DSGVO

Bitte aktiviere JavaScript!
Ich möchte aber vielleicht mal einen eigenen Blog haben... Laufe ich dann Gefahr, verhaftet zu werden?
Meine Sicht, was einen Blog angeht: Die einzigen personenbezogenen Daten sind ja die IP-Adressen der Leser. Ich würde ein Verarbeitungsverzeichnis erstellen, in dem die geforderten Informationen insbesondere zu Art der Daten (IP-Adresse), Nutzung der Daten (Schutz vor Mißbrauch des Servers) und Löschfrist stehen. Außerdem muss der Leser gemäß Artikel 6 (1) a) DSGVO
sein Einverständnis zur Erfassung gegeben haben (den "Haken" setzen). Wobei mir gerade auffällt, dass auch 6 f) für die Absicherung des Servers zutreffen könnte, da sollte man aber vorsichtig sein, dass ist nicht unbedingt ein Freibrief.

Falls du noch mehr Daten erfassen möchtest (eigentlich musst, siehe Artikel 5 (1) c) DSGVO = Datensparsamkeit) muss das Verarbeitungsverzeichnis entsprechend ergänzt werden.
 
Zuletzt bearbeitet:
Meine Sicht, was einen Blog angeht: Die einzigen personenbezogenen Daten sind ja die IP-Adressen der Leser. Ich würde ein Verarbeitungsverzeichnis erstellen, in dem die geforderten Informationen insbesondere zu Art der Daten (IP-Adresse), Nutzung der Daten (Schutz vor Mißbrauch des Servers) und Löschfrist stehen. Außerdem muss der Leser gemäß Artikel 6 (1) a) DSGVO
sein Einverständnis zur Erfassung gegeben haben (den "Haken" setzen). Wobei mir gerade auffällt, dass auch 6 f) für die Absicherung des Servers zutreffen könnte, da sollte man aber vorsichtig sein, dass ist nicht unbedingt ein Freibrief.

Falls du noch mehr Daten erfassen möchtest (eigentlich musst, siehe Artikel 5 (1) c) DSGVO = Datensparsamkeit) muss das Verarbeitungsverzeichnis entsprechend ergänzt werden.
Also das mit dem Verarbeitungsverzeichnis ist Overkill. Artikel 30 (5) DSGVO schafft ja eine Ausnahme für kleine und mittlere Unternehmen. Diese ist zwar unglücklich formuliert (Risiko existiert immer und ein Server läuft ja durch und erhebt bei alle Zugriffen Daten also ist das nicht gelegentlich...) aber dazu gibt es ja den Erwägungsgrund 13 https://dsgvo-gesetz.de/erwaegungsgruende/nr-13/. Da wid das zwar auch nicht so deutlich gemacht, wie ich mir das gerne wünschen würde, aber die Behörde hat da eine klare Ansage bekommen: "Außerdem werden die Organe und Einrichtungen der Union sowie die Mitgliedstaaten und deren Aufsichtsbehörden dazu angehalten, bei der Anwendung dieser Verordnung die besonderen Bedürfnisse von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen. 5Für die Definition des Begriffs „Kleinstunternehmen sowie kleine und mittlere Unternehmen“ sollte Artikel 2 des Anhangs zur Empfehlung 2003/361/EG der Kommission¹ maßgebend sein."
==> Wenn also bei KLeinstunternehmen sowie bei kleinen und mittleren Unternehmen deren besondere Lage zu berücksichtigen ist, dann sollte das kein Thema für eine Privatperson sein.

BTW: Mit meinem Gewerbe habe ich auch kein solches Verzeichnis...
 
Also das mit dem Verarbeitungsverzeichnis ist Overkill.
Das ist im einfachsten Fall ein Stück Din A4 Papier.

Artikel 30 (5) DSGVO schafft ja eine Ausnahme
Aber du hast Recht damit, soweit hatte ich nicht gelesen, weil das für meinen AG nicht zutrifft.

