stefankittel
Goto Top

DSGVO - Impressum und Datenschutz auf Anmeldeseiten notwendig?

Hallo,

was mit gerade eingefallen ist.
Muss man auf Anmeldeseiten auch ein Impressum und Datenschutzhinweis haben?

Auch hier wird ja die IP und Fehlversuche gespeichert.

Ich habe dazu nichts gefunden.
Und auch die Seiten der großen Hoster sind ohne.

Was meint Ihr?

Stefan

Content-Key: 374693

Url: https://administrator.de/contentid/374693

Printed on: February 24, 2024 at 03:02 o'clock

Member: Kraemer
Kraemer May 22, 2018, updated at May 23, 2018 at 06:17:50 (UTC)
Goto Top
Moin,
Zitat von @StefanKittel:
Muss man auf Anmeldeseiten auch ein Impressum und Datenschutzhinweis haben?
ich sehe keinen Grund dafür

Auch hier wird ja die IP und Fehlversuche gespeichert.
zum Schutz der eigenen Infrastruktur auch ohne Einwilligung bedenkenlos möglich

Gruß

PS: Wie immer ohne Anspruch auf Richtigkeit
Member: SoulEater
SoulEater May 22, 2018 at 14:59:55 (UTC)
Goto Top
Puh, moin,

Interessante Fragestellung, mal wieder eine die nicht alzu leicht zu beantworten ist..
Ich sehe es Ähnlich wie du, bei Anmeldeversuchen MUSS geloggt werden, ergo muss darauf auch verwiesen werden.
Bleibt nur die Frage wie genau man alles nehmen muss, denn demnach sind einige Dinge einfach nicht umsetzbar...

Gutes Beispiel von einem Beitrag letztens: "Antrag auf Löschung der Daten" - Wie bestätige ich die Löschung dieser? Soll ich eine Mail an die Person schreiben dessen Daten (auch die E-Mail der Person) ich grade gelöscht habe?

Bin gespannt auf andere Meinungen,

LG, Solu
Member: laster
laster May 22, 2018 updated at 15:04:55 (UTC)
Goto Top
Hallo,

wenn man mit dem Anbieter eh schon einen Vertrag über Auftragsdatenverarbeitung hat? (ist das meiner Meinung nach nicht notwendig)

vG
LS
Member: Lochkartenstanzer
Lochkartenstanzer May 22, 2018 at 15:36:39 (UTC)
Goto Top
Zitat von @StefanKittel:

Hallo,

was mit gerade eingefallen ist.
Muss man auf Anmeldeseiten auch ein Impressum und Datenschutzhinweis haben?


Impressum muß man imho immer haben. Und da Daten erfaßt werden auch den Hinweis, außer Du logst nuchts "persönliches" mit.

lks
Member: Pedant
Pedant May 22, 2018 at 15:44:37 (UTC)
Goto Top
Hallo StefanKittel,

Zitat von @StefanKittel:
Muss man auf Anmeldeseiten auch ein Impressum und Datenschutzhinweis haben?
Die Impressumspflicht basiert auf einer anderen Rechtsgrundlage, als die Datenschutzerklärung.
Wenn Du ein Impressum führen müsst, dann muss es auch leicht zugänglich sein (max. zwei Klicks).
Ich vermute, dass dabei ein Login nicht notwendig sein darf.

Zitat von @SoulEater:
...bei Anmeldeversuchen MUSS geloggt werden, ergo muss darauf auch verwiesen werden.
Abgesehen davon, dass nicht geloggt werden muss, wenn es gemacht wird, dann muss es (vor dem Login) erklärt werden.
Es könnte eine "kleine" Datenschutzerklärung für Besucher vor dem Login geben und eine "große" für Besucher nach dem Login.

Es stellt sich dann noch die Frage wie Besucher zu funktionierenden Logindaten gelangen.
Abhängigkeit davon sollte man die Datenschutzerklärung sinnvoll positionieren, beispielsweise an der Stelle, an der Besucher sich für einen Login registrieren können (Account erstellen).
Es ist nicht sinnvoll personenbezogene Daten zu sammeln, bevor man die passende Erklärung präsentiert, mit denen die betroffene Person dann möglicherweise nicht einverstanden ist und seine Daten zurückfordert, wenn man die Möglichkeit hat das vorab abzuhandeln.

Zitat von @SoulEater:
Soll ich eine Mail an die Person schreiben deren Daten (auch die E-Mail der Person) ich grade gelöscht habe?
Schreib erst die E-Mail und lösche sie danach. Diese Reihenfolge und den Grund dafür, kannst Du auch in der E-Mail erwähnen.
(Die E-Mail, die Du als Geschäfts-E-Mail noch 10 Jahre aufheben musst.)

