Änderungen wegen der DSGVO

Malte

Es sind noch 44 Tage, bis die Regelungen aus der DSGVO umgesetzt werden müssen. Ich will nicht leugnen, dass ich das Thema ein wenig verschlampt habe, weil es einerseits etwas an der notwendigen Zeit mangelte, mich in die Materie einzuarbeiten, andererseits der Hersteller der Forensoftware einige Nachbesserungen anbieten wollte, die nun so langsam auf dem Weg sind.

Vorerst fällt mir dazu folgendes ein:

Die Einbindung externer Inhalte, etwa von twitter, facebook oder YouTube habe ich eben mit sofortiger Wirkung wieder abgeschaltet. Bei dieser Einbindung werden Daten an externe Anbieter übertragen.
Die Einbindung der Werbeanzeigen oben rechts und unterhalb des Forums geschehen von meinem eigenen Server. Dort werden keine personenbezogenen Daten erhoben oder verarbeitet, es wird lediglich anonymisiert mitgezählt, wie oft eine Anzeige angeklickt wurde.
Der Besucherzähler läuft über Matomo, ehemals Piwik, das ich ebenfalls auf meinem eigenen Server betreibe. Matomo ist schon seit Ewigkeiten so weit konfiguriert, dass es (hoffentlich) dem deutschen Datenschutz genügt, dort muss ich mich noch mal damit befassen, ob das alles mit rechten Dingen zugeht.

Ich werde hier im Thread weitere Antworten anhängen, sobald ich weiter mit der Materie vorangekommen bin.

Gerhart

Dir fehlt ne ordentliche Datenschutzerklärung. Inspiration gibt's hier:

https://www.uni-muenster.de/Jura.itm/hoere…-der-DSGVO.docx

Und überhaupt verarbeitest du jede Menge an personenbezogenen Daten. Angefangen bei IP-Adressen und sonstige HTTP-Metadaten alle Besucher über User-Profile bis hin zu allen Inhalten die wir hier so reinstellen.

Externe Inhalte sind akzeptabel, wenn erst nach einem Klick darauf der Browser eine Verbindung dorthin aufbaut. Bis dahin könntest du einen Platzhalter für z. B. Youtube-Video anzeigen "Klick mich um das Video zu sehen, aber dann werden deine Daten an Google übertragen!" oder wenn Google's Lizenzen das zulassen ein einzelnes Bild vom Video bei dir auf dem Server zwischenspeichern.

Die Seite versucht auch jquery von "ajax.googleapis.com" zu laden sowie "https://fonts.googleapis.com/css".

Aus meiner Sicht die wichtigsten Dinge:

* Keine Inhalte ungefragt von fremden Servern laden

* DSGVO-Konforme Erklärung:
* Rechte der Betroffenen

* Alles was an Daten verarbeitet wird, auflisten und für jede Kategorie begründen, warum du sie verarbeitest und warum und wie lange du sie speicherst. Und da es ein Forum ist, auch welche Daten an wen weitergegeben werden.

* Schreiben, aufgrund welcher Rechtsgrundlage du welche Daten verarbeiten/speichern darfst. Bei vielen Daten wird das die explizite Erlaubnis durch den User sein. Überleg dir was, wie du diese Erlaubnis abfragst und später einmal nachvollziehbar ist, dass die Erlaubnis tatsächlich erteilt wurde.

* Nochmal klar darauf hinweisen, was alles öffentlich gemacht wird und die User idealerweise mit Pseudonymen arbeiten sollten und sich genau überlegen sollten, was sie hier posten.

* Dich auf Anfragen wie https://www.heise.de/ct/ausgabe/201…te-3965940.html vorbereiten. Siehe noch ftp://ftp.heise.de/pub/ct/listings/1805-112.zip

Ich muss da für meine eigene (geschäftliche) Webseite auch noch ran.

Malte

Danke für die vielen Hinweise.

Ich habe eben noch das Laden von jQuery abgestellt und die Einbettung der Google-Karte deaktiviert.

