DSGVO

Bitte aktiviere JavaScript!
Genau auf den. Art. 2 (2) c besagt:
(2) Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten

Das ganze findet sich mit Anmerkungen unter:
https://dsgvo-gesetz.de/art-2-dsgvo/

Die Anmerkung dazu findet sich unter:
https://dsgvo-gesetz.de/erwaegungsgruende/nr-18/
Da findet sich dann die Abgrenzung zu wirtschaftlichen und beruflichen Tätigkeiten, wobei aus meiner Sicht wichtig ist, dass hier noch eine kleine Erweiterung folgt, die eben auch gewisse berufliche Zusammenhänge erlaubt.

Was hier aber natürlich komplett fehlt sind die genauen Hinweise zur Auslegung wie sie es für Gesetze gibt. Da habe ich aber gerade keinen Zugriff drauf, so dass ich mich da auf so Seiten wie die FAQ Seite verlasse. Die jetzt verlinkten Texte bieten halt noch durchaus den einen oder anderen Auslegungsfreiraum.
Öhm, habe ich auf die Schnelle Deine Beiträge nicht gut genug gelesen? Ich hatte Dich so verstanden, dass da Blogger jetzt betroffen wären, und das ist nicht automatisch der Fall. So sie sich beruflich damit beworben haben oder sie z.B. Werbung geschaltet haben, dann trifft sie die DSGVO, aber da hat sie dann eigentlich auch schon das BDSG getroffen....

Also ein Blog, auf dem Du dann Deine Java Tipps und Tricks zum Beste gibst, ist uninteressant, so du keine Werbung für Dich selbst aktiv machst ("Hey, heuert mich als Consultant an!") oder Du da Werbe-Einnahmen haben willst.

So wäre zumindest mein aktuelles Verständnis und wenn Du auch nichts anderes meintest, dann haben wir Probleme, die 500 Posts voll zu kriegen ...
Ich antworte mal auf beides zusammen:

Ich zumindest würde ab einer gewisse Reichweite nicht mehr von "ausschließlich persönlicher oder familiärer Tätigkeiten" ausgehen.

Wenn ich ein Kochrezept online veröffentliche und mit drei Familienmitgliedern teile: rein privat und an der DSGVO vorbei.
Wenn ich das gleiche aber überall promote und auf ein paar hundert Leser komme: nicht mehr privat, auch wenn keinerlei Werbung und sonstiges existiert.

Das dürfte sich in etwa mit bestehende Rechtssprechung decken, bzgl ab wann ist es öffentlich und nicht mehr privat (war afair in bezog auf geschlossene Facebookgruppen mit mehreren Hundert Mitgliedern, ist dann nicht mehr privat), oder in Bezug auf TMG/RStV, wonach Blogs mit regelmäßiger Veröffentlichung als geschäftsmäßig angesehen werden.
 
Eigentlich ist alles recht uninteressant, wo keine Daten von anderen Personen als einem selbst verarbeitet werden.
Die IP ist schon zusammen mit dem Zeitstempel eine personenbezogene Information. Somit sind die Logfiles mit den Zugriffen bereits eine Speicherung und Verarbeitung von personenbezogenen Daten.

Das ist eine der Änderungen vom BDSG zur DSGVO so ich das richtig verstehe. BDSG §3 bestimmte die Personenbezogenen Daten als „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)“
DSGVO Art 4 bestimmt das etwas umfangreicher: „Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung, wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind“.

Beim BDSG konnte man evtl. noch eine IP oder ein Cookie als nicht personenbezogen bezeichnen (Ich sehe dies nicht so, aber das war wohl teilweise eine Auslegung) aber mit der DSGVO sind dies auf jedem Fall personenbezogene Daten.

Somit verarbeitet auch ein einfacher Blog mit großer Wahrscheinlichkeit personenbezogene Daten. (Meine nicht juristische Sicht.)
 
Das dürfte sich in etwa mit bestehende Rechtssprechung decken, bzgl ab wann ist es öffentlich und nicht mehr privat (war afair in bezog auf geschlossene Facebookgruppen mit mehreren Hundert Mitgliedern, ist dann nicht mehr privat), oder in Bezug auf TMG/RStV, wonach Blogs mit regelmäßiger Veröffentlichung als geschäftsmäßig angesehen werden.
Das ist jetzt interessant. Ich meine hier einen Kategorienfehler zu erkennen:

-> Das von Dir genannte beschäftigt sich mit der Fragestellung: Wann ist etwas privat und wann ist es öffentlich.

