Webserver mit passendem Disclaimer
Hallo zusammen
ich betreibe einen Webserver, welcher Personendaten (Namen, Geburtstag, Bilder) enthält.
Der Webserver ist ein (routerbasierender) Apache embedded und sitzt in DE. Dieser hat aber selbst keinen Speicher, sondern mounted via NFS ein Directory, welches den ganzen Root beinhaltet inkl. der index.html und allen Daten/Ordnern.
Der NFS Server sitzt in den USA und obliegt damit deren Vorgaben soweit ich das sehe. Nachvollziehen kann man von außen das nur da eine sehr hohe Latenz auf der Antwort liegt (>100ms) was am Weg rüber liegt. Auf eine Clientanfrage sieht dieser aber logisch immer nur die DE IP.
Welchen Disclaimer muss ich setzen, vor allem da auf dem Server nur Daten von Menschen von hier enthält. Ich wurde mehrfach auf DSGVO und ViSdPR angeschrieben.
Was ist da richtig? USA ist ja sehr pingelig mit Copyright und Trademark, während Personendaten welche einmal öffnetlich waren recht kulant umgeht. Hier dagegen ist Name und Geburtstag schon kritisch.
Gruß
Sam
ich betreibe einen Webserver, welcher Personendaten (Namen, Geburtstag, Bilder) enthält.
Der Webserver ist ein (routerbasierender) Apache embedded und sitzt in DE. Dieser hat aber selbst keinen Speicher, sondern mounted via NFS ein Directory, welches den ganzen Root beinhaltet inkl. der index.html und allen Daten/Ordnern.
Der NFS Server sitzt in den USA und obliegt damit deren Vorgaben soweit ich das sehe. Nachvollziehen kann man von außen das nur da eine sehr hohe Latenz auf der Antwort liegt (>100ms) was am Weg rüber liegt. Auf eine Clientanfrage sieht dieser aber logisch immer nur die DE IP.
Welchen Disclaimer muss ich setzen, vor allem da auf dem Server nur Daten von Menschen von hier enthält. Ich wurde mehrfach auf DSGVO und ViSdPR angeschrieben.
Was ist da richtig? USA ist ja sehr pingelig mit Copyright und Trademark, während Personendaten welche einmal öffnetlich waren recht kulant umgeht. Hier dagegen ist Name und Geburtstag schon kritisch.
Gruß
Sam
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 571433
Url: https://administrator.de/forum/webserver-mit-passendem-disclaimer-571433.html
Ausgedruckt am: 22.12.2024 um 05:12 Uhr
11 Kommentare
Neuester Kommentar
Hallo,
Das ist doch schon sehr spezifisch, da bist du bei einem Rechtsanwalt deines Vertrauens besser aufgehoben.
Wichtig wäre noch, wie du an die Personendaten (Namen, Geburtstag, Bilder) gekommen bist und ob die betroffenen Personen davon wissen und damit einverstanden sind bzw. welchen Grund deine Datensammlung hat und diese öffenlich zugänglich ist.
Also alles Fragen für einen rechtskundigen Datenschutzbeauftragten.
Gruß
eisbein
Edit:
Du könntest explizit darauf hinweisen, dass auf einen Server mit Standort US&A weitergeleitet wird und die Weiterleitung durch einen aktiven Button markieren. Erst wenn der Button geklickt wird, wird weiter geleitet.
Quatsch - du hast ja keinen Speicher...
Das ist doch schon sehr spezifisch, da bist du bei einem Rechtsanwalt deines Vertrauens besser aufgehoben.
Wichtig wäre noch, wie du an die Personendaten (Namen, Geburtstag, Bilder) gekommen bist und ob die betroffenen Personen davon wissen und damit einverstanden sind bzw. welchen Grund deine Datensammlung hat und diese öffenlich zugänglich ist.
Also alles Fragen für einen rechtskundigen Datenschutzbeauftragten.
welche einmal öffnetlich waren
Durch ein Datenleck zum Beispiel Gruß
eisbein
Edit:
Quatsch - du hast ja keinen Speicher...
Hallo,
der rechtskundige Datenschutzbeauftrage würde Dir möglicherweise empfehlen, das Konstrukt zu verändern. Also Daten deutscher Personen komplett ab in die EU. Die Daten von US-Bürgern könnte man folgerichtig auch auf US-Servern pflegen.
Wenn Du Die Lage der Daten nicht nachvollziehen kannst, geht das sowieso nicht, weil Du dann auch keine rechtssichere Vereinbarung zur Auftragsdatenverarbeitung haben kannst. Hättest Du die, Wüsstest Du ja, was die machen.
