In der ersten Folge zur Datenschutzgrundverodnung (DSGVO) haben wir die Grundlage der Datenschutzreform besprochen („DSGVO: Alles zur EU-Datenschutzgrundverordnung – Rechtsbelehrung Folge 54„). In dieser Folge geht es in die Praxis und wir befassen uns mit der Datenschutzerklärung.
Die Datenschutzerklärung ist das Aushängeschild der Datenverarbeitung und so zu sagen die Fassade, die den ersten Eindruck vermittelt. Aus diesem Grund sollte die Datenschutzerklärung vollständig (was mit der DSGVO zusätzliche Informationspflichten bedeutet), aber auch transparent und leicht zugänglich sein.
Wie diese Vorgaben umzusetzen sind, wann Risiken drohen und wann vielleicht ein Auge zugedrückt werden kann, erklären wir anhand von Beispielen und empfehlen dabei einen Blick auf den Datenschutzgenerator von Dr. Schwenke. Dort können sich Blogger und Kleinunternehmer eine kostenlose Datenschutzerklärung generieren lassen.
Viel Spaß beim Zuhören und wir hoffen ein bisschen Licht in die Datenschutzvorschriften gebracht zu haben!
P.S. Das Gewinnspiel läuft noch bis zum 7. Mai 2018 ist beendet, die Gewinner werden in der folge 56 bekanntgegeben:
Als Belohnung für die Ausdauer beim Zuhören, verlosen wir zwei Exemplare des “Formularhandbuch Datenschutzrecht” (Beck) von Matthias Lachenmann und Ansgar Koreng mit Mustern und Erläuterungen sowie drei Exemplare des Guides “DSGVO für Unternehmer – Ein verständlicher Ratgeber mit Mustern und Checklisten” (t3n) von Dr. Schwenke (Mit-Gastgeber des Podcasts).
Dazu müssen Sie nur in den Kommentaren schreiben, wofür die Buchstabenkombination “DSGVO” nicht steht. Das Gewinnspiel endet am 07. Mai 2018, Gewinner werden per Zufall gezogen und die Daten der Teilnehmer nur für das Gewinnspiel verwendet. Weitere Hinweise und Widerspruchsrechte in der Datenschutzerklärung.
Vollständige Shownotes
00:02:00 – Bin ich auch als Blogger oder Kleinunternehmer von der DSGVO betroffen? Und wie sieht es aus, wenn ich Bloggingplattformen oder Social Media Profile nutze?
00:08:00 – Wo muss die Datenschutzerklärung stehen?
00:14:30 – „One Pager“ oder was muss in einer Datenschutzerklärung stehen und wie kann sie umfangreich und zugleich verständlich sein?
00:19:00 – Die Pflicht zur Angabe des Verantwortlichen oder das Ende der Anonymität?
00:27:00 – Neu: Es müssen die Rechtsgrundlagen genannt werden.
00:33:00 – Ist eine https-Verbindung notwendig? Wie gut muss sie sein und ja, es gibt wirklich eine Updatepflicht.
00:42:00 – Speicherung der IP-Adressen durch Webserver.
00:46:00 – Reichweitenmessung und Onlinemarketing, Google Analytics und das Facebook-Pixel, Opt-Outs und Schlangenöl.
00:55:00 – Embedding von Videos, Tweets, Instagram-Bildern oder Facebook-Social-Plugins.
01:00:00 – Kernfunktionen, z.B. Onineshop, Kommentare und IP-Adressen, Akismet und Gravatar.
01:05:00 – Newsletter, Erfolgsmessung und Prottokollierung
01:11:00 – Embedding und Information der Nutzer beim Bezug von Daten aus Drittquellen (am Beispiel von Cambridge Analytica ).
01:16:00 – Werden die Cookie-Banner mit der DSGVO verschwinden oder warum das Cookiebanner häufig mehr schadet als nützt.
01:22:00 – Hausmeisterei.
Links zur Folge
- SSL Server Test (https-Tester)
- Ghostery ist eine Software, die den Anwender beim Surfen auf versteckte Dienste hinweist, die im Hintergrund private Daten an Seitenbetreiber übermitteln.
- Das EU-US Privacy Shield ist eine informelle Absprache auf dem Gebiet des Datenschutzrechts, die 2016 zwischen der EU und den USA ausgehandelt wurde.
- 2 Klicks für mehr Datenschutz von heise.de.
- YouTube-Videos datenschutzkonform einbetten von der c’t.