-> Bei der DSGVO geht es aber nicht um öffentlich/privat sondern um persönliche Tätigkeiten. Diese können auch explizit öffentlich sein - hier werden auch soziale Medien explizit genannt.

Das TMG/RStV sagt mir gerade nichts. Das muss ich einmal recherchieren. Evtl. hast Du ja auch einen Link diesbezüglich zu Hand? Das könnte durchaus kritisch sein, wenn hier eine Tätigkeit als geschäftsmäßig angesehen würde ....

(Ich muss gestehen, dass ich mich mit Blogs und so noch nicht ganz so intensiv beschäftigt habe. Die DSGVO und das BDSG haben mich bisher nur beruflich getroffen in einem Bereich, in dem personenbezogene Daten verarbeitet werden mussten. Evtl. muss ich da morgen mal meinen Bruder etwas näher befragen. Wozu hat man einen zertifizierten Datenschutzbeauftragten in der Familie... )
 
[
Ja, das ist richtig: Es gibt keine Urteile, auf die man sich beziehen könnte. Das wird auch wohl noch etwas dauern, bis da ein OLG oder so erste Urteile zu verfasst. (Unter OLG sind die Urteile eher uninteressant.)
Vermutlich landet man ziemlich schnell beim EuGH, weil die DSGVO bereits EU-weiten Gesetzescharakter hat und nicht, wie alle anderen EU-Verordnungen, durch Landesrecht umgesetzt werden muss. Das BDSG n.F. (neue Fassung) ist sozusagen nur eine Erweiterung, die durch eine Öffnungsklausel in der DSGVO möglich ist und besondere Dinge, wie z.B. den Beschäftigungsdatenschutz konkretisiert.

Die IP ist schon zusammen mit dem Zeitstempel eine personenbezogene Information. Somit sind die Logfiles mit den Zugriffen bereits eine Speicherung und Verarbeitung von personenbezogenen Daten.
Da stellt sich zuerst die Frage, ob man an dieser Stelle selbst für den Server verantwortlich ist und überhaupt Zugriff auf die Logdaten hat. Bei einem Server, der sozusagen gemietet ist, liegt die Verantwortung vermutlich beim Betreiber des Servers. Ich mit meinem kleinen fiktiven Blog erfasse die IP-Adresse ja gar nicht.

Selbst wenn ich sie aus Gründen der Sicherung meines Servers erfassen würde, benötige ich im Großen und Ganzen nur ein sinnvolles Verarbeitungsverzeichnis, in dem der Zweck begründet wird. Und natürlich ein Hinweis für den Nutzer, dass diese Daten erfasst werden.

Wenn ich ein Kochrezept online veröffentliche und mit drei Familienmitgliedern teile: rein privat und an der DSGVO vorbei.
Wenn ich das gleiche aber überall promote und auf ein paar hundert Leser komme: nicht mehr privat, auch wenn keinerlei Werbung und sonstiges existiert.
Sofern hier keine Daten der Leser erfasst werden ist das doch egal, wieviele das lesen. Es geht bei der DSGVO um den Schutz der persönlichen Daten anderer.
 
Bei den meisten Unternehmen gehören diese Daten doch gar nicht zum Kern des Geschäftsmodells, sondern sie sind erforderliches Beiwerk um ganz alltägliche Prozesse abzuwickeln.
Dann informiert das Unternehmen darüber und ist fein raus. Wenn sie nicht imstande sind, die Datenverarbeitung nur mal zu dokumentieren, haben sie die Strafe völlig zurecht verdient.


Ein Kunde/Patient/..., der es vielleicht sogar bewusst darauf angelegt hat, beschwert sich bei der Datenschutzbehörde, weil man etwa für eine Bestell-Info oder eine Terminbestätigung die Mailadresse erfasst hat.
Ist vollkommen DSGVO-konform, auch wenn sich der Nutzer dann beschwert.


Aber um das Beispiel etwas realistischer zu machen:


Ein Unternehmer erfasst nebenbei, auch wenn es nicht sein Hauptgebiet ist, sensible Patientendaten, schützt diese nicht und die Mitarbeiter gehen nicht angemessen damit um. Kunde bekommt das mit, weil sensible öffentlich einsehbar sind und beschwert sich bei der Datenschutzbehörde.
Die erlässt dann 10.000€ Bußgeld, nachdem das Unternehmen kein Einsehen zeigte.

