GDPR/DSGVO - Datenschutzverordnung

[uwe.ha]

IP-Adressen gelten auch als personenbezogene Daten, siehe https://m.heise.de/newsticker/meldung/E ... 95077.html

[Gumfuzi]

https://www.datenschutz.org/ip-adresse-datenschutz/
Hinweis in der Datenschutzerklärung sollte derzeit genügen, bis sich irgend wann man die Gerichte entscheiden.

[Gumfuzi]

https://www.wko.at/service/unternehmens ... faq.html#6

Bitte um Beispiele wann Unternehmen unter 250 Mitarbeiter kein Verzeichnis für Verarbeitungstätigkeiten anlegen müssen (wenn kein Risiko für Rechte und Freiheiten der betroffenen Personen durch Datenverarbeitung besteht), was heißt das zum Beispiel?

Gleich vorweg: Diese Ausnahmebestimmung ist nicht sehr praxisrelevant. Der Gesetzestext spricht hier allgemein vom „Risiko für Rechte und Freiheiten der betroffenen Personen“, er schränkt hier nicht auf ein „hohes“ oder „besonderes“ Risiko ein. Naturgemäß birgt jedoch jede Verarbeitung personenbezogener Daten ein Risiko, wodurch wiederum alle Datenverarbeitungen verzeichnet werden müssten. Man muss also wohl davon ausgehen, dass der Gesetzgeber hier doch ein „besonderes Risiko“ gemeint hat. Als eine in diesem Sinne riskante Datenverarbeitung wurde in der Literatur beispielsweise das Scoring genannt, also die Bewertung der Kreditwürdigkeit durch den Kreditschutzverband in Österreich. Es ist daher zum jetzigen Zeitpunkt davon auszugehen, dass grundsätzlich jedes Unternehmen, das eine Kundendatenbank führt oder eine Mitarbeiterverwaltung betreibt, ein Verarbeitungsverzeichnis benötigt.

Eine Ausnahme von der Verzeichnisführung besteht, wenn "die Verarbeitung nur gelegentlich erfolgt". Was ist "gelegentlich"?

Der Begriff „gelegentlich“ ist in der DSGVO nicht näher erläutert. Gemeint dürften Verarbeitungen sein, die nur sporadisch, wenn gerade Gelegenheit besteht, erfolgen. Als Beispiel wird das Anfertigen von Fotografien auf einem Firmenevent genannt.

Diese Ausnahmebestimmung ist jedoch insgesamt nicht sehr praxisrelevant. Es ist daher zum jetzigen Zeitpunkt davon auszugehen, dass grundsätzlich jedes Unternehmen, das eine Kundendatenbank führt oder eine Mitarbeiterverwaltung betreibt, ein Verarbeitungsverzeichnis benötigt.

Eine Kundendatenbank hat jedes Forum bzw. CMS - d.h. ich brauche ein Verarbeitungsverzeichnis, auch wenn ich keinen Shop betriebe, sondern nur ein Forum/CMS?
Ein ehrenamtlicher Moderator ist aber wohl kein "Mitarbeiter" im Sinne der DSGVO, oder?

[Scanialady]

Ohne Worte...

Das sollen wir eventuell nächstes Jahr mit ePrivacy haben?

Schaut euch mal auf dieser Seite die Cookie-Akzeptanz-Geschichte im Kopf an... https://www.activemind.de/magazin/bussgelder-dsgvo/
Ich kurbele immer noch meinen Kiefer wieder hoch.

[Gumfuzi]

Die Cookieleiste ist ja der Wahnsinn.

Der Inhalt des Artikels auch.

[hackepeter13]

Schaut euch mal auf dieser Seite die Cookie-Akzeptanz-Geschichte im Kopf an... https://www.activemind.de/magazin/bussgelder-dsgvo/

Meinst du die Cookie-Leiste mit Einstellmöglichkeiten?

Die hab ich schon bei einigen großen Unternehmen gesehen.

Ich hab mir auch schon Dienstleister für solche Einstell-Leisten angeschaut, aber die verlangen alle eine ordentliche Monatsgebühr.

[Kirk]

Ich habe die letzten 3 Beiträge mal hier rein verschoben weil es mit der EXT Privacy protection (DSGVO) nicht zu tun hat.
Eines hat die neue Datenschutzverordnung geschaffen, Dienstleister für solche Einstell-Leisten .

[Gumfuzi]

Eigentlich sollte es reichen wenn du für Gäste unter dem posting Formular eine Checkbox einbaust.

Am besten so, das der Button "Absenden" erst aktiviert (anklickbar) wird, wenn ein Haken zum Akzeptieren gesetzt wurde.

Und wenn man es ganz penibel/perfekt haben will, musste zum Beitrag selbst in der Datenbank auch eine Art "OK" oder so hinterlegt werden (Datum ist ja anhand des Beitrag erkennbar).
So hätte man es quasi schwarz auf weiß, das die Bedingungen akzeptiert wurde.

Das wäre das "i" Tüpfelchen um es mal so zu formulieren!

Angenommen:
- Serverlogfiles sind notwendig, daher "ok"
- Gäste müssen beim Posten ein Häkchen setzen, damit sie die Einwilligung geben
alles ok.

Das große Fragezeichen:
Wenn jemand nicht einverstanden ist, was mache ich mit dem?
Als User kann ich ihn in eine eingeschränkte Gruppe geben.
Als Gast kann er nicht posten, weil er ja das Häkchen nicht setzt. Überlegt er sich das anders, muss er nur das Häkchen wieder setzen.

Aber der Google Werbebanner darf den Ablehnern (User und Gäste) dann nicht gezeigt werden? dort wandern ja auch Daten rüber, auch wenn ich das in der Datenschutzerklärung beschrieben habe. Oder ist das ok, solange in der DS-Erklärung ein Hinweis dazu ist?

[Joyce&Luna]

Ich werde User die abgelehnt haben nach 14 Tage löschen.
Dies wird auch in dem Text den er angezeigt bekommt erwähnt.
Bis dahin kann er es sich selber überlegen, was er möchte.
Da meine User überschaulich sind, dürfte das kein Problem sein
Was ich mit den Forenleichen mache, das weiß ich noch nicht.

Sicher könnte ich auch die Ext verwenden wo er dies selber machen kann, aber ich möchte schon das selber in der Hand nehmen.
Eine Checkbox im Kontaktformular ist meines erachten nicht notwendig, es reich ein Link zur Datenschutzerklärung.

[uwe.ha]

Aber der Google Werbebanner darf den Ablehnern (User und Gäste) dann nicht gezeigt werden? dort wandern ja auch Daten rüber, auch wenn ich das in der Datenschutzerklärung beschrieben habe. Oder ist das ok, solange in der DS-Erklärung ein Hinweis dazu ist?

Man darf sehr wohl Daten erheben, also auch Werbung ausspielen, wenn man dazu ein berechtigtes Interesse hat ... siehe Artikel 6 - Rechtmäßigkeit der Verarbeitung unter https://dsgvo-gesetz.de/art-6-dsgvo/ , bei Werbung (AdSense) oder Analyse (Analytics) ist das idR Punkt f):

die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, ...