• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

Minimalanforderungen für Datenschutzerklärung auf Privatseiten

Novgorod

ngb-Nutte

Registriert
14 Juli 2013
Beiträge
3.055
Servus!

so wie ich es (sehr grob) verstanden habe, ändert die DSGVO "lediglich" 2 dinge im vergleich zu früher:
1. man muss einen separaten "datenschutz"-link/button zusätzlich zum impressum-link einbinden bzw. letzteren in "impressum & datenschutz" o.ä. umbenennen und
2. man muss "genau" aufschlüsseln, welche daten von wem und wofür gesammelt werden statt (bisheriger) pauschalaussagen..

damit entsteht aber (anscheinend??) die situation, dass seiten ohne impressumspflicht (ja, die gibt es) eine datenschutzerklärung verlinken müssen, wenn der server irgendwelche besucherdaten erhebt oder verarbeitet.. mir ist nur nicht klar, ab wann das gilt und was die mindestanforderungen sind.. gilt das schon sobald der server über die domain GET-anfragen beantwortet oder erst wenn er ein HTML-dokument ausliefert? ich sehe da grob folgende kategorien:

- "non-public" server:
ein aufruf der domain (domain.com) liefert eine leere seite aus oder einen htaccess-login und gibt vielleicht nur über eine "sub-URL" ein dokument zurück (domain.com/supersecret.php), z.b. eine binär- oder XML-datei mit irgendwelchen messdaten.. muss man für einen besucher, der sich auf die domain verirrt, extra eine datenschutzerklärung anzeigen und sagen "bitte weitergehen, hier gibt es nichts zu sehen"? der betreiber kann hier privat oder nicht-privat sein, die seite wäre auf jeden fall nicht impressumspflichtig, weil sie nichts publiziert.. das wäre übrigens ein problem für all die fritzboxen, die über dynamic-domains aus dem internet erreichbar sind (oder wenn man die IP rät) ;)..

- private seite ohne impressumspflicht (blog, archiv, kunst etc.):
hier ist man diensteanbieter eine publikation, hat aber keine impressumspflicht, weil man kein geschäft betreibt, also auch keine werbung, tracking und den ganzen schrott.. trotzdem ist man ein diensteanbieter im sinne der DSGVO, wenn irgendwelche userdaten gespeichert werden (z.b. apache-logs).. man muss dann angeben, was genau wofür gespeichert wird - aber muss man z.b. auch eine ladungsfähige anschrift für "beschwerden" angeben oder reicht eine email? das wäre ja de facto eine impressumspflicht.. was sind die minimalangaben?

- private seite ohne speicherung jeglicher daten:
angenommen man betreibt ein rumänisches untergrundforum und hat apache-logs und jegliche anderen logs (also auch die möglichkeit zum posten :D) komplett abgeschaltet.. muss man dennoch eine "leere" datenschutzerklärung verlinken, in der steht, dass nichts gespeichert wird? wäre irgendwie sinnlos, oder? wenn man garkeine datenschutzerklärung verlinkt, impliziert das ja, dass nichts gepseichert wird - um dennoch abgemahnt zu werden, braucht der abmahner doch einen beweis, dass zumindest irgendwas gespeichert wird (oder es sehr naheliegend ist), z.b. wenn es eine user-registrierung gibt, google-analytics eingebunden ist o.ä.. aber wenn die seite "sauber" ist, kann der abmahner nicht wissen und auch nicht plausibel begründen, dass es server-logs gibt und welche daten sie speichern.. kann man solche abmahnungen dann in den müll werfen mit der (ggf. eidesstattlichen) versicherung, man speichere nichts?

