Lieber encoder,

für meine Antworten gilt: Ich bin kein Rechtsanwalt, sondern Laie. Betrachte meine Antworten daher als Denkanstöße und nicht als konkrete Handlungsanweisungen!

Muss der Betreiber einer Seite - ein Kindergarten - da auch reinschreiben wie mit den Daten der Kunden und Kinder umgegangen wird?

Nein. Das gehört in das Verfahrensverzeichnis.

Meine Antwort war das bezieht sich nur auf das was die Webseite macht, aber ganz sicher war ich mir damit nicht.

Du hattest richtig geantwortet.

Es handelt sich um eine Webseite ohne irgendwelche Interaktionsmöglichkeiten, Kontaktformulare, Cookies und sonstiges, nur Infos sind drauf, aber man kann nichts aktiv machen.

Das bedeutet, die einzigen personenbezogenen Daten sind die, die der Browser an den Server übermittelt.

Als Besucher erklären Sie sich mit dieser Datenschutzerklärung einverstanden. Wir nutzen keine Cookies, Inhalte von Drittanbietern oder Plugins. Jedoch wird von unserem Webhoster die IP-Adresse, Name der Seite [... und was eben geloggt wird] in einem Logfile gespeichert, hierfür besteht keine Einspruchsmöglichkeit bei uns. Eine sonstige Verarbeitung Ihrer Daten erfolgt nicht, außer dass wir aus diesem Logfile die Anzahl der Seitenaufrufe für statistische Zwecke ermitteln.

Da sehe ich dieses Henne-Ei-Problem, welches die DSGVO erzeugt: Damit der Seitenbesucher informiert entscheiden kann, ob er mit den Datenschutzpraktiken einverstanden ist, muss man ihn zuerst informieren. Das kann man aber nur, wenn er die Seite besucht. Aber genau dann werden ja bereits personenbezogene Daten erhoben.

Die Formulierung mit dem Zwangseinverständnis empfinde ich als kontraproduktiv, denn sie klingt nach einem unmöglichen Opt-Out. Das darf laut DSGVO so wie ich sie verstanden habe nicht sein. Auch wenn es in der Praxis so ist, was die DSGVO aus techischen Gründen an dieser Stelle undurchführbar macht, muss das nicht in diesem Wortlaut in die Erklärung hinein. Besser ist es, den Schein einer Widerspruchsmöglichkeit zu wahren und eine Kontaktadresse für Widerrufe anzugeben.

Was die Server-Logs angeht, so ist es möglich, die statistischen Auswertungen zeitnah anzufertigen und dann die Logs zu löschen. Das hat mit den Speicherfristen zu tun, an denen sich jemand stören könnte.

Oder muss es das ganze seitenlange Geplapper sein

Nein, ganz sicher nicht. Nur das Relevante. Und das ist eben eine Aufzählung der von der Seite "bedrohten" Persönlichkeitsrechte und welche Widerrufsmöglichkeiten man dafür hat und wie man sie nutzen kann.

was der Provider macht weiß sowieso niemand genau,

Dann solltest Du da einmal nachfragen!

Der Provider der Einrichtung speichert die IP Adressen mit Null als letzter Stelle.

Keine Ahnung, ob das als Anonymisierung bereits genügt. Bei Seiten, bei denen "Hasskommentare" gepostet werden können, müsste man die korrekte IP haben, um Rechtsansprüche geltend zu machen. Das nennt man rechtliche Grundlage. Deswegen ist es OK, wenn in solchen Fällen die IP nicht-anonymisiert gespeichert wird.

Ist damit das "nicht wir aber der Provider speichert persönliche Daten was wir nicht beeinflussen, aber beschweren Sie sich ruhig trotzdem" hinfällig?

Diese Frage hat mit den TOMs, den technischen und organisatorischen Maßnahmen zu tun. Diese gibst Du an den Provider ab. Das steht so bitte auch in Deiner Erklärung. Ob Du deswegen für die fragliche Seite eine Auftragsverarbeitung abschließen musst, oder ob das zuviel des Guten wäre, kann ich nicht beurteilen. In aller Regel sollte ein Provider aber darauf vorbereitet sein, dass ein Kunde das möchte, und einen unkomplizierten Vorgang zum Abschließen einer solchen AV anbieten. Unter dieser Voraussetzung wäre ein nicht-Abschließen dann kaum noch zu begründen.

Liebe Grüße,

Felix Riesterer.