Zitat von @SoulEater:
Bleibt nur die Frage wie genau man alles nehmen muss, denn demnach sind einige Dinge einfach nicht umsetzbar...
Zugegeben, es gibt Einiges, das nicht praxistauglich ist.

Wenn man sich von Zielen "Transparenz" und "Minimalismus" leiten lässt, dann sollte sich nicht unbedingt die Frage stellen, was man tun muss, sondern was man tun (erklären) und lassen (nicht erfassen) kann.

Gruß
Nonjurist Frank
Member: StefanKittel
StefanKittel May 22, 2018 at 16:12:04 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:
Impressum muß man imho immer haben. Und da Daten erfaßt werden auch den Hinweis, außer Du logst nuchts "persönliches" mit.
Ich logge die IP und die ist persönlich.

Gehen wir mal von 20 Servern mit Plesk aus die kein zentrales Login wie 1und1 haben.
Man müßte in Plesk rumfummeln um da überhaupt Links hinzubekommen.
Viele Anbieter (All Inkl) machen das gar nicht.

Stefan
Member: SoulEater
SoulEater May 22, 2018 at 16:12:49 (UTC)
Goto Top
Abhängigkeit davon sollte man die Datenschutzerklärung sinnvoll positionieren, beispielsweise an der Stelle, an der Besucher sich für einen Login registrieren können (Account erstellen).
Es ist nicht sinnvoll personenbezogene Daten zu sammeln, bevor man die passende Erklärung präsentiert, mit denen die betroffene Person dann möglicherweise nicht einverstanden ist und seine Daten zurückfordert, wenn man die Möglichkeit hat das vorab abzuhandeln.

Moin Frank,

Erstmal Danke für die Aufklärung bzw. Die zweite Meinung. Für mich als Azubi, der sich momentan damit auseinandersetzen muss, ist das ganze noch Recht undurchsichtig, wenn auch einiges logisch ist und durchaus sinnvolle Punkte aufgreift.
Es wäre also sinnvoll einen entsprechenden Hinweis bei der Registration anzubringen, wie es bei so ziemlich allen Anwendungen üblich ist (ala "ich habe die AGBs [die Datenschutzerklärung - in diesem Falle] gelesen und bin damit einverstanden"). Dazu dann ein Link zur verkürzten Fassung, welche die Daten behandelt, die zur Registrierung geloggt werden (müssen).
Hört sich imho nach einer einfachen und gerechten Lösung für alle Beteiligten an.

Gruß, Soul
Member: Pedant
Pedant May 22, 2018 updated at 17:44:01 (UTC)
Goto Top
Hallo StefanKittel,

Zitat von @StefanKittel:
Man müßte in Plesk rumfummeln um da überhaupt Links hinzubekommen.
...oder informative Seiten vorschalten, die auf die Plesk-Seiten verlinken und hoffen, dass keiner zufällig direkt eine Plesk-Seite aufruft.

Strato schreibt in seine Datenschutzinformation unter Anderem sowas:
Zitat von Strato - Datenschutzinformation Absatz 2 c):
...Log-Daten werden von unseren Servern auch erfasst, wenn Besucher Ihre Webseiten aufrufen.
...
...die IP-Adressen der Besucher Ihrer Webseiten speichern wir zur Erkennung und Abwehr von Angriffen maximal 7 Tage.
Was ist mit Domänen, die bei Strato lediglich als E-Mail-Domänen genutzt werden?
www.wunschname.de führt dann zu generischen Inhalten à la "Diese Internetpräsenz wurde soeben freigeschaltet..."
Der Inhaber der Domäne hat also eine vermeintlich leere Seite, von deren Existenz er eventuell nichts weiß und lässt dort von Dritten (aus Sicht des Besuchers) personenbezogene Daten (IP-Adressen) sammeln.
Bei Leuten, die Inhalte (eigene Katzenbilder) hinterlegt haben ist das natürlich auch der Fall und eigentlich noch brisanter, da für den Besucher kein Zusammenhang mit Strato erkennbar ist und er daher nicht mal ein Indiz hat, dass deren Datenschutzinformation relevanz haben könnte.
(Strato dient hier lediglich als real existierendes Beispiel. Andere Hoster handhaben es vermutlich genauso.)

Wer als rein privatorientierter Inhaber solcher Domänen denkt, der Art. 2 DSGVO Abs. (2) c) träfe auf ihn zu, der täuscht sich dabei vermutlich.
Zitat von dsgvo-gesetz.de:
Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten
Sammeln (lassen) der IP-Adressen aller Besucher fällt nicht wirklich unter die Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.

Wer als Besucher auf www.wunschname.de geht, der ist wahrscheinlich ahnungslos und wird dort vermutlich auch nicht aufgeklärt.
Wer auf einer Plesk-Seite ein Login versucht (ohne Logindaten zu haben), der wird dort zwar auch nicht aufgeklärt, wird aber wenig überrascht sein, dass der versuchte "Einbruch" geloggt wird.