und eine bonusfrage: gilt ein formularfeld auf der webseite automatisch als erhebung persönlicher daten? ich weiß, dass es zumindest dann der fall ist, wenn es als kontaktformular gekennzeichnet ist (weil man dann davon ausgehen kann, dass die formulareingaben vertraulich an jemanden geschickt werden).. was ist aber z.b. mit einem "online-rechner", wo man nur zahlen in formularfelder eingeben kann, womit irgendwas berechnet und ausgegeben wird? das kann ja kaum personenbezogen sein.. oder was ist mit einem simplen gästebuch oder einer kommentarfunktion? das sind keine persönlich identifizierbaren daten, solange jemand nicht seine anschrift postet (und selbst dann ist es nicht nachweisbar, ob es die echte anschrift ist).. wohlgemerkt, in diesen formular-beispielen werden sonst keinerlei metadaten gespeichert (insbesondere keine IPs, referrer, browser-info etc.), sondern nur der text, den jemand ins formular tippt..

und als bonus-bonus (:D): was ist wenn der server statt einem formular per GET-request übergebene parameter speichert ("domain.com/supersecret.php?text=mein name ist wolfgang schäuble und hier ist meine IP")? muss man auf der hauptseite in der datenschutzerklärung darüber aufklären, dass es so eine URL gibt?
 

Shodan

runs on biochips

Registriert
14 Juli 2013
Beiträge
661
Ort
Citadel Station
Hallo Novgorod :coffee:

1. man muss einen separaten "datenschutz"-link/button zusätzlich zum impressum-link einbinden bzw. letzteren in "impressum & datenschutz" o.ä. umbenennen
Als Verantwortlicher für die Verarbeitung / Speicherung musst du die betroffenen Personen über Art und Zweck der Verarbeitung aufklären und deren Einwilligung dafür einsammeln. In einem Registrierungsprozess z.B. verlinkt man sie und setzt eine Checkbox.
Für Seiten, die man ohne Registrierung nutzen kann, hat sich in der Praxis durchgesetzt ein geeignetes Dokument als "Datenschutzerklärung" oder einfach nur unter "Datenschutz" zu verlinken. Es könnte auch "Wie wir deine Daten verarbeiten" heißen und viele Bilder enthalten.

2. man muss "genau" aufschlüsseln, welche daten von wem und wofür gesammelt werden statt (bisheriger) pauschalaussagen.
Pauschalaussagen wie "unsere Partnerunternehmen, und deren Partner weltweit" sind nicht ok. Wenn personenbezogene Daten an Dritte weitergegeben werden, sind diese Dritten, die Datenart und der Zweck offen zu legen. Das gilt z.B. auch für das Einbinden von Tracking-Scripten. Eine ehrliche und faire Datenschutzerklärung könnte, aus Informatikerperspektive, einen solchen Absatz enthalten:
Wir setzen "Data Kraken Inc" ein, um zu verstehen, wie und warum Menschen zu unserer Webseite finden. Dazu wird ein Script von Data Krakens Servern auf dein Gerät geladen, das dann mit diesen Servern kommuniziert. Die Datenschutzerklärung von Data Kraken findest du hier (Link). Data Kraken erfasst deine IP-Addresse, deinen Browser-Fingerprint, was du dir auf unserer Seite wie lange angesehen hast und wo du hinklickst. Es gibt dir außerdem eine ID und speichert diese in einem Cookie. Data-Kraken erstellt so ein umfassendes Profil über dich. Wenn du damit einverstanden bist, kannst du die Funktion hier aktivieren (Data Protection Control Panel)

