11
Webserver mit passendem Disclaimer
Hallo zusammen
ich betreibe einen Webserver, welcher Personendaten (Namen, Geburtstag, Bilder) enthält.
Der Webserver ist ein (routerbasierender) Apache embedded und sitzt in DE. Dieser hat aber selbst keinen Speicher, sondern mounted via NFS ein Directory, welches den ganzen Root beinhaltet inkl. der index.html und allen Daten/Ordnern.
Der NFS Server sitzt in den USA und obliegt damit deren Vorgaben soweit ich das sehe. Nachvollziehen kann man von außen das nur da eine sehr hohe Latenz auf der Antwort liegt (>100ms) was am Weg rüber liegt. Auf eine Clientanfrage sieht dieser aber logisch immer nur die DE IP.
Welchen Disclaimer muss ich setzen, vor allem da auf dem Server nur Daten von Menschen von hier enthält. Ich wurde mehrfach auf DSGVO und ViSdPR angeschrieben.
Was ist da richtig? USA ist ja sehr pingelig mit Copyright und Trademark, während Personendaten welche einmal öffnetlich waren recht kulant umgeht. Hier dagegen ist Name und Geburtstag schon kritisch.
Gruß
Sam
ich betreibe einen Webserver, welcher Personendaten (Namen, Geburtstag, Bilder) enthält.
Der Webserver ist ein (routerbasierender) Apache embedded und sitzt in DE. Dieser hat aber selbst keinen Speicher, sondern mounted via NFS ein Directory, welches den ganzen Root beinhaltet inkl. der index.html und allen Daten/Ordnern.
Der NFS Server sitzt in den USA und obliegt damit deren Vorgaben soweit ich das sehe. Nachvollziehen kann man von außen das nur da eine sehr hohe Latenz auf der Antwort liegt (>100ms) was am Weg rüber liegt. Auf eine Clientanfrage sieht dieser aber logisch immer nur die DE IP.
Welchen Disclaimer muss ich setzen, vor allem da auf dem Server nur Daten von Menschen von hier enthält. Ich wurde mehrfach auf DSGVO und ViSdPR angeschrieben.
Was ist da richtig? USA ist ja sehr pingelig mit Copyright und Trademark, während Personendaten welche einmal öffnetlich waren recht kulant umgeht. Hier dagegen ist Name und Geburtstag schon kritisch.
Gruß
Sam
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 571433
Url: https://administrator.de/contentid/571433
Printed on: April 19, 2024 at 00:04 o'clock
11 Comments
Latest comment
Hallo,
Das ist doch schon sehr spezifisch, da bist du bei einem Rechtsanwalt deines Vertrauens besser aufgehoben.
Wichtig wäre noch, wie du an die Personendaten (Namen, Geburtstag, Bilder) gekommen bist und ob die betroffenen Personen davon wissen und damit einverstanden sind bzw. welchen Grund deine Datensammlung hat und diese öffenlich zugänglich ist.
Also alles Fragen für einen rechtskundigen Datenschutzbeauftragten.
Gruß
eisbein
Edit:
Du könntest explizit darauf hinweisen, dass auf einen Server mit Standort US&A weitergeleitet wird und die Weiterleitung durch einen aktiven Button markieren. Erst wenn der Button geklickt wird, wird weiter geleitet.
Quatsch - du hast ja keinen Speicher...
Das ist doch schon sehr spezifisch, da bist du bei einem Rechtsanwalt deines Vertrauens besser aufgehoben.
Wichtig wäre noch, wie du an die Personendaten (Namen, Geburtstag, Bilder) gekommen bist und ob die betroffenen Personen davon wissen und damit einverstanden sind bzw. welchen Grund deine Datensammlung hat und diese öffenlich zugänglich ist.
Also alles Fragen für einen rechtskundigen Datenschutzbeauftragten.
welche einmal öffnetlich waren
Durch ein Datenleck zum Beispiel Gruß
eisbein
Edit:
Quatsch - du hast ja keinen Speicher...
Hallo,
der rechtskundige Datenschutzbeauftrage würde Dir möglicherweise empfehlen, das Konstrukt zu verändern. Also Daten deutscher Personen komplett ab in die EU. Die Daten von US-Bürgern könnte man folgerichtig auch auf US-Servern pflegen.