- Datenschutz und ePrivacy 2018 – Änderungen für Onlinemarketing, Tracking und Cookies von Dr. Schwenke.
- Datenschutz-Generator.de – Datenschutzgenerator für Privatpersonen und Kleinunternehmer.
Max
24. April 2018 at 14:46Zum Thema Let’s Encrypt:
tl;dr:
Let’s Encrypt ist für viele Anwendungen gleichwertig mit dem 100€-Zertifikat, dass der Webhoster vermittelt. Das Häkchen im Browser ist auch mit Let’s Encrypt grün.
Im Gegensatz zu CAcert oder selbstunterzeichneten Zertifikaten ist das besondere an Let’s Encrypt doch gerade eben, dass die Zertifikate von einer vertrauenswürdigen Instanz im Sinne der CA-Richtlinien der Browserhersteller unterschrieben sind. Zwar kann Let’s Encrypt unmöglich die Feststellung der Person leisten, die ein Zertifikat beantragt (manchmal Class 3 oder EV genannt). Für die Bereitstellung eines Zertifikats zur authentisierten Kommunikation mit einem Server – und darum geht es bei den Zertifikaten im Prinzip auch – ist es ausreichend, dass ein Zertifikat auch tatsächlich dem Verwalter einer Domain ausgestellt wird, ganz unabhängig von seiner Identität. Das kann Let’s Encrypt leisten. Es mag sehr sehr vereinzelt Systeme geben, die Let’s Encrypt nicht vertrauen. Dabei reden wird aber eher über Windows XP mit altem Internet Explorer.
Dentaku
24. April 2018 at 19:06Wollte ich auch gerade fragen: welcher aktuelle Browser beschwert sich denn noch über letsencrypt-Zertifikate?
Tim
11. Mai 2018 at 11:09Hallo,
schön dass es schon hier steht. Ich wollte auch gerade anmerken: Let’s Encrypt Zertifikate sind „große erwachsene Zertifikate“ denen Webbrowser vertrauen. Falls das nicht der Fall ist, ist was schief gelaufen.
Vielen Dank für den informativen Podcast!
Beste Grüße
Tim
Tobias Migge
24. April 2018 at 19:55„Vor die Klammer ziehen“ ist sowohl ein juristischer als auch ein mathematischer Terminus, wobei Ersterer aus Letzerem hervorging: https://de.wikipedia.org/wiki/Klammertechnik_(Recht)
Manuel
24. April 2018 at 20:58Der Fotografenverband FREELENS schlägt Alarm.
„Ab dem 25. Mai 2018 wird es eng. Eng für Fotografen, eng für die, die Fotos veröffentlichen.
Denn ab dem 25. Mai 2018 gilt die Europäische Datenschutz-Grundverordnung. Danach wird das Fotografieren von Menschen zu einem Akt der personenbezogenen Datenerhebung – und fällt somit unter die DSGVO. Das Problem: laut der neuen Verordnung muss bereits vor der Aufnahme die Einwilligung aller Abgebildeten eingeholt werden.“
Quelle: https://freelens.com/politik-medien/wenn-menschen-zum-problem-werden-die-meinungs-und-informationsfreiheit-verschwindet/
Inwieweit ist da etwas dran? Das wäre ja tatsächlich das Ende der Pressefreiheit.
Michael
25. April 2018 at 8:00Zu „personenbezogene Daten müssen verschlüsselt übertragen werden“
Zählt die Tracking ID/Tracking Cookie als personenbezogenes Datum? Wenn ja müssen nahezu alle Seiten verschlüsselt übertragen werden.
Die IP-Adresse zählt mittlerweile als personenbezogenes Datum. Dieses wird allerdings nicht verschlüsselt übertragen, da dies selbst für die Übertragung notwending ist.
Ich hoffe letzteres erzählt niemand dem Landgricht Hamburg, die bisher sehr gut darin waren das Internet kaputt zu machen.
Jürgen
25. April 2018 at 8:27Ich liebe die DSGVO, das Distelserum zur Gesundheitsvorsorge 😉
Florian
25. April 2018 at 20:31Wie steht es denn mit Webseiten die keine gewerblichen Zwecke verfolgen, und auch sonst keine „offensichtlichen“ Daten speichern. Ich betreibe sowohl für einen gemeinnützigen Verein als auch für eine Grundschule eine Website auf Basis von WordPress bei der die Nutzer aber ausschließlich per E-Mail Kontakt aufnehmen können und nirgends etwas eingeben können (im Sinne von Formularfeldern etc.) Hier werden zwar Daten zum Seitenaufruf gespeichert (z.B. mit WordPress Statistiken u.ä. und es gibt sicher auch irgendwelche Logfiles beim Hoster) aber die Daten sind ja nicht wirklich personenbezogen?