Ich hoffe eigentlich immer noch darauf, dass der Anbieter der Forensoftware ein entsprechendes Update für Datenschutzkonformität folgt, das nähme mir relativ viel Aufwand ab.

foobar

jQuery und gfonts kannst du lokal nutzen. Für jQuery gibt’s im ACP eine Option (ab WSC 3.1 ist’s wohl Standard), für die Fonts ein Plugin

WS 3.x Lokale Google Fonts - Downloads - cls-design oder die manuelle Variante Heruntergeladene Schriften einbinden - WoltLab Suite 3.1 - WoltLab®

Woltlab wird meiner Einschätzung nach nur eine angepasste Datenschutzerklärung liefern, die könnte man sich aber auch bei entsprechenden Generatoren zusammenklicken. (Dabei aber das Kleingedruckte lesen …)

Ritzelfresser

Uh das kann happig werden. Aber such dir am Besten gleich mal die Anschrift von deiner zuständigen Datenschutzbehörde raus und nerv die proaktiv. Die haben auch die Aufgabe zu helfen. Ich stecke auch seit ein paar Wochen bis zum ... Hals in dem Thema, aber best-practice muss ich erst noch entwickeln.

Malte

Mal kurz fürs Protokoll: Mein Hoster manitu rechnet etwa Mitte Mai mit weiteren Informationen zur DSGVO. Das wird ja zeitlich relativ happig.

Gerhart

Ist schon knapp

Aber die Hauptarbeit hast sowieso du selbst (Datenschutzerklärung).

Malte

harald_legner hat vorhin auf facebook einen ganz wichtigen Aspekt erwähnt, über den ich mir auch schon mal den Kopf zerbrochen habe: Die digitale Fotografie ist natürlich auch von der DSGVO betroffen. Im Netz findet sich dazu mittlerweile recht viel einschlägige Literatur, beispielsweise: Wissen zur DSGVO – 7 Tipps für Fotografen und Personenfotos veröffentlichen – “Recht am Bild” und Datenschutz in sechs Beispielen

Die Kurzfassung lautet: Digitale Filmaufnahmen von Motiven, auf denen sich auch Menschen befinden, stellen eine Form der Verarbeitung personenbezogener Daten dar, etwa in der Form von so genannten EXIF-Daten, die zusammen mit dem Bild gespeichert werden und Aufnahmeort und -zeit enthalten. So lassen sich Rückschlüsse führen, dass die abgebildete Person an einem bestimmten Zeitpunkt an einem bestimmten Ort zugange war.

Das lässt sich schwer mit den seit über einen Jahrhundert bewährten Regelungen aus dem Kunsturhebergesetz in Einklang bringen, aus dem beispielsweise die Panoramafreiheit entwickelt wurde. Sofern Menschen lediglich als Beiwerk auf einem Motiv zu sehen waren, war das okay — genau wie beispielsweise Fotos von Versammlungen oder Veranstaltungen.

Die DSVGO sieht eigentlich vor, dass die nationalen Gesetzgeber Regelungen implementieren, die eine Ausübung der Meinungs- und Kunstfreiheit auch nach dem 25. Mai garantieren. Die meisten Länder im Geltungsbereich der DSVGO haben das bereits erledigt — die Bundesregierung hat sich offenbar explizit dagegen entschieden. So bleibt es lediglich bei einer Regelung für Presse- und Rundfunkanstalten.

Generell ist ab dem 25. Mai jede Fotoaufnahme extrem problematisch, sobald Personen darauf zu erkennen sind — und zwar bereits die Aufnahme, nicht erst die Veröffentlichung, wie es in der Vergangenheit der Fall war. Webseiten mit Benutzerprofilen und der damit einhergehenden Datenverarbeitung lassen sich womöglich noch in Einklang mit der DSVGO bringen, bei Fotos draußen auf der Straße oder im Urlaub ist es vollkommen unmöglich, als Privatperson im Einklang mit der DSVGO zu handeln. Allein das Einholen der schriftlichen Einwilligung der abgebildeten Personen dürfte realitätsfremd sein, das Entsprechen jeglicher Verarbeitungs- und Verwahrungsregelungen gar unmöglich.

Das betrifft mich und eine ganze Reihe der von mir betriebenen Webseiten, insbesondere dieses Forum, criticalmass.in und Fahrradstadt.Hamburg.

