stefankittel
Goto Top

DSGVO - Impressum und Datenschutz auf Anmeldeseiten notwendig?

Hallo,

was mit gerade eingefallen ist.
Muss man auf Anmeldeseiten auch ein Impressum und Datenschutzhinweis haben?

Auch hier wird ja die IP und Fehlversuche gespeichert.

Ich habe dazu nichts gefunden.
Und auch die Seiten der großen Hoster sind ohne.

Was meint Ihr?

Stefan

Content-ID: 374693

Url: https://administrator.de/contentid/374693

Ausgedruckt am: 22.11.2024 um 22:11 Uhr

Kraemer
Kraemer 22.05.2018, aktualisiert am 23.05.2018 um 08:17:50 Uhr
Goto Top
Moin,
Zitat von @StefanKittel:
Muss man auf Anmeldeseiten auch ein Impressum und Datenschutzhinweis haben?
ich sehe keinen Grund dafür

Auch hier wird ja die IP und Fehlversuche gespeichert.
zum Schutz der eigenen Infrastruktur auch ohne Einwilligung bedenkenlos möglich

Gruß

PS: Wie immer ohne Anspruch auf Richtigkeit
SoulEater
SoulEater 22.05.2018 um 16:59:55 Uhr
Goto Top
Puh, moin,

Interessante Fragestellung, mal wieder eine die nicht alzu leicht zu beantworten ist..
Ich sehe es Ähnlich wie du, bei Anmeldeversuchen MUSS geloggt werden, ergo muss darauf auch verwiesen werden.
Bleibt nur die Frage wie genau man alles nehmen muss, denn demnach sind einige Dinge einfach nicht umsetzbar...

Gutes Beispiel von einem Beitrag letztens: "Antrag auf Löschung der Daten" - Wie bestätige ich die Löschung dieser? Soll ich eine Mail an die Person schreiben dessen Daten (auch die E-Mail der Person) ich grade gelöscht habe?

Bin gespannt auf andere Meinungen,

LG, Solu
laster
laster 22.05.2018 aktualisiert um 17:04:55 Uhr
Goto Top
Hallo,

wenn man mit dem Anbieter eh schon einen Vertrag über Auftragsdatenverarbeitung hat? (ist das meiner Meinung nach nicht notwendig)

vG
LS
Lochkartenstanzer
Lochkartenstanzer 22.05.2018 um 17:36:39 Uhr
Goto Top
Zitat von @StefanKittel:

Hallo,

was mit gerade eingefallen ist.
Muss man auf Anmeldeseiten auch ein Impressum und Datenschutzhinweis haben?


Impressum muß man imho immer haben. Und da Daten erfaßt werden auch den Hinweis, außer Du logst nuchts "persönliches" mit.

lks
Pedant
Pedant 22.05.2018 um 17:44:37 Uhr
Goto Top
Hallo StefanKittel,

Zitat von @StefanKittel:
Muss man auf Anmeldeseiten auch ein Impressum und Datenschutzhinweis haben?
Die Impressumspflicht basiert auf einer anderen Rechtsgrundlage, als die Datenschutzerklärung.
Wenn Du ein Impressum führen müsst, dann muss es auch leicht zugänglich sein (max. zwei Klicks).
Ich vermute, dass dabei ein Login nicht notwendig sein darf.

Zitat von @SoulEater:
...bei Anmeldeversuchen MUSS geloggt werden, ergo muss darauf auch verwiesen werden.
Abgesehen davon, dass nicht geloggt werden muss, wenn es gemacht wird, dann muss es (vor dem Login) erklärt werden.
Es könnte eine "kleine" Datenschutzerklärung für Besucher vor dem Login geben und eine "große" für Besucher nach dem Login.

Es stellt sich dann noch die Frage wie Besucher zu funktionierenden Logindaten gelangen.
Abhängigkeit davon sollte man die Datenschutzerklärung sinnvoll positionieren, beispielsweise an der Stelle, an der Besucher sich für einen Login registrieren können (Account erstellen).
Es ist nicht sinnvoll personenbezogene Daten zu sammeln, bevor man die passende Erklärung präsentiert, mit denen die betroffene Person dann möglicherweise nicht einverstanden ist und seine Daten zurückfordert, wenn man die Möglichkeit hat das vorab abzuhandeln.

Zitat von @SoulEater:
Soll ich eine Mail an die Person schreiben deren Daten (auch die E-Mail der Person) ich grade gelöscht habe?
Schreib erst die E-Mail und lösche sie danach. Diese Reihenfolge und den Grund dafür, kannst Du auch in der E-Mail erwähnen.
(Die E-Mail, die Du als Geschäfts-E-Mail noch 10 Jahre aufheben musst.)

