• Langsam ist das halbe Netz ja "nervös"...


    Aber ich möchte hier mal versuchen, die Sachen zu sammeln, die wichtig sind für die nächsten Wochen.


    Was muss man beachten und worauf muss man hinweisen?


    Bei

    - einer normalen Website mit Kontaktmöglichkeiten Telefon, E-Mail und Kontaktformular. Keine (eigene) Erhebung von IP-Adressen oder sonstigen Cookie-Sachen etc.. Wenn der Provider (was doch jeder Provider macht) die IP-Adressen speichert - muss ich darauf hinweisen?


    - einer CMS-Website (z.B. Wordpress), aber ansonsten gleichen Anforderungen wie oben.


    Vielleicht findet hier ja etwas Kommunikation statt - auch wenn nicht mehr soviel los ist. Aber vielleicht bringt ein vernünftiger Thread mit Inhalt auch was fürs TP.

  • In etwas mehr als einer Woche ist es soweit. Was der Webhoster erhebt und wie er es verarbeitet, lässt sich einfach durch einen Blick in den mit ihm abgeschlossenen Auftragsdatenverarbeitungsvertrag herausfinden, aber oftmals hat man darauf auch selbst Einfluss, indem man die Konfiguration anpasst, und beispielsweise die IP-Adressen anonymisiert oder die Erhebung komplett deaktiviert. Inzwischen müssten auch alle Anbieter eine Vorlage haben, die man einfach, natürlich nach sorgfältiger Prüfung, unterschreibt.


    Schwieriger wird es da schon bei größeren CMS, denn da gibt es sehr viele Punkte, die man abklopfen muss, und manches sieht man gar nicht auf den ersten Blick. Wird vielleicht ein externes Framework eingebunden oder beispielsweise Google Fonts? Und das finde ich ganz positiv an der DSGVO: Man hinterfragt vorher völlig selbstverständlich erscheinende Dinge. Und so manches was sich eingebürgert hat ist eigentlich eher grenzwertig bis unzulässig.


    Also ich denke das Traumprojekt ist recht gut aufgestellt, aber doch stolpere ich immer wieder über Punkte, bei denen ich mich frage, wie man sie sauber umsetzen soll, Datenübertragbarkeit wäre beispielsweise so ein Punkt, denn dafür gibt es halt nicht wirklich einen Standard. Die nächsten Wochen dürften sehr spannend werden. Also: Wie weit seid ihr?


    Noch letzte Arbeiten unter Zeitdruck oder bereits Urlaub unter Palmen? ;)

  • Bei meinem kleinen Zoo an Domains ist bereits Urlaub unter den Palmen angesagt.

    • Vertrag zur Auftragsverarbeitung mit Hosting-Provider abgeschlossen
    • Verzeichnis der Datenverarbeitung angelegt (eigentlich nur für Firmen, Unternehmer erforderlich)
    • SSL-Zertifikate von Let's Encrypt für alle Domains/Subdomains eingerichtet.
    • Google Fonts (als ttf) lokal eingebunden (externer Aufruf von der Google Seite entfernt)
    • Sonstige externe Scripte lokal eingebunden (externe Aufrufe entfernt)
    • Einholung einer Einwilligung für Kontaktformulare, Newsletter etc. (Checkbox) nachgerüstet
    • Cookie Hinweis bei Wordpress / Joomla nachgerüstet (technisch notwendiger Cookie)
    • Auf externe Analyse Tools, Tracking Tools, Werbung etc. verzichte ich grundsätzlich
    • Datenschutzerklärung auf Stand gebracht, angepasst, erweitert.


    Auch für nicht kommerzielle Seiten (privater Internetauftritt oder die des Kleinbetriebes) sollte berücksichtigt werden, dass jeder Apache/Nginx Server sog. Log-Files anlegt. Hierzu sollte ein entsprechender Hinweis in der Datenschutzerklärung aufgenommen werden. Nimmt ein externer Dienstleister eine Verarbeitung von personenbezogenen Daten vor (z.B. Google Analytics) so ist hier auch ein Vertrag zur Auftragsverarbeitung erforderlich. Kann bei Google online abgeschlossen werden.


    Bei Einholung einer Nutzer-Einwilligung sind sog. Opt-Out Verfahren nicht mehr zulässig. Einen Sonderfall stellt hier der Cookie Hinweis oder Banner dar, da die sog. ePrivacy Verordnung noch nicht verabschiedet wurde.