<!--
DEV: Privacy bei Design steht in der Spec
DSB: Data Kraken hat Konzernteile außerhalb der EU und ein wertloses Zertifikat.
Marketing: Bitte stimm zu. Für meinen Job ist das ein praktisches Werkzeug.
-->
Zum Thema "von wem": In Unternehmen wird das heiß diskutiert. Grund ist, dass im (virtuellen) Büro viel zu oft Daten chaotisch irgendwo hingestopft werden und berechtigte Sorge besteht, dass man die nicht alle wiederfindet. Gerade wenn man halt nicht eine Seite, sondern viele Projekte / Kunden etc hat. Wenn du für alle Besucher deiner Webseite vollständig auflisten kannst, wo du deren Daten speicherst, reicht das an Genauigkeit. Es ist auch akzeptabel im Falle einer sehr generischen Anfrage rückzufragen, ob z.B. die Webseite genutzt wurde, um sich die Mühe zu sparen im Dunkeln herumzustochern, ob man nun Daten über die anfragende Person hat, oder nicht. Ist eine Sache der Verhältnismäßigkeit. Bedenke, dass sich "Verhältnismäßigkeit" für "Person gegen globales Unternehmen" und "Person gegen kleines Büro" unterschiedlich darstellt. Die Datenschutzbehörden agieren als Schlichtungsstelle, Gerichtsverfahren als Eskalationsstufe, aber am schönsten ist es, wenn man sich direkt einig wird.

dass seiten ohne impressumspflicht (ja, die gibt es) eine datenschutzerklärung verlinken müssen
Es gibt Ausnahmen. Wenn dein htaccess geschützer Webserver z.B. von dir als natürlicher Person betrieben wird für persönliche oder familiäre Zwecke, greift die DSGVO nicht. Ebenso die Firewall Logs deines Internetanschlusses. Schutz des Privatlebens vor unnötiger Bürokratie.
Ich rate aber davon ab als Hobby eine Datenkrake ohne Schutzfunktionen zu bauen. Das ist so ein Grenzgängerfall, für den es auch Knast geben könnte ;) Würde ich mit "Raketentreibstoff im eigenen Garten herstellen" vergleichen.

wenn der server irgendwelche besucherdaten erhebt oder verarbeitet.. gilt das schon sobald der server über die domain GET-anfragen beantwortet
Es gibt da ein ganz einfaches Problem: Eine IP-Adresse ist eine eindeutig zuordenbare Kennung. Darüber wurde lange diskutiert, siehe WG-Anschlüsse, siehe "der ISP würde mir nie die Daten geben". Am Ende hat sich die Meinung durchgesetzt, dass sie zu den personenbezogenen Daten gehört.

Das macht Access-Logs zu einer problematischen Sache. Hat schon mal jemand drüber nachgedacht, die durch eine gesalzene Hash-Funktion oder ähnliches Trapdoor zu jagen? Auch Fail2Ban und so.

Im Allgemeinen gilt aber: solange die Logs nicht zweckentfremdet werden (z.B. indem man sie an Data Kraken schickt) ist es eine Standardfloskel.

Lass uns mal über die große Hürde reden:
Person@EMail: Hallo Unternehmen, ich hätte gerne alle meine Daten wegen DSGVO und so.

DSB@Unternehmen: Hallo Person@E-Mail. Wir geben dir gerne deine Daten. Lass uns auf einen verschlüsselten Kanal wechseln, erzähl uns etwas darüber woher wir uns kennen und woran wir deine Daten erkennen und beweise uns, dass du auch wirklich du bist.

Person@GPG: Ja ich hab eure Webseite besucht und ihr habt doch access logs und so, die hätte ich gerne.

DSB@Unternehmen: Da stehen IP-Adressen drin und worauf sie zugegriffen haben. Da musst du uns schon die Zeit und die IP geben und beweisen, dass sie dir gehören, sonst können wir dir die nicht geben, wegen DSGVO und so.
Achja ganz wichtig: mit dieser Unterhaltung sammeln sich personenbezogene Daten in meinem Postfach an.

