DSGVO - Eine Blackbox für Webseitenbetreiber
Hi,
ganz ehrlich, ich versuche aktuell das Thema DSGVO zu verstehen. Ich versuche herauszufinden, was die neue DSGVO für administrator.de bedeutet. Ich habe das Gefühlt auch wir Entwickler müssen mittlerweile als Rechtsanwälte unterwegs sein. Verständlich ist das gesamte Thema nur selten.
Ich lese eine Menge bla, bla, viel Theorie und noch mehr Artikel die gut klingen, wenn es dann aber konkret wird, soll man dafür bezahlen oder sich registrieren. Das Thema scheint mir aktuell eine gigantische Abzocke zu sein. Verdammt, ich bin Entwickler und kein Jurist. Kaum ein Artikel der mal konkret wird oder der ein Beispiel liefert für Foren oder Blogs (die sind ja auch so selten).
Aktuell sie es so aus:
Hat jemand ein Tipp für eine Seite wo es a) gut beschrieben wird und b) wo man auch mal Beispiele für eine Umsetzung finden. Oder alternativ findet sich jemand, der etwas konkretes zur DSGVO Umsetzung für unsere Seite sagen kann. Was müssen wir anpassen oder ändern?
Gruß
Frank
ganz ehrlich, ich versuche aktuell das Thema DSGVO zu verstehen. Ich versuche herauszufinden, was die neue DSGVO für administrator.de bedeutet. Ich habe das Gefühlt auch wir Entwickler müssen mittlerweile als Rechtsanwälte unterwegs sein. Verständlich ist das gesamte Thema nur selten.
Ich lese eine Menge bla, bla, viel Theorie und noch mehr Artikel die gut klingen, wenn es dann aber konkret wird, soll man dafür bezahlen oder sich registrieren. Das Thema scheint mir aktuell eine gigantische Abzocke zu sein. Verdammt, ich bin Entwickler und kein Jurist. Kaum ein Artikel der mal konkret wird oder der ein Beispiel liefert für Foren oder Blogs (die sind ja auch so selten).
Aktuell sie es so aus:
- Wir nutzen Google Adsense und unser Publisher DoubleClick AdX für die Werbung.
- Wir nutzen Google Analytics für die Analyse unsere Seiten (nur intern).
- Wir geben keine Daten aus der User Registrierung oder vom Verlauf an irgendjemanden weiter (keine Dritten, nix nada).
- Wir loggen nichts mit.
- Wir verlangen weder RealName noch eine Adresse etc. Die einzigen persönlichen Daten, die ich aktuell zum Thema identifizieren kann, sind
- E-Mail Adresse,
- Firmenname (optional),
- Webseite (optional) und
- IP
Hat jemand ein Tipp für eine Seite wo es a) gut beschrieben wird und b) wo man auch mal Beispiele für eine Umsetzung finden. Oder alternativ findet sich jemand, der etwas konkretes zur DSGVO Umsetzung für unsere Seite sagen kann. Was müssen wir anpassen oder ändern?
Gruß
Frank
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 374369
Url: https://administrator.de/imho/dsgvo-eine-blackbox-fuer-webseitenbetreiber-374369.html
Ausgedruckt am: 26.12.2024 um 01:12 Uhr
41 Kommentare
Neuester Kommentar
Also es gibt viele solide und auch kostenlose Generatoren für DSGVO konforme Datenschutzerklärungen, die kannst du zumindest nutzen um mal das Grundgerüst zu erhalten- du musst es dann natürlich entsprechend ergänzen.
Ich persönlich habe aus purer Angst Analytics von meiner Website entfernt. Es gibt noch Debatten darum, ob es sich nun um ein berechtigtes Interesse handelt, oder ob der Seitenbesucher explizit einwilligen muss.
Ansonsten achte darauf, dass hier alles nach bestem Wissen und Gewissen läuft. Dann bist du im Vergleich zu vielen anderen schon mal auf einer relativ sicheren Seite. Viele, viele kleine Unternehmen sind momentan in einer ähnlichen Situation wie Du, viele Dinge werden sich erst im Laufe der Zeit komplett klären.
Ich persönlich habe aus purer Angst Analytics von meiner Website entfernt. Es gibt noch Debatten darum, ob es sich nun um ein berechtigtes Interesse handelt, oder ob der Seitenbesucher explizit einwilligen muss.
Ansonsten achte darauf, dass hier alles nach bestem Wissen und Gewissen läuft. Dann bist du im Vergleich zu vielen anderen schon mal auf einer relativ sicheren Seite. Viele, viele kleine Unternehmen sind momentan in einer ähnlichen Situation wie Du, viele Dinge werden sich erst im Laufe der Zeit komplett klären.
Hallo Frank,
vorab: Ich bin auch kein Jurist.
Vor vielen Jahren "erbte" ich ein Forum und betreibe es seither.
Ich stand daher neulich auch vor derselben Ausgabe.
Ich habe viel gesucht und viel gelesen und war ebenfalls überrascht, dass es für Foren praktisch keine Beispiele oder Tipps zu finden gibt.
Mein Lösung war dann, die Forensoftware zu aktualisieren (war ohnehin längst fällig) und die mitgelieferte Datenschutzbestimmung zu verwenden.
Zusätzlich habe ich den Server auf SSL (https) umgestellt, was auch überfällig war.
Mein Forum ist allerdings komplett umkommerziell und werbefrei und damit nicht wegen Wettbewerbsvorteilen/unlauterer Wettbewerb abmahnbar, was ja zunächst die größte Sorge ist, ein Schutz vor Bußgeld bei Verstößen ist das Nichtkommerzielle aber nicht.
Etwas Sorge macht mir noch der Artikel 8 DSGVO.
Ich habe deswegen die COPPA-Einwilligungs-Funktion in der Forumskonfiguration aktiviert, aber ob in Deutschland die Altersgrenze bei 13, 14, 15 oder 16 Jahren liegt, war bisher nicht rauszufinden und die genannte COPPA-Funktion eigentlich am Thema Datenschutz vorbei geht.
Du musst hier etwas mehr tun.
Am Datenschutz hat sich für Deutschland nicht viel verändert, aber "Datenschutzerklärung" ist jetzt wörtlich gemeint, also "Datenschutz" und "Erklärung".
Du musst erklären welche Daten Du sammelst, was Du damit machst und welche Rechte derjenige hat, dessen Daten es sind.
Der Fokus liegt hier auf personenbezogenen Daten, wobei auch eine IP-Adresse schon dazuzählt und damit fangen die Schwierigkeiten an.
Recht einfach ist das bei den Daten, die der User in sein Benutzerprofil einträgt und in seine Beiträge schreibt. Da weiß er was er eingibt und Du versprichst die Daten nur für den Forumsbetrieb zu nutzen und nicht einfach an Dritte herauszugeben.
Komplizierter wird es mit den persönlichen Daten, die hier "versteckt" gesammelt werden.
Da musst Du etwas weiter ausholen zu den Themen Google/Cookies/DoubleClick usw.
Wenn Du zusätzlich erklärst welche Daten anonymisiert erfasst und eventuell weitergegeben werden, machst Du auch nichts falsch.
Eine schön gegliederte Datenschutzerklärung hat z.B. mein Webhoster (Strato), von der Du Dich mal inspierieren lassen kannst.
Also meine Empfehlung ist, lies was Andere so schreiben und stellst Dir daraus Deine eigene Erklärung zusammen.