Edit:

Ich finde das Verarbeitungsverzeichnis dennoch grundsätzlich sinnvoll. Im Prinzip handelt es sich doch nur um eine Auflistung, der erfassten Daten. Es zwingt einen dazu sich einmal damit zu beschäftigen, was man warum braucht und wie lange aufbewahren muss und welche Maßnahmen man getroffen hat diese Daten entsprechend zu schützen. Würde ich immer machen und der Schritt vom darüber Nachdenken zum Aufschreiben ist nicht sehr aufwändig.
 
Zuletzt bearbeitet:
Diese ist zwar unglücklich formuliert (Risiko existiert immer und ein Server läuft ja durch und erhebt bei alle Zugriffen Daten also ist das nicht gelegentlich...) aber dazu gibt es ja den Erwägungsgrund 13 https://dsgvo-gesetz.de/erwaegungsgruende/nr-13/.
Die Erwägungsgründe können zwar zur Auslegung herangezogen werden, wie dies allerdings dazu führen soll, dass aus einer Datenverarbeitung, die ständig und rund um die Uhr erfolgt zu einer gelegentlichen DV wird, ist mir allerdings nicht ganz klar.

Ich sehe in der Vorschrift Ausnahmen für Fälle wie den Tante Emma Laden, wo ab und zu mal Name und Telefonnummer eines Kunden zwecks Rückruf notiert wird.

Man zeige mir aber ein in Deutschland tätiges Unternehmen mit 2, 10, 249 Mitarbeitern, das von Abs. 5 profitiert. Alleine die Personaldaten fallen unter Artikel 9 (z. B. Religionszugehörigkeit -> Kirchensteuer).

Der genannte Abschnitt des EG 13, der enthält, dass Behörden dazu angehalten werden, bei der Anwendung die besonderen Bedürfnisse von bestimmten Personenkreisen zu berücksichtigen, macht die Verordnung nicht besser.
 
Mag ja sein, sagt aber nichts über den Aufwand aus, dieses Blatt zu erstellen.;)
So ist es. Die Handhabung war früher wesentlich besser. Wenn wir die global Player einmal außer Acht lassen: man erklärte, dass man Zugriffe in Log-Files speichert, ggf. dass man Cookies und Google Analytics nutzt und das Thema war im Großen und Ganzen erledigt. Der Besucher wusste auf einen Blick Bescheid, für Details konnte er sich Auskunft einholen. Alle waren glücklich.

Jetzt haben wir bürokratischen Irrsinn, der zig Seiten Datenschutzerklärungen führt, die sich kein Mensch mehr durchliest und mit einigem Aufwand zu erstellen und zu pflegen sind. Gleiches gilt für Verzeichnisse, die in der Schublade verrotten usw.

Wie gesagt: ich bin für (gerne strengen) Datenschutz aber dann bitte nach klaren, einfach umzusetzenden Regeln ohne Informations- und Dokumentationswahn.
 
Jetzt haben wir bürokratischen Irrsinn, der zig Seiten Datenschutzerklärungen führt, die sich kein Mensch mehr durchliest und mit einigem Aufwand zu erstellen und zu pflegen sind. Gleiches gilt für Verzeichnisse, die in der Schublade verrotten usw.
Ich erinnere mich noch an die Papierflut von Datenschutzerklärungen, die unsere Geschäftspartner gerne gegengezeichnet von uns zurück erhalten hätten. Ich habe mich dann doch lieber entschieden, meinen Jahresurlaub nicht darauf zu verwenden, das Zeug zu lesen und habe es stattdessen geschreddert. Zum Klimaschutz hat die DSGVO jedenfalls nichts beigetragen. Aber die Post hat profitiert.;)
 
Die Erwägungsgründe können zwar zur Auslegung herangezogen werden, wie dies allerdings dazu führen soll, dass aus einer Datenverarbeitung, die ständig und rund um die Uhr erfolgt zu einer gelegentlichen DV wird, ist mir allerdings nicht ganz klar.