Volker
27. April 2018 at 19:16Wie immer herzlichen Dank für diese Folge und den aktualisierten Datenschutz-Generator!
Da ich sowohl eine Website als auch ein Blog habe, habe ich meine Datenschutz-Seiten mit dem Generator angepasst und um das Shariff-Skript und Google Translate ergänzt.
Diese Folge war wirklich hochinteressant!
DSGVO bedeutet (leider) nicht: Der Segen ganz vieler Onliner 🙂
Oliver
29. April 2018 at 17:27Im Podcast #54 spricht Dr. Schwenke kurz das Löschen der Kommentar-IPs an und erwähnt auch das Löschen der eMail-Adressen der Kommentatoren.
Wie will ich denn die Auskunftspflicht sicherstellen, wenn ich nicht mehr in der Lage bin die eMail-Adresse des Auskunftspflichtigen mit vorhandenen eMail-Adressen in meiner Datenbank abzugleichen?
Mit dem Abgleich wird doch sichergestellt, dass die abgefragten Daten tatsächlich an den Auskunftspflichtigen gehen und nicht an eine unbefugte Person.
Das Löschen der IP-Adressen halte ich im übrigen auch für fragwürdig, da ich ein berechtigtes Interesse habe bzw. verpflichtet bin, bei gesetzesverstoßenden (rechtsradikal/antisemitisch) Kommentaren u.U. mit entsprechenden Strafverfolgungsbehörden zusammen zu arbeiten und mich selbst zu exkulpieren.
Danke und mit freundlichen Grüßen
Matthias Doellert
3. Mai 2018 at 15:41DSGVO steht nicht für Die Schlechteste Grundverordnung, oder doch? 😉
Jan
4. Mai 2018 at 11:23Meiner Meinung nach heißt es ja: Dermaßen Sinnlose Grausamkeit Von Online-Neulingen
John
6. Mai 2018 at 5:29Es gibt ja die Do-Not-Track (DNT) Funktion von Browsern.
Gilt das Senden dieser Information bereits als Widerspruch gegen eine Verarbeitung auf Basis von Artikel 6 Absatz 1 f (berechtigtes Interesse)?
Räumt Artikel 21 Absatz 1 der betroffenen Person in diesem Sinne gegen die Abwägung des berechtigten Interesses besondere Rechte ein?
Oder anders gesagt, muss der Webseiten-Betreiber Nutzer mit dem DNT Flag anders behandeln?
Ich denke, dass ist eine spannende Frage im Sinne eines automatisierten Datenschutzaushandelns zwischen Browser und Server. Interessant wäre auch, wenn Server einen Link zur Datenschutzerklärung maschinenlesbar automatisch an den Browser senden würden, um sich das „Link sichtbar platzieren“ zu ersparen.
Vorstadtdelfin
6. Mai 2018 at 10:20DSGVO steht jedenfalls nicht für: Dieser Schwachsinn Gehört Verboten, Oder?
Schönen Sonntag allerseits!
Robin
7. Mai 2018 at 14:52Um auf solche neue Gesetze vorbereitet zu sein, ist es wohl immer gut sensibel mit Daten umzugehen. Ich denke mal, Daten Schon Vorsorglich Gut Organisieren hilft, auch wenn das in diesem Fall nicht für DSVGO steht 🙂
Danke für den Podcast!
MeraX
10. Mai 2018 at 13:24Moin,
vielen Dank für diese informative Sendung! Und vielen Dank auch für den https://datenschutz-generator.de/ an dem offensichtlich auch noch aktiv verbessert wird.
Was ich mich Frage: Warum liest man nirgends was darüber, ob und wie man über die Datenverarbeitung von Emails aufklären muss? Warum denken alle nur an den Zirkus, den man für Daten, die per http oder https kommen, machen muss und nicht daran, was mit Mails passiert?
Ein bisschen geht die Frage in die Bemerkung letzter Sendung, dass doch eigentlich der Arzt vor dem ersten Telefonat 5 Minuten lang seinen Datenumgang erklären müsste.