Zitat von @SoulEater:
Bleibt nur die Frage wie genau man alles nehmen muss, denn demnach sind einige Dinge einfach nicht umsetzbar...
Zugegeben, es gibt Einiges, das nicht praxistauglich ist.

Wenn man sich von Zielen "Transparenz" und "Minimalismus" leiten lässt, dann sollte sich nicht unbedingt die Frage stellen, was man tun muss, sondern was man tun (erklären) und lassen (nicht erfassen) kann.

Gruß
Nonjurist Frank
StefanKittel
StefanKittel 22.05.2018 um 18:12:04 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Impressum muß man imho immer haben. Und da Daten erfaßt werden auch den Hinweis, außer Du logst nuchts "persönliches" mit.
Ich logge die IP und die ist persönlich.

Gehen wir mal von 20 Servern mit Plesk aus die kein zentrales Login wie 1und1 haben.
Man müßte in Plesk rumfummeln um da überhaupt Links hinzubekommen.
Viele Anbieter (All Inkl) machen das gar nicht.

Stefan
SoulEater
SoulEater 22.05.2018 um 18:12:49 Uhr
Goto Top
Abhängigkeit davon sollte man die Datenschutzerklärung sinnvoll positionieren, beispielsweise an der Stelle, an der Besucher sich für einen Login registrieren können (Account erstellen).
Es ist nicht sinnvoll personenbezogene Daten zu sammeln, bevor man die passende Erklärung präsentiert, mit denen die betroffene Person dann möglicherweise nicht einverstanden ist und seine Daten zurückfordert, wenn man die Möglichkeit hat das vorab abzuhandeln.

Moin Frank,

Erstmal Danke für die Aufklärung bzw. Die zweite Meinung. Für mich als Azubi, der sich momentan damit auseinandersetzen muss, ist das ganze noch Recht undurchsichtig, wenn auch einiges logisch ist und durchaus sinnvolle Punkte aufgreift.
Es wäre also sinnvoll einen entsprechenden Hinweis bei der Registration anzubringen, wie es bei so ziemlich allen Anwendungen üblich ist (ala "ich habe die AGBs [die Datenschutzerklärung - in diesem Falle] gelesen und bin damit einverstanden"). Dazu dann ein Link zur verkürzten Fassung, welche die Daten behandelt, die zur Registrierung geloggt werden (müssen).
Hört sich imho nach einer einfachen und gerechten Lösung für alle Beteiligten an.

Gruß, Soul
Pedant
Pedant 22.05.2018 aktualisiert um 19:44:01 Uhr
Goto Top
Hallo StefanKittel,

Zitat von @StefanKittel:
Man müßte in Plesk rumfummeln um da überhaupt Links hinzubekommen.
...oder informative Seiten vorschalten, die auf die Plesk-Seiten verlinken und hoffen, dass keiner zufällig direkt eine Plesk-Seite aufruft.

Strato schreibt in seine Datenschutzinformation unter Anderem sowas:
Zitat von Strato - Datenschutzinformation Absatz 2 c):
...Log-Daten werden von unseren Servern auch erfasst, wenn Besucher Ihre Webseiten aufrufen.
...
...die IP-Adressen der Besucher Ihrer Webseiten speichern wir zur Erkennung und Abwehr von Angriffen maximal 7 Tage.
Was ist mit Domänen, die bei Strato lediglich als E-Mail-Domänen genutzt werden?
www.wunschname.de führt dann zu generischen Inhalten à la "Diese Internetpräsenz wurde soeben freigeschaltet..."
Der Inhaber der Domäne hat also eine vermeintlich leere Seite, von deren Existenz er eventuell nichts weiß und lässt dort von Dritten (aus Sicht des Besuchers) personenbezogene Daten (IP-Adressen) sammeln.
Bei Leuten, die Inhalte (eigene Katzenbilder) hinterlegt haben ist das natürlich auch der Fall und eigentlich noch brisanter, da für den Besucher kein Zusammenhang mit Strato erkennbar ist und er daher nicht mal ein Indiz hat, dass deren Datenschutzinformation relevanz haben könnte.
(Strato dient hier lediglich als real existierendes Beispiel. Andere Hoster handhaben es vermutlich genauso.)

Wer als rein privatorientierter Inhaber solcher Domänen denkt, der Art. 2 DSGVO Abs. (2) c) träfe auf ihn zu, der täuscht sich dabei vermutlich.
Zitat von dsgvo-gesetz.de:
Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten
Sammeln (lassen) der IP-Adressen aller Besucher fällt nicht wirklich unter die Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.