Ich sehe in der Vorschrift Ausnahmen für Fälle wie den Tante Emma Laden, wo ab und zu mal Name und Telefonnummer eines Kunden zwecks Rückruf notiert wird.

Man zeige mir aber ein in Deutschland tätiges Unternehmen mit 2, 10, 249 Mitarbeitern, das von Abs. 5 profitiert. Alleine die Personaldaten fallen unter Artikel 9 (z. B. Religionszugehörigkeit -> Kirchensteuer).

Der genannte Abschnitt des EG 13, der enthält, dass Behörden dazu angehalten werden, bei der Anwendung die besonderen Bedürfnisse von bestimmten Personenkreisen zu berücksichtigen, macht die Verordnung nicht besser.
Also ich verstehe Deinen Punkt voll und ganz. Hier muss man dann sehen, was man für Risiken bereit ist, auf sich zu nehmen.

Die Formulierung ist extrem blöd. Da drängt sich mir der Eindruck auf, dass da nur Leute involviert waren, für die Internet eben doch Neuland bedeutete...

Ich selbst bin unter anderem deswegen (Nicht nur, die administrativen Aufwände waren mir auch zu viel) von einer Reihe eigener vServer auf ein Webhosting Angebot gewechselt (+ einiger weiterer Dienste.... Auch lokale Infrastruktur wurde teilweise abgebaut und auf Cloud Angebote verlagert). Das machte es diesbezüglich einfacher.

Aber an der Stelle auch noch einmal der Hinweis: Das ist jetzt bei gewerbsmäßiger Speicherung von Daten. Und ich habe auch keine Ahnung, wie jemand ein kleines oder mittleres Unternehmen führen will, ohne dass da entsprechende Dokumente raus kommen. Selbst der Handwerksbetrieb mit einfachen Handwerkern muss schon Mitarbeiter diesbezüglich schulen. Und da kann dann ein Katalog der Verfahren alleine schon Sinn machen, um eben Auszüge daraus den Mitarbeitern an die Hand zu geben a. la.: "So und nicht anders habt ihr zu verfahren!".

Ein etwas anderer Punkt ist dann auch, wer denn hier wie Abmahnungen versenden darf. So man da als Privatperson etwas macht, wird das sehr schnell sehr schwer. Hier wird das etwas aufgezeigt an einem Beispiel: https://www.wbs-law.de/internetrecht/erste-dsgvo-abmahnungen-im-umlauf-ra-solmecke-klaert-auf-77452/

Aber generell gibt es immer gewisse Gefahren. Immer noch kein SSL auf der Homepage? (Das wäre dann das Beispiel aus dem Link oben...) Also das ist ein Beispiel, dass man dann eben doch sehr gut aufpassen muss, was man wie überträgt. Wie kommen Daten von mir zu anderen oder eben umgekehrt. Ich muss nur an Email denken: Schön, dass man SMTPS oder IMAPS nutzt, aber wenn dann die Email zwischen zwei Servern unverschlüsselt übertragen wird, dann ist das doof.
==> Fachmann ist das Gold wert. Wer das gewerblich macht, der sollte da also entweder viel Zeit investieren oder eben einen Experten zu Rate ziehen. (Aber für private Dinge ohne gewerblichen Hintergrund halte ich dies weiter nicht für nötig.)
 
Also bei der DSGVO geht es in erster Linie um die behördliche und geschäftliche Datenverarbeitung. Somit trifft es eine Privatperson nicht.
Du wirst als Privatperson schneller als geschäftlich handelnd eingestuft als es jeder normale Mensch (vulgo Nichtjurist) vermuten würde. Siehe z.B. Ebay, und ab wann man trotz privater Verkäufe als geschäftlich handelnd eingestuft werden kann. Ach ja...erinnert sich noch jemand an die EU-Verordnung, nach der jeder, der seinen abgeranzten Privatkram auf Ebay verkauft, Gewährleistung liefern muß?