    Bei CMS Systemen sollte man sorgfälltig prüfen, ob diverse Plugins DSGVO konform sind. Bei ausländischen Anbieter selten der Fall. Die beliebten Kommentarfunktionen stellen ein Problem dar, da sie dem sog. "Recht auf vergessen werden" nicht gerecht werden.

    Gruß HMV

    • Cookie Hinweis bei Wordpress / Joomla nachgerüstet (technisch notwendiger Cookie)

    Also darauf würde ich persönlich verzichten. Lösungen, bei denen das Cookie angeblich erst nach erfolgter Zustimmung gesetzt wird und nicht schon vorher, sieht man äußerst selten, und tatsächlich funktionieren wird das wohl bei kaum einer Website. Ansonsten ist der Hinweis einfach nur sinnlos und nervig...

  • Hallo Geronimo,

    das ein Cookie Hinweis sinnlos und nervig ist, da bin ich mit dir auf einer Wellenlänge. Ursprünglich bin ich davon ausgegangen, dass ein Cookie erst dann gesetzt wird, wenn ich mich im Backend anmelde. Jedoch setzt Wordpress und Joomla den Cookie sofort bei Aufruf der Website. Wenn man im Netz zu diesem Thema sucht, so sind auch die Meinungen von Juristen unterschiedlich. Wenn man die Anforderungen der DSGVO sehr strikt auslegt, dann dürfte man erst gar nicht dem Besucher die Website zeigen bevor er seine Einwilligung gegeben hat.

    Die Datenübertragbarkeit hast du auch angesprochen. Auch ein Punkt wo die technische Lösung, Umsetzbarkeit komplett fehlt. Im Prinzip müsste man sich auf ein bestimmtes Datenformat, Schnittstelle einigen. Aufgrund der Vielzahl von Programmen und Möglichkeiten ein unlösbares Problem.

    Bei der Anforderung der Datenlöschung von personenbezogenen Daten frage ich mich, wie z.B. Unternehmen diese aus den Backups heraus löschen sollen. Nehmen wir ein Beispiel. Über E-Mail zugesandte Bewerbungsunterlagen werden in den Fachabteilungen verteilt, zwecks Bedarfsnachfrage. Bewerber mit einer Absage fordern nach Wochen nun die Löschung ihrer Daten. Wie will man nun diese Daten aus den E-Mail Clients, Archiven, Backups löschen?


    Auf der anderen Seite, begrüße ich auch die Anforderungen aus der DSGVO. Es ist ein erster Schritt, dass Firmen sich nun damit beschäftigen müssen, wie, wo und was für Daten sie verarbeiten. Die Tage hatte ich erst den Klassiker. Eine Agentur stellt und hosted den Internetauftritt eines Unternehmens. Die Kundenseiten liegen alle auf einen mangelhaft abgesicherten Root-Server, für paar Euro angemietet (ohne Wartung, Pflege, Updates). Es darf ja alles nichts kosten! Erfahrungsgemäß überleben solche Server keine 3 Monate in der freien Wildbahn.

    Meine persönliche Meinung: Es kann nicht sein, dass wenn ich z.B. auf die Seite der "Frankfurter Allgemeine Zeitung" gehe, ich 10 neugierige Tracker im Schlepptau habe. Der Spitzenreiter war übrigens eine Seite mit 27 Trackern. Wie hat neulich eine Dame aus der EU es ausgedrückt. "Werbung oder Aufklärung über die Notwendigkeit der DSGVO brauche ich nun nicht mehr machen. Dies hat mir bereits Facebook abgenommen!"

    Gruß HMV

  • Wenn man die Anforderungen der DSGVO sehr strikt auslegt, dann dürfte man erst gar nicht dem Besucher die Website zeigen bevor er seine Einwilligung gegeben hat.

    Die zugehörige Richtlinie wurde überhaupt nicht umgesetzt. Heißt: In Deutschland sind Cookie-Banner nach Telemediengesetz nicht notwendig. Und auch die Datenschutzgrundverordnung macht diesbezüglich keine Vorgaben. Die entsprechende Browsereinstellung ist ausreichend. Bis jemand anders entscheidet.

    Die Datenübertragbarkeit hast du auch angesprochen. Auch ein Punkt wo die technische Lösung, Umsetzbarkeit komplett fehlt. Im Prinzip müsste man sich auf ein bestimmtes Datenformat, Schnittstelle einigen. Aufgrund der Vielzahl von Programmen und Möglichkeiten ein unlösbares Problem.