Wer als Besucher auf www.wunschname.de geht, der ist wahrscheinlich ahnungslos und wird dort vermutlich auch nicht aufgeklärt.
Wer auf einer Plesk-Seite ein Login versucht (ohne Logindaten zu haben), der wird dort zwar auch nicht aufgeklärt, wird aber wenig überrascht sein, dass der versuchte "Einbruch" geloggt wird.

Mein Rat wäre, wenn Dir etwas Praktikables einfällt, wie Du auf das Loggen hinweisen kannst, dann mach es und wenn nicht, dann lass es.
Leute mit funktionierenden Logindaten, kann man an anderer Stelle aufklären.

Zitat von @StefanKittel:
Viele Anbieter (All Inkl) machen das gar nicht.
Die haben sich vermutlich über die klassische Konstellation von Kirche und Dorf Gedanken gemacht.

Gruß
Nonjurist Frank
lcer00
lcer00 22.05.2018 um 19:58:39 Uhr
Goto Top
Hallo,
Zitat von @SoulEater:
Bleibt nur die Frage wie genau man alles nehmen muss, denn demnach sind einige Dinge einfach nicht umsetzbar...
Zugegeben, es gibt Einiges, das nicht praxistauglich ist.

Wenn man sich von Zielen "Transparenz" und "Minimalismus" leiten lässt, dann sollte sich nicht unbedingt die Frage stellen, was man tun muss, sondern was man tun (erklären) und lassen (nicht erfassen) kann.


Wir müssen das so umsetzen, wie es der haben will, der die Bußgelder verhängt. Das ist zum Schluss der Landesdatenschutzbeauftrage. Der hat sich im Detail aber noch nicht konkret geäußert.

Das ist so, als würde man zwar dem Bußgeldkatalog der STVO kennen, aber nicht wissen, wie die Polizei das handhabt:
- Blitzer alle 50 Meter immer und überall oder
- einmal im Jahr am Blitzermarathon
- ggf. darf auch jeder privat Blitzen und das der Polizei melden.

Grüße

lcer - nichtjurist
certifiedit.net
certifiedit.net 22.05.2018 um 20:09:30 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @StefanKittel:

Hallo,

was mit gerade eingefallen ist.
Muss man auf Anmeldeseiten auch ein Impressum und Datenschutzhinweis haben?


Impressum muß man imho immer haben. Und da Daten erfaßt werden auch den Hinweis, außer Du logst nuchts "persönliches" mit.

lks

Exakt. Verlinkung auf Hauptseite mit Impressum/Datenschutzhinweis.
Pedant
Pedant 22.05.2018 um 21:27:56 Uhr
Goto Top
Hallo Leidensgenossen,

in einer Sache sind die Fußball-WM und die DSGVO recht ähnlich.
Die WM macht uns alle zu Bundestrainern, die DSGVO macht uns alle zu Bundesdatenschutzbeauftragen.
Ersteres macht etwas mehr Spaß.

@certifiedit.net
Zitat von @certifiedit.net:
Exakt. Verlinkung auf Hauptseite mit Impressum/Datenschutzhinweis.

Zitat von www.datenschutz.org:
Die Datenschutzerklärung muss mit einem Klick von jeder Unterseite einer Website aus erreichbar und eindeutig gekennzeichnet sein.
Falls deren Einschätzung der Lage korrekt ist, wäre Unterseite -> Hauptseite -> Datenschutzerklärung ein Klick zuviel.
Ich frag mich allerdings wovon die diese Behauptung ableiten. Aus dem Artikel der linkten Zitatsquelle geht das nicht klar hervor.


Rhetorische Fragen:
- Was ist mit Pop-Up-Fenstern, also Unterseiten ohne Navigationslinks?
- Was ist mit einem Javascript-Alert, bei dem der erste Klick für [OK] draufgeht?
- Was ist mit Bildanzeigern, die man zuerst noch mit [x] schließen muss?

Gruß Frank
StefanKittel
StefanKittel 22.05.2018 aktualisiert um 21:35:44 Uhr
Goto Top
Hallo,

kurz mal zu Plesk.
Es ist nicht möglich mit den Einstellungen in Plesk einen Button auf das Login-Internface zu bekommen.
Dazu muss man den Quellcode ändern. Der nach jedem Update natürlich überschrieben wird.

Ich versuche gerade rauszufinden ob es in Plesk überhaupt ein access-log für diese Seite gibt.
Wenn nicht gibt es ja keine Daten und keinen Grund eine Information anzuzeigen.

Stefan

Update
/var/log/sw-cp-server/access.log hat die Dateigröße 0.
Es wird also nichts gespeichert.

Ganz anders sieht das z.B. bei Froxlor aus was eine normale LAMP-Installation verwendet.
certifiedit.net
certifiedit.net 22.05.2018 um 21:41:30 Uhr
Goto Top
Warum?