Klingt vollkommen richtig so ;)



Dass die Datenschutzbehörden das jetzt (noch?) nicht so praktizieren ist dabei gar nicht so relevant. Auch nicht, ob die Rechtslage vor der DSGVO ähnlich war (ich glaube aber nicht, dass es da um so hohe Beträge ging). Es ist eben schon ein Unterschied, im Forum zu schreiben, dass da schon nichts passieren wird oder im realen Leben die eigene Existenz davon abhängig zu machen, dass da schon nichts passieren wird.

Unter'm Strich ist meine Kritik, dass die Verordnung nicht treffsicher genug und die Strafandrohung unverhältnismäßig ist
Das das schon immer illegal ist, ist nicht relevant?

Wenn ein Unternehmen (egal welcher Größe), seit Jahren gegen geltendes Recht verstößt, sind ganz sicher nicht die jetzt möglichen Straften ein Problem!
Die Strafen, die übrigens explizit "verhältnismäßig" sein müssen, sind da völlig gerechtfertigt. Vor allem, wenn erst sie mal dazu führen, dass die Unternehmen merken, dass sie die ganze Zeit an der Legalität vorbei arbeiten.


Die Kritik könntest du btw an jedem Gesetz üben.

StGB § 242 - Diebstahl: Bis zu fünf Jahre Diebstahl, nur weil ich meinem Sitznachbarn in der Schule einen Stift geklaut hab?! Völlig unverhältnissmäßige Strafandrohung!
 
[


Vermutlich landet man ziemlich schnell beim EuGH, weil die DSGVO bereits EU-weiten Gesetzescharakter hat und nicht, wie alle anderen EU-Verordnungen, durch Landesrecht umgesetzt werden muss. Das BDSG n.F. (neue Fassung) ist sozusagen nur eine Erweiterung, die durch eine Öffnungsklausel in der DSGVO möglich ist.

Da stellt sich zuerst die Frage, ob man an dieser Stelle selbst für den Server verantwortlich ist und überhaupt Zugriff auf die Logdaten hat. Bei einem Server, der sozusagen gemietet ist, liegt die Verantwortung vermutlich beim Betreiber des Servers. Ich mit meinem kleinen fiktiven Blog erfasse die IP-Adresse ja gar nicht.

Selbst wenn ich sie aus Gründen der Sicherung meines Servers erfassen würde, benötige ich im Großen und Ganzen nur ein sinnvolles Verarbeitungsverzeichnis, in dem der Zweck begründet wird. Und natürlich ein Hinweis für den Nutzer, dass diese Daten erfasst werden.

Sofern hier keine Daten der Leser erfasst werden ist das doch egal, wieviele das lesen. Es geht bei der DSGVO und den Schutz der persönlichen Daten anderer.
Oh ja, stimmt. Da könnte man ggf. direkt erste Urteile zu sehen bekommen. Das hatte ich jetzt übersehen.

Und bezüglich des Umgangs hast Du Recht: das geht relativ einfach und unkompliziert. Aber die Frage ist: Musst Du als private Person sowas machen?

Du gehst Du einem Hoster, kaufst deine Domain, packst da eine Blogging Software drauf und legst los.
=> Trifft dich die DSGVO so dass Du gezwungen bist, solche Schritte zu machen? Ich meine nicht. (Aber ist keine juristische Beratung - und wenn ihr sowas macht dann zieht vor Gericht kein "kneitzel hat im Java-Forum.de aber gesagt ....". Auch wenn jemand im Forum schon meinte, dass mein Wort Gesetz wäre oder so .... )

Und ganz wichtig: Es darf natürlich nicht um die Veröffentlichung von geschützten Informationen gehen. Habe da jetzt auch noch eine Seite gefunden. @mrBrown auch evtl für Dich interessant:
https://www.datenschutz-berater.de/single-post/2018/06/20/Stichwort-des-Monats-Persönliche-und-familiäre-Tätigkeiten

Und was man hier etwas sieht und was auch mein Kritikpunkt war und ist:
Das ist alles viel zu komplex! Das macht es kleinen Firmen extrem schwer! Ich mit meinem Gewerbe habe die Segel gestrichen, als es um die Verarbeitung und ggf. Übermittelung von personenbezogenen Daten ging! Der Aufwand ist einfach enorm. Ohne Rechtsbeistand ist das schon extrem fand ich. Und als Gewerbe nebenbei war das dann einfach etwas, wo ich dann der Meinung war, dass es sich nicht lohnt.
 