Bei Fahrradstadt.Hamburg sehe ich überhaupt keine Möglichkeit mehr, im Einklang mit der DSVGO zu handeln. Es geht schlichtweg nicht. Wenn das Ziel einer solchen Webseite ist, den steigenden Radverkehrsanteil in einer Stadt zu dokumentieren und dabei mehr oder weniger zwangsläufig Menschen auf dem Fahrrad abgebildet werden, dann können solche Fotos künftig nicht mehr regelungskonform ausgestellt werden. Damit hat sich die Sache dann erledigt: Die Seite werde ich im Laufe der nächsten Wochen schließen. Vielleicht gibt es für diesen Domainnamen ja noch einen zusätzlichen Verwendungszweck.

criticalmass.in enthält abseits der Fotogalerien wenigstens noch einigermaßen interessante Inhalte, die sich auch künftig im Sinne des DSVGO abbilden lassen. Ohne die Fotos der Critical-Mass-Radtouren dürfte für die meisten Nutzer zwar der wesentliche Grund entfallen, die Seite überhaupt aufzurufen, aber dann ist das nunmal so. Dort werde ich in den nächsten Wochen die Bildergalerien deaktivieren und den Rest der Seite weiter betreiben.

Bei diesem Forum weiß ich immer noch nicht, wie ich künftig mit Fotos umgehen soll. Das wird eine recht interessante Sache — womöglich läuft es tatsächlich darauf hinaus, dass ich alle verlinkten oder angehängten Fotos erst eimal manuell sichte und dann freischalte. Was das für Auswirkungen auf den Betrieb eines Internetforums hat, mag sich jeder selbst ausmalen.

Fahrbahnradler

Man könnte fast auf die Idee kommen, dass die Bundesregierung hier ganz geschickt Interessenpolitik für die großen Medienkonzerne betreibt ...

Malte

Zitat von Fahrbahnradler

Man könnte fast auf die Idee kommen, dass die Bundesregierung hier ganz geschickt Interessenpolitik für die großen Medienkonzerne betreibt ...

Ich weiß nicht, ob die Bundesregierung eine wie auch immer geartete Motivation hatte, in diesem Fall einfach untätig zu bleiben. Vielleicht wird hier auf das beim Radverkehr beliebte Prinzip gesetzt: Den Beschilderungsaufwand kann man sich sparen, der Radverkehr wird sich seinen Weg suchen.

Gerhart

Ich sehe die Verarbeitung (Fotos machen die nur auf der SD-Karte landen) durch §6 Abs. 1 Nr 5,6 gedeckt.

Die Bilder sollten dann aber auch anonymisiert werden, d.h. Personen gepixelt.

Man kann sich auch erstmal mit §2 Abs. 2 (c) rausreden.

RadleroderAlster

Du könntest die Gesichter der erkennbaren Personen doch einfach verpixeln, wie schon gesagt wurde. Dann kannst du sie normal hochladen.

Ich hatte das zufälligerweise gerade neulich morgen in der S-Bahn als ich zur Arbeit gefahren bin. Da hat auf einmal ein Typ sein Handy hochgehalten und in meine Richtung Fotos gemacht. Auch auf Meckern einer Mitfahrerin hat er nicht reagiert. Hab mich dann einfach weggedreht und musst eh aussteigen aber ich frage mich was der fotografieren wollte.

Malte

Zitat von Gerhart

Ich sehe die Verarbeitung (Fotos machen die nur auf der SD-Karte landen) durch §6 Abs. 1 Nr 5,6 gedeckt.

Die Bilder sollten dann aber auch anonymisiert werden, d.h. Personen gepixelt.

Man kann sich auch erstmal mit §2 Abs. 2 (c) rausreden.

Ich glaube nicht, dass ich mich auf Art. 2 Abs. 2 Nr. c DSGVO berufen kann. Damit wäre ja der Wirkungsraum der Verordnung komplett ausgehebelt.

Zitat von RadleroderAlster

Du könntest die Gesichter der erkennbaren Personen doch einfach verpixeln, wie schon gesagt wurde. Dann kannst du sie normal hochladen.