.

der betreiber kann hier privat oder nicht-privat sein
Also über die Firewall-Logs eines nicht-öffentlichen Unternehmenservers aufklären? Wenn am Gebäude Kameras hängen, muss da ja auch ein Schild "Kameraüberwachter Bereich" hängen. Das Problem: Unternehmen wollen die Logs nicht anonymisieren, die wollen ja die IP um Angreifer via Polizei zu finden und zur Rechenschaft ziehen. Ein wenig beißt sich hier auch die Katze in den Schwanz, wenn man z.B. über einen Data-Breach nachdenkt: Daten werden gestohlen, aber aus Datenschutzgründen wurden alle Spuren vernichtet.
Ich denke das löst sich aber von alleine auf, sobald der breiten Masse klar wird, dass sie beim Betrachten der Hausfassade von den Bewohnern automatisert bemerkt werden.

bitte weitergehen, hier gibt es nichts zu sehen


muss man z.b. auch eine ladungsfähige anschrift für "beschwerden" angeben oder reicht eine email?
Die Idee ist den Menschen eine Möglichkeit zu geben ihre Persönlichkeitsrechte durchzusetzen. Dafür muss man erreichbar sein. Abmahnanwälte könnten versuchen das so zu drehen, dass man juristisch greifbar sein muss, aber ich würde die auffordern nachzuweisen, dass die Bedürfnisse der betroffenen Personen auf Durchsetzung ihrer Rechte über den angebotenen Kontaktweg nicht zu 100% erfüllt wurden. Dazu gibts dann eine Unterlassungserklärung bezüglich der fälschlichen Behauptung man würde sich nicht an Recht und Gesetz halten. Optimalerweise hat man ein paar tatsächliche Fälle und könnte einem Gericht eine heftig geschwärzte Dokumentation vorlegen, die zeigt, dass die implementierte Lösung funktioniert. Und dann? Gesetze wie die DSGVO leiden erheblich unter diesen Erpresserbanden.
Anders sieht es aus, wenn auf die Beschwerden tatsächlich nicht eingegangen wird. Wenn die Behörden einen Strafttäter finden, gibt es Geldstrafe oder Knast :rolleyes:

private seite ohne speicherung jeglicher daten: [...] muss man dennoch eine "leere" datenschutzerklärung verlinken, in der steht, dass nichts gespeichert wird? wäre irgendwie sinnlos, oder?
Wieso, kann man doch stolz drauf sein :o
"Muss"? Naja Personen haben das Recht zu erfahren, ob sie betroffen sind. "No news is good news" hat sich in der breiten Masse nicht durchgesetzt. Den einen Satz "Wir speichern nichts" wird man ja wohl unterbringen können. FAQ vielleicht. Die Pflicht aufdringlich transparent mit der Verarbeitung zu sein besteht nur, wenn sie auch existiert.


bonusfrage: gilt ein formularfeld auf der webseite automatisch als erhebung persönlicher daten?

kontaktformular: erfasst in der Regel personenbezogene Daten um Kontakt herzustellen. Achtung vor Drittanbieter-Online-Chat-Kontaktwegen. Das ist ein Tochterunternehmen von Data Kraken Inc.

online-rechner: Die Vorschriften bezüglich der Verarbeitung personenbezogener Daten gelten für die Verarbeitung personenbezogener Daten ;)

gästebuch / kommentarfunktion: Ich kann jedem nur empfehlen aus https://xkcd.com/1998 einen Absatz in die Datenschutzerklärung zu übernehmen:
[src=xkcd]Please don't send us your personal information. We do not want your personal information. We have a hard enough time keeping track of our own personal information, let alone yours.[/src]Pro Tipp: Alles, was man nicht aufheben muss, schreddern.


