Rechtliches Forum

[Framerate25]

Moin,

am 25.05.18 tritt das neue Datenschutzgesetz in Kraft. Ich hatte mich nun etwas damit auseinandergesetzt und habe aber meine Schwierigkeiten damit.

https://dsgvo-gesetz.de/bdsg-neu/

Hat hier jemand dezitierte Vorgehensweisen wie damit in Bezug auf Internetauftritt/Foren etc pp mit personenbezogenen Daten umgegangen werden soll?

Nebenbei würde mich auch die Information seitens der Administration hier an Bord interessieren, was auf uns zukommt - oder eben nicht.

Is da viel Gewäsch dabei oder sind Gerüchte wahr, das hohe Bußgelder verhängt werden, wenn Abmahnanwälte wieder etwas zu "fressen" gefunden haben?

Etwas hilflos und auf konstruktive Aufklärung hoffend.

Framerate25

[dosaris]

auf welchen Paragraphen beziehst Du dich denn genau?

[Framerate25]

https://www.datenschutz.org/eu-datensch ... erordnung/

Zum Beisiel die Kontrollkästchen bei Einverständniserklärungen für jeden noch so kleinen Punkt. Die Löschung, Sperrung Herausgabe von personenbezogenen Daten (Sind das dann auch Beiträge in einem Forum? Falls also ein Member seine 5600 Beiträge ausgehändigt bekommen möchte mit anschließender Löschung - hat der Admin viel Arbeit) Stillschweigende Zustimmung wird nicht mehr praktiziert.

Weiter der allgemeine Umgang im Geschäft.

https://dsgvo-gesetz.de/art-25-dsgvo/

Aber ich glaube fast, das Thema ist einfach zu komplex um zu sagen: Mach dies und jenes, das ists gut.....

Jedenfalls, wenn ich mir die Bußgeldverordnung ansehe - lieber Himmel.....

[Jan]

In Geschäften wird das schon praktiziert, da muss man für Kundenkarten unterschreiben lassen, weil man laut EU-Recht nur sechs Monate die Daten des Kunden speichern darf, wenn ich mich recht erinnere. Es soll wohl vermieden werden, dass die eigenen Daten jahrelang im Netz gespeichert werden und man damit lebenslang angreifbar ist.

[Jörg]

diese ganze story wird ein unübersichtiger Dschungel werden, unglaublicher Verwaltung/Bürokratieirrsinn, den findige Leute in Sekunden aushebeln werden.
Der Leidtragende ist immer?? .... genau.

[carstenkurz]

Für die meisten dürfte es vorläufig mal reichen, ihren Informationspflichten auf ihren Webseiten nachzukommen. Dann nimmt man sich die tatsächlichen Kundendaten und die Kommunikation vor. Webseite etc. sind aber erstmal das Wichtigste, um Abmahnern den Wind aus den Segeln zu nehmen, denn deren Übereinstimmung mit der DSGVO lässt sich schnell von aussen scannen. Deine internen Datensammlungen und Prozesse zu analysieren ist denen zu aufwendig.

- Carsten

[bArtMan]

Wichtig ist erstmal eine neue Datenschutzerklärung. Hier habe ich gestern ein Muster gefunden:
https://www.uni-muenster.de/Jura.itm/ho ... DSGVO.docx

[Realsound]

Ich habe vor kurzem im Rahmen eines Auftrages mit einem Rechtsanwalt dieses Thema besprochen. Er hat mir am Beispiel einer Visitenkarte, die er mir gegeben hat, die entstehende Problematik erläutert. Was er mir beschrieben hat ist gelinde gesagt ein Horrorszenario. Grundsätzlich geht es darum das mit der Verordnung die Beweispflicht über die Löschung oder entsprechende Verwahrung der Daten z.B. beim Arbeitgeber liegt oder im Falle der Visitenkarte bei mir als Empfänger der Karte. Ich müsste "theoretisch" den Inhaber der Karte schriftlich über deren Vernichtung informieren. Wenn ich nicht verbindlich belegen kann was ich mit der Karte gemacht habe, kann ich verklagt werden. Im Geschäftsfalle auf 4% meines weltweiten Geschäftsgewinns. Da dürfte sich Facebook schon mal freuen.