Das ist jetzt interessant. Ich meine hier einen Kategorienfehler zu erkennen:

-> Das von Dir genannte beschäftigt sich mit der Fragestellung: Wann ist etwas privat und wann ist es öffentlich.

-> Bei der DSGVO geht es aber nicht um öffentlich/privat sondern um persönliche Tätigkeiten. Diese können auch explizit öffentlich sein - hier werden auch soziale Medien explizit genannt.
Das waren ja auch nur Beispiele für bisherige Rechtssprechung, die halt bisher das einzige ist, an dem man sich orientieren kann ;)

Das TMG/RStV sagt mir gerade nichts. Das muss ich einmal recherchieren. Evtl. hast Du ja auch einen Link diesbezüglich zu Hand? Das könnte durchaus kritisch sein, wenn hier eine Tätigkeit als geschäftsmäßig angesehen würde ....
Telemediengesetz und Rundfunkstaatsvertrag, TMG § 5 und RStV § 55 sind die beiden, aus denen sich die Pflicht für's Impressum herleitet.
Im letzteren gibt es auch die Formulierung "ausschließlich persönlichen oder familiären Zwecken", im ersteren "geschäftsmäßig".

Ich würde zT erwarten, dass ich an der Rechtsprechung dazu orientiert wird. Wenn man irgendeine Werbeanzeige ode einen Affiliate-Link postet, dürfte das unter geschäftsmäßig fallen, bei Blogs die regelmäßig posten, ist es eine ziemliche Grauzone, ob die unter den entsprechenden Paragraphen des RStV fallen - da würde ich in den meisten Fällen auf Nummer sicher gehen und ja sagen.

Du (@kneitzel) scheinst dabei deutlich weniger Zwang durch die DSGVO zu sehen, @mihe7 deutlich mehr...

Sofern hier keine Daten der Leser erfasst werden ist das doch egal, wieviele das lesen. Es geht bei der DSGVO um den Schutz der persönlichen Daten anderer.
Die Frage ist nur, bei wievielen Lesern es noch als "ausschließlich persönliche oder familiäre Tätigkeiten" gilt. Und da dürfte "Reichweite" eben durchaus eine Rolle spielen.
DSGVO-konform wäre es dann auch, wenn man drauf schreibt, das man keine Daten erfasst.


Da stellt sich zuerst die Frage, ob man an dieser Stelle selbst für den Server verantwortlich ist und überhaupt Zugriff auf die Logdaten hat. Bei einem Server, der sozusagen gemietet ist, liegt die Verantwortung vermutlich beim Betreiber des Servers. Ich mit meinem kleinen fiktiven Blog erfasse die IP-Adresse ja gar nicht.

Selbst wenn ich sie aus Gründen der Sicherung meines Servers erfassen würde, benötige ich im Großen und Ganzen nur ein sinnvolles Verarbeitungsverzeichnis, in dem der Zweck begründet wird. Und natürlich ein Hinweis für den Nutzer, dass diese Daten erfasst werden.
Hinweisen müsstest du mMn in jedem Fall auf die Speicherung, der Hoster muss dir entspechend auch Auskunft erteilen und dir einen Auftragsverarbeitungsvertrag(?) mit dir schließen.
 
Und ganz wichtig: Es darf natürlich nicht um die Veröffentlichung von geschützten Informationen gehen. Habe da jetzt auch noch eine Seite gefunden. @mrBrown auch evtl für Dich interessant:
https://www.datenschutz-berater.de/single-post/2018/06/20/Stichwort-des-Monats-Persönliche-und-familiäre-Tätigkeiten
Da fehlt halt wieder eine vernünftige Abgrenzung, ab wann es nicht mehr persönlich ist :/ Das Beispiel Soziale Netze ist halt nur bedingt brauchbar, das hat mMn deutlich anderen Charakter als ein selbst betriebener Blog.
 
Aber die Frage ist: Musst Du als private Person sowas machen?

Du gehst Du einem Hoster, kaufst deine Domain, packst da eine Blogging Software drauf und legst los.
=> Trifft dich die DSGVO so dass Du gezwungen bist, solche Schritte zu machen? Ich meine nicht. (Aber ist keine juristische Beratung - und wenn ihr sowas macht dann zieht vor Gericht kein "kneitzel hat im Java-Forum.de aber gesagt ....". Auch wenn jemand im Forum schon meinte, dass mein Wort Gesetz wäre oder so .... )
Ich würde dir zustimmen, aber bin auch kein Jurist.