bonus-bonus (:D): was ist wenn der server statt einem formular per GET-request übergebene parameter speichert ("domain.com/supersecret.php?text=mein name ist wolfgang schäuble und hier ist meine IP")? muss man auf der hauptseite in der datenschutzerklärung darüber aufklären, dass es so eine URL gibt?
Eine der größten Verwirrungen, die ich aktuell sehe, ist der Irrsinn eine Datenschutzerklärung zu haben. Ein Web-Portal kann durchaus drei Erklärungen haben:
- für alle -> Verlinkt im Footer/Header/Menu
- für registrierte User -> Verlinkt unter /registrierung
- bezüglich Kontaktaufnahme (E-Mail, Formular, Post, ...) -> Verlinkt unter /kontakt, und /impressum, sofern vorhanden.
Alle drei dann unter /datenschutz einhängen und dort eine Landingpage. Das erfüllt die Anforderung leicht verständlich zu sein auch viel besser, wie ein Monolith.
Unternehmen haben ebenfalls unterschiedliche Erklärungen für Webseite ansehen, Produkte kaufen und sonstige Verträge.
Aber zu deiner Frage: gib der Funktion einen Trivialnamen. SuperSecret? Ok versuchen wir es anders: wenn du eine Funktion hast, mit der du personenbezzogene Daten von anderen verarbeist, dann informiere die betroffenen Personen darüber.


Grüße,
Shodan

P.S. habe ich etwas vergessen?
Re: Minimalanforderungen für Datenschutzerklärung auf Privatseiten
Eine generische Antwort. Ok:
Die Grenzfälle sind Internet-Server zu dem rein persönlichen Zweck natürlicher Personen, Informationen öffentlich zu machen und mit Lesern/Hörern/Zuschauern in Dialog zu treten. Wenn es weit und breit kein Unternehmen gibt (z.B. social media), sondern das von den natürlichen Personen als Hobby organisiert wird. fallen die für Unternehmen gedachten Teile weg. Es gilt aber dennoch: Wenn in so einem Projekt personenbezogene Daten angesammelt werden, sollte der für die Verarbeitung / Speicherung Verantwortliche sich auch um deren Schutz kümmern. Es gilt die Verhältnismäßigkeit Privatperson gegen Privatperson.

Problematisch sind vor allem jene, die sich ihre Services aus den tracking-verseuchten Bauteilen Dritter (idR. Unternehmen) zusammenstecken, ohne die Folgen abzuschätzen, Daten mit der Gießkanne in der Welt verteilen und sich noch die Verantwortung vertraglich aufschwatzen lassen. Meist haben solche Personen einfach keine Ahnung, was sie da tun, oder sind in eine soziale Gruppe geraten, in der das normal ist.
Diesen Sumpf trocken zu legen wird noch viele Jahre dauern und erfordert ein kollektives Vorgehen. Durch den Zwang an Kinder gerichtete Services mit höchsten Standards umzusetzen und den Ansatz dort kindgerechte Datenschutzerklärung zu platzieren erhoffen wir uns mit der nächsten Generation erhebliche Fortschritte. Leider haben unsere Recherchen ergeben, dass die Kinder lieber Call of Duty zocken. Wir würden Datenschutz daher gerne zusammen mit Medienkompetenz und Grundrechten im Lehrplan sehen.
Deine no-log Szenarien hingegen fallen unter "no data no cry" :cool:
 
Zuletzt bearbeitet:

Novgorod

ngb-Nutte

Registriert
14 Juli 2013
Beiträge
3.055
  • Thread Starter Thread Starter
  • #3
hey, danke für den einblick! :T

ich weiß, sobald etwas nur ansatzweise kommerziell oder auch nur geschäftsmäßig ist (z.b. ein verein), wird es schnell sehr unübersichtlich, aber bei einer kleinen seite reicht wohl ein einfacher "datenschutz"-link, wo man sich die datenschutzerklärung aus den entsprechenden blöcken zusammenbaut.. eine offene frage war noch, ob dort ein "ansprechpartner" mit name/anschrift explizit aufgeführt werden muss, oder ob das durch das impressum abgedeckt ist..

davon abgesehen geht es mir in erster linie um die explizit nicht-geschäftsmäßigen grenzfälle (also <1% aller webseiten ;)), wo eine extra datenschutzerklärung aus technischen oder ästhetischen gründen ein unnötiger aufwand ist..