Seite "Login" mit Link auf Hauptseite;
Seite "Hauptseite" mit LInk auf Impressum + Datenschutz

1+1
certifiedit.net
certifiedit.net 22.05.2018 um 21:42:39 Uhr
Goto Top
Kann ich mir nicht vorstellen, dass Plesk das nicht loggt. Andererseits solltest du dann allerdings bei Plesk wegen des Links mal anklopfen.
Pedant
Pedant 22.05.2018 um 21:51:34 Uhr
Goto Top
Hallo certifiedit.net,

Weil 1+1=2, aber das Zitat behauptet Max. = 1

Ich halte das aber für eine Fehlinterpretation der Verordnung, wobei die Quelle des Zitas vom Berufsverband der Rechtsjournalisten e.V. ist.

Gruß Frank
StefanKittel
StefanKittel 23.05.2018 um 00:04:22 Uhr
Goto Top
Zitat von @certifiedit.net:
Warum?
Seite "Login" mit Link auf Hauptseite;
Seite "Hauptseite" mit LInk auf Impressum + Datenschutz
Weil es in Plesk keine eingebaute Möglichkeit gibt so einen Link hinzuzufügen.
Dazu muss man den Quellcode manipulieren
ukulele-7
ukulele-7 23.05.2018 aktualisiert um 08:07:55 Uhr
Goto Top
Es würde ja nicht nur Plesk treffen sondern jeden aus dem Internet zugänglichen Admin Login oder sagen wir einen FTP Server. Wie soll man dort Datenschutzhinweise anbringen?

Ich denke das man hier gewissenhaft abwägen sollte. Ist es ein internes System und die User sind über den Datenschutz im Bilde? Kein Hinweis, soll sich erstmal einer beschwerden. Er müsste sich ja dann unberechtigter Weise versucht haben anzumelden. Ich würde nicht so weit gehen das Computersabotage zu nennen aber da darf man schonmal Gegenfragen stellen.

Ist es ein System mit öffentlicher Seite bei dem ich mich registrieren kann dann brauche ich natürlich vorher eine Aufklräung.
Kraemer
Kraemer 23.05.2018 um 08:29:39 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Impressum muß man imho immer haben.
Das stimmt schlicht nicht.
https://de.wikipedia.org/wiki/Impressumspflicht
StefanKittel
StefanKittel 23.05.2018 um 08:36:51 Uhr
Goto Top
Zitat von @ukulele-7:
Es würde ja nicht nur Plesk treffen sondern jeden aus dem Internet zugänglichen Admin Login oder sagen wir einen FTP Server. Wie soll man dort Datenschutzhinweise anbringen?
Das ist ja das Problem
Control-Panel von Webservern, Web-Mail-Portale, IMPI-Panel von Servern, etc

Dazu kommen in der Tat FTP, SMTP, IMAP, SSH-Server etc.
Die loggen auch beim Zugriff die IP-Adresse und eine Information vorab ist technisch ja gar nicht möglich.

Ich denke das man hier gewissenhaft abwägen sollte. Ist es ein internes System und die User sind über den Datenschutz im Bilde? Kein Hinweis, soll sich erstmal einer beschwerden. Er müsste sich ja dann unberechtigter Weise versucht haben anzumelden. Ich würde nicht so weit gehen das Computersabotage zu nennen aber da darf man schonmal Gegenfragen stellen.
Wenn man aber über eine Fehleingabe an der Tastatur oder ein Google-Suchergebnis zu dieser Seite kommt?
Dann stellt man fest "Oh, hier wollte ich nicht hin" und kurz danach "Die haben bestimmt meine IP gespeichert. Das wollte ich nicht."

Ist es ein System mit öffentlicher Seite bei dem ich mich registrieren kann dann brauche ich natürlich vorher eine Aufklräung.
Hier ist es eindeutig. Ich erfasse hierbei Daten und muss "Alles" angeben dafür.
Bei Plesk & Co kann man sich aber nicht registrieren.

Stefan
certifiedit.net
certifiedit.net 23.05.2018 um 09:46:31 Uhr
Goto Top
Hallo Stefan,

technisch gebe ich dir Recht. Aber die DS GVO ist eben nicht von techno, sondern von Bürokraten entwickelt, dementsprechend brauchen wir nicht über die Sinnhaftigkeit diskutieren. Die Frage ist, welche Blüten das treibt und wie wir wissen, sind wir leider in dem Land, in dem solche gesetzlichen Errungenschaften meist interessante treibt. Siehe Impressumspflicht etc.

Daher ist die Frage, ob man die Quellcodeänderung skriptet oder wie man sich ansonsten dagegen schützt. Grundsätzlich gibt es in der DS-GVO eben keine Grenze.

VG