Dabei verschaffst Du Dir auch selbst einen aktuellen Überblick über Deine Datenerfassung und -verarbeitung und kannst diese mal überdenken, ob die Grundregel "Zustimmung" erfüllt ist, in Bezug auf die personenbezogenen Daten und ob alle anderen Daten tatsächlich ausreichend anonym und damit nicht personenbezogen sind.
Für meine private Webseite habe ich die Erklärung auch selbst geschrieben und hab dabei lieber zuviel als zuwenig erklärt, wobei diese Erklärung nicht als Blaupause für das Forum hier verwendbar ist.
Ich hab's eher nur erwähnt, Dich zu ermutigen einfach anzufangen. Du wirst sehen, es kommt schon was dabei raus.
Wenn Du was hast, kannst Du es gerne hier vorab posten, damit jeder mal seinen Senf dazugeben kann oder gleich veröffentlichen und gegebenenfalls abändern.
Gruß Frank
Nachtrag
Hier gibt es natürlich schon eine Datenschutzerklärung, die ich auch tatsächlich schon gelesen hatte.
Ich hatte es nur bei Schreiben dieses Beitrags vergessen und das Eine oder Andere davon ist damit hinfällig.
Im dem Fall muss eine erneute Einverständniserklärung jedes Betroffenen eingeholt werden.
vorab: Ich bin auch kein Jurist.
Vor vielen Jahren "erbte" ich ein Forum und betreibe es seither.
Ich stand daher neulich auch vor derselben Ausgabe.
Ich habe viel gesucht und viel gelesen und war ebenfalls überrascht, dass es für Foren praktisch keine Beispiele oder Tipps zu finden gibt.
Mein Lösung war dann, die Forensoftware zu aktualisieren (war ohnehin längst fällig) und die mitgelieferte Datenschutzbestimmung zu verwenden.
Zusätzlich habe ich den Server auf SSL (https) umgestellt, was auch überfällig war.
Mein Forum ist allerdings komplett umkommerziell und werbefrei und damit nicht wegen Wettbewerbsvorteilen/unlauterer Wettbewerb abmahnbar, was ja zunächst die größte Sorge ist, ein Schutz vor Bußgeld bei Verstößen ist das Nichtkommerzielle aber nicht.
Etwas Sorge macht mir noch der Artikel 8 DSGVO.
Ich habe deswegen die COPPA-Einwilligungs-Funktion in der Forumskonfiguration aktiviert, aber ob in Deutschland die Altersgrenze bei 13, 14, 15 oder 16 Jahren liegt, war bisher nicht rauszufinden und die genannte COPPA-Funktion eigentlich am Thema Datenschutz vorbei geht.
Du musst hier etwas mehr tun.
Am Datenschutz hat sich für Deutschland nicht viel verändert, aber "Datenschutzerklärung" ist jetzt wörtlich gemeint, also "Datenschutz" und "Erklärung".
Du musst erklären welche Daten Du sammelst, was Du damit machst und welche Rechte derjenige hat, dessen Daten es sind.
- Wer ist hier verantwortlich
- Welche Daten werden wie und warum gesammelt
- Wie werden die Daten verarbeitet und wohin übermittelt
- Welche Rechte hat eine betroffene Person
Der Fokus liegt hier auf personenbezogenen Daten, wobei auch eine IP-Adresse schon dazuzählt und damit fangen die Schwierigkeiten an.
Recht einfach ist das bei den Daten, die der User in sein Benutzerprofil einträgt und in seine Beiträge schreibt. Da weiß er was er eingibt und Du versprichst die Daten nur für den Forumsbetrieb zu nutzen und nicht einfach an Dritte herauszugeben.
Komplizierter wird es mit den persönlichen Daten, die hier "versteckt" gesammelt werden.
Da musst Du etwas weiter ausholen zu den Themen Google/Cookies/DoubleClick usw.
Wenn Du zusätzlich erklärst welche Daten anonymisiert erfasst und eventuell weitergegeben werden, machst Du auch nichts falsch.
Eine schön gegliederte Datenschutzerklärung hat z.B. mein Webhoster (Strato), von der Du Dich mal inspierieren lassen kannst.
Also meine Empfehlung ist, lies was Andere so schreiben und stellst Dir daraus Deine eigene Erklärung zusammen.
Dabei verschaffst Du Dir auch selbst einen aktuellen Überblick über Deine Datenerfassung und -verarbeitung und kannst diese mal überdenken, ob die Grundregel "Zustimmung" erfüllt ist, in Bezug auf die personenbezogenen Daten und ob alle anderen Daten tatsächlich ausreichend anonym und damit nicht personenbezogen sind.
Für meine private Webseite habe ich die Erklärung auch selbst geschrieben und hab dabei lieber zuviel als zuwenig erklärt, wobei diese Erklärung nicht als Blaupause für das Forum hier verwendbar ist.
Ich hab's eher nur erwähnt, Dich zu ermutigen einfach anzufangen. Du wirst sehen, es kommt schon was dabei raus.
Wenn Du was hast, kannst Du es gerne hier vorab posten, damit jeder mal seinen Senf dazugeben kann oder gleich veröffentlichen und gegebenenfalls abändern.
Gruß Frank
Nachtrag
Hier gibt es natürlich schon eine Datenschutzerklärung, die ich auch tatsächlich schon gelesen hatte.
Ich hatte es nur bei Schreiben dieses Beitrags vergessen und das Eine oder Andere davon ist damit hinfällig.
Zitat von
Wenn wir jedoch die persönlich zuzuordnenden Daten der Benutzer grundlegend anders verwenden, als bei der Erfassung dieser Informationen angegeben, veröffentlichen wir 7 Tage lang eine entsprechende Benachrichtigung auf unserer Webseite.
Wenn die persönlich zuzuordnenden Daten personenbezogene Daten sind, dann reicht es nicht 7 Tage lang abzuwarten.Wenn wir jedoch die persönlich zuzuordnenden Daten der Benutzer grundlegend anders verwenden, als bei der Erfassung dieser Informationen angegeben, veröffentlichen wir 7 Tage lang eine entsprechende Benachrichtigung auf unserer Webseite.
Im dem Fall muss eine erneute Einverständniserklärung jedes Betroffenen eingeholt werden.
Hallo Frank,
Genau deswegen gibt es diese Verordnung: Man muss sich Gedanken machen, wie es mit der ganzen Datensammelei weitergeht - oder eben nicht.
Du, als Seitenbetreiber, hast deiner Informationspflicht nachzukommen, welche Daten zu welchen Zwecken erhoben werden und was damit geschieht. Ist das nicht möglich, ist das Sammeln der Daten untersagt.
Bei den Trackern kommt es darauf an, welche Daten erhoben werden und ob diese anonymisiert gespeichert und ausgewertet werden. Lässt sich im Anschluss an eine Anonymisierung kein Personenbezug (auch mithilfe von Dritten) herstellen, sieht die Welt schon anders aus. Das wird mit Google Analytics und Adsense aber ziemlich unmöglich, weswegen viele dazu übergehen die Tracker vorübergehend zu deaktivieren und die ersten Urteile abwarten.
Das gilt im Übrigen auch für weniger offensichtliche Tracker, wie Google Fonts.