Die Frage ist nur, bei wievielen Lesern es noch als "ausschließlich persönliche oder familiäre Tätigkeiten" gilt. Und da dürfte "Reichweite" eben durchaus eine Rolle spielen.
Das ist nicht die Frage. Die grundlegende Frage für die Anwendung der DSGVO ist, ob personenbezogene Daten (und zwar nicht die eigenen, mit denen kannst du machen was du willst) erfasst und verarbeitet werden.
 
Das ist nicht die Frage. Die grundlegende Frage für die Anwendung der DSGVO ist, ob personenbezogene Daten (und zwar nicht die eigenen, mit denen kannst du machen was du willst) erfasst und verarbeitet werden.
Grundsätzlich verarbeitet jede Website personenbezogene Daten. Mindestens, indem der Server die IP des Nutzers mitbekommt.
EDIT: Angenommen, der Server erstellt irgendwelche Logs, was mindestens der Provider tun dürfte.


Wobei das, meiner Argumentation von oben folgend, ziemlich nebensächlich ist:
Angenommen, dass fällt unter die "Persönlich und familiär", ist es eh egal, da DSVGO keine Anwendung findet.
Angenommen, dass es nicht drunter fällt, ist das nur der Unterschied zwischen "" (<- leerer String) und "Wir erheben keine Daten, Verantwortlicher steht im Impressum". Letzteres führt halt höchstens noch dazu, dass der Verantwortliche auch noch mal sicher geht, dass er nicht unabsichtlich doch Daten speichert.
 
Zuletzt bearbeitet:
Und wenn es doch rein privat ist, findet auch DSGVO keine Anwendung
Nur die Verarbeitung durch natürliche Personen ist ausgenommen. Du darfst gnädigerweise noch mit Deinen Kumpels Telefonnummern tauschen, ohne die DSGVO beachten zu müssen. Anders sieht der Visitenkartentausch beim Meeting aus und eine Webseite mit automatisierter Verarbeitung personenbezogener Daten geht schon mal gar nicht.

Sobald er regelmäßig neue Rezepte veröffentlicht und das mit mehr Personen als dem engsten Bekanntenkreis teilt, muss er es haben.
Wenn jemand die Werbetrommel rührt ("schauen Sie bald wieder vorbei, nächste Veröffentlichung in Kürze usw.), handelt er vermutlich geschäftsmäßig. Wer seine Lieblingsrezepte (neben die Fotos mit seinem Hund und vom letzten Badeurlaub ;)) auf seiner Homepage veröffentlicht und diese Rezeptsammlung erweitert, eher weniger.

Um mal realistisch zu bleiben: das "irrsinnig kompliziertes Regelwerk" mit "unkalkulierbaren Risiken" hat sich für Privatpersonen bisher als ziemlich einfach umsetzbar (wenn man nicht grad exzessiv Daten erhebt und mit denen undurchsichtige Dinge anstellt) und einen freundlichen Hinweis der entsprechenden Behörde rausgestellt.
Wenn man auf das Prinzip Hoffnung vertraut, dann sicher.

Hat sich in der Realität bisher irgendwas als komplizierte Hürde herausgestellt und gab es irgendwo "Abmahnung" gegen Privatpersonen?
Man kann sicherlich beliebige Fälle konstruieren, in denen es Probleme gibt, aber welche davon gab es denn in der Realität?
Die DSGVO ist ganz einfach umzusetzen. Du brauchst gar nichts zu tun, denn wo kein Kläger, da kein Richter. Das ist doch kein Argument pro DSGVO.

Was die Abmahnungen betrifft: die Industrie ist ja noch jung und erst dabei, sich zu formieren. Erste Vereine existieren bereits.

Zumindest in dem Punkt scheint das aktuell noch jeder zu sein
unkalkulierbares Risiko...
 