Mein Rat wäre, wenn Dir etwas Praktikables einfällt, wie Du auf das Loggen hinweisen kannst, dann mach es und wenn nicht, dann lass es.
Leute mit funktionierenden Logindaten, kann man an anderer Stelle aufklären.

Zitat von @StefanKittel:
Viele Anbieter (All Inkl) machen das gar nicht.
Die haben sich vermutlich über die klassische Konstellation von Kirche und Dorf Gedanken gemacht.

Gruß
Nonjurist Frank
Member: lcer00
lcer00 May 22, 2018 at 17:58:39 (UTC)
Goto Top
Hallo,
Zitat von @SoulEater:
Bleibt nur die Frage wie genau man alles nehmen muss, denn demnach sind einige Dinge einfach nicht umsetzbar...
Zugegeben, es gibt Einiges, das nicht praxistauglich ist.

Wenn man sich von Zielen "Transparenz" und "Minimalismus" leiten lässt, dann sollte sich nicht unbedingt die Frage stellen, was man tun muss, sondern was man tun (erklären) und lassen (nicht erfassen) kann.


Wir müssen das so umsetzen, wie es der haben will, der die Bußgelder verhängt. Das ist zum Schluss der Landesdatenschutzbeauftrage. Der hat sich im Detail aber noch nicht konkret geäußert.

Das ist so, als würde man zwar dem Bußgeldkatalog der STVO kennen, aber nicht wissen, wie die Polizei das handhabt:
- Blitzer alle 50 Meter immer und überall oder
- einmal im Jahr am Blitzermarathon
- ggf. darf auch jeder privat Blitzen und das der Polizei melden.

Grüße

lcer - nichtjurist
Member: falscher-sperrstatus
falscher-sperrstatus May 22, 2018 at 18:09:30 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @StefanKittel:

Hallo,

was mit gerade eingefallen ist.
Muss man auf Anmeldeseiten auch ein Impressum und Datenschutzhinweis haben?


Impressum muß man imho immer haben. Und da Daten erfaßt werden auch den Hinweis, außer Du logst nuchts "persönliches" mit.

lks

Exakt. Verlinkung auf Hauptseite mit Impressum/Datenschutzhinweis.
Member: Pedant
Pedant May 22, 2018 at 19:27:56 (UTC)
Goto Top
Hallo Leidensgenossen,

in einer Sache sind die Fußball-WM und die DSGVO recht ähnlich.
Die WM macht uns alle zu Bundestrainern, die DSGVO macht uns alle zu Bundesdatenschutzbeauftragen.
Ersteres macht etwas mehr Spaß.

@certifiedit.net
Zitat von @falscher-sperrstatus:
Exakt. Verlinkung auf Hauptseite mit Impressum/Datenschutzhinweis.

Zitat von www.datenschutz.org:
Die Datenschutzerklärung muss mit einem Klick von jeder Unterseite einer Website aus erreichbar und eindeutig gekennzeichnet sein.
Falls deren Einschätzung der Lage korrekt ist, wäre Unterseite -> Hauptseite -> Datenschutzerklärung ein Klick zuviel.
Ich frag mich allerdings wovon die diese Behauptung ableiten. Aus dem Artikel der linkten Zitatsquelle geht das nicht klar hervor.


Rhetorische Fragen:
- Was ist mit Pop-Up-Fenstern, also Unterseiten ohne Navigationslinks?
- Was ist mit einem Javascript-Alert, bei dem der erste Klick für [OK] draufgeht?
- Was ist mit Bildanzeigern, die man zuerst noch mit [x] schließen muss?

Gruß Frank
Member: StefanKittel
StefanKittel May 22, 2018 updated at 19:35:44 (UTC)
Goto Top
Hallo,

kurz mal zu Plesk.
Es ist nicht möglich mit den Einstellungen in Plesk einen Button auf das Login-Internface zu bekommen.
Dazu muss man den Quellcode ändern. Der nach jedem Update natürlich überschrieben wird.

Ich versuche gerade rauszufinden ob es in Plesk überhaupt ein access-log für diese Seite gibt.
Wenn nicht gibt es ja keine Daten und keinen Grund eine Information anzuzeigen.

Stefan

Update
/var/log/sw-cp-server/access.log hat die Dateigröße 0.
Es wird also nichts gespeichert.

Ganz anders sieht das z.B. bei Froxlor aus was eine normale LAMP-Installation verwendet.
Member: falscher-sperrstatus
falscher-sperrstatus May 22, 2018 at 19:41:30 (UTC)
Goto Top
Warum?

