GDPR/DSGVO - Datenschutzverordnung

[musashi]

Für Analytics wirst du einen Vertrag zur Auftragsdatenverarbeitung mit Google abschließen müssen. Hier ein Mustervertrag. https://static.googleusercontent.com/me ... rms/de.pdf

In Deutschland musst du das wohl auf dem postalischen Weg machen. 2* ausdrucken, an Google Irland senden.

In Österreich reicht die digitale Zustimmung.

Ist hier aber Offtopic. Könnte ein Mod diesen Thread mal davon befreien und die allg. DSGVO Fragen mit dem dazugehörigen Thread mergen?

[Melmac]

Bin zwar kein Mod ...

Ich habe das Thema auch gleich noch oben angeheftet: es ist aktuell und wichtig genug hierfür (und ich erspare mir die ständige Sucherei nach ihm ... )

[Scanialady]

@Highsider:

Erstens: eine Zustimmungserklärung der betroffenen Person ist nichtig, wenn sie erzwungen wird. Erzwungen wird sie in dem Fall, wenn du sie rauswirfst, sollte sie nicht zustimmen.

Art. 7 DSGVO Bedingungen für die Einwilligung

Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.

1 Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist.
2 Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.

1 Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen.
2 Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
3 Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt.
4 Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.

Zweitens: die Datenerhebung ist erlaubt, solange sie zur Erfüllung des Vertrages mit der betroffenen Person erforderlich ist. - Nutzungsvertrag des Forums - Allerdings hat sie sich im Rahmen des unabdingbar notwendigen zu halten.

Das sehe ich als erfüllt an, ansonsten ist die Person hoffentlich durch meine Datenschutzerklärung hinreichend informiert, dass sie das Forum sofort verlassen und ihren Account selbst löschen kann.

Da dies kein Diskussionsthema zur DSGVO ist, sondern zur Entwicklung der Extension, die uns bei der Umsetzung helfen soll, sind diese Fragen hier nicht ganz am richtigen Platz. Es gibt ein Diskussionsthema hier: viewtopic.php?f=33&t=240489

Ansonsten: allgemeine Informationen beispielsweise unter
https://dsgvo-gesetz.de/kapitel-1/

_________________

Ich habe die Extension nun auch im Testboard installiert. Bis auf die Funktion zum Herunterladen der Beiträge (gemeldet auf Github) habe ich noch keinen Fehler bemerkt. Ich muss allerdings noch einiges ausprobieren.

[tas2580]

wenn ein User der Datenschutzerklärung widerspricht, dann kann er aus technischen Gründen nur mit Gastrechten weiterarbeiten. Selbst dabei fallen Daten an. Eigentlich darf er das Forum dann gar nicht nutzen, insbesondere wenn Google Adsense / Analytics genutzt werden.

Der Nutzer bekommt "nur" ein Session Cookie das übrigens auch Gäste bekommen. Das Session Cookie ist (behaupte ich jetzt einfach mal) technisch notwendig und darf also auch bei Nutzern die widersprechen gesetzt werden. Google Adsense/Analytics ist nicht technisch notwendig und muss somit für Nutzer die widersprechen abgeschaltet werden. Wobei Google ja meint dabei werden keine personenbezogene Daten erhoben, ob das so ist müssen wohl Gerichte klären.

Gruß Tobi

[Highsider]

Hi,

und wie wird der User erkannt, wenn er sich an einen anderen Rechner setzt oder zwischendurch mal alle Cookies löscht?

Gruß Dennis

[uwe.ha]

eine Zustimmungserklärung der betroffenen Person ist nichtig, wenn sie erzwungen wird. Erzwungen wird sie in dem Fall, wenn du sie rauswirfst, sollte sie nicht zustimmen.

Aber wie soll das in der Praxis funktionieren? Wenn jemand NICHt wünscht, dass Daten erhoben bzw. Cookies gesetzt werden und trotzdem die Seite weiter nutzt ... fallen - ggf. neben Session-Cookie - auch Daten in den Logfiles oder bei Google an.

Google Adsense/Analytics ist nicht technisch notwendig und muss somit für Nutzer die widersprechen abgeschaltet werden

Wie soll das in der Praxis funktionieren?