    Daten aus einem System zu exportieren und ins anderen System zu importieren, klappt immer dann problemlos, wenn beide Seiten die gleiche Lösung verwenden, oder aber für den jeweiligen Bereich ein verbindlicher Standard existiert. Aber wo hat man das schon? Das ist auch so ein Punkt, den man leicht fordern kann, und der super klingt, aber praktisch kaum umsetzbar wird.

    Bei der Anforderung der Datenlöschung von personenbezogenen Daten frage ich mich, wie z.B. Unternehmen diese aus den Backups heraus löschen sollen. Nehmen wir ein Beispiel. Über E-Mail zugesandte Bewerbungsunterlagen werden in den Fachabteilungen verteilt, zwecks Bedarfsnachfrage. Bewerber mit einer Absage fordern nach Wochen nun die Löschung ihrer Daten. Wie will man nun diese Daten aus den E-Mail Clients, Archiven, Backups löschen?

    Bewerbungsunterlagen darf man ohnehin nicht länger als unbedingt nötig aufbewahren. Aus dem Mailclient oder Filestore muss man sie also entfernen. Aber gerade Backupsysteme sind oftmals dafür ausgelegt, dass niemand etwas bearbeitet oder entfernt, und das ist genau genommen auch überhaupt nicht notwendig, denn es würde reichen, den Datensatz zu sperren. Nur kenne ich keine Backuplösung, die das halbwegs sauber umsetzt, entweder ist das Backup unbrauchbar oder ist die Information wiederherstellbar.

  • Vielen Dank für dein Feedback Geronimo

    ich möchte nochmal das Thema Cookies ansprechen. Laut Ausführungen einer IT-Rechtskanzlei wäre in der Tat § 15 Abs. 3 TMG in der Zukunft nicht mehr anwendbar. Somit kann der Websitebetreiber auf der Grundlage des allgemeinen Erlaubnistatbestands des Art. 6 Abs. 1, lit f DSGVO Cookies verwenden, ohne die vorherige Einwilligung des Nutzers einzuholen.


    Dies bedeutet jedoch, dass in der Datenschutzerklärung bei jeder Verwendung von Cookies die Voraussetzungen des Art. 6 Abs. 1 lit f DSGVO ausdrücklich bejaht bzw. darauf hingewiesen wird:

    • Art. 6 Abs. 1 lit f DSGVO muss ausdrücklich als Rechtmäßigkeitsgrund benannt werden
    • Es liegen berechtigte wirtschaftliche, rechtliche oder ideelle Interessen des Websitebetreibers vor
    • Die Anwendung von Cookies sind zur Erreichung dieser Interessen erforderlich
    • Überwiegende Interessen des Betroffenen stehen der Anwendung von Cookies nicht entgegen

    Ursprünglich sollte die e-Privacy Verordnung zum Schutz vor ungewolltem Tracking und zur Verwendung von Cookies im Mai 2018 abgenickt werden. Dies hat sich laut Bundeswirtschaftsministerium jedoch verzögert, da erst eine gemeinsame Verhandlungsposition gefunden werden soll.

    Welche Regelungen die e-Privacy Verordnung in der Zukunft zum Setzen von Cookies vorsieht ist daher offen, sehr spekulativ.

    Aufgrund dieser vagen Situation wird oft empfohlen den Nutzer weiterhin über das Setzen von Cookies mit einem Banner zu informieren, dass bei weiterem Besuch der Webseite von der Einwilligung des Nutzers für die Verwendung von Cookies ausgegangen wird.

    Dies ist wohl der Grund warum ich mich für diesen Cookie Hinweis auf meinen Seiten entschieden habe, zumal ich kein Jurist bin und den juristischen Abhandlungen nur bedingt folgen kann.

    Gruß HMV

  • Der Hinweis kann auch durchaus sinnvoll sein, wenn, und auch nur dann, die Cookies erst gesetzt werden, nachdem der Besucher zugestimmt hat. Dazu muss man wohl oder übel eine Seite vorschalten oder aber eine solche Banner-Lösung verwenden. Aber die klickt ja eh nur jeder genervt weg. So ganz ist mir noch nicht klar, wozu es eine E-Privacy-Verordnung parallel zur bestehenden Datenschutzgrundverordnung braucht, und verfolgt man etwas die laufenden Diskussionen, weiß man auch noch gar nicht so recht worauf sie abzielt. Alles zu seiner Zeit.