Ob und in welcher Form die, in der Grundverordnung geregelten, Datenschutz- und Klagefälle tatsächlich durchgesetzt werden ist bislang unklar. Fest steht auf jeden Fall das es Rechtsanwalts-Kanzleien geben wird die sich auf den neuen Sachverhalt einschießen werden. Die neue Verordnung gilt im übrigen verbindlich in ganz Europa. Es gibt nur ganz wenige Paragraphen in denen die einzelnen Länder noch gesondert handeln können.

Mir war nach dem Gespräch gar nicht wohl. Die Formulierung des Anwaltes war: "Bis lang haben wir mit einem Gewehr auf Spatzen geschossen, was den Datenschutz angeht. Jetzt werfen wir eine Atombombe".

[blickfeld]

Ich habe vor kurzem im Rahmen eines Auftrages mit einem Rechtsanwalt dieses Thema besprochen. Er hat mir am Beispiel einer Visitenkarte, die er mir gegeben hat, die entstehende Problematik erläutert. Was er mir beschrieben hat ist gelinde gesagt ein Horrorszenario. Grundsätzlich geht es darum das mit der Verordnung die Beweispflicht über die Löschung oder entsprechende Verwahrung der Daten z.B. beim Arbeitgeber liegt oder im Falle der Visitenkarte bei mir als Empfänger der Karte. Ich müsste "theoretisch" den Inhaber der Karte schriftlich über deren Vernichtung informieren. Wenn ich nicht verbindlich belegen kann was ich mit der Karte gemacht habe, kann ich verklagt werden. Im Geschäftsfalle auf 4% meines weltweiten Geschäftsgewinns. Da dürfte sich Facebook schon mal freuen.

Ob und in welcher Form die, in der Grundverordnung geregelten, Datenschutz- und Klagefälle tatsächlich durchgesetzt werden ist bislang unklar. Fest steht auf jeden Fall das es Rechtsanwalts-Kanzleien geben wird die sich auf den neuen Sachverhalt einschießen werden. Die neue Verordnung gilt im übrigen verbindlich in ganz Europa. Es gibt nur ganz wenige Paragraphen in denen die einzelnen Länder noch gesondert handeln können.

Mir war nach dem Gespräch gar nicht wohl. Die Formulierung des Anwaltes war: "Bis lang haben wir mit einem Gewehr auf Spatzen geschossen, was den Datenschutz angeht. Jetzt werfen wir eine Atombombe".

einfach mal ruhig bleiben, zum einen ist die 4% aussage quatsch, es heißt bis zu 2 bzw 4% also nicht pauschal. wbs hat es eigentlich ganz gut zusammengefasst, was da auf einen zukommt.

[Jörg]

Ich denke, ruhig bleiben ist genau die falsche Taktik...

Allein die Vorstellung, dass jeder Betrieb, der Personal(> 10) mit Funktelefonen und/oder tablets für den Außendienst ausrüstet,
darauf Anschrift Name Tel.Nummer der anzufahrenden Kunden/Klienten übermittelt, einen Datenschutzbeauftragten braucht, ist hirnrissig.
Da kommen so extreme Anforderungen zustande, die Gewerbetreibende noch nicht mal im Ansatz überschauen.

Also nicht ruhig bleiben, die Verbände, Innungen, Kammern nerven, sich informieren,
die Formulierung

Bis lang haben wir mit einem Gewehr auf Spatzen geschossen, was den Datenschutz angeht. Jetzt werfen wir eine Atombombe".

ist nicht übertrieben.

[Frank Glencairn]

Wenn ich nicht verbindlich belegen kann was ich mit der Karte gemacht habe, kann ich verklagt werden.

