden. Was das - zehn Jahre rückwirkend - für ein Aufwand ist, kann man sich vielleicht vorstellen.

TL/DR;

Hätte sich der Gesetzgeber darauf beschränkt, diejenigen in die Pflicht zu nehmen, die vom Handel mit personenbezogenen Daten ihr Geld verdienen, oder die sehr sensible Daten (Krankengeschichte, Versicherungs- und Bankangelegenheiten usw.) erfassen, hätte das aus meiner Sicht ausgereicht. Dazu noch die Verpflichtung für kleinere Unternehmen, Informationen die an Datenkranken weitergegeben werden (z. B. Google Analytics etc.), zu anonymisieren wäre imho ausreichend gewesen.
 

M-M-C

Aktiver NGBler

Registriert
15 Juli 2013
Beiträge
940
Ort
Norddeutschland
Noch spannender wird es, wenn ein ehemaliger Kunde/Interessent eine Löschung seiner Daten beantragt. In diesem Fall würde es nicht genügen, alleine die E-Mails und Dateien, die er uns geschickt hat, von allen Rechnern aller Mitarbeiter zu löschen. Wir müssten darüber hinaus auch seine Daten von allen unseren Backups entfernen. Jetzt machen wir Backups von Buchhaltung, E-Mails und Projektdateien auf Magnetband. Man müsste sämtliche Bänder ausheben und einzeln durchsuchen, auf welchem Band Infos von dieser Person abgelegt wurden. Was das - zehn Jahre rückwirkend - für ein Aufwand ist, kann man sich vielleicht vorstellen.

Interessant ist, das z.b. die Firma, für die ich arbeite, dazu verpflichtet ist den Email-Verkehr in einem nicht veränderlichen Zustand zu sichern, da es sich dort teilweise auch um vertragliche Details dreht, bzw. Details dazu, wie der Vertrag zustande gekommen ist. Auch eben für die zehn Jahre. So einem Präzedenzfall hatten wir auch schon, wo wir Emails von vor 8 Jahren raussuchen mussten, mit mehreren Anwälten und alles. Da es dort um internationale Geschäfte im Millionenbereich ging war das auch nicht sehr lustig. War aber egal, wir konnten durch diese Backups nachweisen, das bei uns alles in Ordnung war. Wir waren auch nicht der Angeklagte sondern nur Dienstleister, der zwischen die Fronten zweier anderer geraten ist.
Jetzt sind die beiden Gesetzesanforderungen nicht miteinander vereinbar, wenn jetzt tatsächlich jemand auf sein Recht auf Löschung besteht. Das wird noch richtig lustig mit der DSGVO...
 

KaPiTN

♪♪♫ wild at heart ♪♫♫♪

Registriert
14 Juli 2013
Beiträge
29.138
Jetzt sind die beiden Gesetzesanforderungen nicht miteinander vereinbar, wenn jetzt tatsächlich jemand auf sein Recht auf Löschung besteht. Das wird noch richtig lustig mit der DSGVO...

Wieso? In Artikel 17 1)a) steht als Grund für Löschung:
"Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig."

Wenn es Daten im Rahmen der Aufbewahrungspflicht von 10 Jahren sind, sind sie ja noch notwendig

Mal ein Beispiel für nicht notwendige Daten aus meiner Erfahrung. Ich ging in ein Krankenhaus für einen Besuch und fragte nach der Zimmernummer. Man ging die Liste im Rechner durch und nannte einen gleichlautenden Nachnamen.
Es war ein naher Verwandter der gesuchten Person, der über 10 Jahre verstorben war und sein Krankenhausaufenthalt fast 20 Jahre her.

Ich kann jetzt nicht erklären, warum das so ist, aber DSGVO wird nicht bewirken, daß man jetzt z.B. der Schufa sagen kann, vergeßt mal bitte, daß es mich gibt.
Und ich weiß, daß die mich kennen. Ich hab da vor kurzen eine Anfrage gestellt. Steht zwar nur mein Name und die Bank, bei der ich mein Konto habe drin, aber ich bin da gelistet.
 

M-M-C

Aktiver NGBler

Registriert
15 Juli 2013
Beiträge
940
Ort
Norddeutschland
Ah OK, das war mir neu. Mein Kollege hat mir das dann also falsch wiedergegeben, bzw. er hat falsche Infos von unserem Datenschutzbeauftragen bekommen. Dann haben wir ein Problem weniger bei unseren Backups, denn im Zweifelsfall ist jeglicher Emailverkehr irgendwie Projektbezogen denn privater Emailverkehr ist schon laut Arbeitsvertrag nicht gestattet.
 