Und der rechtskundige Datenschutzbeauftragte könnte Dir auch sagen, ob die Anfragen die Du erhalten hast eine Auskunftspflicht nach DSGVO auslösen, deren nicht fristgemäße Beantwortung strafbewehrt ist.
Meine Empfehlung: Stecker raus und erst mal die Rechtslage klären.
Grüße
lcer
der rechtskundige Datenschutzbeauftrage würde Dir möglicherweise empfehlen, das Konstrukt zu verändern. Also Daten deutscher Personen komplett ab in die EU. Die Daten von US-Bürgern könnte man folgerichtig auch auf US-Servern pflegen.
Wenn Du Die Lage der Daten nicht nachvollziehen kannst, geht das sowieso nicht, weil Du dann auch keine rechtssichere Vereinbarung zur Auftragsdatenverarbeitung haben kannst. Hättest Du die, Wüsstest Du ja, was die machen.
Und der rechtskundige Datenschutzbeauftragte könnte Dir auch sagen, ob die Anfragen die Du erhalten hast eine Auskunftspflicht nach DSGVO auslösen, deren nicht fristgemäße Beantwortung strafbewehrt ist.
Meine Empfehlung: Stecker raus und erst mal die Rechtslage klären.
Grüße
lcer
Zitat von @SamvanRatt:
Ich würde als da die Daten dort liegen einen US Disclaimer mit auf die Seite drauf, oder? Es sind halt DE Personen Daten und "US Server". Im DGSVO gilt doch auch wo die Daten sind da gelten die Regeln, oder?
Nee. Da liegst Du falsch. Die DSGVO schützt die Rechte von EU-Bürgern. Das umgeht man nicht, indem man die Daten wegwichtelt. Du kannst auch nicht einfach für alles einen Disclaimer verwenden um Dich abzusichern. In rechtswidrige Vereinbarungen kann man nämlich nicht rechtswirksam einwilligen. Frag einen Rechtsanwalt.Ich würde als da die Daten dort liegen einen US Disclaimer mit auf die Seite drauf, oder? Es sind halt DE Personen Daten und "US Server". Im DGSVO gilt doch auch wo die Daten sind da gelten die Regeln, oder?
Grüße
lcer
"wegwichteln".... ) Diesen Fachbegriff werde ich mir merken.
Also aus Sicht der DSGVO verarbeitest Du personenbezogene Daten. Das "Verarbeiten" wurde unter dem ALTEN Datenschutzrecht (BDSG a.F. = alte Fassung) noch aufgeteilt z.B. in "erstellen", "ändern", "löschen". Bei der DSGVO und dem BDSG n.F. (neue Fassung) ist das alles "verarbeiten". Und das schliesst schon die Möglichkeit ein, dass Du die Daten sehen könntest.
Demnach tritt bei auch bei Dir erst einmal ein generelles Verbot der Verarbeitung in Kraft und Du musst eine Ausnahme finden, warum Du die Daten verarbeiten darfst. Das nennt man "Verbot mit Erlaubnisvorbehalt".
Solche Ausnahmetatbestände finden sich in Artikel 6 der DSGVO. Die wichtigsten sind z.B. "zur Geschäftsanbahnung oder Erfüllung von Verträgen notwendig". Oder allgemein "wegen berechtigter Interessen". Solche "Interessen" können sehr wohl "ich will damit Geld verdienen sein". Aber Du musst das schon konkreter begründen und darlegen können, warum DEIN Interesse höher wiegt als die informationelle Selbstbestimmung jeder einzelnen, betroffenen Person.
Wenn Du eine Ausnahme gefunden hast, dann musst Du zusehen, ob der Zweck der Verarbeitung passt. Denn Du musst die betroffenen Personen zumindest über Art, Dauer, Zweck, etc der Datenverarbeitung informieren (Du holst KEINE Einwilligung ein!). Wenn Du selber die Personendaten gesammelt hast, musst Du die Personen SOFORT informieren. Wenn Du die Daten über Dritte gesammelt hast, dann musst Du das innerhalb von 30 Tagen machen. So eine Information sieht aus wie die typischen "Datenschutzerklärungen". Es sollte das selbe Medium benutzt werden wie beim Anlegen der Daten, d.h. wenn die Personen ihre Daten über's Web oder per Mail geschickt haben, dann sollte eine Mail reichen. Wenn das irgendwie in Papierform war, dann sollte die Information auch in Papierform gesendet werden.