Und was wäre ein "Verbindlicher Beleg" für die Vernichtung der Karte?
Eine schriftliche Erklärung eines Entsorgungsunternehmens?

Wie will man denn beweisen, daß man Daten die man gelöscht hat, nicht mehr hat?

Ich schätze mal wir erleben gerade die Geburt des wahnsinnigsten Börokratiemonsters der Geschichte.

[Jörg]

So sieht es aus....

[handiro]

Ich denke mal die Lobby der Armwälte hat sich hier eine schöne Arbeitsbeschaffungsmassnahme ausgedacht.

Solche Aussagen wie die von der Visitenkarte sind eindeutig: Leute kauft Euch ne schöne fette gewerbliche Rechtsschutzversicherung um den Rest kümmern wir uns.
Dazu die Abmahnvereine die gerade Thema bei Onlinehandel sind, schon rollt der Rubel.

Gleichzeitig erklärt unser Bundesmurkel unsere DATEN zum Rohstoff des 21. Jahrhunderts:
https://www.cebit.de/de/news-trends/new ... derts-1190

[-paleface-]

Ich muss mich aktuell auch damit beschäftigen da ich selber 3 Webseiten besitze.

Und es ist ein Graus.
Weil man
A: Einen derben Informationsfluss von den offiziellen Webseiten bekommt wo man als Normalsterblicher gar nicht durchblickt.
B: In Foren und Socialen Medien nur Menschen mit Halbwissen hat.
C: Man eigentlich nur sicher ist wenn man einen Anwalt einschaltet. Und die lecken sich gerade die Finger danach und kosten ordentlich. Ich habe 3 Angebote hier wo eine erste Prüfung nicht unter 800€ ist PRO WEBSEITE! liegt. (Ich hab 3 wie oben geschrieben)

Daher bin ich über jeden Tipp erfreut.
Ich mache es aktuell so.... ich schlage die Anwälte mit ihren eigenen Waffen...ich gehe auf die Webseite der Anwälte für Datenschutz und kopiere mir deren Datenschutzerklärung einfach raus und ändere einfach nur ihre zu meinen Daten.

Ob das hilft...keine Ahnung.

[handiro]

Nicht doof :-) Glücklicherweise kann man Webseiten auch ratzfatz vom Inderweb nehmen wenns knuspert. Ich bin schwerst gebranntes Kind und habe 3 Jahre Verfahren mit Arschwälten, Privatdetektiven und Wanzen wegen einer anonymen Äusserung in einem Verbraucherschutz Forum gehabt, was ich nicht einmal betrieben hatte, sondern nur finanziell unterstützt! Die Lektion wünsche ich niemandem!

[carstenkurz]

Ich schätze mal wir erleben gerade die Geburt des wahnsinnigsten Börokratiemonsters der Geschichte.

Das ist ja nicht der erste Fall in den letzten 30 Jahren. Es wird ein Jahr lang Goldgräberstimmung geben, und dann wird die Rechtsprechung sich justieren. Im Übrigen gelten die bis zu 4% des Umsatzes nicht für die Abmahner, dafür gibt es standardisierte Tarife. Für die in der DSGVO festgelegten Strafen muss man von Seiten der Aufsichtbehörden für tatsächliche Verstöße belangt werden. Die werden keine Verfahren gegen einen Kleinunternehmer oder Mittelständler wegen einer Visitenkarte führen, die hinter den Kühlschrank gefallen ist. Im Übrigen würde ich mich zu diesem Thema gerade NICHT mit einem Anwalt unterhalten, ist doch klar, was dabei herauskommt... Bzw. unterhalten darf man sich natürlich, aber glauben muss man nicht alles...
Eine Visitenkarte enthält zwar persönliche Daten, stellt aber gerade KEINE Datensammlung im Sinne der DSGVO dar. Das tut sie erst, wenn Du sie scannst, die Daten in ein digitales Adressbuch eingibst, etc.