Viele Grüße
T
Wir loggen nichts mit.
ist faktisch falsch. Die Seite Administrator loggt mit. Google Analytics ist mit Einbinden Teil deiner Webseite. Du hast "nur" keinen direkten Zugriff auf die Daten - was aber eher noch schlimmer ist. Du übermittelst Daten - und weißt eigentlich nicht mal genau, welche (absichtlich provokant formuliert).Genau deswegen gibt es diese Verordnung: Man muss sich Gedanken machen, wie es mit der ganzen Datensammelei weitergeht - oder eben nicht.
Du, als Seitenbetreiber, hast deiner Informationspflicht nachzukommen, welche Daten zu welchen Zwecken erhoben werden und was damit geschieht. Ist das nicht möglich, ist das Sammeln der Daten untersagt.
Bei den Trackern kommt es darauf an, welche Daten erhoben werden und ob diese anonymisiert gespeichert und ausgewertet werden. Lässt sich im Anschluss an eine Anonymisierung kein Personenbezug (auch mithilfe von Dritten) herstellen, sieht die Welt schon anders aus. Das wird mit Google Analytics und Adsense aber ziemlich unmöglich, weswegen viele dazu übergehen die Tracker vorübergehend zu deaktivieren und die ersten Urteile abwarten.
Das gilt im Übrigen auch für weniger offensichtliche Tracker, wie Google Fonts.
Viele Grüße
T
@Frank Dann solltest du dich mal dringend informieren, denn das liegt alles in deiner Verantwortung.
Und doch, all diese Dinge loggst DU (also administrator.de) mit, völlig egal welcher Dienst das dann ist.
Übrigens brauchst du unter anderem mit Google einen Vertrag zur Auftragsdatenverarbeitung.
Und doch, all diese Dinge loggst DU (also administrator.de) mit, völlig egal welcher Dienst das dann ist.
Übrigens brauchst du unter anderem mit Google einen Vertrag zur Auftragsdatenverarbeitung.
Sorry Frank, wie die Kollegen bereits erwähnten, loggst du, wenn ich mich auf deine Seite begebe. Ob dieses Loggen nun bei dir stattfindet oder auf Drittsystemen, ob du eine Ahnung hast oder nicht, das ist sekundär, denn mitgeschrieben wird auf jeden Fall - das ist dir klar. Da du dies nun also tust und ich im Zweifelsfall DAU bin, musst du nun sagen, wo du alles (auch über dritte, durch Einbau) mitschreibst. Und das möglichst genau, was zu beschreiben nun auch dein Job ist.
Das macht die DSGVO eben auch so komplex (und meines Erachtens mal wieder vom Radler für den Autofahrer konzipiert..also von der Realität meilenweit entfernt).
VG
Das macht die DSGVO eben auch so komplex (und meines Erachtens mal wieder vom Radler für den Autofahrer konzipiert..also von der Realität meilenweit entfernt).
VG
Moin,
auf diesem Forum sollte man eine hohe Expertise erwarten dürfen - Nutzung ist für umme !
Ich habe Analytics auf meinen websites runtergeschmissen ... ich bin allerdings kaum noch mehr Kundeneinstrom angewiesen
Hier habe ich mal einen Link zum Download eines Muster-PDF des Deutschen Anwaltvereins. Die haben die Datenschutzerklärung bezgl. der tracking-tools da recht ausführlich gestaltet.
Insgesamt empfiehlt sich mal ein Blick auf deren themabezogene Seite ...
LG, Thomas
auf diesem Forum sollte man eine hohe Expertise erwarten dürfen - Nutzung ist für umme !
Analytics habe ich längs anonymisiert
Anonymisieren geht nicht ... was Du mit anonymizeIP erreichst, ist bestenfalls eine Pseudonymisierung.Ich habe Analytics auf meinen websites runtergeschmissen ... ich bin allerdings kaum noch mehr Kundeneinstrom angewiesen
Hier habe ich mal einen Link zum Download eines Muster-PDF des Deutschen Anwaltvereins. Die haben die Datenschutzerklärung bezgl. der tracking-tools da recht ausführlich gestaltet.
Insgesamt empfiehlt sich mal ein Blick auf deren themabezogene Seite ...
LG, Thomas
Zitat von @Frank:
Was ich brauche, ist eine Idee, wie man es nun in die Realität umsetzt. Beispiel: Brauche ich wirklich ein Opt-Out Cookie für Analytics, Adsense oder DoubleClick AdX. Wenn ja wie. Bei Analytics gibt es das wohl, wenn einer die Seite mit einer Anleitung dazu findet, nur her damit. Müssen wir auch unser Cookie Hinweis erweitern, etc.
Was ich brauche, ist eine Idee, wie man es nun in die Realität umsetzt. Beispiel: Brauche ich wirklich ein Opt-Out Cookie für Analytics, Adsense oder DoubleClick AdX. Wenn ja wie. Bei Analytics gibt es das wohl, wenn einer die Seite mit einer Anleitung dazu findet, nur her damit. Müssen wir auch unser Cookie Hinweis erweitern, etc.
stimmt, die IP Adresse hast du damals PSEUDONYMISIERT, nachdem ich dich darauf hingewiesen hatte, deswegen erhebst du trotzdem personenbezogene Daten.
Zum Opt Out Cookie gibt es zig Anleitungen die jeder DAU über Google findet ;)
Hallo,
Merkwürdigerweise geht keine Dateschutzerklärung auf das Thema Alter ein, also dass personenbezogene Daten von Kindern nicht erfasst werden dürfen.
Ein lächerlicher Schalter
Ich weiß nicht wie man sich dafür schützen könnte sich unwissentlich gesetzeswidrig zu verhalten.
Gruß Frank
Zitat von @Pedant:
Etwas Sorge macht mir noch der Artikel 8 DSGVO.
...ob in Deutschland die Altersgrenze bei 13, 14, 15 oder 16 Jahren liegt, war bisher nicht rauszufinden...
Weiß jemand wo die Altersgrenze in Deutschland liegt?Etwas Sorge macht mir noch der Artikel 8 DSGVO.
...ob in Deutschland die Altersgrenze bei 13, 14, 15 oder 16 Jahren liegt, war bisher nicht rauszufinden...
Merkwürdigerweise geht keine Dateschutzerklärung auf das Thema Alter ein, also dass personenbezogene Daten von Kindern nicht erfasst werden dürfen.
Ein lächerlicher Schalter
[x] Klar bin ich alt genug
, anhakbar von jedem rechtsunmündigen Kind, kann für Webseitenbetreiber (Datenerfasser) eigentlich keine rechtssichere Lösung sein.Ich weiß nicht wie man sich dafür schützen könnte sich unwissentlich gesetzeswidrig zu verhalten.
- Forenanmeldung nur postalisch mit Kopie des Personalausweises?
- Abschaffung aller Eingabefelder im Profil, die personenbezogene Daten enthalten könnten?
(Inkl. der Eingabefelder "Neuer Beitrag", weil Kinder da auch was Personenbezogenes reinschrieben könnten.) - Vorsorglich mal 20 Millionen Euro beiseite legen?
- Kirche im Dorf lassen?
Gruß Frank
Moin,
Fraglich ist immer, inwieweit angebotene Services tatsächlich eine "Dienstleistung der Informationsgesellschaft" sind, hier verweist die DSGVO (Art. 4.25) auf die EU-Richtlinie 2015/1535, i.d.R. versteht man im Alltag darunter, dass die Dienstleistung gegen Entgelt erbracht wird ...