Seite "Login" mit Link auf Hauptseite;
Seite "Hauptseite" mit LInk auf Impressum + Datenschutz

1+1
Member: falscher-sperrstatus
falscher-sperrstatus May 22, 2018 at 19:42:39 (UTC)
Goto Top
Kann ich mir nicht vorstellen, dass Plesk das nicht loggt. Andererseits solltest du dann allerdings bei Plesk wegen des Links mal anklopfen.
Member: Pedant
Pedant May 22, 2018 at 19:51:34 (UTC)
Goto Top
Hallo certifiedit.net,

Weil 1+1=2, aber das Zitat behauptet Max. = 1

Ich halte das aber für eine Fehlinterpretation der Verordnung, wobei die Quelle des Zitas vom Berufsverband der Rechtsjournalisten e.V. ist.

Gruß Frank
Member: StefanKittel
StefanKittel May 22, 2018 at 22:04:22 (UTC)
Goto Top
Zitat von @falscher-sperrstatus:
Warum?
Seite "Login" mit Link auf Hauptseite;
Seite "Hauptseite" mit LInk auf Impressum + Datenschutz
Weil es in Plesk keine eingebaute Möglichkeit gibt so einen Link hinzuzufügen.
Dazu muss man den Quellcode manipulieren
Member: ukulele-7
ukulele-7 May 23, 2018 updated at 06:07:55 (UTC)
Goto Top
Es würde ja nicht nur Plesk treffen sondern jeden aus dem Internet zugänglichen Admin Login oder sagen wir einen FTP Server. Wie soll man dort Datenschutzhinweise anbringen?

Ich denke das man hier gewissenhaft abwägen sollte. Ist es ein internes System und die User sind über den Datenschutz im Bilde? Kein Hinweis, soll sich erstmal einer beschwerden. Er müsste sich ja dann unberechtigter Weise versucht haben anzumelden. Ich würde nicht so weit gehen das Computersabotage zu nennen aber da darf man schonmal Gegenfragen stellen.

Ist es ein System mit öffentlicher Seite bei dem ich mich registrieren kann dann brauche ich natürlich vorher eine Aufklräung.
Member: Kraemer
Kraemer May 23, 2018 at 06:29:39 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:
Impressum muß man imho immer haben.
Das stimmt schlicht nicht.
https://de.wikipedia.org/wiki/Impressumspflicht
Member: StefanKittel
StefanKittel May 23, 2018 at 06:36:51 (UTC)
Goto Top
Zitat von @ukulele-7:
Es würde ja nicht nur Plesk treffen sondern jeden aus dem Internet zugänglichen Admin Login oder sagen wir einen FTP Server. Wie soll man dort Datenschutzhinweise anbringen?
Das ist ja das Problem
Control-Panel von Webservern, Web-Mail-Portale, IMPI-Panel von Servern, etc

Dazu kommen in der Tat FTP, SMTP, IMAP, SSH-Server etc.
Die loggen auch beim Zugriff die IP-Adresse und eine Information vorab ist technisch ja gar nicht möglich.

Ich denke das man hier gewissenhaft abwägen sollte. Ist es ein internes System und die User sind über den Datenschutz im Bilde? Kein Hinweis, soll sich erstmal einer beschwerden. Er müsste sich ja dann unberechtigter Weise versucht haben anzumelden. Ich würde nicht so weit gehen das Computersabotage zu nennen aber da darf man schonmal Gegenfragen stellen.
Wenn man aber über eine Fehleingabe an der Tastatur oder ein Google-Suchergebnis zu dieser Seite kommt?
Dann stellt man fest "Oh, hier wollte ich nicht hin" und kurz danach "Die haben bestimmt meine IP gespeichert. Das wollte ich nicht."

Ist es ein System mit öffentlicher Seite bei dem ich mich registrieren kann dann brauche ich natürlich vorher eine Aufklräung.
Hier ist es eindeutig. Ich erfasse hierbei Daten und muss "Alles" angeben dafür.
Bei Plesk & Co kann man sich aber nicht registrieren.

Stefan
Member: falscher-sperrstatus
falscher-sperrstatus May 23, 2018 at 07:46:31 (UTC)
Goto Top
Hallo Stefan,

technisch gebe ich dir Recht. Aber die DS GVO ist eben nicht von techno, sondern von Bürokraten entwickelt, dementsprechend brauchen wir nicht über die Sinnhaftigkeit diskutieren. Die Frage ist, welche Blüten das treibt und wie wir wissen, sind wir leider in dem Land, in dem solche gesetzlichen Errungenschaften meist interessante treibt. Siehe Impressumspflicht etc.

Daher ist die Frage, ob man die Quellcodeänderung skriptet oder wie man sich ansonsten dagegen schützt. Grundsätzlich gibt es in der DS-GVO eben keine Grenze.

VG