Datenschutzerklärungen muss/soll man nicht kopieren. Es gibt mehrere Stellen im Internet, wo man sich seine persönliche Datenschutzerklärung durch simples Anklicken kostenlos generieren lassen kann. Auf die Webseite damit, und dann kann man erstmal durchatmen.


- Carsten

[-paleface-]

Datenschutzerklärungen muss/soll man nicht kopieren. Es gibt mehrere Stellen im Internet, wo man sich seine persönliche Datenschutzerklärung durch simples Anklicken kostenlos generieren lassen kann. Auf die Webseite damit, und dann kann man erstmal durchatmen.

Hast du einen gute Link dafür?

[carstenkurz]

Die hier ist denke ich auch von Laien gut zu bewältigen.

https://dsgvo-muster-datenschutzerklaer ... nschutz.de

Die Massenabmahner interessieren sich nicht für tatsächliche Datenverarbeitungsprozesse in Unternehmen - die sind ja von außen nicht sichtbar und müssten erstmal erfragt, ermittelt, durchdrungen werden, dafür gibt es gegenüber diesen Serienabmahnern ja überhaupt keine Auskunftspflichten.

Die scannen einfach systematisch Webseiten, respektive erhalten Hinweise von eurer neidischen Konkurrenz, falls die sich mal auf eure Webseiten verirrt. Das ist dann nur ein paar Sekunden Aufwand, um einen Verstoß gegen die Informationspflichten festzustellen. Nur damit lässt sich bei Massenabmahnungen Geld verdienen.


- Carsten

[Realsound]

Das Beispiel mit der Visitenkarte war vom Anwalt ja auch nur als leicht verständliches Beispiel gedacht wie weit man die Dsgvo auslegen könnte. Es ist schon klar das damit nicht Jeder verklagt werden wird. Aber man sollte schon genau hinschauen. Ich komme aus der IT und bin bei einigen Paragraphen ganz schön erschrocken, weil ich mich gefragt habe wie das ein Betrieb in der Praxis durchführen soll.

Um auf den Beitrag von carstenkurz einzugehen

"...tatsächliche Datenverarbeitungsprozesse in Unternehmen - die sind ja von außen nicht sichtbar und müssten erstmal erfragt, ermittelt, durchdrungen werden..."

das ist schon richtig. Allerdings dreht die Dsgvo die Nachweispflicht um. Nichtmehr ich muss den Nachweis führen sondern mein Arbeitgeber. Da dürfte es einige Arbeits- und Kündigungsklagen geben. Aber genug des Themas. Man wird sehen was letztlich daraus wird.

[Frank Glencairn]

In Bayern kannst den Blödsinn wenigstens Teilweise mit Fördermitteln finanzieren: https://www.digitalbonus.bayern

[Steelfox]