Wenn Du Die Lage der Daten nicht nachvollziehen kannst, geht das sowieso nicht, weil Du dann auch keine rechtssichere Vereinbarung zur Auftragsdatenverarbeitung haben kannst. Hättest Du die, Wüsstest Du ja, was die machen.
Und der rechtskundige Datenschutzbeauftragte könnte Dir auch sagen, ob die Anfragen die Du erhalten hast eine Auskunftspflicht nach DSGVO auslösen, deren nicht fristgemäße Beantwortung strafbewehrt ist.
Meine Empfehlung: Stecker raus und erst mal die Rechtslage klären.
Grüße
lcer
der rechtskundige Datenschutzbeauftrage würde Dir möglicherweise empfehlen, das Konstrukt zu verändern. Also Daten deutscher Personen komplett ab in die EU. Die Daten von US-Bürgern könnte man folgerichtig auch auf US-Servern pflegen.
Wenn Du Die Lage der Daten nicht nachvollziehen kannst, geht das sowieso nicht, weil Du dann auch keine rechtssichere Vereinbarung zur Auftragsdatenverarbeitung haben kannst. Hättest Du die, Wüsstest Du ja, was die machen.
Und der rechtskundige Datenschutzbeauftragte könnte Dir auch sagen, ob die Anfragen die Du erhalten hast eine Auskunftspflicht nach DSGVO auslösen, deren nicht fristgemäße Beantwortung strafbewehrt ist.
Meine Empfehlung: Stecker raus und erst mal die Rechtslage klären.
Grüße
lcer
Hi lcer
das ist ein privater Server, mit einer privaten Gesellschaft. Sicher wird irgendwann einer der privaten genannten aber aufstoßen und sich beschweren.
Eine reine Frage der Zeit.
Die Daten sind fast rein DE und lagern halt wie bei vielen Webhostern im (EU)Ausland, in meinem Fall halt USA. Ein herlagern bringt mir abgesehen von teurerem online Speicher, eigentlich den ekelhaften DGSVO mit ins Haus. In den US kannst du jedes einmal öffentliche Bild benutzen; Eigentumsrecht oder Erlaubnis auf Bilder hast du da nicht.
Ich würde als da die Daten dort liegen einen US Disclaimer mit auf die Seite drauf, oder? Es sind halt DE Personen Daten und "US Server". Im DGSVO gilt doch auch wo die Daten sind da gelten die Regeln, oder?
Gruß
Sam
das ist ein privater Server, mit einer privaten Gesellschaft. Sicher wird irgendwann einer der privaten genannten aber aufstoßen und sich beschweren.
Eine reine Frage der Zeit.
Die Daten sind fast rein DE und lagern halt wie bei vielen Webhostern im (EU)Ausland, in meinem Fall halt USA. Ein herlagern bringt mir abgesehen von teurerem online Speicher, eigentlich den ekelhaften DGSVO mit ins Haus. In den US kannst du jedes einmal öffentliche Bild benutzen; Eigentumsrecht oder Erlaubnis auf Bilder hast du da nicht.
Ich würde als da die Daten dort liegen einen US Disclaimer mit auf die Seite drauf, oder? Es sind halt DE Personen Daten und "US Server". Im DGSVO gilt doch auch wo die Daten sind da gelten die Regeln, oder?
Gruß
Sam
Hallo Eisbein,
forcierte Datenlecks, wikileaks, so die Richtung
Nein, Google, persönliche Webpages, Facebook, alte Bilder so die Liga.
forcierte Datenlecks, wikileaks, so die Richtung
Nein, Google, persönliche Webpages, Facebook, alte Bilder so die Liga.
Zitat von @SamvanRatt:
Ich würde als da die Daten dort liegen einen US Disclaimer mit auf die Seite drauf, oder? Es sind halt DE Personen Daten und "US Server". Im DGSVO gilt doch auch wo die Daten sind da gelten die Regeln, oder?