LG, Thomas
Weiß jemand wo die Altersgrenze in Deutschland liegt?
Deutschland hat im BDSG keine Abweichung von den Regelungen der DSGVO geltend gemacht, insofern gilt die im Art. 8 DSGVO gesetzte Grenze von 16 Jahren.Fraglich ist immer, inwieweit angebotene Services tatsächlich eine "Dienstleistung der Informationsgesellschaft" sind, hier verweist die DSGVO (Art. 4.25) auf die EU-Richtlinie 2015/1535, i.d.R. versteht man im Alltag darunter, dass die Dienstleistung gegen Entgelt erbracht wird ...
LG, Thomas
Hallo Thomas,
"bei einem Angebot von Diensten der Informationsgesellschaft"
hatte ich zwar gelesen, aber irgendwie ignoriert, da die Verordnung nach DSGVO Art. 2 Abs. (1), (2) so ziemlich für alles und jeden gilt, egal ob Dienstleistung und/oder Entgelt im Spiel ist.
Aber ja, Du hast völlig recht, Artikel 8 ist auf kostenlos nutzbare Foren höchstwahrscheinlich nicht anwendbar und damit auch nicht auf administrator.de.
=> Eine Sorge weniger und den COPPA-Kram werde ich bei mir wieder abschalten
Gruß und Dank
Frank
Zitat von @keine-ahnung:
Deutschland hat im BDSG keine Abweichung von den Regelungen der DSGVO geltend gemacht, insofern gilt die im Art. 8 DSGVO gesetzte Grenze von 16 Jahren.
Danke, dann ist das schon mal geklärt.Deutschland hat im BDSG keine Abweichung von den Regelungen der DSGVO geltend gemacht, insofern gilt die im Art. 8 DSGVO gesetzte Grenze von 16 Jahren.
Zitat von @keine-ahnung:
Fraglich ist immer, inwieweit angebotene Services tatsächlich eine "Dienstleistung der Informationsgesellschaft" sind, hier verweist die DSGVO (Art. 4.25) auf die EU-Richtlinie 2015/1535, i.d.R. versteht man im Alltag darunter, dass die Dienstleistung gegen Entgelt erbracht wird ...
Die Einschränkung im DSGVO Art. 8 Abs. (1)Fraglich ist immer, inwieweit angebotene Services tatsächlich eine "Dienstleistung der Informationsgesellschaft" sind, hier verweist die DSGVO (Art. 4.25) auf die EU-Richtlinie 2015/1535, i.d.R. versteht man im Alltag darunter, dass die Dienstleistung gegen Entgelt erbracht wird ...
"bei einem Angebot von Diensten der Informationsgesellschaft"
hatte ich zwar gelesen, aber irgendwie ignoriert, da die Verordnung nach DSGVO Art. 2 Abs. (1), (2) so ziemlich für alles und jeden gilt, egal ob Dienstleistung und/oder Entgelt im Spiel ist.
Aber ja, Du hast völlig recht, Artikel 8 ist auf kostenlos nutzbare Foren höchstwahrscheinlich nicht anwendbar und damit auch nicht auf administrator.de.
=> Eine Sorge weniger und den COPPA-Kram werde ich bei mir wieder abschalten
Gruß und Dank
Frank
Ja, das wäre ein gutes Beispiel, wie man es auf keinen Fall machen sollte! Beim 1. Aufruf der Seite erscheint ein Dialog, wo ich meine E-Mail Adresse eingeben soll. Das ganze bevor ich überhaupt die Datenschutzerklärung lesen konnte Das ist nach meinem Empfinden nicht DSGVO-konform.
MfG
Ich habe jetzt immer einige Datenschutzerklärungen auf Papier dabei. Falls mir jemand seine Visitenkarte geben möchte, muß er mir schriftlich bestätigen, das er meine Datenschutzerklärung bekommen hat. Immerhin habe ich besonenbezogene Daten erhalten.
Auf die Frage, haben Sie eine Visitenkarte, antworte ich jetzt "Haben Sie Ihre Datenschutzerklärung dabei?"
https://www.datenschutz-guru.de/informationspflichten-der-dsgvo-ein-bare ...
MfG
Zitat von @runasservice:
Ich habe jetzt immer einige Datenschutzerklärungen auf Papier dabei. Falls mir jemand seine Visitenkarte geben möchte, muß er mir schriftlich bestätigen, das er meine Datenschutzerklärung bekommen hat. Immerhin habe ich besonenbezogene Daten erhalten.
Auf die Frage, haben Sie eine Visitenkarte, antworte ich jetzt "Haben Sie Ihre Datenschutzerklärung dabei?"
https://www.datenschutz-guru.de/informationspflichten-der-dsgvo-ein-bare ...
MfG
Ich habe jetzt immer einige Datenschutzerklärungen auf Papier dabei. Falls mir jemand seine Visitenkarte geben möchte, muß er mir schriftlich bestätigen, das er meine Datenschutzerklärung bekommen hat. Immerhin habe ich besonenbezogene Daten erhalten.
Auf die Frage, haben Sie eine Visitenkarte, antworte ich jetzt "Haben Sie Ihre Datenschutzerklärung dabei?"
https://www.datenschutz-guru.de/informationspflichten-der-dsgvo-ein-bare ...
MfG
Nun aus der Sicht müsste die Kartenzahlung ja Abgeschafft werden da das Geschäft wo man mit Karte Zahlt die Daten von der Karte an 3te Übermittelt und auch erst nach der Zahlung den Beleg mit den AGBs bekommt die man "Zugestimmt" hat.
Dazu bekommt man bei Zahlung ja auch keinerlei Information wer welche Daten von der Karte erhält an der Kasse.
Interessanter ist es ja bei Verträge wo dann zb die Schufa Daten erhält...
Daß die Schufa Daten erhalten darf und auch an Vertragspartner weitergibt, hat man ja bei diesen Verträgen schon meist bei Vertragsabschluß mit einer zusätzlichen Unterschrift erlaubt. Ist also meistens abgesichert.
lks
Hallo Frank,
ich habe hier ein Interessanten Block fuer Webseitenbetreiber gefunden, vielleicht hilft es Dir.
https://lutz.donnerhacke.de/Blog/Der-praktische-Weg-zur-DSGVO
Gruss
ich habe hier ein Interessanten Block fuer Webseitenbetreiber gefunden, vielleicht hilft es Dir.
https://lutz.donnerhacke.de/Blog/Der-praktische-Weg-zur-DSGVO
Gruss
Hallo Frank,
Ich meinte auch nicht bei jeder Änderung, sondern ich meinte das zitierte Grundlegend-anders-verwenden.
Die Erhebung und Verarbeitung personenbezogener Daten muss einem klaren Zweck dienen.
(Möglichst viel Kohle damit zu machen, ist hier nicht gemeint.)
Dazu zwei Zitate:
Im meinem Nutzerprofil habe ich potentiell eingetragen:
Mindestens nach neuem Recht kannst Du nicht einfach hergehen und alle Userdaten als Paket auf ebay an einen Callcenter versteigern, auch wenn Du hier zuvor 7 Tage lang einen entsprechenden Aushang machst und davor auf die Moglichkeit der grundlegend Andersverwendung hingewiesen hast.
Ich hoffe wir sind uns einig, dass das nicht Dein finsterer Plan und Anlass der Forumsgründung war.