Wenn der Serverbetreiber dir kostenlosen Webspace anbietet und dafür schaltet er auf deiner Seite Werbung (gibt es sowas überhaupt noch?) wäre ich nach den bisherigen Erfahrungen sehr überrascht, wenn man da noch als reine Privatperson durchgehen würde. Selbst wenn du von den Werbeeinnahmen nichts hast-außer den Webspace.


Ansonsten gilt wie bei allen juristischen Fragen: geh zu einem Juristen Deines Vertrauens. Da bekommst du dann genau erläutert, welche Gefahren es gibt, was du machen kannst und was nicht ...
Mir sagte ein Jurist vor etwa einem halben Jahr: Es weiß kein Jurist über die DSGVO wirklich Bescheid. Wenn nichtmal die, wer dann? Und wie sollen Firmen (oder gar Privatleute, die gerademal die Serverkosten wieder reinholen wollen) dann da durchsehen?

Ansonsten hat Danisch da mal ein paar interessante Sachen dazu geschrieben/gesagt:


Da stellt sich zuerst die Frage, ob man an dieser Stelle selbst für den Server verantwortlich ist und überhaupt Zugriff auf die Logdaten hat. Bei einem Server, der sozusagen gemietet ist, liegt die Verantwortung vermutlich beim Betreiber des Servers. Ich mit meinem kleinen fiktiven Blog erfasse die IP-Adresse ja gar nicht.
Da stellt sich eher die Frage, ob der Richter dich als zuständig ansieht oder nicht. Daß der Richter dich als nichtverantwortlich ansieht, würde ich vorsorglich als unwahrscheinlich einstufen.


Ich persönlich teile die Meinung von @Tobias-nrw bezüglich der EU, wenn auch nicht nur aufgrund der DSGVO. Aber auch.
So wichtig ich Datenschutz auch finde-ich sehe nicht, wo die DSGVO etwas besser gemacht hat. Ein paar Global Player (die, gegen die sich die DSGVO angeblich hauptsächlich richten sollte) machen weiter wie bisher, dafür hat jede noch so kleine Butze wieder etwas viel mehr unproduktive Arbeit zu erledigen.
 
Ach ja...erinnert sich noch jemand an die EU-Verordnung, nach der jeder, der seinen abgeranzten Privatkram auf Ebay verkauft, Gewährleistung liefern muß?
Richtlinie, die im BGB umgesetzt wurde, und nach der man Gewährleistung bei Privatverkäufen auch einfach ausschließen kann.

Wie sah die Regelung eigentlich vor der Änderung des BGB 2002 aus? Afaik musste man auch davor schon Gewährleistung liefern oder ausschließen.

Ansonsten hat Danisch da mal ein paar interessante Sachen dazu geschrieben/gesagt:
Ein Haufen rechter Scheißdreck. Mehr muss man zu dem gesamten Blog nicht sagen.
 
Ich hatte heute das Thema auch noch einmal mit meinem Bruder etwas besprochen. Daraus die Punkte, die für hier auch interessant sein könnte:

a) Bei dem DSGVO fehlen tatsächlich noch die Auslegungshilfen und Urteile. Das Thema hatten wir uns hier also durchaus richtig erarbeitet bzw. die Hinweise, die gekommen sind, sind 100% korrekt. Und damit hat auch @White_Fox Recht, wenn er darauf hinweist, dass ein Anwalt hier also auch schlicht (noch) nicht wirklich viel sagen kann.