Nee. Da liegst Du falsch. Die DSGVO schützt die Rechte von EU-Bürgern. Das umgeht man nicht, indem man die Daten wegwichtelt. Du kannst auch nicht einfach für alles einen Disclaimer verwenden um Dich abzusichern. In rechtswidrige Vereinbarungen kann man nämlich nicht rechtswirksam einwilligen. Frag einen Rechtsanwalt.Ich würde als da die Daten dort liegen einen US Disclaimer mit auf die Seite drauf, oder? Es sind halt DE Personen Daten und "US Server". Im DGSVO gilt doch auch wo die Daten sind da gelten die Regeln, oder?
Grüße
lcer
1
Hi Icer
damit ist das dann ja klar: EU Daten EU Recht und Analog. Dann löse ich das wohl durch Links zu den Originalseiten, anstatt die bei mir aufztubewahren. Ist halt immer unschön wenn Daten umgezogen werden, oder ständig Updates die AltInfos überschreiben.
Passt und Danke!
Sam
damit ist das dann ja klar: EU Daten EU Recht und Analog. Dann löse ich das wohl durch Links zu den Originalseiten, anstatt die bei mir aufztubewahren. Ist halt immer unschön wenn Daten umgezogen werden, oder ständig Updates die AltInfos überschreiben.
Passt und Danke!
Sam
"wegwichteln".... ) Diesen Fachbegriff werde ich mir merken.
) Diesen Fachbegriff werde ich mir merken.
Also aus Sicht der DSGVO verarbeitest Du personenbezogene Daten. Das "Verarbeiten" wurde unter dem ALTEN Datenschutzrecht (BDSG a.F. = alte Fassung) noch aufgeteilt z.B. in "erstellen", "ändern", "löschen". Bei der DSGVO und dem BDSG n.F. (neue Fassung) ist das alles "verarbeiten". Und das schliesst schon die Möglichkeit ein, dass Du die Daten sehen könntest.
Demnach tritt bei auch bei Dir erst einmal ein generelles Verbot der Verarbeitung in Kraft und Du musst eine Ausnahme finden, warum Du die Daten verarbeiten darfst. Das nennt man "Verbot mit Erlaubnisvorbehalt".
Solche Ausnahmetatbestände finden sich in Artikel 6 der DSGVO. Die wichtigsten sind z.B. "zur Geschäftsanbahnung oder Erfüllung von Verträgen notwendig". Oder allgemein "wegen berechtigter Interessen". Solche "Interessen" können sehr wohl "ich will damit Geld verdienen sein". Aber Du musst das schon konkreter begründen und darlegen können, warum DEIN Interesse höher wiegt als die informationelle Selbstbestimmung jeder einzelnen, betroffenen Person.
Wenn Du eine Ausnahme gefunden hast, dann musst Du zusehen, ob der Zweck der Verarbeitung passt. Denn Du musst die betroffenen Personen zumindest über Art, Dauer, Zweck, etc der Datenverarbeitung informieren (Du holst KEINE Einwilligung ein!). Wenn Du selber die Personendaten gesammelt hast, musst Du die Personen SOFORT informieren. Wenn Du die Daten über Dritte gesammelt hast, dann musst Du das innerhalb von 30 Tagen machen. So eine Information sieht aus wie die typischen "Datenschutzerklärungen". Es sollte das selbe Medium benutzt werden wie beim Anlegen der Daten, d.h. wenn die Personen ihre Daten über's Web oder per Mail geschickt haben, dann sollte eine Mail reichen. Wenn das irgendwie in Papierform war, dann sollte die Information auch in Papierform gesendet werden.
Für Bilder von Menschen gilt in Deutschland außerdem noch zusätzlich das Urhebergesetz, was den ERSTELLER der Bilder schützt. Anders als in den USA ist der Urheber immer und ewig der gleiche. Er (bzw. sie) kann aber die Rechte an der Urheberschaft abgeben (und bleibt trotzdem Urheber). Diejenigen auf den Bildern sind u.a. durch Persönlichkeitsrechte geschützt. Beide noch durch das Kunsturhebergesetz (KUG). Aber da wird's richtig kompliziert...