Die DSGVO untersagt bereits die Speicherung personenbezogener Daten, wie es beim Fotografieren passiert:

Zitat

Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Es geht nicht wie früher darum, dass das KunstUrhG gewisse Regelungen zur Veröffentlichung von Bildern enthält, hier ist nach momentaner Interpretation bereits die Anfertigung unzulässig, sofern nicht zuvor die Einverständniserklärung eingeholt wurde. Ein nachträgliches Verpixeln der Fotos sorgt eben nicht dafür, dass die bereits im Vorfeld erfolgte Datenverarbeitung legalisiert würde.

Malte

Total super wird übrigens die Möglichkeit, die Einwilligung zur Verarbeitung personenbezogener Daten zu widerrufen.

Bezüglich Foto- und Filmaufnahmen bedeutet das nämlich, dass die Fotos mindestens „depubliziert“ werden müssen, womöglich auch eine Löschung inklusive rechtssicherer Dokumentation notwendig ist. Bei den angesprochenen Fotos der Critical Mass ist das schade, lästig, aber möglich: Man löscht die Fotos und sämtliche Backups.

Und bei Filmen? Man stelle sich vor, der Statist einer deutschen Filmproduktion widerruft sein Einverständnis zur Abbildung in einem Film. Werden dann alle Kinovorstellungen gestrichen?

Die Bundesregierung hat auf diese Problematik überhaupt noch gar keine Antworten geliefert: Videoaufnahmen werden zum Risiko: Zur neuen EU-Datenschutz-Grundverordnung

Peter Viehrig

Weiterführender Link zum Thema:

https://www.ipcl-rieck.com/allgemein/wiss…fotografen.html

Zitat von ipcl-rieck.com

Ab dem 25. Mai 2018 gilt: Jede digitale Anfertigung eines Fotos, auf dem Personen erkennbar abgebildet sind, ist eine Datenerhebung. Ohne Einwilligung dürfen personenbezogene Fotos im Rahmen des KUG nur noch von der so genannten „institutionalisierten“ Presse und dem Rundfunk sowie den für sie arbeitenden Journalisten und Unternehmen angefertigt und genutzt werden. Damit haben z.B. freie Sportfotografen, freie Konzertfotografen, Hochzeitsfotografen und der gesamte Bereich Street Photography ab dem 25. Mai 2018 ein gravierendes Problem. Gemäß Art. 2 Abs. 1 DSGVO gilt die DSGVO ohne Einschränkungen „für ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“. Damit ist jegliche „automatisierte Verarbeitung“ ohne Einwilligung oder „berechtigtes Interesse“ grundsätzlich verboten. Nur, wenn ein so genannter Erlaubnistatbestand der DSGVO in Frage kommt, kann ausnahmsweise eine Erlaubnis vorliegen. Somit ist dann jede digitale Speicherung von personenbezogenen Fotos grundsätzlich verboten.

Sehr umfangreich und auch tiefgehend geschrieben, lohnt sich gerade deshalb, weil verständlich gehalten.

David Scott

Und wie schaut es dann mit Sofortbildkameras aus, sowas gibt es ja auch wieder (https://www.amazon.de/dp/B01LZAW2EP/…coding=UTF8&me=) ? Bild vom Radwegparker gemacht und direkt ausgedruckt.

Oder muss ich da im Dachboden die alte analoge Kamera von meinem Opa raussuchen?

Malte

Zitat von David Scott

Und wie schaut es dann mit Sofortbildkameras aus, sowas gibt es ja auch wieder ? Bild vom Radwegparker gemacht und direkt ausgedruckt.

Bei analogen Kameras findet keine Verarbeitung der Daten im Sinne der DSGVO statt.

Malte

Woltlab hat am Donnerstag eine Anleitung zur Umsetzung der DSVGO veröffentlicht.

David Scott

Gerade gelesen: https://www.heise.de/newsticker/mel….html?seite=all

Malte

Zitat von David Scott

Gerade gelesen: https://www.heise.de/newsticker/mel….html?seite=all

Das hilft nach meiner Auffassung recht wenig, wenn ein österreichischer Dienstleister auch deutsche Kunden hat