Ich komme ebenfalls aus der IT-Ecke und versuche so gelassen wie möglich an die Sache ran zugehen. Die von mir derzeit betreuten Webseiten werde ich in Kürze neu überarbeiten und anpassen. Die Datenschutz-Verordnung ist ja eigentlich schon seit Mai 2016 in Kraft, aber erst ab diesen Mai mit dem Ende der Übergangsphase besteht die Pflicht zur Umsetzung. Die „Kosten“ für die Erstellung der Datenschutzerklärung habe ich natürlich weitergegeben. Da ich keine Verweise oder dergleichen zu Facebook o.ä. integriert habe, fallen die Punkte schon mal weg. Als Analyse-Werkzeug für Seitenaufrufe nutze ich die vom Provider bereitgestellten Programme. Hier läuft aber auch alles anonymisiert ab. Natürlich werden hierbei Daten protokolliert wie Browsertyp, Betriebssystem etc. IP ist verschlüsselt. Es ist keine reale Person identifizierbar. Ein Kontaktformular habe ich nicht mehr. Somit erfolgt die Kontaktaufnahme nur noch per Mail. Und hier werden auch nur die Daten (Mailadressen) gespeichert, die, wie es im Jargon so schön heißt, zur Anbahnung einer geschäftlichen Beziehung dienen. Umstellung auf SSL (bei einem Kontaktformular nun Pflicht) sollte auch kein Problem darstellen. Manche Provider bieten eine kostenlose Möglichkeit (Zertifikat). Andere müssen dann eben pro Jahr etwas Geld bezahlen.
Mich ärgert es zudem, das windige Beraterdienste nun unbedarften „Unwissenden“ das Geld aus der Tasche ziehen mit Vordrucken und Empfehlungen rund um die DSGVO.
Eher absurd finde ich die Tatsache, dass zum Einen mit der Verordnung nun jeder zum sparsamen Umgang mit sensiblen Daten verdonnert werden soll – was ja nicht verkehrt ist. Auf der anderen Seite aber eine Protokollpflicht eingeführt wird, in der alle Verarbeitungsvorgänge und Abfragen der gespeicherten (Kunden-)Daten aufgeführt werden sollen. Auch wenn das wohl nur Teams/Unternehmen ab 10 Leute betrifft.
;-)
Und ob ich einer betriebsfremden Person (übereifrigen Abmahner) Auskunft geben muss, was ich mit Kundendaten anstelle, nun das wage ich mal zu bezweifeln, das würde ja gegen den Datenschutz verstoßen...
;-)

[Frank Glencairn]

Ja, Kontaktformular hab ich auch gelöscht, hat sowieso keiner jemals genutzt, und der Datenschutz Disclaimer enthält jetzt 10x so viel Informationen, wie die ganze restliche Website - Schadensbegrenzung halt.
Ansonsten erhebe ich sowieso keine Daten.
Trotzdem gibt's wahrscheinlich immer noch genug Fallstricke und Winkelzüge für die Abzock-Industrie, auf die man mit Menschenverstand niemals kommt.

[dosaris]

...- Schadensbegrenzung halt.
Ansonsten erhebe ich sowieso keine Daten.
Trotzdem gibt's wahrscheinlich immer noch genug Fallstricke ...

unklar ist mir weiterhin, wer letztendlich für unklare Gestaltung der HomePages haften soll:
auf meiner Site erfasse ich weder Statistik noch werden cookies gesetzt. Auch kein scripting genutzt!

Aber:

der Serverbetreiber selber verpackt diese Seite unaufgefordert in ein frame, das außen herum
(unsichtbar) dies dennoch macht.
Natürlich ist aber von draußen nicht erkennbar, wer welche Funktion
(zB google-analytics, ajax.googleapis etc) aktiviert hatte.

dumme Sache das ...

[Steelfox]

Was ist denn eine unklare Gestaltung der Homepage?
Grundsätzlich verantwortlich ist immer der Betreiber der Webseite bzw. derjenige der in der Datenschutzerklärung als Ansprechpartner genannt ist.
Lässt du deine Seite aber von einem Dienstleister erstellen, so trägt nach meinem Verständnis er das Risiko. Denn er muss auch alle Belange rund um Datenschutz etc. bei der Erstellung der Seite berücksichtigen. Grundsätzlich erhebt jeder Provider irgendwelche Daten (z.B. Google-Analytics), dann müsstest du den Provider fragen welche Daten genau von den Besuchern deiner Seite erhoben gespeichert werden, das sollte dann auch in der Datenschutzerklärung stehen. Nur eins von vielen.
Auch die, die ihre Seiten selbst erstellen und keine Daten erheben, sollten prüfen, ob auf ihrer Seite z.B. Google-Fonts integriert sind, dann müsste das auch erwähnt werden, das jeder Aufruf dann bei Google registriert wird, mit den entsprechenden Folgen. Ebenfalls beliebt sind Kontaktformulare von externen Generatoren. Auch hier wandern die eingegebenen Daten (Mailadressen) "durch andere Hände".