Novgorod
ngb-Nutte
- Registriert
- 14 Juli 2013
- Beiträge
- 3.055
Servus!
so wie ich es (sehr grob) verstanden habe, ändert die DSGVO "lediglich" 2 dinge im vergleich zu früher:
1. man muss einen separaten "datenschutz"-link/button zusätzlich zum impressum-link einbinden bzw. letzteren in "impressum & datenschutz" o.ä. umbenennen und
2. man muss "genau" aufschlüsseln, welche daten von wem und wofür gesammelt werden statt (bisheriger) pauschalaussagen..
damit entsteht aber (anscheinend??) die situation, dass seiten ohne impressumspflicht (ja, die gibt es) eine datenschutzerklärung verlinken müssen, wenn der server irgendwelche besucherdaten erhebt oder verarbeitet.. mir ist nur nicht klar, ab wann das gilt und was die mindestanforderungen sind.. gilt das schon sobald der server über die domain GET-anfragen beantwortet oder erst wenn er ein HTML-dokument ausliefert? ich sehe da grob folgende kategorien:
- "non-public" server:
ein aufruf der domain (domain.com) liefert eine leere seite aus oder einen htaccess-login und gibt vielleicht nur über eine "sub-URL" ein dokument zurück (domain.com/supersecret.php), z.b. eine binär- oder XML-datei mit irgendwelchen messdaten.. muss man für einen besucher, der sich auf die domain verirrt, extra eine datenschutzerklärung anzeigen und sagen "bitte weitergehen, hier gibt es nichts zu sehen"? der betreiber kann hier privat oder nicht-privat sein, die seite wäre auf jeden fall nicht impressumspflichtig, weil sie nichts publiziert.. das wäre übrigens ein problem für all die fritzboxen, die über dynamic-domains aus dem internet erreichbar sind (oder wenn man die IP rät) ..
- private seite ohne impressumspflicht (blog, archiv, kunst etc.):
hier ist man diensteanbieter eine publikation, hat aber keine impressumspflicht, weil man kein geschäft betreibt, also auch keine werbung, tracking und den ganzen schrott.. trotzdem ist man ein diensteanbieter im sinne der DSGVO, wenn irgendwelche userdaten gespeichert werden (z.b. apache-logs).. man muss dann angeben, was genau wofür gespeichert wird - aber muss man z.b. auch eine ladungsfähige anschrift für "beschwerden" angeben oder reicht eine email? das wäre ja de facto eine impressumspflicht.. was sind die minimalangaben?
- private seite ohne speicherung jeglicher daten:
angenommen man betreibt ein rumänisches untergrundforum und hat apache-logs und jegliche anderen logs (also auch die möglichkeit zum posten ) komplett abgeschaltet.. muss man dennoch eine "leere" datenschutzerklärung verlinken, in der steht, dass nichts gespeichert wird? wäre irgendwie sinnlos, oder? wenn man garkeine datenschutzerklärung verlinkt, impliziert das ja, dass nichts gepseichert wird - um dennoch abgemahnt zu werden, braucht der abmahner doch einen beweis, dass zumindest irgendwas gespeichert wird (oder es sehr naheliegend ist), z.b. wenn es eine user-registrierung gibt, google-analytics eingebunden ist o.ä.. aber wenn die seite "sauber" ist, kann der abmahner nicht wissen und auch nicht plausibel begründen, dass es server-logs gibt und welche daten sie speichern.. kann man solche abmahnungen dann in den müll werfen mit der (ggf. eidesstattlichen) versicherung, man speichere nichts?
und eine bonusfrage: gilt ein formularfeld auf der webseite automatisch als erhebung persönlicher daten? ich weiß, dass es zumindest dann der fall ist, wenn es als kontaktformular gekennzeichnet ist (weil man dann davon ausgehen kann, dass die formulareingaben vertraulich an jemanden geschickt werden).. was ist aber z.b. mit einem "online-rechner", wo man nur zahlen in formularfelder eingeben kann, womit irgendwas berechnet und ausgegeben wird? das kann ja kaum personenbezogen sein.. oder was ist mit einem simplen gästebuch oder einer kommentarfunktion? das sind keine persönlich identifizierbaren daten, solange jemand nicht seine anschrift postet (und selbst dann ist es nicht nachweisbar, ob es die echte anschrift ist).. wohlgemerkt, in diesen formular-beispielen werden sonst keinerlei metadaten gespeichert (insbesondere keine IPs, referrer, browser-info etc.), sondern nur der text, den jemand ins formular tippt..
und als bonus-bonus (): was ist wenn der server statt einem formular per GET-request übergebene parameter speichert ("domain.com/supersecret.php?text=mein name ist wolfgang schäuble und hier ist meine IP")? muss man auf der hauptseite in der datenschutzerklärung darüber aufklären, dass es so eine URL gibt?
