encoder: Nochmals Fragen zur Datenschutzerklärung

Hallo Leute

Ich hatte wieder eine Unterhaltung mit jemandem der meinte ich kenne mich mit Datenschutzerklärungen aus. Drei interessante Fragen kamen dabei auf.

1

Muss der Betreiber einer Seite - ein Kindergarten - da auch reinschreiben wie mit den Daten der Kunden und Kinder umgegangen wird? Das wird alles außerhalb der Webseite abgewickelt, die Frage war ob trotzdem auf einer Webseite darüber informiert werden muss oder sollte wenn man schon eine hat.
Meine Antwort war das bezieht sich nur auf das was die Webseite macht, aber ganz sicher war ich mir damit nicht.

2

Es handelt sich um eine Webseite ohne irgendwelche Interaktionsmöglichkeiten, Kontaktformulare, Cookies und sonstiges, nur Infos sind drauf, aber man kann nichts aktiv machen. Würde dafür auch sowas genügen?

Als Besucher erklären Sie sich mit dieser Datenschutzerklärung einverstanden. Wir nutzen keine Cookies, Inhalte von Drittanbietern oder Plugins. Jedoch wird von unserem Webhoster die IP-Adresse, Name der Seite [... und was eben geloggt wird] in einem Logfile gespeichert, hierfür besteht keine Einspruchsmöglichkeit bei uns. Eine sonstige Verarbeitung Ihrer Daten erfolgt nicht, außer dass wir aus diesem Logfile die Anzahl der Seitenaufrufe für statistische Zwecke ermitteln.

Oder muss es das ganze seitenlange Geplapper sein mit Aufzählung von Paragraphen, Recht auf Widerspruch - obwohl hier kaum was passiert und die Speicherung der IP passiert vom Provider, Beschwerdestellen, berechtigtes Interesse - was der Provider macht weiß sowieso niemand genau, und zig sonstigen Sätzen die erzählen was alles NICHT passiert und wie man das was nicht passiert sperren lassen oder dagegen widersprechen kann.

3

Der Provider der Einrichtung speichert die IP Adressen mit Null als letzter Stelle. Ist das genügend anonymisiert um nicht mehr persönlich zu sein? So wie ich das sehe werden die Logs nicht gelöscht, aber von Beginn an so gespeichert.
Ist damit das "nicht wir aber der Provider speichert persönliche Daten was wir nicht beeinflussen, aber beschweren Sie sich ruhig trotzdem" hinfällig?

  1. Lieber encoder,

    für meine Antworten gilt: Ich bin kein Rechtsanwalt, sondern Laie. Betrachte meine Antworten daher als Denkanstöße und nicht als konkrete Handlungsanweisungen!

    Muss der Betreiber einer Seite - ein Kindergarten - da auch reinschreiben wie mit den Daten der Kunden und Kinder umgegangen wird?

    Nein. Das gehört in das Verfahrensverzeichnis.

    Meine Antwort war das bezieht sich nur auf das was die Webseite macht, aber ganz sicher war ich mir damit nicht.

    Du hattest richtig geantwortet.

    Es handelt sich um eine Webseite ohne irgendwelche Interaktionsmöglichkeiten, Kontaktformulare, Cookies und sonstiges, nur Infos sind drauf, aber man kann nichts aktiv machen.

    Das bedeutet, die einzigen personenbezogenen Daten sind die, die der Browser an den Server übermittelt.

    Als Besucher erklären Sie sich mit dieser Datenschutzerklärung einverstanden. Wir nutzen keine Cookies, Inhalte von Drittanbietern oder Plugins. Jedoch wird von unserem Webhoster die IP-Adresse, Name der Seite [... und was eben geloggt wird] in einem Logfile gespeichert, hierfür besteht keine Einspruchsmöglichkeit bei uns. Eine sonstige Verarbeitung Ihrer Daten erfolgt nicht, außer dass wir aus diesem Logfile die Anzahl der Seitenaufrufe für statistische Zwecke ermitteln.

    Da sehe ich dieses Henne-Ei-Problem, welches die DSGVO erzeugt: Damit der Seitenbesucher informiert entscheiden kann, ob er mit den Datenschutzpraktiken einverstanden ist, muss man ihn zuerst informieren. Das kann man aber nur, wenn er die Seite besucht. Aber genau dann werden ja bereits personenbezogene Daten erhoben.