Ich rate aber davon ab als Hobby eine Datenkrake ohne Schutzfunktionen zu bauen. Das ist so ein Grenzgängerfall, für den es auch Knast geben könnte ;) Würde ich mit "Raketentreibstoff im eigenen Garten herstellen" vergleichen.

was meinst du damit? :D eine domain mit einer leeren seite, auf die sich jemand verirren könnte? da kann man höchstens die IP und den GET-request speichern, ohne dass es jemand überhaupt nachweisen kann - ist jetzt nicht unbedingt raketentreibstoff (imho).. oder du meinst den betrieb eines "proxy-servers" oder andere späße? das ist natürlich was anderes, aber mir gehts ausschließlich um webserver, die http-anfragen verarbeiten..

Also über die Firewall-Logs eines nicht-öffentlichen Unternehmenservers aufklären? Wenn am Gebäude Kameras hängen, muss da ja auch ein Schild "Kameraüberwachter Bereich" hängen.

wäre das nicht eher ein "restricted area" schild? man könnte argumentieren, dass z.b. eine mess-station mit (geschütztem) webinterface ein "diensteanbieter" ist, aber ebensogut kann man argumentieren, dass dort niemand was zu suchen hat, genau wie im webinterface einer fritzbox - dabei sollte es doch auch keine rolle spielen, ob der nicht-öffentliche dienst von einer privatperson oder von einem unternehmen betrieben wird.. die fritzbox stellt auf der login-seite keine datenschutzerklärung bereit und es ist auch nicht ohne weiteres möglich, eine einzubinden.. aber die "abmahnbarkeit" kann doch kaum davon abhängen, ob die fritzbox privat oder geschäftlich betrieben wird :confused:.. vielleicht steht sie bei jemandem daheim, der darüber emails von der arbeit abruft und schon ist es eine geschäftliche nutzung ;)..

Abmahnanwälte könnten versuchen das so zu drehen, dass man juristisch greifbar sein muss, aber ich würde die auffordern nachzuweisen, dass die Bedürfnisse der betroffenen Personen auf Durchsetzung ihrer Rechte über den angebotenen Kontaktweg nicht zu 100% erfüllt wurden. Dazu gibts dann eine Unterlassungserklärung bezüglich der fälschlichen Behauptung man würde sich nicht an Recht und Gesetz halten.

klingt nett, aber was ist die tatsächliche rechtsprechung? für eine geschäftlich betriebene publikation ist eine postanschrift doch (de facto) pflicht, also ist man doch juristisch greifbar, auch in sachen datenschutz.. bei privaten publikationen ohne impressumspflicht wirds schwammig - man muss nicht wegen des inhalts juristisch greifbar sein, aber wegen des datenschutzes schon? das steht so doch sicher nicht im gesetz ;).. fehlende rechtsprechung ist ein problem, wir brauchen unbedingt einen märtyrer :D..

"Muss"? Naja Personen haben das Recht zu erfahren, ob sie betroffen sind. "No news is good news" hat sich in der breiten Masse nicht durchgesetzt. Den einen Satz "Wir speichern nichts" wird man ja wohl unterbringen können. FAQ vielleicht.

schon klar, dass es nicht schadet, aber was muss man wirklich? vielleicht ist die seite ein "kunstwerk" und besteht nur aus einem einzigen bild ohne jeglichen text - da irgendwelche links und disclaimer hinklatschen zu müssen ist doof.. abgesehen davon kann es technisch aufwendig bzw. unbequem sein (webinterface von geräten, s.o.).. aber offenbar ist es rechtlich ähnlich geregelt wie mit der GEZ vor 2013: wenn man ein empfangsgerät besitzt, hat man auskunftspflicht, andernfalls muss man garnichts sagen, aber es ist an denen zu beweisen, ob man wirklich nichts besitzt, wenn man nichts sagt.. wenn man kontrolle über den eigenen webserver hat, kann man notfalls die apache-logs auch verschwinden lassen ;)..