b) Ganz Wichtig bezüglich der Frage: Und was muss ich denn jetzt machen? Muss ich etwas machen? Wenn jemand hier unsicher ist und Fragen hat: Schreibt den Datenschutzbeauftragten eures Bundeslandes oder Datenschutzbeauftragten des Bundes an! Dann bekommt man eine klare Aussage, ob das was man vor hat, ok ist, ob Dinge vergessen wurden oder irgend etwas nicht ausreichend ist. Dies ist etwas, das mein Brunder mehrfach in der Vergangenheit gemacht hat und er hat da sehr gute Erfahrungen gemacht.
==> Damit hat man eine klare Aussage von der Behörde, die auch für Strafen zuständig wäre. So sich also Vorgaben nicht ändern, sollten Aussagen, die von dort kommen, relativ verlässlich sein.

Hier sehe ich aber das Problem, dass ich veränderte Vorgaben nicht wirklich mitbekomme. Ein Datenschutzbeauftragter beobachtet das ja alleine schon auf Grund seiner beruflichen Situation deutlich stärker, hat regelmäßige Schulungen / Weiterbildungen u.s.w.! Dies habe ich aber nicht und so ich nicht gerade in den Nachrichten durch Zufall mitbekomme, dass da irgendwas, irgendwo von irgendwem beschlossen wurde und ich das auch einordnen und auf mich beziehen kann, dann ändert sich irgendwas grundlegend und ich bin der dumme, weil ich neue Anforderungen nicht einhalte ...

Aber speziell auf die Frage von @Tobias-nrw bezogen: Am Anfang könnte dies eine interessante Sache sein: Einmal direkt beim Datenschutzbeauftragten anfragen, was Du als Blogger noch beachten musst (bezüglich DSGVO - andere Themen werden die nicht behandeln! Also z.B. Telemediengesetz und so wegen Impressumspflicht werden die einem nicht sagen.

Das einfach einmal als kleine Rückmeldung, weil ich ja erwähnt hatte, dass ich das Gespräch suchen wollte.
 
a) Bei dem DSGVO fehlen tatsächlich noch die Auslegungshilfen und Urteile. Das Thema hatten wir uns hier also durchaus richtig erarbeitet bzw. die Hinweise, die gekommen sind, sind 100% korrekt. Und damit hat auch @White_Fox Recht, wenn er darauf hinweist, dass ein Anwalt hier also auch schlicht (noch) nicht wirklich viel sagen kann.
[...]
Hier sehe ich aber das Problem, dass ich veränderte Vorgaben nicht wirklich mitbekomme. Ein Datenschutzbeauftragter beobachtet das ja alleine schon auf Grund seiner beruflichen Situation deutlich stärker, hat regelmäßige Schulungen / Weiterbildungen u.s.w.! Dies habe ich aber nicht und so ich nicht gerade in den Nachrichten durch Zufall mitbekomme, dass da irgendwas, irgendwo von irgendwem beschlossen wurde und ich das auch einordnen und auf mich beziehen kann, dann ändert sich irgendwas grundlegend und ich bin der dumme, weil ich neue Anforderungen nicht einhalte ...
Wobei das beides Punkte sind, die keineswegs nur bei der DSGVO so sind, sondern nahezu die komplette Rechtsprechung betreffen.

Einfachstes Beispiel ist die StVO, interessiert da halt nur niemanden...
 
@mrBrown auf das Niveau lasse ich mich mal nicht herunter. Einfach etwas abkühlen mal...
Und was auf einmal die StVO mit diesem Thema zu tun haben soll muss ich auch nicht verstehen...

Zum Glück muss ich mich auch nicht weiter in einer extrem linksverorteten Filterblase/Echokammer aufhalten. :D
 
Einfachstes Beispiel ist die StVO, interessiert da halt nur niemanden...
Da kann man eben mit gesundem Menschenverstand ohne besondere Hintergrundkenntnisse ganz gut abschätzen, ob man etwas Illegales tut und ob das gravierende Konsequenzen hat. Beides trifft auf die DSGVO nicht zu. Das ist ja gerade das Problem und die Diskussion hier zeigt doch auch ganz deutlich, dass es da große Unsicherheit gibt.