    Die Formulierung mit dem Zwangseinverständnis empfinde ich als kontraproduktiv, denn sie klingt nach einem unmöglichen Opt-Out. Das darf laut DSGVO so wie ich sie verstanden habe nicht sein. Auch wenn es in der Praxis so ist, was die DSGVO aus techischen Gründen an dieser Stelle undurchführbar macht, muss das nicht in diesem Wortlaut in die Erklärung hinein. Besser ist es, den Schein einer Widerspruchsmöglichkeit zu wahren und eine Kontaktadresse für Widerrufe anzugeben.

    Was die Server-Logs angeht, so ist es möglich, die statistischen Auswertungen zeitnah anzufertigen und dann die Logs zu löschen. Das hat mit den Speicherfristen zu tun, an denen sich jemand stören könnte.

    Oder muss es das ganze seitenlange Geplapper sein

    Nein, ganz sicher nicht. Nur das Relevante. Und das ist eben eine Aufzählung der von der Seite "bedrohten" Persönlichkeitsrechte und welche Widerrufsmöglichkeiten man dafür hat und wie man sie nutzen kann.

    was der Provider macht weiß sowieso niemand genau,

    Dann solltest Du da einmal nachfragen!

    Der Provider der Einrichtung speichert die IP Adressen mit Null als letzter Stelle.

    Keine Ahnung, ob das als Anonymisierung bereits genügt. Bei Seiten, bei denen "Hasskommentare" gepostet werden können, müsste man die korrekte IP haben, um Rechtsansprüche geltend zu machen. Das nennt man rechtliche Grundlage. Deswegen ist es OK, wenn in solchen Fällen die IP nicht-anonymisiert gespeichert wird.

    Ist damit das "nicht wir aber der Provider speichert persönliche Daten was wir nicht beeinflussen, aber beschweren Sie sich ruhig trotzdem" hinfällig?

    Diese Frage hat mit den TOMs, den technischen und organisatorischen Maßnahmen zu tun. Diese gibst Du an den Provider ab. Das steht so bitte auch in Deiner Erklärung. Ob Du deswegen für die fragliche Seite eine Auftragsverarbeitung abschließen musst, oder ob das zuviel des Guten wäre, kann ich nicht beurteilen. In aller Regel sollte ein Provider aber darauf vorbereitet sein, dass ein Kunde das möchte, und einen unkomplizierten Vorgang zum Abschließen einer solchen AV anbieten. Unter dieser Voraussetzung wäre ein nicht-Abschließen dann kaum noch zu begründen.

    Liebe Grüße,

    Felix Riesterer.

  2. Hallo

    Ich hatte wieder eine Unterhaltung mit jemandem der meinte ich kenne mich mit Datenschutzerklärungen aus. Drei interessante Fragen kamen dabei auf.

    1

    Muss der Betreiber einer Seite - ein Kindergarten - da auch reinschreiben wie mit den Daten der Kunden und Kinder umgegangen wird? Das wird alles außerhalb der Webseite abgewickelt, die Frage war ob trotzdem auf einer Webseite darüber informiert werden muss oder sollte wenn man schon eine hat.
    Meine Antwort war das bezieht sich nur auf das was die Webseite macht, aber ganz sicher war ich mir damit nicht.

    Wenn eine Datenschutzerklärung explizit und nur für die Website erstellt werden soll (Warum erst jetzt?), dann soll sie sich auch nur auf das beziehen, was auf der Website passiert. Die Kita wird aber jenseits der Website auf jeden Fall Daten der Kunden und derer Kinder speichern und verarbeiten. Es ist dafür, bei Trennung der Erklärungen zwischen Website und Nicht-Website, auf jeden Fall eine weitere Datenschutzerklärung notwendig.

    Tschö, Auge

    --
    Eine Kerze stand [auf dem Abort] bereit, und der Almanach des vergangenen Jahres hing an einer Schnur. Die Herausgeber kannten ihre Leser und druckten den Almanach auf weiches, dünnes Papier.
    Kleine freie Männer von Terry Pratchett