Dann informiert das Unternehmen darüber und ist fein raus. Wenn sie nicht imstande sind, die Datenverarbeitung nur mal zu dokumentieren, haben sie die Strafe völlig zurecht verdient.
Es geht doch gar nicht darum, ob man die Strafe verdient, sondern um die Erklärung, warum man die bürokratischen Maßnahmen ergreift, die oben kritisiert wurden.
Aber um das Beispiel etwas realistischer zu machen:


Ein Unternehmer erfasst nebenbei, auch wenn es nicht sein Hauptgebiet ist, sensible Patientendaten, schützt diese nicht und die Mitarbeiter gehen nicht angemessen damit um. Kunde bekommt das mit, weil sensible öffentlich einsehbar sind und beschwert sich bei der Datenschutzbehörde.
Die erlässt dann 10.000€ Bußgeld, nachdem das Unternehmen kein Einsehen zeigte.

Klingt vollkommen richtig so ;)
Ja, in dem Fall habe ich damit kein Problem. Dadurch ist das Problem der seriösen Firmen, die das nicht so machen aber nicht gelöst. Die werden zu immer mehr Bürokratie gezwungen und müssen sich immer mehr in Richtung Behördenstruktur entwickeln. Ich glaube nicht, dass das gut ist.

Das das schon immer illegal ist, ist nicht relevant?
Genau. Der Unternehmer bemerkt dieses Risiko erst jetzt und reagiert darauf. Ob das Risiko neu ist oder ihm nur nicht bewusst war, spielt kein Rolle. Die DSGVO würde durch einen schlechten Vorgänger nicht besser werden.

Wenn ein Unternehmen (egal welcher Größe), seit Jahren gegen geltendes Recht verstößt, sind ganz sicher nicht die jetzt möglichen Straften ein Problem!
Doch. Die meisten Unternehmen werden nicht vorsätzlich dagegen verstossen wollen, üben aber keine vollständige Kontrolle über die verschiedenen Aktivitäten ihrer Mitarbeiter aus. Wenn es dann doch mal passiert, trägt man eben die Konsequenzen. Wenn die möglichen Strafen zu hoch werden, darf man sich aber keinen Fehler mehr erlauben, also überlegt man sich, wie man dem ausweicht, z.B. durch Bürokratieaufbau, Forenschließungen, etc.

Die Strafen, die übrigens explizit "verhältnismäßig" sein müssen
Das nützt dem Unternehmen wenig, wenn es vor die Wahl gestellt wird, relativ wenig "freiwillig" zu zahlen oder sich mit einer Forderung über "richtig viel" auseinandersetzen zu müssen.

Die Kritik könntest du btw an jedem Gesetz üben.

StGB § 242 - Diebstahl: Bis zu fünf Jahre Diebstahl, nur weil ich meinem Sitznachbarn in der Schule einen Stift geklaut hab?! Völlig unverhältnissmäßige Strafandrohung!
So eine Strafe erfordert aber vorher eine Gerichtsverhandlung. Soweit ich es verstanden habe, kann die Datenschutzbehörde die Strafe aber einfach so einseitig verhängen und man muss dann ggfs. dagegen vorgehen. Das ist etwas völlig anderes und meines Erachtens viel zu viel Macht für eine Behörde. Es eröffnet auch die Möglichkeit, einfach abzukassieren.
 
So eine Strafe erfordert aber vorher eine Gerichtsverhandlung. Soweit ich es verstanden habe, kann die Datenschutzbehörde die Strafe aber einfach so einseitig verhängen und man muss dann ggfs. dagegen vorgehen. Das ist etwas völlig anderes und meines Erachtens viel zu viel Macht für eine Behörde. Es eröffnet auch die Möglichkeit, einfach abzukassieren.
Das ist aber für Behörden nicht unüblich. Behörden verlangen gerne mal Geld und je nach Behörde und Sachlage kann es sogar sein, dass Du verpflichtet bist, das Geld zu zahlen. Du kannst da natürlich dann dagegen vorgehen und ggf. bekommst Du Dein Geld dann zurück.

Gute Idee, wir einigen uns einfach alle darauf: @kneitzel auf java-forum.de ist Schuld :)
Das habt ihr Missverstanden. Ich macht mich zu einer Art Gott. Dann ist mein Wort Gesetz und steht sogar noch über den Naturgesetzen. Und dann könnt ihr immer auf meine Aussagen verweisen. Also wenn ich euch z.B. Java Code gebe, der nicht Compiliert, dann könnt ihr da gleich einen Bug melden und die JLS wird angepasst, so dass mein Code gehen wird ...
 
