GDPR/DSGVO - Datenschutzverordnung

[Scanialady]

Wenn ein Benutzer mit Verweigerung der Zustimmung weniger Rechte hat als ein Gast - prüfe die Rechte des Gastes

Ansonsten sind die Bestimmungen für Gäste doch die gleichen, wie sie für Benutzer auch gelten. Informieren. Wenn etwas nicht gespeichert wird, kann man das ja auch sagen. Ein Satz mehr in der Datenschutzerklärung.

__________________

@Gumfuzi: nebenbei liebe ich deine Seite

[Gumfuzi]

Ja, die Rechte muss ich sowieso noch mal durchgehen im Hinblick auf die DSGVO.

P.S.: danke für's Kompliment (bin dort aber eher nur für das Technische zuständig, den Rest machen andere aus der Crew)

[couchpilot]

Wie habt ihr denn die Sache mit den Betroffenenrechten in Eurer DS Erklärung festgehalten ?

Alles haarklein und detailliert aufgezählt und erklärt wie so z.B:

Auskunftsrecht gemäß Art. 15 DSGVO: bla, bla
Recht auf Berichtigung gemäß Art. 16 DSGVO: bla, bla
Recht auf Löschung gemäß Art. 17 DSGVO: bla, bla
Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO: bla, bla
Recht auf Unterrichtung gemäß Art. 19 DSGVO: bla, bla
Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO: bla, bla
Recht auf Widerruf erteilter Einwilligungen gemäß Art. 7 Abs. 3 DSGVO: bla, bla
Recht auf Beschwerde gemäß Art. 77 DSGVO: bla, bla

Und gerade das Widerspruchsrecht muß ja wahrscheinlich detailliert erklärt werden, oder schießt man da schon übers Ziel hinaus ?

Und bei der Speicherdauer hab ich jetzt folgendes:

Dauer der Speicherung personenbezogener Daten
Während des Bestehens eines Accounts bei uns, ist die Dauer der Speicherung von personenbezogenen Daten unbegrenzt bzw. bemißt sich nach der Zeit einer Mitgliedschaft bei uns, da nur so die Funktionen des Forums gewährleistet sind. Bei Löschung Deines Accounts werden die persönlichen Daten sofort gelöscht (Nickname, Mailadresse und alle weiteren Profilangaben), Deine Beiträge und deren Daten (Datum, Uhrzeit, IP Adresse, Text) sind dann von den gelöschten Daten getrennt, dir somit nicht mehr zuzuordnen, und somit nicht mehr personenbezogen.

Ist das ausreichend und rechtskonform ?

[ZNC]

@couchpilot,

die Frage ob etwas rechtskonform ist, kann Dir nur ein Anwalt beantworten. Ich selber bin noch dabei, die DSVGO wieder und wieder zu lesen und hieraus etwas für mich zu formulieren, was der rechtlichen Informationspflicht genügen könnte. Sobald dies erledigt ist, werde ich die Datenschutzerklärung und die Foren-Nutzungsregeln einem Anwalt zur Prüfung vorlegen. Man sollte jedoch schon vorher einiges abgefaßt haben.

Ja, auch ich denke, dass es wichtig ist, auf alles einzugehen. Schwieriger ist es "das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache" abzufassen (lt. Artikel 7 Abs. 2).

Beim Widerspruchsrecht finde ich für mich die Formulierung ausreichend:
Dein Widerrufsrecht (DSVGO Artikel 7 Abs. 3)
Du hast das Recht, Deine Einwilligung jederzeit zu widerrufen. Durch den Widerruf Deiner Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

Zwar ist der 2. Satz aus dem Gesetz nicht in einer klaren und einfachen Sprache abgefaßt, aber mir als Privatperson wird dies ja auch zugemutet, deshalb übernehme ich diesen Satz vollumfänglich.

Zur Aufklärung über die Dauer wäre eine weitere Variante vielleicht:
Deine personenbezogenen Daten werden, solange Du als Mitglied unseres Forums bei uns einen Account hast, gespeichert. Bei Löschung Deines Accounts werden Deine persönlichen Daten wie Nickname, Mailadresse und eventuelle weitere Profilangaben umgehend gelöscht.
Nicht zu den personenbezogenen Daten zählen Deine Beiträge im Forum. Durch die Löschung Deines Accounts können diese Beiträge Deinem Account mit Deinen personenbezogenen Daten nicht mehr zugeordnet werden.

Gerade die IP-Adresse erachte ich als problematisch - würde ich anonymisieren. Hierzu Speicherung und Weitergabe von IP-Adressen des Landesbeauftragen für den Datenschutz in Niedersachsen und IP-Adressen – personenbezogene Daten.

Irgendwo (eventuell in den Nutzungsbedingungen) würde ich aber noch die "Einräumung von Nutzungsrechten" andocken, im Sinne von:
Mit dem Erstellen eines Beitrags erteilst Du dem Foren-Betreiber ein einfaches, zeitlich und räumlich unbeschränktes und unentgeltliches Recht, deinen Beitrag im Rahmen des Boards zu nutzen. Dieses Nutzungsrecht bleibt auch nach Kündigung des Nutzungsvertrages bestehen.