Für Bilder von Menschen gilt in Deutschland außerdem noch zusätzlich das Urhebergesetz, was den ERSTELLER der Bilder schützt. Anders als in den USA ist der Urheber immer und ewig der gleiche. Er (bzw. sie) kann aber die Rechte an der Urheberschaft abgeben (und bleibt trotzdem Urheber). Diejenigen auf den Bildern sind u.a. durch Persönlichkeitsrechte geschützt. Beide noch durch das Kunsturhebergesetz (KUG). Aber da wird's richtig kompliziert...
Aus dem Bauch heraus würde ich sagen:
- Wenn Du die Daten selber angelegt hast und sie in den USA speicherst, dann brauchst Du mit dem, der die Daten speichert, einen Auftragsverarbeitungsvertrag. Außerdem muss der "Speicherer" eine (Selbst-)Zertifizierung nach dem EU-US-PrivacyShield vorweisen (siehe https://www.privacyshield.gov/welcome). Machst Du das nicht und hast weder die Zertifizierung geprüft noch einen AVV noch sonstwie einen Sicherheit, dass der Datenspeicherer die Daten nach DSGVO verarbeitet und einen Ansprechpartner nach EU-Recht hat (!), dann begehst Du einen DSGVO-Vertoß.
- Wenn Du die Daten quasi nur "lesend mitbenutzt", dann brauchst Du einen ähnlichen Vertrag mit der Vereinbarung über eine gemeinsame Verarbeitung der Daten - weil sowohl die US-Firma als auch Du verantwortlich für Teilbereiche der Verarbeitung seid.
Da die Strafen für Verstöße gegen o.g. Regelungen die höchsten sind, kann ich Dir nur dringend empfehlen, dass Du einen externen Datenschutzbeauftragten fragst bzw. - wegen der komplexen Fallkonstellation bei Dir - gleich einen Anwalt, der im Datenschutz firm ist (so viele gibt es davon noch nicht).
Größter Angriffspunkt wird bei Dir die Auslagerung der Datenspeicherung sein. Das ist - laut DSGVO - grundsätzlich erst einmal illegal und Du musst zusehen, dass Du eine Rechtsnorm findest, die es erlaubt. Also EU-US-PrivacyShield, spezielle Verträge nach EU-Formblättern (sind aber nicht 100%ig sicher!), oder wenn der Datenspeicherer einen Speicherort in der EU zusichern kann (beste Lösung erst einmal).
Demnach tritt bei auch bei Dir erst einmal ein generelles Verbot der Verarbeitung in Kraft und Du musst eine Ausnahme finden, warum Du die Daten verarbeiten darfst. Das nennt man "Verbot mit Erlaubnisvorbehalt".
Solche Ausnahmetatbestände finden sich in Artikel 6 der DSGVO. Die wichtigsten sind z.B. "zur Geschäftsanbahnung oder Erfüllung von Verträgen notwendig". Oder allgemein "wegen berechtigter Interessen". Solche "Interessen" können sehr wohl "ich will damit Geld verdienen sein". Aber Du musst das schon konkreter begründen und darlegen können, warum DEIN Interesse höher wiegt als die informationelle Selbstbestimmung jeder einzelnen, betroffenen Person.
Wenn Du eine Ausnahme gefunden hast, dann musst Du zusehen, ob der Zweck der Verarbeitung passt. Denn Du musst die betroffenen Personen zumindest über Art, Dauer, Zweck, etc der Datenverarbeitung informieren (Du holst KEINE Einwilligung ein!). Wenn Du selber die Personendaten gesammelt hast, musst Du die Personen SOFORT informieren. Wenn Du die Daten über Dritte gesammelt hast, dann musst Du das innerhalb von 30 Tagen machen. So eine Information sieht aus wie die typischen "Datenschutzerklärungen". Es sollte das selbe Medium benutzt werden wie beim Anlegen der Daten, d.h. wenn die Personen ihre Daten über's Web oder per Mail geschickt haben, dann sollte eine Mail reichen. Wenn das irgendwie in Papierform war, dann sollte die Information auch in Papierform gesendet werden.
Für Bilder von Menschen gilt in Deutschland außerdem noch zusätzlich das Urhebergesetz, was den ERSTELLER der Bilder schützt. Anders als in den USA ist der Urheber immer und ewig der gleiche. Er (bzw. sie) kann aber die Rechte an der Urheberschaft abgeben (und bleibt trotzdem Urheber). Diejenigen auf den Bildern sind u.a. durch Persönlichkeitsrechte geschützt. Beide noch durch das Kunsturhebergesetz (KUG). Aber da wird's richtig kompliziert...