Normalerweise sollte es ein Ziel der Gesetzgebung sein, dass Bürger, die sich einigermaßen normal und sozialverträglich verhalten, auch dann nichts allzu Schlimmes befürchten müssen, wenn sie in Rechtsfragen nicht so bewandert sind. Die DSGVO ist aber eine Bedrohung des Bürgers durch den Gesetzgeber.

Ganz nebenbei: Auch Unternehmer sind für mich Bürger. Ich kann diese Grundhaltung nicht verstehen, dass der größte Mist plötzlich in Ordnung ist, wenn Privatleute nicht betroffen sind. Ich sehe meinen Datenschutz nicht bedroht, wenn Meister Röhrig meine Adresse im PC speichert, weil er mein Klo reparieren soll. Und ich will nicht, dass er deswegen in Zukunft seine Bürokraft zur DSGVO-Schulung schickt, weil ich das nämlich - wie jede Menge anderen bürokratischen Unfug - letztendlich mitbezahlen muss.

Das (kommunizierte) politische Hauptziel war doch eigentlich, Datenmissbrauch durch Internetgiganten zu unterbinden. Die dadurch bedingten prozentualen Zusatzkosten pro Umsatzeinheit dürften für den Kleinbetrieb jetzt aber um ein Vielfaches höher sein, als für Google und Co., denen man dadurch einen Wettbewerbsvorteil verschafft hat.
 
Wie sah die Regelung eigentlich vor der Änderung des BGB 2002 aus? Afaik musste man auch davor schon Gewährleistung liefern oder ausschließen.
WIMRE gab es bei Privatkäufen keine Gewährleistung, ebenso wenig wie bei gebrauchten Dingen.

Damit hat man eine klare Aussage von der Behörde, die auch für Strafen zuständig wäre.
Sagen wir mal so: die Aussage der Behörde ist sicher besser als nichts. Prinzipiell hat die natürlich das gleiche Problem, wie unter a) genannt. Etwaige Bußgelder dürften allerdings auch das geringste Problem darstellen (zumindest bei Privatpersonen). Sich an die Behörde zu wenden, ist aber eine gute Idee :)

die Diskussion hier zeigt doch auch ganz deutlich, dass es da große Unsicherheit gibt.
https://www.onlinehaendler-news.de/e-recht/abmahnungen/131204-thueringen-will-mehr-datenschutzkontrollen-vornehmen - merh als 22.200 Anfragen in einem Jahr, nur in Thüringen, sagt alles. Ebenso die Aussage "Wir gehen raus, drehen einen Stein um und haben einen neuen Fall." - Tada.
 
Richtlinie, die im BGB umgesetzt wurde, und nach der man Gewährleistung bei Privatverkäufen auch einfach ausschließen kann.
Und was haben wir damit? Einen Hinweis auf eine absolute Selbstverständlichkeit unter wirklich jedem privaten Ebay-Angebot, die allenfalls dann mal auf ärgerliche Weise zum Tragen kommt, wenn man diesen Hinweis mal vergessen hat. Wem soll denn damit geholfen sein?
Das ist ein typischer Fall von "Danke für nichts".


Sagen wir mal so: die Aussage der Behörde ist sicher besser als nichts.
Wie sieht es eigentlich aus, wenn die Behörde sagt "Mach das so, dann ist alles gut", und der Richter später "Nein, a, b, c, ... fehlen noch, Strafe!"? Ich glaube nicht daß die Behörde eine Garantie für die Vollständigkeit oder gar Richtigkeit ihrer "Beratung" liefert und soweit ich weiß, entscheiden Richter immer noch nach eigenem Gusto, nicht dem einer Behörde.
 
Zuletzt bearbeitet:
Passende Stellenanzeigen aus deiner Region:

Neue Themen

Oben