Shodan

runs on biochips

Registriert
14 Juli 2013
Beiträge
661
Ort
Citadel Station
Solche Anfragen und Mails sind teilweise an interne Verteiler gegangen und liegen auf mehreren Computern unserer Mitarbeiter. Wenn der Mitarbeiter seine Mails vielleicht auch auf seinem privaten Handy abgerufen hat, liegen sie auch dort.
Verteilerliste unter Versionkontrolle stellen
-> Ihr könnt sagen in welchem Zeitraum welche Mitarbeiter verantwortlich für die Verarbeitung auf bestimmten Kontaktwegen waren (und in welchen Postfächern z.B. eine Kontaktformularmail im Zeitraum x-y gelandet ist)

Privatgeräten keinen Zugriff auf Kundendaten erlauben
-> Ich verstehe warum sowas implementiert wird. Die Leute haben sowieso Taschencomputer: Synergien nutzen. Schreibt es doch in eure Datenschutzerklärung:
"Bei uns können Mitarbeiter/innen ihre eigenen Smartphones und Computer benutzen um deine E-Mails zu lesen und zu beantworten. Wir vertrauen unseren Mitarbeiter/innen, dass sie damit sorgsam umgehen, können das aber nicht kontrollieren."
Das ist jetzt nicht anwaltlich geprüft, aber es erfüllt zumindest die Anforderung ehrlich, klar und einfach verständlich zu sein.

Bei mir würde so eine Aussage in der Liste landen als Indiz für Pfusch. Im Bericht steht dann aber "Risiko tragen" als Empfehlung an diesem Punkt dran und die creativen Chaoten im Meeting werden euch dafür feiern ;) dazu gibt es dann noch einen klaren Hinweis euch keine vertraulichen Daten per E-Mail zu senden (as always!) und die Empfehlung einen sicheren Kommunikationskanal zu etablieren (if needed).

Wenn eure Erklärung aber drei Seiten hat und 80% davon sind "wissen wir nicht" "verstehen wir auch nicht" und "keinerlei Haftung" kann und darf ich eine Kooperation nicht empfehlen.

Hier dann zu sagen, es wäre einfach die Pflicht des Betreibers sich mit diesen Dingen im Detail auseinander zu setzen, wäre zu einfach.
Es ist die Pflicht des Betreibers die Daten seiner Nutzer zu schützen. Alle suchen nach der "abmahnsicheren macht was ihr wollt" Formulierung, keiner will einsehen, dass man auf Grundrechte nicht mit einer Checkbox verzichten kann, dass die Nutzer nur einer Verarbeitung zustimmen, was aber nicht bedeutet, dass deren Daten nicht mehr schützenswert sind.
Und dann heißt es: "diese ganzen Tracker sind doch marktüblich". Tipp: der Verkauf von Zigaretten ist auch marktüblich, wenn ein großer Warnhinweis drauf steht.


Eine Formulierungen die mir begegnet ist: "Wir teilen diese Daten regelmäßig mit unserer Muttergesellschaft, unseren Partner und Dienstleistern in der ganzen Welt." war ein US Unternehmen, bekommt personenbezogene Daten von einem EU-Unternehmen übermittelt. In der Datenschutzerklärung des EU-Unternehmens steht nichts davon, dort heißt es "Wir legen allergrößten Wert auf den Schutz und die Sicherheit Ihrer Daten" (beides Freizitate, nicht wörtlich).
Gepfuscht + Gelogen = Ich bin verpflichtet vor einer Zusammenarbeit mit solchen Unternehmen abzuraten.

Euere Anwälte werden euch vielleicht eine "allergrößten Wert auf" Formulierung empfehlen. Fragt doch mal nach, ob das auch ok ist, wenn es offensichtlich gelogen ist. Bitte erzählt mir die Antworten.
 

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Dass diese Betreiber die günstigsten Lösungen anstreben, kann ihnen auch nicht vorgeworfen werden. Viele unserer Kunden, denen wir die Wahl zwischen einer eigenen Piwik-Infrastruktur und Google Analytics anbieten, entscheiden sich schon alleine aus Kostengründen für Google Analytics, weil sie mit ihren Seiten teilweise kein oder kaum Geld verdienen.
Für was brauchen die Kunden, die kein oder kaum Geld verdienen, Google Analytics? Abgesehen davon ist Piwik innerhalb von max. 30min datenschutzkonform (!) eingerichtet, inkl. Tracking-Cookie oder -Pixel und Opt-Out in der Datenschutzerklärung (berechtigtes Interesse ist gegeben, daher kein opt-in erforderlich), das würde meine Kunden vermutlich weniger als 100€ kosten. Die paar Euro sollte man noch aus dem Fenster werfen können, wenn man seine Nutzer unbedingt nachverfolgen will.

Viele haben darauf so reagiert, dass sie in den letzten Wochen einen Newsletter mit einer Info zur DSGVO und einen Link zu einem Zustimmungsformular verschickt haben.
Schade, dass sie das nicht nach dem 25.5. getan haben, denn dann hätte man sie schön anschwärzen können. Diese Praxis ist illegal und höchst verwerflich. Finde es gut, dass es den Leuten weh tut, die ungefragt Newsletter verschicken.

