Änderungen wegen der DSGVO

  • Angesichts der DSGVO und des aktuellen Art. 13 kursiert ja immer wieder die Behauptung, nichts werde so heiß gegessen wie gekocht und es würde schon alles gar nicht so schlimm und es wäre doch alles nur Panikmache.


    Das sehe ich nicht so. Im Zuge der DSGVO sind eine ganze Menge kleinerer oder mittlerer Webseiten aus dem Netz verschwunden, ausländische Onlineangebote haben teilweise den Zugriff für Nutzer aus der Europäischen Union eingeschränkt — allein: es fällt uns nicht auf, weil wir in unserer schnelllebigen Welt gewohnt sind, dass Internetseiten aus dem Netz verschwinden.


    Bei Enno Park gibt’s eine Liste von verschwundenen Seiten, einige Weblogs, die ich regelmäßig frequentiert habe, wurden ebenfalls aus dem Internet getilgt. Und was ich als besonders problematisch empfinde: Einige etwas abseits im Netz versteckte Diskussionsforen für Opfer sexueller, rechter oder rassistischer Gewalt oder Webseiten aus dem LBGT-Spektrum sind ebenfalls vor knapp einem Monat verschwunden — solche Webseiten waren und sind wichtig und sind jetzt einfach nicht mehr da. Bei letzteren kann man es wohl nachvollziehen, dass die Betreiber nicht so richtig Lust darauf haben, auf Auskunftsanfragen zu antworten.


    Aber weil das Netz eben so schnelllebig ist, weil eben hin und wieder Webseiten einfach so verschwinden und andere wieder aufploppen, fällt das eben nicht so richtig auf. Der normale Nutzer merkt gar nicht, dass da etwas fehlt.


    Und wenn jetzt im Zuge des Art. 13 noch mal eine ganze Menge Webseiten verschwinden, darunter auch quasi alle meiner eigenen Projekte, dann wird das dem normalen Nutzer ebenfalls nicht auffallen. Ein Großteil der Leute treibt sich nur bei Facebook oder Instagram oder BILD Online herum, das reicht für diese Menschen an Internet.


    Insofern: Ja, solche Regelungen wie die DSGVO und Art. 13 sind für das Internet fatal und lebensbedrohlich und äußerst bedenklich.

  • Das Handelsblatt plädiert scheinbar dafür, Datenschutz generell abzuschaffen und behauptet, es sei für die Wirtschaft unbedingt nötig, immer mehr und mehr personenbezogene Daten zu erheben/speichern/verarbeiten usw.


    Dem widerspreche ich. Man kann sehr vieles ohne personenbezogene Daten erreichen. Und man kann personenbezogene Daten anonymisieren, dann braucht man auch keine Einwilligung und kann damit tun was man will.

    Wenn man doch eine Einwilligung braucht, dann muss man nunmal die Betroffenen davon überzeugen, dass man ihre Grundrechte respektiert und mit den Daten sehr sorgsam umgeht.

    [edit]Und es gibt immernoch DSGVO/6/1/b bis DSGVO/6/1/f, womit häufig Daten ohne Einwilligung verarbeiten darf.[/edit]


    Andererseits ist es auch schon vor der DSGVO so gewesen, dass die meisten Menschen sich nicht wirklich für den Schutz ihrer Daten interessieren und Facebook&Co füttern.


    Ich gebe übrigens nur in Ausnahmefällen mein Einverständnis nach DSGVO/6/1/a. Google und Facebook haben z. B. keines bekommen. Amazon hat mich noch nicht gefragt.

    D.h. Facebook nutze ich nicht mehr. Google ist im noscript auf "block".


    Es wird auch gerichtlich geklärt werden, in wieweit diese Unternehmen überhaupt auf einer Einwilligung durch den User bestehen dürfen, Stichwort "Kopplungsverbot".


    Was mich auch intessiert: Wenn eine Webseite ungefragt Content von sagen wir mal Google lädt, z. B. eine google-maps-Karte, ist das ohne Einwilligung durch den User erlaubt? Welche Gewissheit habe ich als User der Webseite, dass Google ordentlich mit meinen Daten umgeht?