so wie ich es (sehr grob) verstanden habe, ändert die DSGVO "lediglich" 2 dinge im vergleich zu früher:
1. man muss einen separaten "datenschutz"-link/button zusätzlich zum impressum-link einbinden bzw. letzteren in "impressum & datenschutz" o.ä. umbenennen und
2. man muss "genau" aufschlüsseln, welche daten von wem und wofür gesammelt werden statt (bisheriger) pauschalaussagen..
damit entsteht aber (anscheinend??) die situation, dass seiten ohne impressumspflicht (ja, die gibt es) eine datenschutzerklärung verlinken müssen, wenn der server irgendwelche besucherdaten erhebt oder verarbeitet.. mir ist nur nicht klar, ab wann das gilt und was die mindestanforderungen sind.. gilt das schon sobald der server über die domain GET-anfragen beantwortet oder erst wenn er ein HTML-dokument ausliefert? ich sehe da grob folgende kategorien:
- "non-public" server:
ein aufruf der domain (domain.com) liefert eine leere seite aus oder einen htaccess-login und gibt vielleicht nur über eine "sub-URL" ein dokument zurück (domain.com/supersecret.php), z.b. eine binär- oder XML-datei mit irgendwelchen messdaten.. muss man für einen besucher, der sich auf die domain verirrt, extra eine datenschutzerklärung anzeigen und sagen "bitte weitergehen, hier gibt es nichts zu sehen"? der betreiber kann hier privat oder nicht-privat sein, die seite wäre auf jeden fall nicht impressumspflichtig, weil sie nichts publiziert.. das wäre übrigens ein problem für all die fritzboxen, die über dynamic-domains aus dem internet erreichbar sind (oder wenn man die IP rät) ..
- private seite ohne impressumspflicht (blog, archiv, kunst etc.):
hier ist man diensteanbieter eine publikation, hat aber keine impressumspflicht, weil man kein geschäft betreibt, also auch keine werbung, tracking und den ganzen schrott.. trotzdem ist man ein diensteanbieter im sinne der DSGVO, wenn irgendwelche userdaten gespeichert werden (z.b. apache-logs).. man muss dann angeben, was genau wofür gespeichert wird - aber muss man z.b. auch eine ladungsfähige anschrift für "beschwerden" angeben oder reicht eine email? das wäre ja de facto eine impressumspflicht.. was sind die minimalangaben?
- private seite ohne speicherung jeglicher daten:
angenommen man betreibt ein rumänisches untergrundforum und hat apache-logs und jegliche anderen logs (also auch die möglichkeit zum posten ) komplett abgeschaltet.. muss man dennoch eine "leere" datenschutzerklärung verlinken, in der steht, dass nichts gespeichert wird? wäre irgendwie sinnlos, oder? wenn man garkeine datenschutzerklärung verlinkt, impliziert das ja, dass nichts gepseichert wird - um dennoch abgemahnt zu werden, braucht der abmahner doch einen beweis, dass zumindest irgendwas gespeichert wird (oder es sehr naheliegend ist), z.b. wenn es eine user-registrierung gibt, google-analytics eingebunden ist o.ä.. aber wenn die seite "sauber" ist, kann der abmahner nicht wissen und auch nicht plausibel begründen, dass es server-logs gibt und welche daten sie speichern.. kann man solche abmahnungen dann in den müll werfen mit der (ggf. eidesstattlichen) versicherung, man speichere nichts?
und eine bonusfrage: gilt ein formularfeld auf der webseite automatisch als erhebung persönlicher daten? ich weiß, dass es zumindest dann der fall ist, wenn es als kontaktformular gekennzeichnet ist (weil man dann davon ausgehen kann, dass die formulareingaben vertraulich an jemanden geschickt werden).. was ist aber z.b. mit einem "online-rechner", wo man nur zahlen in formularfelder eingeben kann, womit irgendwas berechnet und ausgegeben wird? das kann ja kaum personenbezogen sein.. oder was ist mit einem simplen gästebuch oder einer kommentarfunktion? das sind keine persönlich identifizierbaren daten, solange jemand nicht seine anschrift postet (und selbst dann ist es nicht nachweisbar, ob es die echte anschrift ist).. wohlgemerkt, in diesen formular-beispielen werden sonst keinerlei metadaten gespeichert (insbesondere keine IPs, referrer, browser-info etc.), sondern nur der text, den jemand ins formular tippt..
und als bonus-bonus (): was ist wenn der server statt einem formular per GET-request übergebene parameter speichert ("domain.com/supersecret.php?text=mein name ist wolfgang schäuble und hier ist meine IP")? muss man auf der hauptseite in der datenschutzerklärung darüber aufklären, dass es so eine URL gibt?