Gruß Frank
Zitat von @Frank:
Einverständniserklärungen musst Du nicht rausgeben, sondern einholen. (Ich vermute ein Schreibfehler Deinerseits)Wenn wir jedoch die persönlich zuzuordnenden Daten der Benutzer grundlegend anders verwenden, als bei der Erfassung dieser Informationen angegeben, veröffentlichen wir 7 Tage lang eine entsprechende Benachrichtigung auf unserer Webseite.
Ist das so? Wo steht, dass ich eine Einverständniserklärung rausgeben muss? Man muss nach den neuen DSGVO aufklären, aber eine Einverständniserklärung bei jeder Änderung sehe ich nicht als zwingend.Wenn die persönlich zuzuordnenden Daten personenbezogene Daten sind, dann reicht es nicht 7 Tage lang abzuwarten.
Im dem Fall muss eine erneute Einverständniserklärung jedes Betroffenen eingeholt werden.
Im dem Fall muss eine erneute Einverständniserklärung jedes Betroffenen eingeholt werden.
Ich meinte auch nicht bei jeder Änderung, sondern ich meinte das zitierte Grundlegend-anders-verwenden.
Die Erhebung und Verarbeitung personenbezogener Daten muss einem klaren Zweck dienen.
(Möglichst viel Kohle damit zu machen, ist hier nicht gemeint.)
Dazu zwei Zitate:
Zitat von Art. 5 DSGVO Abs. (1) a) + b):
Personenbezogene Daten müssen ... in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden ... für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden ...
Personenbezogene Daten müssen ... in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden ... für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden ...
Zitat von www.datenschutzbeauftragter-info.de:
Der Betroffene muss vor Abgabe der Einwilligungserklärung über den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten im Einzelnen informiert werden. Dabei müssen alle weitere für den konkreten Fall entscheidungsrelevanten Informationen enthalten sein und diese müssen darüber hinaus auch hinreichend bestimmt sein, der Zweck der Verarbeitung darf also nicht zu allgemein gehalten werden.
Der Betroffene muss vor Abgabe der Einwilligungserklärung über den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten im Einzelnen informiert werden. Dabei müssen alle weitere für den konkreten Fall entscheidungsrelevanten Informationen enthalten sein und diese müssen darüber hinaus auch hinreichend bestimmt sein, der Zweck der Verarbeitung darf also nicht zu allgemein gehalten werden.
Im meinem Nutzerprofil habe ich potentiell eingetragen:
- diverse Kontaktdaten
- Wohnort
- Beruf und Arbeitgeber
- Interessen
- Geburtsdatum
Mindestens nach neuem Recht kannst Du nicht einfach hergehen und alle Userdaten als Paket auf ebay an einen Callcenter versteigern, auch wenn Du hier zuvor 7 Tage lang einen entsprechenden Aushang machst und davor auf die Moglichkeit der grundlegend Andersverwendung hingewiesen hast.
Ich hoffe wir sind uns einig, dass das nicht Dein finsterer Plan und Anlass der Forumsgründung war.
Gruß Frank
Hallo Frank & Frank,
ich habe das Gefuehl das die ganze DSGVO hier in 'good old Germany' zu ernst genommen wird.
Es geht doch hier um eine Europaweite Verordnung ?
Irgendwie gibt es in den anderen europaeischen Staaten nicht annaehernd so viel Diskussionsbedarf.
Als ich in einem Meeting die schwedische und französische IT dazu befragte , es handelt sich hier um ein weltweit
agierendes Unternehmen, kam nur Achselzucken.
Irgendwie ist denen das ### egal.
Wovor ich Angst habe ist das es durch Abmahnanwaelten fuer Webseiten und Foren Betreiber bald unmoeglich sein wird
freie Meinungsplattformen anzubieten. Die Penner riechen schon die Kohle.
Ich habe schon von Blogpostern gehoehrt das Sie Ihre Webauftritte loeschen, von priv. Webseitenbetreibern das Sie Angst haben
abgemahnt zu werden.
Sollte Dir das passieren sag Bescheid !
Dann ruecken wir die Admins aus.
Gruss
ich habe das Gefuehl das die ganze DSGVO hier in 'good old Germany' zu ernst genommen wird.
Es geht doch hier um eine Europaweite Verordnung ?
Irgendwie gibt es in den anderen europaeischen Staaten nicht annaehernd so viel Diskussionsbedarf.
Als ich in einem Meeting die schwedische und französische IT dazu befragte , es handelt sich hier um ein weltweit
agierendes Unternehmen, kam nur Achselzucken.
Irgendwie ist denen das ### egal.
Wovor ich Angst habe ist das es durch Abmahnanwaelten fuer Webseiten und Foren Betreiber bald unmoeglich sein wird
freie Meinungsplattformen anzubieten. Die Penner riechen schon die Kohle.
Ich habe schon von Blogpostern gehoehrt das Sie Ihre Webauftritte loeschen, von priv. Webseitenbetreibern das Sie Angst haben
abgemahnt zu werden.
Sollte Dir das passieren sag Bescheid !
Dann ruecken wir die Admins aus.
Gruss
Hallo Frank
das sehe ich auch so
und wie keine-ahnung schrieb und ich teile seine Meinung, ist die Altersgrenze bei kostenloser Nutzung eines Forums nicht relevant.
Ob die Unterschrift Mein Vater dann die des Vaters ist ...?
Aber egal, eine Altersgrenz ist sehr wahrscheinlich hier nicht nötig.
Bis auf meinen Einwand zur beliebigen Zweckentfremdung, stimme ich Dir zu.
Gruß Frank
das sehe ich auch so
und wie keine-ahnung schrieb und ich teile seine Meinung, ist die Altersgrenze bei kostenloser Nutzung eines Forums nicht relevant.
Zitat von @Frank:
selbst wenn man dies machen würde: Dann wüsste man also, dass der Anmelder erst 15 Jahre ist. Wie will man dann die Zustimmung der „Träger der elterlichen Verantwortung“ einholen? Diese kennt man ja nicht.
Statt einer Bestätigungs-E-Mail mit Aktivierungslink schickt das System ans Kind ein Formular zum Unterschreibenlassen für die Eltern.selbst wenn man dies machen würde: Dann wüsste man also, dass der Anmelder erst 15 Jahre ist. Wie will man dann die Zustimmung der „Träger der elterlichen Verantwortung“ einholen? Diese kennt man ja nicht.
Ob die Unterschrift Mein Vater dann die des Vaters ist ...?
Aber egal, eine Altersgrenz ist sehr wahrscheinlich hier nicht nötig.
Zitat von @Frank:
Das einzige was ich machen werde, ist das Mindestalter in unseren Nutzungsbedingungen auf 16 Jahre hochzusetzen.
Das sollte in einem Forum für IT-Experten generell nicht schaden.Das einzige was ich machen werde, ist das Mindestalter in unseren Nutzungsbedingungen auf 16 Jahre hochzusetzen.
Bis auf meinen Einwand zur beliebigen Zweckentfremdung, stimme ich Dir zu.
Gruß Frank
Zitat von @Frank:
Ich hatte überlegt ein Feld mit "Ich bin min. 16 Jahre alt" einzuführen, aber das ist sinnlos und hat auch keinen Bestand. Dann lassen wir es lieber gleich weg. Das einzige was ich machen werde, ist das Mindestalter in unseren Nutzungsbedingungen auf 16 Jahre hochzusetzen. Wehe dem, der unsere Seite nutzt und jünger als 16 Jahre ist. Der donnernde Groll der Admins kommt über euch.