kontaktformular: erfasst in der Regel personenbezogene Daten um Kontakt herzustellen. Achtung vor Drittanbieter-Online-Chat-Kontaktwegen. Das ist ein Tochterunternehmen von Data Kraken Inc.

online-rechner: Die Vorschriften bezüglich der Verarbeitung personenbezogener Daten gelten für die Verarbeitung personenbezogener Daten ;)

gästebuch / kommentarfunktion: Ich kann jedem nur empfehlen aus https://xkcd.com/1998 einen Absatz in die Datenschutzerklärung zu übernehmen

hey, den comic sollte ich unter "datenschutz" verlinken - statt einer datenschutzerklärung :D..
ok, bei formularen kommt es auf den kontext bzw. zweck an und beim kontaktformular ist das relativ klar (deshalb gabs da doch die abmahnung wegen fehlendem https).. aber was sind "personenbezogene daten" in formularen im worst case? eine zahl fällt wahrscheinlich nicht darunter, aber beliebiger text in einem textfeld? angenommen ein abmahnanwalt findet eine nicht-geschäftliche seite, die lediglich aus einem bild und einer kommentarfunktion besteht (kein impressum, datenschutz oder anderes gedöns, kein logging und das bild ist auch nicht urheberrechtlich relevant).. kann er was "personenbezogenes" ins kommentarfeld schreiben und dann den betreiber wegen der fehlenden datenschutzerklärung abmahnen? vorausgesetzt er kann beweisen, dass auch wirklich er es war (hast du ja schon angesprochen), aber das wäre wiederum ein eingeständnis von böswilligkeit - kompliziert :D...

Aber zu deiner Frage: gib der Funktion einen Trivialnamen. SuperSecret? Ok versuchen wir es anders: wenn du eine Funktion hast, mit der du personenbezzogene Daten von anderen verarbeist, dann informiere die betroffenen Personen darüber.

naja, das war wieder so ein "nicht-öffentliches" beispiel.. die funktion wird nicht irgendwo öffentlich beworben und in irgendeinen kontext gestellt, vielleicht ist sie nur für interne zwecke gedacht, aber jemand findet sie durch rumspielen im quellcode.. da wäre die hürde wahrscheinlich abermals ein beweis durch den abmahner, dass damit wirklich (ggf. "personenbezogene") eingaben gespeichert werden.. aber rein juristisch-theoretisch: muss man derlei nicht-öffentliche nicht-dokumentierte funktionen laut gesetz offenlegen (selbst wenn es nicht nachweisbar wäre, wenn man es nicht tut)?

Die Grenzfälle sind Internet-Server zu dem rein persönlichen Zweck natürlicher Personen, Informationen öffentlich zu machen und mit Lesern/Hörern/Zuschauern in Dialog zu treten. Wenn es weit und breit kein Unternehmen gibt (z.B. social media), sondern das von den natürlichen Personen als Hobby organisiert wird. fallen die für Unternehmen gedachten Teile weg. Es gilt aber dennoch: Wenn in so einem Projekt personenbezogene Daten angesammelt werden, sollte der für die Verarbeitung / Speicherung Verantwortliche sich auch um deren Schutz kümmern. Es gilt die Verhältnismäßigkeit Privatperson gegen Privatperson.

jo, ich meinte ganz genau das.. richtlinien sind schön und gut, aber verbindliche vorgaben für rechtssicherheit wären besser ;)..

Problematisch sind vor allem jene, die sich ihre Services aus den tracking-verseuchten Bauteilen Dritter (idR. Unternehmen) zusammenstecken, ohne die Folgen abzuschätzen, Daten mit der Gießkanne in der Welt verteilen und sich noch die Verantwortung vertraglich aufschwatzen lassen.

ja, das ist eine seuche und gehört ausgerottet.. da gibts nichts, was sich nicht genausogut mit ein bisschen tippen im windows-notepad bewerkstelligen ließe :D - gerade für den nicht-geschäftlichen privatgebrauch..
 
Oben