Wie gesagt, ich bin Befürworter von Maßnahmen zum bessere Datenschutz. Aus meiner Sicht hat der Gesetzgeber es aber verabsäumt, sinnvolle Ausnahmen für kleine Websites von einigen Punkten der DSGVO zu schaffen.
Dann hast du nichts richtig gelesen, denn bei einem berechtigten Interesse braucht man auf kleinen Websites überhaupt gar keine Einwilligung. Die Panik ist komplett unbegründet.

Ich sehe ein, Unternehmen die durch Datenhandel Geld verdienen oder mit sehr sensiblen Daten (Krankenakte, Geldangelegenheiten, etc.) in die Verantwortung zu nehmen; Stichwort: Banken, Versicherungen, Social Networks oder Werbenetzwerke.
Warum siehst du es nicht ein, auch Unternehmen in die Verantwortung zu nehmen, die nicht mit Daten handeln sondern sie ungefragt verwenden oder an Dritte, die eventuell mit Daten handeln, weitergeben?

[…]das Datenverarbeitungsregister[…] stellt aber bereits kleinere Unternehmen vor einen irrsinnigen bürokratischen Aufwand.
Ich habe eine Broschüre zur DSGVO der bayrischen Landesdatenschutzbehörde, das Beispielregister ist satte zwei Seiten lang. Zwei Seiten! Da tippe ich an einem Tag locker doppelt so viel allein an eMails und Wiki-Einträgen.

Solche Anfragen und Mails sind teilweise an interne Verteiler gegangen und liegen auf mehreren Computern unserer Mitarbeiter. Wenn der Mitarbeiter seine Mails vielleicht auch auf seinem privaten Handy abgerufen hat, liegen sie auch dort.
Ja, scheiße, dann habt ihr ja seit Jahren mit dem Datenschutz geschlampt, wo es nur möglich war.

Noch spannender wird es, wenn ein ehemaliger Kunde/Interessent eine Löschung seiner Daten beantragt. […] Jetzt machen wir Backups von Buchhaltung, E-Mails und Projektdateien auf Magnetband. Man müsste sämtliche Bänder ausheben und einzeln durchsuchen, auf welchem Band Infos von dieser Person abgelegt wurden. Was das - zehn Jahre rückwirkend - für ein Aufwand ist, kann man sich vielleicht vorstellen.
Wie oft ist es denn vorgekommen, dass jemand bei euch ein zehn jahre altes Backup wiederhergestellt hat?
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.730
Ort
in der Zukunft
  • Thread Starter Thread Starter
  • #19
Welches berechtigte Interesse ist denn gegeben IPs zu loggen in Piwik?
Bzw. wenn keine IPs geloggt werden - welche personenbezogenen Daten werden denn dann noch geloggt?

"Berechtigt" ist so eine Sache... Für was und Warum sollte ja nun auch angegeben werden und "Weil es mich interessiert" dürfte da nicht so gut kommen.

@Newsletter - wer sagt das die Firmen illegal Newsletter verschicken? Die meisten Firmen haben sich vorher eine Erlaubnis über double-opt-in geholt und dürfen das durchaus - und informieren daher nur über die nun weiteren Rechte die die Verbraucher haben. Oder wenn es kein double-opt-in gab kann bis gestern ja nach altem recht bei einfachen opt-in ebenfalls ohne weiteres Kontakt aufgenommen werden und das double nachgeholt werden.

@Backup - es gibt gesetzliche Vorschriften zur Aufgbewahrung - je nach Branche auch 30 Jahre - solltest du ja wissen - hier sticht aber die Vorgabe die Daten zu speichern den Löschwunsch des Verbrauchers.
Nur darf und durfte noch nie *alles* ewig gebackuped werden. Die Backup-Systeme müssen so aufgebaut sein das nur die Daten 10 Jahre aufgehoben werden die dieses auch erfordern.

@geschlampt mit privaten Handys usw..
Das Thema ist angeblich kein Problem und das so zu nutzen ist Nachvollziehbar. Man muss den "Kunden" aber darüber informieren - darum geht es. Das heißt einen Absatz in die Datenschutzerklärung das die E-Mails auch auf Privat-Handys der Mitarbeiter abgelegt sein können um ein schnelles Reagieren auf die Kundenanfrage zu ermöglichen und den Kundenservice zu verbessern.
 

braegler

Aktiver NGBler

Registriert
14 Juli 2013
Beiträge
898
"Berechtigt" ist so eine Sache... Für was und Warum sollte ja nun auch angegeben werden und "Weil es mich interessiert" dürfte da nicht so gut kommen.
Zur Verbesserung und Optimierung unseres Angebotes, natürlich.
 
Oben