Ich hatte überlegt ein Feld mit "Ich bin min. 16 Jahre alt" einzuführen, aber das ist sinnlos und hat auch keinen Bestand. Dann lassen wir es lieber gleich weg. Das einzige was ich machen werde, ist das Mindestalter in unseren Nutzungsbedingungen auf 16 Jahre hochzusetzen. Wehe dem, der unsere Seite nutzt und jünger als 16 Jahre ist. Der donnernde Groll der Admins kommt über euch.
Nunja, ob der Forenteilnehmer 13 oder 130 Jahre alt ist, ist imho eigentlich völlig egal. Da hier per Forensoftware sogar übliche deftige Ausdrücke wie z.B. ###, ###, ###, ###, etc. aussortiert werden, kommt man kaum in die Verlegenheit, Minderjährige zu gefährden. Aber rein formal das in die Nutzerbedingungen wird vermutlich weder faktisch noch rechtlich irgendeinen Unterschied machen, weil Du ansonsten PostIdent o.ä machen müßtest, um das in den Griff zu bekommen. Aber das finde ich wiederum zu übertrieben.
Aber warten wir's ab. Nichts wird so heiß gegessen, wie es gekocht wird.
lks
BTW: Hast Du schon mit Abmahnungen zu kämpfen gehabt wegen diesem Forum?
Hallo Frank,
das halte ich auch nicht für nötig und ist auch nicht der Zweck meines Einwands.
Hier nochmal meine zwei Zitate:
(mit Hervorhebungen)
Der Text: "Ich mach mit Euren Daten was auch immer ich will, ich sagt aber vorher kurz Bescheid", passt wirklich nicht dazu.
Dein Klammerhinweis impliziert doch irgendwie, dass Du diese Art der Andersnutzung auch nicht für rechtens hälst.
Meine Empfehlung wäre den Passus zu streichen oder deutlich abzuändern.
Mehr möchte ich dazu nicht sagen, es sei denn Dir wäre danach das weiter zu vertiefen.
Gruß Frank
das halte ich auch nicht für nötig und ist auch nicht der Zweck meines Einwands.
So wie ich die DSGVO verstehe, braucht es bei Änderungen (egal ob klein oder grundlegend) keine erneute Einwilligungserklärung
Das halte ich für den Fall "grundlegend" als klaren Widerspruch zum Gesetzestext.Hier nochmal meine zwei Zitate:
(mit Hervorhebungen)
Zitat von Art. 5 DSGVO Abs. (1) a) + b):
Personenbezogene Daten müssen ... in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden ... für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden ...
Personenbezogene Daten müssen ... in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden ... für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden ...
Zitat von www.datenschutzbeauftragter-info.de:
Der Betroffene muss vor Abgabe der Einwilligungserklärung über den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten im Einzelnen informiert werden. Dabei müssen alle weitere für den konkreten Fall entscheidungsrelevanten Informationen enthalten sein und diese müssen darüber hinaus auch hinreichend bestimmt sein, der Zweck der Verarbeitung darf also nicht zu allgemein gehalten werden.
Der Betroffene muss vor Abgabe der Einwilligungserklärung über den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten im Einzelnen informiert werden. Dabei müssen alle weitere für den konkreten Fall entscheidungsrelevanten Informationen enthalten sein und diese müssen darüber hinaus auch hinreichend bestimmt sein, der Zweck der Verarbeitung darf also nicht zu allgemein gehalten werden.
Der Text: "Ich mach mit Euren Daten was auch immer ich will, ich sagt aber vorher kurz Bescheid", passt wirklich nicht dazu.
Dein Klammerhinweis impliziert doch irgendwie, dass Du diese Art der Andersnutzung auch nicht für rechtens hälst.
Meine Empfehlung wäre den Passus zu streichen oder deutlich abzuändern.
Mehr möchte ich dazu nicht sagen, es sei denn Dir wäre danach das weiter zu vertiefen.
Gruß Frank
Hallo Frank,
na dann...
"legitim", ja das ist recht schwammig.
"festgelegte, eindeutige Zwecke" da musst Du Dich schon eindeutig festlegen, also nicht Deinerseits schwammig formulieren oder gar gar nicht festlegen.
Stünde in den Nutzungsbedingungen sowas:
"Wir behalten uns den Verkauf des Forums an einen Datenverwerter vor, der das Forum nicht weiterbetreiben wird, sondern die enthaltenen Daten zum Zweck des Direkttelefonmarketings auswerten und nutzen wird."
dann wäre es eindeutig festgelegt und vielleicht sogar nachvollziehbar, aber das steht da nicht und auch nichts anderes eindeutig Festgelegtes.
aufeinander abgestimmt, entsprechend, gemäß, harmonisierend, kombinierbar, kompatibel, konform, übereinstimmend, verträglich, [zueinander] passend, zusammenpassend
Notwendig sein für den Betrieb eine Forums, nachträglich kombiniert mit Ausübung von Telefondirektmarketing, erfüllt mich nicht mit Harmonie.
Sollte die (künftige) Änderung ganz genau aufgelistet worden sein, so wäre es (eventuell) legal die Daten auf eBay zu verkaufen.
Das "ganz genau" fehlt aber im konkreten Fall vollständig.
Wie ihr Name schon sagt geht es auch um Schutz.
Wenn das rechtens wäre, würde mich das als Betroffener dazu verdonnern, alle Nutzungsbedingungen, AGB und sonstige Aushänge, die mich betreffen regelmäßig komplett zu prüfen und das in einem wöchentlichen Zyklus und wenn ich es mal verpasse, gehen meine personenbezogenen Daten an jeden, dem ich sie niemals selbst gegeben hätte.
Das kann unmöglich der neue Schutz der Daten sein, der die Rechte der Betroffenen stärken soll.
Das war jetzt meinerseits interpretativ und damit anfechtbar.
Die hier zuvor gebrachten Argumente, halte ich aber nicht für Interpretation, sondern für eng am Gesetzestext.
Hier noch eine Sekundärquelle:
Gruß Frank
na dann...
Zitat von @Frank:
hier hast Du Dir das einzige Adjektiv rausgepickt, das ich nicht hervorgehoben hatte. für festgelegte, eindeutige und legitime Zwecke erhoben werden
Das ist sehr schwammig formuliert. Was ist schon ein legitimer Zweck?"legitim", ja das ist recht schwammig.
"festgelegte, eindeutige Zwecke" da musst Du Dich schon eindeutig festlegen, also nicht Deinerseits schwammig formulieren oder gar gar nicht festlegen.
Zitat von @Frank:
Wenn wir jedoch die ... Daten ... grundlegend anders verwenden, als bei der Erfassung dieser Informationen angegeben ...
Das ist fern jeder Festlegung (des Zwecks).Wenn wir jedoch die ... Daten ... grundlegend anders verwenden, als bei der Erfassung dieser Informationen angegeben ...
Zitat von @Frank:
Das Businessmodell einer Firma kann sich jederzeit grundlegend ändern. Habe ich z.B. vorher die Daten nur intern benutzt, muss sie jetzt durch einen Verkauf oder durch Änderung auch extern nutzen, ist das aus Sicht der Firma wahrscheinlich legitim.