[Joyce&Luna]

Auch für die Hobby Fotografen oder User die Bilder im Forum setzen, ist es wichtig auch dies zu erwähnen.

https://www.lead-digital.de/dsvgo-vorsicht-kamera/

[couchpilot]

@ ZNC,

danke für die Gedanken dazu, klar, ich wollte hier auch keine Rechtsauskunft, ich meinte ja auch ob "Ihr Eurer Meinung nach das für rechtskonform" haltet

Und was die detaillierte Erklärung der Betroffennerechte angeht...wenn ich die juristischen Formulierungen aus dem gesetz nehme sind die nämlich nicht !in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache" abzufassen (lt. Artikel 7 Abs. 2)." Und wenn ich versuche die umzuformulieren wird wahrscheinlich was fehlen was juristisch gesehen wichtig ist. Wasn Dilemma.

Deine Widerspruchsformulierung gefällt mir, ich hab da bis jetzt noch nen ellenlangen Absatz stehen. Darf ich mir Deine 2 Sätze ausborgen und ergänzen ?

Das mit der Dauer der Datenspeicherung werd ich wohl so lassen, müssen, da ich die anonymisierung der IP Adressen, wie sie die Ext. vorsieht, nicht nutzen werde. Ich würde es für gelöschte User machen, aber diese Möglichkeit gibt tas seine extension (noch) nicht her.

Und auch wenn es gerade bei der IP Adresse viele Meinungen gibt, ich halte mich da an den „relativen“ Personenbezug. Ich als Webseitenbetreiber kann keinen Bezug zu Namen oder Wohnort herstellen da ich kein Provider bin, ergo sind es für mich in dem Moment keine persönlichen Daten.

Die Einräumung der Nutzungsrechte hab ich in meiner DS Erklärung auch schon drin und die halte ich auch für sehr wichtig.

[tas2580]

Ich würde es für gelöschte User machen, aber diese Möglichkeit gibt tas seine extension (noch) nicht her.

Mach ein Feature Request auf, kann man sicher recht einfach einbauen.

Ich als Webseitenbetreiber kann keinen Bezug zu Namen oder Wohnort herstellen da ich kein Provider bin, ergo sind es für mich in dem Moment keine persönlichen Daten.

Und damit auch nutzlose Daten

Gruß Tobi

[uwe.ha]

OT .... muss aber sein:
@tas2580: Deine DSE ist genial ... vor allem der letzte Absatz

[tas2580]

@tas2580: Deine DSE ist genial ... vor allem der letzte Absatz

In klar verständlicher Sprache und ehrlich. So wie vom Gesetz gefordert!

Gruß Tobi

[ZNC]

@Joyce&Luna, danke Dir für den Link. Digitale Fotos können so richtig zum Problem werden. Es ist gut, das personenbezogene Daten besser geschützt werden, auf der einen Seite, aber das noch nicht mal die Unkenntlichmachung als Anonymisierung zählt, dem stehe ich nunmehr ratlos gegenüber. Das Beste wäre dann, Personen auf Fotos komplett zu verbieten.

@couchpilot, Du mußt die Formulierung nicht borgen, benutz sie einfach.

Die IP-Adresse wird von vielen offiziellen Stellen als personenbezogene Daten betrachtet und ich vermute, dass die Juristen sich hiernach orientieren werden, sobald die ersten Urteile reinschneien. Durch die Anonymisierung beim Löschen sehe ich mich auf der sicheren Seite, ich brauche sie weder in Klarschrift noch nach dem Löschen.

@tas2580, obzwar ich Deine Extension noch nicht im Einsatz habe, danke für Deine Mühen.

@in Die Runde,
Bin etwas unbedarft, jedoch werden beim WebHoster nicht auch Daten erhoben, aus denen die IP meiner User hervorgeht? Wie sieht es damit aus? Wie geht ihr da vor? Müßte ich meine User darauf hinweisen, das die Dienste eines Webhosters in Anspruch genommen werden? Könnte die Speicherung der Daten auf einem ausländischen Server auch ein Bestandteil meiner Informationspflicht sein? Wie verpflichtet sich der Webhoster (als „Auftragsverarbeiter“ nach DSGVO: Kapitel 1: Artikel 4 Punkt zu gewährleisten, dass seine Mitarbeiter alles vertraulich behandeln? Puhhh ...

Noch eine Frage treibt mich um. Nehmen wir mal an, ein User beantragt die Löschung. Bei mir ginge dies nur über eMail, ich habe kein Kontakt-Formular. Diese eMail wird auf eine andere eMail-Adresse von mir weiter geleitet, von der der User keine Ahnung hat. Seine personenbezogene eMail-Adresse, sein NIckname und eventuelle andere personenbezogen Daten von ihm habe ich somit gespeichert. Nunmehr lösche ich ihn aus meinem Forum. Wie handhabt ihr ab Ende Mai solch ein Konstrukt? Löscht ihr dann auch diesen gesamten eMail-Vorgang? Muß ich den User, im Sinne von Pepetuum mobile, hierüber informieren?