Aus dem Bauch heraus würde ich sagen:
- Wenn Du die Daten selber angelegt hast und sie in den USA speicherst, dann brauchst Du mit dem, der die Daten speichert, einen Auftragsverarbeitungsvertrag. Außerdem muss der "Speicherer" eine (Selbst-)Zertifizierung nach dem EU-US-PrivacyShield vorweisen (siehe https://www.privacyshield.gov/welcome). Machst Du das nicht und hast weder die Zertifizierung geprüft noch einen AVV noch sonstwie einen Sicherheit, dass der Datenspeicherer die Daten nach DSGVO verarbeitet und einen Ansprechpartner nach EU-Recht hat (!), dann begehst Du einen DSGVO-Vertoß.
- Wenn Du die Daten quasi nur "lesend mitbenutzt", dann brauchst Du einen ähnlichen Vertrag mit der Vereinbarung über eine gemeinsame Verarbeitung der Daten - weil sowohl die US-Firma als auch Du verantwortlich für Teilbereiche der Verarbeitung seid.
Da die Strafen für Verstöße gegen o.g. Regelungen die höchsten sind, kann ich Dir nur dringend empfehlen, dass Du einen externen Datenschutzbeauftragten fragst bzw. - wegen der komplexen Fallkonstellation bei Dir - gleich einen Anwalt, der im Datenschutz firm ist (so viele gibt es davon noch nicht).
Größter Angriffspunkt wird bei Dir die Auslagerung der Datenspeicherung sein. Das ist - laut DSGVO - grundsätzlich erst einmal illegal und Du musst zusehen, dass Du eine Rechtsnorm findest, die es erlaubt. Also EU-US-PrivacyShield, spezielle Verträge nach EU-Formblättern (sind aber nicht 100%ig sicher!), oder wenn der Datenspeicherer einen Speicherort in der EU zusichern kann (beste Lösung erst einmal).
Demnach tritt bei auch bei Dir erst einmal ein generelles Verbot der Verarbeitung in Kraft und Du musst eine Ausnahme finden, warum Du die Daten verarbeiten darfst. Das nennt man "Verbot mit Erlaubnisvorbehalt".
Solche Ausnahmetatbestände finden sich in Artikel 6 der DSGVO. Die wichtigsten sind z.B. "zur Geschäftsanbahnung oder Erfüllung von Verträgen notwendig". Oder allgemein "wegen berechtigter Interessen". Solche "Interessen" können sehr wohl "ich will damit Geld verdienen sein". Aber Du musst das schon konkreter begründen und darlegen können, warum DEIN Interesse höher wiegt als die informationelle Selbstbestimmung jeder einzelnen, betroffenen Person.
Wenn Du eine Ausnahme gefunden hast, dann musst Du zusehen, ob der Zweck der Verarbeitung passt. Denn Du musst die betroffenen Personen zumindest über Art, Dauer, Zweck, etc der Datenverarbeitung informieren (Du holst KEINE Einwilligung ein!). Wenn Du selber die Personendaten gesammelt hast, musst Du die Personen SOFORT informieren. Wenn Du die Daten über Dritte gesammelt hast, dann musst Du das innerhalb von 30 Tagen machen. So eine Information sieht aus wie die typischen "Datenschutzerklärungen". Es sollte das selbe Medium benutzt werden wie beim Anlegen der Daten, d.h. wenn die Personen ihre Daten über's Web oder per Mail geschickt haben, dann sollte eine Mail reichen. Wenn das irgendwie in Papierform war, dann sollte die Information auch in Papierform gesendet werden.
Für Bilder von Menschen gilt in Deutschland außerdem noch zusätzlich das Urhebergesetz, was den ERSTELLER der Bilder schützt. Anders als in den USA ist der Urheber immer und ewig der gleiche. Er (bzw. sie) kann aber die Rechte an der Urheberschaft abgeben (und bleibt trotzdem Urheber). Diejenigen auf den Bildern sind u.a. durch Persönlichkeitsrechte geschützt. Beide noch durch das Kunsturhebergesetz (KUG). Aber da wird's richtig kompliziert...