Situationen können sich ändern, aber legitim heißt berechtigt, doch die Berechtigung fehlt, weil nicht vorher eindeutig der kommende Zweck festgelegt war. Er hat sich in nicht absehbarerweise verändert.Das Businessmodell einer Firma kann sich jederzeit grundlegend ändern. Habe ich z.B. vorher die Daten nur intern benutzt, muss sie jetzt durch einen Verkauf oder durch Änderung auch extern nutzen, ist das aus Sicht der Firma wahrscheinlich legitim.
Zitat von @Frank:
Wichtig hier ist die Aussage "für die betroffene Person nachvollziehbaren Weise". Wenn das erfüllt wird, gibt es für den User nur noch die Möglichkeit des Widerruf.
Die nachvollziehbare Weise ist zwar wichtig, aber nicht alleine ausreichend. Es muss zusätzlich eindeutig festgelegt sein und das ist es nicht.Wichtig hier ist die Aussage "für die betroffene Person nachvollziehbaren Weise". Wenn das erfüllt wird, gibt es für den User nur noch die Möglichkeit des Widerruf.
Stünde in den Nutzungsbedingungen sowas:
"Wir behalten uns den Verkauf des Forums an einen Datenverwerter vor, der das Forum nicht weiterbetreiben wird, sondern die enthaltenen Daten zum Zweck des Direkttelefonmarketings auswerten und nutzen wird."
dann wäre es eindeutig festgelegt und vielleicht sogar nachvollziehbar, aber das steht da nicht und auch nichts anderes eindeutig Festgelegtes.
Zitat von @Frank:
Auch der Text "... nicht zu vereinbarenden Weise" kann alles und nichts bedeuten. "Nicht erlaubt" - das wäre ein Statement gewesen, aber "nicht zu vereinbarenden Weise"??
"Nicht erlaubt" steht da doch mit den Worten "dürfen nicht". Den Teil hast Du aber weggekürzt.Auch der Text "... nicht zu vereinbarenden Weise" kann alles und nichts bedeuten. "Nicht erlaubt" - das wäre ein Statement gewesen, aber "nicht zu vereinbarenden Weise"??
...und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden ..."
Vereinbar heißt laut Duden:aufeinander abgestimmt, entsprechend, gemäß, harmonisierend, kombinierbar, kompatibel, konform, übereinstimmend, verträglich, [zueinander] passend, zusammenpassend
Notwendig sein für den Betrieb eine Forums, nachträglich kombiniert mit Ausübung von Telefondirektmarketing, erfüllt mich nicht mit Harmonie.
Zitat von @Frank:
Da steht "muss vor Abgabe der Einwilligungserklärung.. " informiert werden. Wurde er bestimmt. Doch dann hat sich der legitime Zweck geändert. Die Änderung dafür wird nicht allgemein gehalten, sondern ganz genau in der Datenschutzerklärung aufgelistet - und schon kann man die Daten an eBay verkaufen. Es sei denn, der User hat widersprochen, dann geht es natürlich nicht.
Bei diesem Beispiel ist eine Bedingung genannt, die so nicht in Deinem Text steht.Da steht "muss vor Abgabe der Einwilligungserklärung.. " informiert werden. Wurde er bestimmt. Doch dann hat sich der legitime Zweck geändert. Die Änderung dafür wird nicht allgemein gehalten, sondern ganz genau in der Datenschutzerklärung aufgelistet - und schon kann man die Daten an eBay verkaufen. Es sei denn, der User hat widersprochen, dann geht es natürlich nicht.
Sollte die (künftige) Änderung ganz genau aufgelistet worden sein, so wäre es (eventuell) legal die Daten auf eBay zu verkaufen.
Das "ganz genau" fehlt aber im konkreten Fall vollständig.
Zitat von @Frank:
Leider ist aber fast alles bei der DSGVO schwammig formuliert, und kann so oder so interpretiert werden. Die Idee, die Datenwege zukünftig aufzuzeigen ist gut, aber dass war es dann auch schon.
Das Aufzeigen ist nicht der alleinige Zweck der Verordung.Leider ist aber fast alles bei der DSGVO schwammig formuliert, und kann so oder so interpretiert werden. Die Idee, die Datenwege zukünftig aufzuzeigen ist gut, aber dass war es dann auch schon.
Wie ihr Name schon sagt geht es auch um Schutz.
Zitat von @Frank:
Nicht mit denselben Worten, aber inhaltlich sehe ich keinen Unterschied, außer, dass ich die 7 Tage Wiederspruchszeit weggelassen hatte.Der Text: "Ich mach mit Euren Daten was auch immer ich will, ich sagt aber vorher kurz Bescheid", passt wirklich nicht dazu.
Das steht da ja nicht.Zitat von @Frank:
Letztendlich soll es nur der Hinweis sein, dass bei grundlegenden Änderungen eine gewisse Zeit lang darauf hingewiesen wird (7 Tage). Danach ist die Änderung für die User bindend. Es sei denn der User widerruft.
Du behälst Dir in Deiner Formulierung jedwede, undefinierte, zukünftige Verwendung als Recht vor und räumst den Betroffenen lediglich die theoretische Möglichkeit ein, innerhalb einer von Dir anzusetzenden 7-Tage-Frist zu widersprechen, wobei der Beginn dieser Frist zunächst nur Dir bekannt ist.Letztendlich soll es nur der Hinweis sein, dass bei grundlegenden Änderungen eine gewisse Zeit lang darauf hingewiesen wird (7 Tage). Danach ist die Änderung für die User bindend. Es sei denn der User widerruft.
Wenn das rechtens wäre, würde mich das als Betroffener dazu verdonnern, alle Nutzungsbedingungen, AGB und sonstige Aushänge, die mich betreffen regelmäßig komplett zu prüfen und das in einem wöchentlichen Zyklus und wenn ich es mal verpasse, gehen meine personenbezogenen Daten an jeden, dem ich sie niemals selbst gegeben hätte.
Das kann unmöglich der neue Schutz der Daten sein, der die Rechte der Betroffenen stärken soll.
Das war jetzt meinerseits interpretativ und damit anfechtbar.
Die hier zuvor gebrachten Argumente, halte ich aber nicht für Interpretation, sondern für eng am Gesetzestext.
Ich nehme gerne auch andere Vorschläge an, er muss nur die gleiche Aussage beinhalten.
Falls es die gleiche Aussage beinhaltet, wäre jede Änderung sinnlos.Hier noch eine Sekundärquelle:
Zitat von haufe.de:
Denn nach den neuen Richtlinien muss z. B. nach einer Änderung von Nutzungsbedingungen ausdrücklich erneut die Einwilligung für die Verarbeitung und Speicherung personenbezogener Daten eingeholt werden.
Das kann natürlich eine (Über)interpretation sein.Denn nach den neuen Richtlinien muss z. B. nach einer Änderung von Nutzungsbedingungen ausdrücklich erneut die Einwilligung für die Verarbeitung und Speicherung personenbezogener Daten eingeholt werden.
Gruß Frank
Hallo,
bei allen Argumenten.
Es sollte ja eigentlich nicht das Ziel eines Gesetzes sein das Laien sich zu Anwälten selbst weiterbilden.
Und es sollte auch nicht Ziel sein, dass Gerichte das Gesetz erst in "verständliche" Form bringen.