Aus dem Bauch heraus würde ich sagen:
- Wenn Du die Daten selber angelegt hast und sie in den USA speicherst, dann brauchst Du mit dem, der die Daten speichert, einen Auftragsverarbeitungsvertrag. Außerdem muss der "Speicherer" eine (Selbst-)Zertifizierung nach dem EU-US-PrivacyShield vorweisen (siehe https://www.privacyshield.gov/welcome). Machst Du das nicht und hast weder die Zertifizierung geprüft noch einen AVV noch sonstwie einen Sicherheit, dass der Datenspeicherer die Daten nach DSGVO verarbeitet und einen Ansprechpartner nach EU-Recht hat (!), dann begehst Du einen DSGVO-Vertoß.
- Wenn Du die Daten quasi nur "lesend mitbenutzt", dann brauchst Du einen ähnlichen Vertrag mit der Vereinbarung über eine gemeinsame Verarbeitung der Daten - weil sowohl die US-Firma als auch Du verantwortlich für Teilbereiche der Verarbeitung seid.
Da die Strafen für Verstöße gegen o.g. Regelungen die höchsten sind, kann ich Dir nur dringend empfehlen, dass Du einen externen Datenschutzbeauftragten fragst bzw. - wegen der komplexen Fallkonstellation bei Dir - gleich einen Anwalt, der im Datenschutz firm ist (so viele gibt es davon noch nicht).
Größter Angriffspunkt wird bei Dir die Auslagerung der Datenspeicherung sein. Das ist - laut DSGVO - grundsätzlich erst einmal illegal und Du musst zusehen, dass Du eine Rechtsnorm findest, die es erlaubt. Also EU-US-PrivacyShield, spezielle Verträge nach EU-Formblättern (sind aber nicht 100%ig sicher!), oder wenn der Datenspeicherer einen Speicherort in der EU zusichern kann (beste Lösung erst einmal).
So gang nebenbei:
Vereine brauchen aus meiner Erfahrung heraus fast nie "lustige DSGVO-Blätter zum unterschreiben". Denn die Verarbeitung der personenbezogenen Daten kann mit Artikel 6 DSGVO begründet werden, z.B. aus "berechtigtem Interesse" oder "zur Erfüllung von Verträgen". Damit ist nicht nur das Verhältnis von Verein zu Mitglied gemeint, sondern zum Beispiel auch solche Dinge, dass man als Verein meist einem Dachverband untersteht oder dass man als Sportverein zu einer Unfallkasse oder berufsgenossenschaftlichen Vereinigung als Pflichtmitglied geführt wird. Oder dass man (als Sportverein) die Mitglieder zu Turnieren anmelden muss. Oder Spielerpässe pflegen muss. Oder dass man eine Anschrift der Mitglieder benötigt, um ihnen Einladungen zu Versammlungen zustellen zu können. Etc...etc...etc...
Dafür braucht man KEINE Einwilligung (man muss die Mitglieder aber Informieren)!
Ich kann immer wieder nur davor warnen, Leute vorschnell irgendwelche Einwilligungen unterschreiben zu lassen. Prüft erst, ob Ihr nicht aus Gründen die personenbezogenen Daten verarbeiten dürft oder müsst.
Vereine brauchen aus meiner Erfahrung heraus fast nie "lustige DSGVO-Blätter zum unterschreiben". Denn die Verarbeitung der personenbezogenen Daten kann mit Artikel 6 DSGVO begründet werden, z.B. aus "berechtigtem Interesse" oder "zur Erfüllung von Verträgen". Damit ist nicht nur das Verhältnis von Verein zu Mitglied gemeint, sondern zum Beispiel auch solche Dinge, dass man als Verein meist einem Dachverband untersteht oder dass man als Sportverein zu einer Unfallkasse oder berufsgenossenschaftlichen Vereinigung als Pflichtmitglied geführt wird. Oder dass man (als Sportverein) die Mitglieder zu Turnieren anmelden muss. Oder Spielerpässe pflegen muss. Oder dass man eine Anschrift der Mitglieder benötigt, um ihnen Einladungen zu Versammlungen zustellen zu können. Etc...etc...etc...
Dafür braucht man KEINE Einwilligung (man muss die Mitglieder aber Informieren)!
Ich kann immer wieder nur davor warnen, Leute vorschnell irgendwelche Einwilligungen unterschreiben zu lassen. Prüft erst, ob Ihr nicht aus Gründen die personenbezogenen Daten verarbeiten dürft oder müsst.