Das ist aber für Behörden nicht unüblich. Behörden verlangen gerne mal Geld und je nach Behörde und Sachlage kann es sogar sein, dass Du verpflichtet bist, das Geld zu zahlen. Du kannst da natürlich dann dagegen vorgehen und ggf. bekommst Du Dein Geld dann zurück.
Da hast du recht und das würde ich genauso kritisieren. Was die DSGVO angeht wäre es für mich naheliegender gewesen, einen Bagatellbereich zu definieren, in dem die Behörde das festlegen darf. Das muss man dann eben schlucken oder dagegen vorgehen. Wenn es darüber hinaus geht, muss es über die Staatsanwaltschaft gehen oder die Datenschutzbehörde bringt es selbst zur Anzeige.
 
Ihr kennt euch ja anscheinend alle prächtig mit der knapp 100 Art. starken DSGVO, für die es mehrere, locker 500-seitige, dicke Erläuterungen gibt, aus... Wer ist denn wann und wofür und wobei für die "Einhaltung" ebenjener DSGVO zuständig? Und wie sieht dabei eine typische Prozesskette aus? Ganz vereinfacht: Wer verklagt wann wen - und warum...

Ich kann ja mal von mir schreiben. Ich habe keinen Blog und keine Website und kommentiere ganz selten mal etwas auf Plattformen außerhalb des JFOs. Ich möchte aber vielleicht mal einen eigenen Blog haben... Laufe ich dann Gefahr, verhaftet zu werden? So klingt es nämlich gerad.
 
Ich möchte aber vielleicht mal einen eigenen Blog haben... Laufe ich dann Gefahr, verhaftet zu werden? So klingt es nämlich gerad.
Ganz so schlimm ist es nicht, wobei, wenn Du die Strafen nicht zahlen kannst...

Die Informationspflichten sind zumindest bzgl. Webseiten

a) im geforderten Detail für den Allerwertesten, während
b) genau das geforderte Detail dazu führt, angreifbar zu werden.

Du brauchst Dir ja nur mal die Datenschutzerklärung des Forums anzusehen. Ich traue mich fast wetten, dass man hier Verstöße finden könnte, wenn man es darauf anlegt.

Mal unabhängig von der Seite: die Verordnung regelt, dass der Betroffene über die Widerspruchsmöglichkeiten informiert wird. Jede DSGVO-konforme Datenschutzerklärung muss also einen entsprechenden Absatz enthalten (Sie haben das Recht auf Löschung blablabla). Das wäre so, als ob jeder Supermarkt den Kunden darüber informieren muss, dass er seinen gesetzlichen Gewährleistungsanspruch geltend machen darf, an jeder Ampel hängen muss, dass Du bei grün über die Straße gehen darfst usw.
 
Ihr kennt euch ja anscheinend alle prächtig mit der knapp 100 Art. starken DSGVO, für die es mehrere, locker 500-seitige, dicke Erläuterungen gibt, aus... Wer ist denn wann und wofür und wobei für die "Einhaltung" ebenjener DSGVO zuständig? Und wie sieht dabei eine typische Prozesskette aus? Ganz vereinfacht: Wer verklagt wann wen - und warum...

Ich kann ja mal von mir schreiben. Ich habe keinen Blog und keine Website und kommentiere ganz selten mal etwas auf Plattformen außerhalb des JFOs. Ich möchte aber vielleicht mal einen eigenen Blog haben... Laufe ich dann Gefahr, verhaftet zu werden? So klingt es nämlich gerad.
Also es gab einige Links im Thread. Unter anderem zu einer FAQ. Das sollte man zumindest Mal lesen..

Ansonsten gilt wie bei allen juristischen Fragen: geh zu einem Juristen Deines Vertrauens. Da bekommst du dann genau erläutert, welche Gefahren es gibt, was du machen kannst und was nicht ...
Oder du suchst dir einen Datenschutzbeauftragten, der dann für sowas zuständig ist ...

Aber meine Erfahrung ist:
Sieh zu, dass du nur wo wirklich notwendig Personenbezogene Daten speicherst und verarbeitet, schütze diese, Gib diese nicht weiter ....
Dann noch die üblichen 08/15 Dinge und du bist auf der relativ sicheren Seite...

DSGVO ist relativ harmlos, da alles angemessen sein muss. Und da sind bei Privatpersonen keine großen Strafen möglich... Laut der FAQ ist also eher eine Art Aufklärung zu erwarten als eine Strafe.
 
Passende Stellenanzeigen aus deiner Region:

Neue Themen

Oben