Hätte ich nicht einem Unternehmen gegenüber das Auskunftsrecht einmal alle Mails zu sehen, die sie zu meiner Emailadresse gepsichert haben? Und wenn ja: habe ich dieses Auskunftsrecht dem Unternehmen als ganzes gegenüber oder nur gegenüber jedem Sachbearbeiters, wenn es kein zentrales Mailarchiv gibt?
Wenn jemand dazu eine erhellende Meinung hat: vielen Dank im voraus!
Ein Hörer
10. Mai 2018 at 17:23P.S. Euer Impressum und eure Datenschutzerklärung sind nicht erreichbar.. 😉
test
12. Mai 2018 at 17:35test
Anonymous
13. Mai 2018 at 9:41Muss man auch eine Datenschutzerklaerung erstellen, wenn man WordPress ohne Kommentarfunktion nutzt und keine Daten verarbeitet?
Andreas
13. Mai 2018 at 13:04Tolle Folge mit vielen Infos und Danke für den Datenschutz Generator.
Gibt es in dem Generator eine Passage die auch die freien WordPress Blogs abdeckt ? (xyzabc.wordpress.com ). Da hat man rechts unten ein Follower Button für den Blog, der sich leider nicht abstellen lässt. Da muß man seine Email hinterlegen. :). Da muß doch bestimmt was in die Datenschutzerklärung .Danke für die Hilfe schon einmal.
Müssen wir freien WordPress Blogger noch was beachten, weil wir haben ja wirklich wenig Möglichkeiten was zu machen.
lg Andreas
davednb
16. Mai 2018 at 8:47Wie habt ihr das umgesetzt, dass bei Euch nur ein Datenschutzhinweis, aber keine Checkbox angezeigt wird? Das GDPR Compliance kann das nur mit Checkbox, hätte das auch gerne ohne…
Danke!
Andreas
18. Mai 2018 at 11:19Wie sieht es eigentlich mit Behörden und staatlichen Stellen aus? Die DSVGO ist doch eine europäische Grundverordnung. D.h. ein Staat kann sich nicht einfach darüber hinwegsetzen.
Was ist wenn meine Gemeinde ohne meine Einwilligung meine Daten an andere Stellen weiter gibt (z.B. GEZ)? Muss mir die Polizei oder auch der BND auf Anfrage auch alle Daten schicken, welche dort über mich gespeichert sind? Bzw. kann ich dort auch eine Löschung beantragen?
Anonymous
18. Mai 2018 at 15:11Wie sieht es eigentlich mit der Verwendung von CDNs aus?
Für das Laden von z.B. jQuery werden oft CDNs verwendet. Wenn nun die Library durch den Browser geladen wird, dann sendet der Browser praktisch unbemerkt einen Request an einen fremden Server.
Thomas Schwenke
8. Juli 2018 at 16:43Meines Erachtens auf Grundlage berechtigter Interessen zulässig. Allerdings sollten mit den jeweiligen Anbietern Auftragsverarbeitungsverträge geschlossen werden. Die größeren bieten derartige Verträge an (Englisch: Data Protection Agreement oder Addendum).
Karsten Socher
23. Mai 2018 at 22:55Hallo,
ich gehe mal davon, dass ihr hier einen WordPress-Blog verwendet. Wie bekomme ich einen Datenschutzhinweis hin, wie ihr ihn hier unter „Schreibe einen Kommentar“ habt? Ich finde bei mir keine Möglichkeit.
Danke!
Beste Grüße,
Karsten
Jan
17. Juni 2018 at 17:04Ich möchte ein bisschen technischen Background zu Gravatar nachreichen: WordPress überträgt keine E-Mailadresse(n) an Gravatar. Die E-Mailadresse wird mittels des MD5-Algorithmus gehasht und lässt sich somit seitens Gravatars zuordnen, ohne die tatsächliche Adresse zu kennen. Die Anfrage wird dann vom Browser der Seitenbesucher ausgeführt, nicht von dem Server des Webseitenbetreibers. Hier finden sich mehr Infos zum technischen Hintergrund: https://codex.wordpress.org/Using_Gravatars#How_a_Gravatar_is_Constructed
Wenn ein User auf 2 Seiten kommentiert die Gravatar einsetzen, dann sieht Gravatar, dass 2 Anfragen der selben (gehashten) E-Mailadresse eingetroffen sind und kann somit das Nutzungsverhalten des Users nachvollziehen, auch ohne, dass ein Konto bei Gravatar eingerichtet wurde. Gravatar kann allerdings diesem Nutzerprofil keinen personenbezogenen Daten zuordnen.