    Ich behaupte, dass es hierfür keine Rechtsgrundlage gibt:

    a) nein

    b) nein

    c) nein

    d) nein

    e) nein

    f) vielleicht. Was wiegt stärker, meine "Interessen oder Grundrechte und Grundfreiheiten" oder die "berechtigten Interessen des Verantwortlichen"? Wenn der Verantwortliche selbst meine Daten verarbeitet, nicht weitergibt und zügig wieder löscht, ist das für mich in Ordnung. Wenn meine Daten ungefragt an Google ausgeleitet werden, mit anderen Daten verknüpft werden und vermutlich nie gelöscht werden, finde ich das nicht so toll.

    Der Verantwortliche könnte einen statischen Kartenausschnitt nutzen. Oder die Karte weglassen. Er könnte mich fragen, ob ich mir die Karte bei Google (oder woanders) angucken möchte. Oder er könnte einen datenschutzfreundlichen Kartendienst nutzen, der meine Grundrechte respektiert.


    Die Firma für die ich gerade schaffe, benutzt Google Maps auf der Webseite. Ich werde das Thema dort mal anstoßen und gucken was bei rauskommt.


    Wir haben als Menschen und User ein mächtiges Werkzeug in die Hand bekommen, mit dem wir endlich das Thema Datenschutz in Ordnung bringen könnten. Und in der EU haben wir auch eine (meistens) funktionierende Judikative, mit der der asymmetrische Krieg "Mensch gegen Großkonzerne" nicht aussichtslos erscheint.

    Solange Dummheit als plausible Erklärung ausreicht, sollte man keinen Vorsatz annehmen.

    Einmal editiert, zuletzt von Gerhart ()

  • Im Zuge der DSGVO sind eine ganze Menge kleinerer oder mittlerer Webseiten aus dem Netz verschwunden

    Was wir brauchen sind möglichst einfache Mittel für Verantwortliche, die DSGVO zu implementieren.


    Das heißt z. B. überall datenschutzfreundliche Voreinstellungen. Viele Webseiten und Webserver kann man so gestalten, dass keinerlei personenbezogene Daten gespeichert werden. Dann braucht man nur noch eine winzige Datenschutzerklärung (1 Seite) und das Thema ist für den Verantwortlichen erledigt. Web-Frameworks müssen hierfür überarbeitet werden, Webhoster müssen nachbessern. Man muss mit den Sünden der Vergangenheit aufräumen. Das ist machbar.


    Webseiten die echte Userdaten entgegen nehmen haben's natürlich schwieriger. Aber ich bin mir sicher, dass es auch hier mit der Zeit einfach benutzbare Lösungen geben wird, um der DSGVO zu genügen.

    Solange Dummheit als plausible Erklärung ausreicht, sollte man keinen Vorsatz annehmen.

  • Das Bundesfinanzministerium versichert hoch und heilig:


    Das FMS speichert Ihre Daten nur temporär für die Zeit bis zum Ausdruck der Formulare bzw. dem Ende Ihrer Sitzung. Bevor Sie die ausgefüllten Formulare an die Steuerverwaltung/Zollverwaltung übermitteln, lesen Sie bitte die Informationen der Steuerverwaltung/Zollverwaltung zum Datenschutz.

    Die Information der Steuerverwaltung finden Sie hier.

    Die Information der Zollverwaltung finden Sie hier.


    Auch die müssen also jetzt sagen, was Sache ist. ;-)

  • Welche Gewissheit habe ich als User der Webseite, dass Google ordentlich mit meinen Daten umgeht?

    Ich behaupte, dass es hierfür keine Rechtsgrundlage gibt:

    Für so etwas gibt es eigentlich das Prinzip der Auftragsverarbeitung. Ich kann auch niemandem versprechen, dass mein Provider manitu vernünftig mit den Daten umgeht, aber ich habe mit manitu einen Vertrag darüber geschlossen und gehe davon aus, dass manitu seinen Teil des Vertrages erfüllt. (Abgesehen davon habe ich bei manitu tatsächlich nicht den geringsten Grund zu zweifeln, dass eure und meine Daten dort gut aufgehoben sind.)