Aus dem Bauch heraus würde ich sagen:
- Wenn Du die Daten selber angelegt hast und sie in den USA speicherst, dann brauchst Du mit dem, der die Daten speichert, einen Auftragsverarbeitungsvertrag. Außerdem muss der "Speicherer" eine (Selbst-)Zertifizierung nach dem EU-US-PrivacyShield vorweisen (siehe https://www.privacyshield.gov/welcome). Machst Du das nicht und hast weder die Zertifizierung geprüft noch einen AVV noch sonstwie einen Sicherheit, dass der Datenspeicherer die Daten nach DSGVO verarbeitet und einen Ansprechpartner nach EU-Recht hat (!), dann begehst Du einen DSGVO-Vertoß.
- Wenn Du die Daten quasi nur "lesend mitbenutzt", dann brauchst Du einen ähnlichen Vertrag mit der Vereinbarung über eine gemeinsame Verarbeitung der Daten - weil sowohl die US-Firma als auch Du verantwortlich für Teilbereiche der Verarbeitung seid.
Da die Strafen für Verstöße gegen o.g. Regelungen die höchsten sind, kann ich Dir nur dringend empfehlen, dass Du einen externen Datenschutzbeauftragten fragst bzw. - wegen der komplexen Fallkonstellation bei Dir - gleich einen Anwalt, der im Datenschutz firm ist (so viele gibt es davon noch nicht).
Größter Angriffspunkt wird bei Dir die Auslagerung der Datenspeicherung sein. Das ist - laut DSGVO - grundsätzlich erst einmal illegal und Du musst zusehen, dass Du eine Rechtsnorm findest, die es erlaubt. Also EU-US-PrivacyShield, spezielle Verträge nach EU-Formblättern (sind aber nicht 100%ig sicher!), oder wenn der Datenspeicherer einen Speicherort in der EU zusichern kann (beste Lösung erst einmal).
Hallo yoppi
habe heute erst gesehen das du geschrieben hattest. Mit der detailierten Info ist klar das ich das nicht durchführen kann.
Ich habe die letzten zwei Tage schon meine andere Variante umgesetzt und keinerlei Daten mehr von der Seite (außer der index.html) in Besitz, welche dem Client das zusammensuchen der Daten überläßt: links mit den google, webarchive, facebook, twitter, linkedin, privaten Webseiten und co. Keine Namen mehr, sondern nur deren eigenen Angaben auf deren Referenzseiten. Die html 8nur der Textteil; die Inhalte waren natürlich riesig) ist damit von 12kB auf 1,4MB angewachsen und dauert 2sek. zum laden und rund 30 sek bei mir bis der Browser alles zusammengesetzt hat.
Da dies (meine) eine private Seite ist, geht was anderes gar nicht. Merkwürdig wie das im Ausland dann mit EU Staatsbürgern (bin keiner) gemacht wird, da deren Schutzrechte ja damit in die Länderrechte eingreifen, sprich eigentlich musst du nur um sicher zu sein EU Leute dann ablehnen.
Selbst für so einfache Vereinssachen wie in meinem Fall ist das ja ein Killerkriterium zum Betrieb, außer man lässt die "lustigen DSGVO" Blätter regelmässig blind unterzeichnen (was ja hier Standard seither ist).
Danke für die genaue Ausführung, was vieles verständlich macht.
Gruß und schönes WE
Sam
habe heute erst gesehen das du geschrieben hattest. Mit der detailierten Info ist klar das ich das nicht durchführen kann.
Ich habe die letzten zwei Tage schon meine andere Variante umgesetzt und keinerlei Daten mehr von der Seite (außer der index.html) in Besitz, welche dem Client das zusammensuchen der Daten überläßt: links mit den google, webarchive, facebook, twitter, linkedin, privaten Webseiten und co. Keine Namen mehr, sondern nur deren eigenen Angaben auf deren Referenzseiten. Die html 8nur der Textteil; die Inhalte waren natürlich riesig) ist damit von 12kB auf 1,4MB angewachsen und dauert 2sek. zum laden und rund 30 sek bei mir bis der Browser alles zusammengesetzt hat.
Da dies (meine) eine private Seite ist, geht was anderes gar nicht. Merkwürdig wie das im Ausland dann mit EU Staatsbürgern (bin keiner) gemacht wird, da deren Schutzrechte ja damit in die Länderrechte eingreifen, sprich eigentlich musst du nur um sicher zu sein EU Leute dann ablehnen.