Vermutlich liegt es an der IT, deren Verständniss und Umsetzung.
In Zukunft muss ich vermutlich am Telefon nicht nur meinen Namen sondern auch 4-5 Datenschutzsätze sagen damit ich mir Notizen machen darf.
Die Telekom könnte vor jeder Verbindung einen Datenschutzhinweis abspielen den man rechtssicher bestätigen muss...
Stefan
Btw. Waren wir damals wirklich auf dem Mond?
Vermutlich wäre das heute aus Datenschutzgründen gar nicht mehr möglich...
bei allen Argumenten.
Es sollte ja eigentlich nicht das Ziel eines Gesetzes sein das Laien sich zu Anwälten selbst weiterbilden.
Und es sollte auch nicht Ziel sein, dass Gerichte das Gesetz erst in "verständliche" Form bringen.
Vermutlich liegt es an der IT, deren Verständniss und Umsetzung.
In Zukunft muss ich vermutlich am Telefon nicht nur meinen Namen sondern auch 4-5 Datenschutzsätze sagen damit ich mir Notizen machen darf.
Die Telekom könnte vor jeder Verbindung einen Datenschutzhinweis abspielen den man rechtssicher bestätigen muss...
Stefan
Btw. Waren wir damals wirklich auf dem Mond?
Vermutlich wäre das heute aus Datenschutzgründen gar nicht mehr möglich...
Hallo Frank,
Welchen Text? Den Text in den Nutzungsbedingungen?
Ist bei "3. VERTRAGSÄNDERUNGEN" die geänderte Fassung, des von mir Beanstandeten oder finde ich den Passus gerade nicht?
Falls das der Ersatz ist, dann finde ich das aus Verbrauchersicht deutlich harmloser und es fällt bei mir jetzt unter die Rubrik "übliches Kleingedruckte".
Gruß Frank
Welchen Text? Den Text in den Nutzungsbedingungen?
Ist bei "3. VERTRAGSÄNDERUNGEN" die geänderte Fassung, des von mir Beanstandeten oder finde ich den Passus gerade nicht?
Falls das der Ersatz ist, dann finde ich das aus Verbrauchersicht deutlich harmloser und es fällt bei mir jetzt unter die Rubrik "übliches Kleingedruckte".
Gruß Frank
Moin,
Nimm mal mich als Beispiel --> Patient ruft an, will irgendwas wissen. Best case: die Telefonnummer wird übertragen, sie ist im Exchange erfasst und der UMS-Server löst sie auf und propagiert den Namen des Patienten auf die Rezeptionsmonitore. Heisst ja aber immer noch nicht, dass der Patient an diesem Telefon ist - kann ja auch Papa oder der Sohn sein. Stimmenverifizierung habe ich noch nicht ...
Können meine Mädels jetzt "besonders geschützte Daten" am Telefon offenbaren?
Ich denke, rechtskonform sicher bin ich da nicht.
Ich habe mich jetzt entschieden, im Rahmen der Pseudonymisierung meiner Webformulare (Patienten bekommen ein print out ihrer "internen Patientennummer" meiner Praxissoftware und geben diese nebst Ihres Geburtsdatums statt des Klarnamens in die Formulare ein, das gleich als "Key" für die Autorisierung beim einkommenden Telefonverkehr zu verwenden --> Telefonnummer kann aufgelöst werden + der Patient nennt auf Nachfrage diese "keynumber" --> Auskunft kann erteilt werden. Sonst geht da nix ... Aufwand ohne Ende!
Jetzt noch einen DSVGO-konformen Vodka (der Teure) und ab in die Grütze ...
LG, Thomas
In Zukunft muss ich vermutlich am Telefon nicht nur meinen Namen sondern auch 4-5 Datenschutzsätze sagen damit ich mir Notizen machen darf
ist gar nicht sooo ein Jux.Nimm mal mich als Beispiel --> Patient ruft an, will irgendwas wissen. Best case: die Telefonnummer wird übertragen, sie ist im Exchange erfasst und der UMS-Server löst sie auf und propagiert den Namen des Patienten auf die Rezeptionsmonitore. Heisst ja aber immer noch nicht, dass der Patient an diesem Telefon ist - kann ja auch Papa oder der Sohn sein. Stimmenverifizierung habe ich noch nicht ...
Können meine Mädels jetzt "besonders geschützte Daten" am Telefon offenbaren?
Ich denke, rechtskonform sicher bin ich da nicht.
Ich habe mich jetzt entschieden, im Rahmen der Pseudonymisierung meiner Webformulare (Patienten bekommen ein print out ihrer "internen Patientennummer" meiner Praxissoftware und geben diese nebst Ihres Geburtsdatums statt des Klarnamens in die Formulare ein, das gleich als "Key" für die Autorisierung beim einkommenden Telefonverkehr zu verwenden --> Telefonnummer kann aufgelöst werden + der Patient nennt auf Nachfrage diese "keynumber" --> Auskunft kann erteilt werden. Sonst geht da nix ... Aufwand ohne Ende!
Jetzt noch einen DSVGO-konformen Vodka (der Teure) und ab in die Grütze ...
LG, Thomas
Die Abmahnanwälte ganz sicher. Dem Rest geht sie vermutlich am Arsch vorbei.
lks
Hallo Frank,
Nein, sondern nach der Sprache in der sie geschrieben wurden.
Der Duden ist nur ein Hilfsmittel diese Sparche zu verstehen.
Ich reduziere mich mal auf meine Kernaussagen:
Ein Grundsatz der DSGVO lautet:
Dann heißt es auch noch:
Ich kann daraus zu keinem anderen Schluss kommen als das eine Formulierung à la
"Alles kann sich ändern und keine Ahnung wie, aber sei mal damit jetzt schon einverstanden."
nicht mit dem Gesetz vereinbar ist.
Sehe ich das richtig, dass Du den fraglichen Passus ohnehin geändert hast?
Gruß Frank
Nein, sondern nach der Sprache in der sie geschrieben wurden.
Der Duden ist nur ein Hilfsmittel diese Sparche zu verstehen.
Ich reduziere mich mal auf meine Kernaussagen:
Ein Grundsatz der DSGVO lautet:
Personenbezogene Daten müssen für festgelegte, eindeutige Zwecke erhoben werden
Ich sehe bei "festgelegt" und "eindeutig" wenig Spielraum für Interpretation.Dann heißt es auch noch:
der Zweck der Verarbeitung darf also nicht zu allgemein gehalten werden.
Ich kann daraus zu keinem anderen Schluss kommen als das eine Formulierung à la
"Alles kann sich ändern und keine Ahnung wie, aber sei mal damit jetzt schon einverstanden."
nicht mit dem Gesetz vereinbar ist.
Sehe ich das richtig, dass Du den fraglichen Passus ohnehin geändert hast?
Gruß Frank
Hallo Frank,
daraufhin habe ich mir erneut die angesehen und den Text dort nicht mehr gefunden.
Das lag wohl daran, dass er dort nie stand, sondern bei steht.
Ich höre da eine leichte Betonung auf "noch" liegen. Ich bin gespannt.
Gruß Frank
daraufhin habe ich mir erneut die angesehen und den Text dort nicht mehr gefunden.
Das lag wohl daran, dass er dort nie stand, sondern bei steht.
Ich höre da eine leichte Betonung auf "noch" liegen. Ich bin gespannt.
Gruß Frank