    Das sehe ich nicht so. Im Zuge der DSGVO sind eine ganze Menge kleinerer oder mittlerer Webseiten aus dem Netz verschwunden, ausländische Onlineangebote haben teilweise den Zugriff für Nutzer aus der Europäischen Union eingeschränkt — allein: es fällt uns nicht auf, weil wir in unserer schnelllebigen Welt gewohnt sind, dass Internetseiten aus dem Netz verschwinden.

    Mit dieser Thematik hat sich Netzpolitik jetzt noch einmal befasst: Die DSGVO und das Blogsterben: Es ist kompliziert

  • »ZEIT ONLINE: Die großen Konzerne können einfach einen Anwalt anrufen, um die DSGVO umzusetzen. Aber kleinere Betreiber, gerade Blogger und Vereine, haben oft nicht das Geld und wissen nicht, wie sie alle Kriterien umsetzen sollen.

    Jourová: Die sollen mir eine E-Mail schicken.
    ZEIT ONLINE: Wir werden das genauso veröffentlichen.

    Jourová: Ja, ja. Machen Sie das.«


    Meine Mail an die Dame ist gerade raus. ;-)

    Jetzt kam die Antwort:


    Brussels, 28/06/2018

    JUST.C3

    Subject: Your mail to Commissioner Jourová

    Dear Mr ...,

    thank you for your mail to Commissioner Jourová, who asked us to reply on her behalf. We

    apologise for the delay in replying.

    We appreciate your efforts to correctly implement the requirements of the General Data

    Protection Regulation (GDPR) and take note of your concerns.

    We would like to clarify that the GDPR does not substantially change the core principles of

    the EU data protection legislation dating back to 1995 and which was the basis of the German

    data protection law valid until 24 May 2018. Except if your core business is data processing

    and/or dealing with sensitive data, and provided that you were already in compliance with the

    previous legislation, you will not need to make major changes to your data processing

    operations to comply with the GDPR.

    The aim of the GDPR is to empower individuals and give them more control over their

    personal data, because we witness growing threats coming from massive data breaches or

    identity theft. But the GDPR is also designed with businesses in mind. It harmonises the rules

    across the EU and gives more flexibility to controllers and processors processing personal

    data due to accountability principle and the risk-based approach. It also contributes to the

    confidence of customers and consumers.

    For information on the General Data Protection Regulation, we recommend visiting the

    website of the Directorate-General Justice and Consumers, which contains guidance for

    citizens, businesses and other organisations as well as documents regarding the application of

    the GDPR: https://ec.europa.eu/commissio…al-rights/dataprotection/

    2018-reform-eu-data-protection-rules en, and, in particular, the factsheet “Seven

    steps for businesses to get ready for the General Data Protection Regulation“:

    2

    https://ec.europa.eu/commissio…ion-factsheet-business-7-

    steps_en.pdf.

    The monitoring and enforcement of the application of the GDPR is a task of the competent

    national protection authority and of the courts. National protection authorities are also in

    charge of providing advice on the application of the GDPR. We would therefore advise you to

    consult them on specific questions you might have. Regarding the contact details of the

    competent German data protection authorities, we would like to point you to the following

    website: https://www.datenschutzwiki.

    de/Aufsichtsbeh%c3%b6rden und Landesdatenschutzbeauftragte.

    The national data protection authorities of the EU, regrouped in the European Data Protection

    Board, have issued guidelines on key aspects of the GDPR:

    http://ec.europa.eu/newsroom/a…9/news.cfm?item_type=1360.

    We would like to point out that this information and guidance are intended to contribute to a

    better understanding of EU data protection rules. This is intended purely as a guidance tool –

    only the text of the General Data Protection Regulation (GDPR) has legal force. As a

    consequence, only the GDPR is liable to create rights and obligations for individuals. This

    guidance does not create any enforceable right or expectation.

    The binding interpretation of EU legislation is the exclusive competence of the Court of

    Justice of the European Union. The views expressed in this guidance are without prejudice to

    the position that the Commission might take before the Court of Justice. Neither the European

    Commission nor any person acting on behalf of the European Commission is responsible for

    the use which might be made of the following information. As this guidance reflects the state

    of the art at the time of its drafting, it should be regarded as a 'living tool' open for

    improvement and its content may be subject to modifications without notice.

    We hope that this information gives a first guidance to you in putting the General Data

    Protection Regulation in practice.

    Kind regards

    Olivier Micol

    Head of Unit