Selbst für so einfache Vereinssachen wie in meinem Fall ist das ja ein Killerkriterium zum Betrieb, außer man lässt die "lustigen DSGVO" Blätter regelmässig blind unterzeichnen (was ja hier Standard seither ist).
Danke für die genaue Ausführung, was vieles verständlich macht.
Gruß und schönes WE
Sam
So gang nebenbei:
Vereine brauchen aus meiner Erfahrung heraus fast nie "lustige DSGVO-Blätter zum unterschreiben". Denn die Verarbeitung der personenbezogenen Daten kann mit Artikel 6 DSGVO begründet werden, z.B. aus "berechtigtem Interesse" oder "zur Erfüllung von Verträgen". Damit ist nicht nur das Verhältnis von Verein zu Mitglied gemeint, sondern zum Beispiel auch solche Dinge, dass man als Verein meist einem Dachverband untersteht oder dass man als Sportverein zu einer Unfallkasse oder berufsgenossenschaftlichen Vereinigung als Pflichtmitglied geführt wird. Oder dass man (als Sportverein) die Mitglieder zu Turnieren anmelden muss. Oder Spielerpässe pflegen muss. Oder dass man eine Anschrift der Mitglieder benötigt, um ihnen Einladungen zu Versammlungen zustellen zu können. Etc...etc...etc...
Dafür braucht man KEINE Einwilligung (man muss die Mitglieder aber Informieren)!
Ich kann immer wieder nur davor warnen, Leute vorschnell irgendwelche Einwilligungen unterschreiben zu lassen. Prüft erst, ob Ihr nicht aus Gründen die personenbezogenen Daten verarbeiten dürft oder müsst.
Vereine brauchen aus meiner Erfahrung heraus fast nie "lustige DSGVO-Blätter zum unterschreiben". Denn die Verarbeitung der personenbezogenen Daten kann mit Artikel 6 DSGVO begründet werden, z.B. aus "berechtigtem Interesse" oder "zur Erfüllung von Verträgen". Damit ist nicht nur das Verhältnis von Verein zu Mitglied gemeint, sondern zum Beispiel auch solche Dinge, dass man als Verein meist einem Dachverband untersteht oder dass man als Sportverein zu einer Unfallkasse oder berufsgenossenschaftlichen Vereinigung als Pflichtmitglied geführt wird. Oder dass man (als Sportverein) die Mitglieder zu Turnieren anmelden muss. Oder Spielerpässe pflegen muss. Oder dass man eine Anschrift der Mitglieder benötigt, um ihnen Einladungen zu Versammlungen zustellen zu können. Etc...etc...etc...
Dafür braucht man KEINE Einwilligung (man muss die Mitglieder aber Informieren)!
Ich kann immer wieder nur davor warnen, Leute vorschnell irgendwelche Einwilligungen unterschreiben zu lassen. Prüft erst, ob Ihr nicht aus Gründen die personenbezogenen Daten verarbeiten dürft oder müsst.
Hi Yoppi1
das ist sicher in der Regelung mitbedacht worden; die meisten haben ja keine eigene IT um das ständig auf Zack zu halten.
Meine Seite kommt aber als Mitglied für Mitglieder + Verein, daher geht es auch um die üblichen Wege vorbei.
Ist ja nun dadurch geregelt, das der Client sich diese sensiblen Daten von den Mitgliederauftritten in gut 15 verschiedenen Onlinemedien selbst zusammensucht und damit ist die Aufgabe trotzdem erfüllt. Ich habe das TMG als Basis genommen und bin davon dann vorgegangen was nicht sein darf ist nicht drinnen.
Gruß
Sam
das ist sicher in der Regelung mitbedacht worden; die meisten haben ja keine eigene IT um das ständig auf Zack zu halten.
Meine Seite kommt aber als Mitglied für Mitglieder + Verein, daher geht es auch um die üblichen Wege vorbei.
Ist ja nun dadurch geregelt, das der Client sich diese sensiblen Daten von den Mitgliederauftritten in gut 15 verschiedenen Onlinemedien selbst zusammensucht und damit ist die Aufgabe trotzdem erfüllt. Ich habe das TMG als Basis genommen und bin davon dann vorgegangen was nicht sein darf ist nicht drinnen.
Gruß
Sam