Google/Werbung ist zwar nicht technisch notwendig, aber zur Finanzierung einer Website oft zwingend notwendig ... und damit sollte Art. 6 Abs. 1 lit. d DSGVO als Rechtsgrundlage gelten:

die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

Ich habe meine Cookie-Consent-Meldung wiefolgt erweitert:

Diese Website nutzt Cookies. Es fallen auch personenbezogene Daten an. Durch die Nutzung dieser Website stimmen Sie der Nutzung von Cookies und der Erhebung von Daten zu! Sollten Sie dies NICHT wollen, müssen Sie diese Website bitte verlassen. Weitere Infos siehe DATENSCHUTZ

Wenn er es also nicht will, kann er die Website nicht weiter nutzen, und "muss" sie verlassen.

Das wäre genauso, als wenn jemand in ein Schwimmbad geht, sagt "Ich will nicht nass werden" ... und dann ins Wasser springt ... und danach den Bademeister verklagt, weil er nass geworden ist.

[tas2580]

und wie wird der User erkannt, wenn er sich an einen anderen Rechner setzt oder zwischendurch mal alle Cookies löscht?

Dann wird der User nicht erkannt, das war aber schon immer so.

Wie soll das in der Praxis funktionieren?

Cooke setzen wenn der User zugestimmt hat und nur dann den Code einbinden.

Google/Werbung ist zwar nicht technisch notwendig, aber zur Finanzierung einer Website oft zwingend notwendig ... und damit sollte Art. 6 Abs. 1 lit. d DSGVO als Rechtsgrundlage gelten:

Ich habe irgendwo gelesen das man sich darauf nur berufen kann wenn man sein Haupteinkommen durch Adsense hat. Wer nur ein paar Euro dazu verdient kann sich darauf nicht berufen.

Ich habe mittlerweile bei allen Seiten die weniger als 1000 Besucher am Tag haben Adsense raus geworfen denn wegen den paar Euro die da rum kommen lohnt sich das einfach nicht. Das Problem ist ja auch das man evtl. Schadcode über Adsense ausliefert und dann wenn es dumm läuft dafür haftet, siehe dazu https://www.youtube.com/watch?v=zJUmjtjCtY8
Da das jetzige Model der Online Werbung eh tot ist sollte man falls man auf das Geld angewiesen ist mal über alternativen nachdenken, auch dazu ist die DSGVO ein guter Anlass.

Gruß Tobi

[uwe.ha]

Wie soll das in der Praxis funktionieren?

Cooke setzen wenn der User zugestimmt hat und nur dann den Code einbinden.

Das kann ICH technisch bzw. vom know-how nicht, und die meisten auch nicht. Du sicherlich schon
Ich glaube Spiegel-Online (?) liefert einfach keine Inhalte aus (verwehrt so also die Nutzung), wenn jemand einen AdBlocker (vergleichbar mit "will keine Werbung) nutzt.

[Scanialady]

Ich kann auch so vieles technisch nicht, was ich dennoch zu liefern habe.

Denke mal nur an mein Auto. Ich bin nicht imstande, die Bremsen zu reparieren, doch bin ich gesetzlich verpflichtet, mein Auto in einem verkehrssicheren Zustand zu erhalten. Da ich es selbst nicht kann, muss ich einen Fachmann beauftragen.

Kann ich selbst mein Forum nicht in den Zustand versetzen, indem es gesetzlich sein sollte, dann muss auch hier wohl der Fachmann ran. Genau darum diskutieren wir hier überhaupt.

[uwe.ha]

Dat is ja alles schön un juut ... nur werden dann vielleicht 90% der Webseiten (mit AdSense & Co) zu machen, weil sie sich keinen Fachmann leisten können ... ich glaube, das ist noch nicht zu Ende gedacht, und es wird noch viele Gerichtsverfahren zu dem ganzen Themenkomplex geben.

Ich hatte mal eine Seite "schluss-mit-viren.tld". Dort hatte ich "gefordert", dass die Virenbekämpfung nicht auf Userseite stattfinden kann, sondern zentral von den Providern erfolgen muss. Damals bekam ich immer wieder als Feedback, dass doch nur jeder selbst entscheiden kann, was mit Virenmails passiert. Manche bestanden sogar darauf, "ihre" Virenmails auch bekommen zu wollen ...

Bei der DSGVO blicke ich mal in die Zukunft:
- Cookies kann jetzt schon jeder selbst im Browser deaktivieren
-> Es wird irgendwann Browser geben, bei denen ich selbt die DSGVO "einstellen" kann. Dann brauche ich nicht auf tausenden Seiten immer wieder - zb bezüglich des cookie-content Hinweises - auf "Verstanden" zu klicken. Denn das nervt mitlerweile genauso wie "Fragen Sie Ihren Arzt oder Apotheker"