Seite 2 von 3 ErsteErste 123 LetzteLetzte
Ergebnis 11 bis 20 von 26

Thema: Datenschutzerklärung für Homepage ohne Datenerfassung? Beispiel LfDI BW

  1. #11
    Registriert seit
    07.06.2018
    Beiträge
    2

    Standard

    Hallo Ludwig-33,

    hast du mit Hilfe des verlinkten Papiers von Prof.Dr.Hoeren zu einer Lösung gefunden?

    Ich habe genau die gleiche Fragestellung wie du, betreibe also Webseiten, die ausschließlich die technisch notwendigen Access-Daten erfassen.
    Eine Antwort darauf, wie meine DSE diesbezüglich aussehen muss, habe ich leider bisher nicht gefunden.

    Interessant finde ich auch, dass ich offensichtlich überhaupt keine Auskunft über die Inhalte solcher Access-Logs geben muss, da ich selbst niemanden anhand dieser Infos identifizieren kann (vgl. Artikel 11 DSGVO).

  2. #12
    Registriert seit
    10.02.2018
    Ort
    Pirna
    Beiträge
    59

    Standard

    Ich habe das jetzt bei uns mal umgesetzt mit Datenschutz - kompakt und Datenschutz-Fachinformation. Die einfache Erklärung geht aber eben nur dann, wenn zusätzlich auf eine entsprechende Fachinformation zurückgegriffen werden kann.

  3. #13
    Registriert seit
    22.02.2011
    Ort
    München
    Beiträge
    2.968

    Daumen hoch

    ein "Like" (geht auch ohne FB)

  4. #14
    Registriert seit
    19.10.2017
    Beiträge
    33

    Standard

    Spannend, dass der Datenschutzbeauftragte von BW in seiner Erklärung nun sagt, dass er KEINE Weblogs anlegt.
    Mir ist kein Webhoster bekannt, der darauf verzichtet.

    Vertritt er eventuell die Auffassung, dass er keine Auftragsdatenverarbeitung mit der Stuttgarter Uni betreibt?

    Oder verzichtet die Uni wirklich auf Zugriffprotokolle (Weblogs)?

  5. #15
    Registriert seit
    09.12.2017
    Beiträge
    52

    Standard

    Zitat Zitat von Marsmänsch Beitrag anzeigen
    Vertritt er eventuell die Auffassung, dass er keine Auftragsdatenverarbeitung mit der Stuttgarter Uni betreibt?
    Die Uni wird kaum seine Webseite betreiben!

  6. #16
    Registriert seit
    10.02.2011
    Beiträge
    3.600

    Standard

    Betreiber der Webseite ist der LfDI und die IP der Domain gehört zum Uni-Netz; ein Traceroute landet im Uni-Netz; auf der Webseite des LfDI steht, daß die Uni der Hoster ist. Ja, die Webseite läuft über die Uni. Wo ist das Problem?

    Natürlich gibt es Webseitenbetreiber, die keine IPs loggen und auch keine Daten von Besuchern auswerten. Die Uni anonymisiert die IPs nach sieben Tagen und weist auf evtl. andere Handhabungen bei Webseiten hin. https://www.uni-stuttgart.de/datenschutz/
    Wo steht denn, daß er keinen AV-Vertrag mit der Uni hat? Wegen der IPs bräuchte er den auch nicht, denn die Uni loggt im eigenen und nicht in seinem Interesse. Ein AV-Vertrag wäre wegen der Online-Formulare notwendig, sofern deren Inhalt auf den Uni-Servern im Klartext vorläge oder die Uni-Leute darauf Zugriff hätten.

  7. #17
    Registriert seit
    09.12.2017
    Beiträge
    52

    Standard

    Zitat Zitat von anzolino Beitrag anzeigen
    Betreiber der Webseite ist der LfDI und die IP der Domain gehört zum Uni-Netz; ein Traceroute landet im Uni-Netz; auf der Webseite des LfDI steht, daß die Uni der Hoster ist. Ja, die Webseite läuft über die Uni. Wo ist das Problem?
    Ich nehme an, dass der LfDI einen eigenen Server mit eigenem Web-Server betreibt. Aber die Formulierung ist schon etwas schräg. Wer betreibt den Web-Server? Die IP-Adresse gehört dann zum Uni-RZ, so wie ein bei 1&1 gehosteter Server eine IP-Adresse hat, die auf 1&1 verweist. Gespeichert wird die IP-Adresse eines Besuchers dann vom Web-Server. Ob nur temporär, bis die Antwortseite ausgeliefert ist oder in einem Logfile auch etwas (einige Tage) länger, das wird dann auf dem Web-Server vom LfDI konfiguriert, nicht vom RZ. Mit dem RZ ist deswegen kein AV-Vertrag abzuschließen.

    Dass sich die Datenschutzerklärung hinter dem Text "Informationen gemäß Art. 13 DS-GVO" versteckt und dieser auch noch verschwindet, wenn man nach unten scrollt, hat für mich - auch in Verbindung mit der etwas unklaren Aussage über das gehostete "Webangebot" - allerdings schon ein Gschmäckle. So sollte man es m.E. nicht machen.

    Ulrich

  8. #18
    Registriert seit
    10.02.2011
    Beiträge
    3.600

    Standard

    Sie stören sich daran, daß beim Scrollen der Header verschwindet? Was hat das mit Transparenzpflichten zu tun? Und welche Vorschrift fordert, daß die Links zu Informationen unablässig im Blickfeld des Besuchers zu sein haben? Es gab mal ein Urteil, daß die Links zu den Informationen leicht erreichbar sein müssen, aber nicht, daß sie ständig sichtbar sein müssen. Welchen Mehrwert hätte ich davon? Diese Cookie-Banner sind nervig genug. Und scrollen kann doch wohl jedem zugemutet werden.

    Ich würde jedenfalls nicht die Uni engagieren, wenn mir eigenes Personal für den Betrieb von Webserver und Webseite zur Verfügung stände. Und da auch Sie nur Vermutungen zur Struktur des Webangebotes beim LfDI äußern, ist alles darüber nur Spekulation. Von Geschmäckle oder verstecken kann keine Rede sein. Die DSGVO fordert weder eine "Datenschutzerklärung" noch den Button "Datenschutz". Die DSGVO fordert in Art.13 die "Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person". Die Bezeichnung "Informationen gemäß Art. 13 DS-GVO" ist demnach die einzig korrekte. Wie jemand der Informationspflicht nachkommt, ist seine eigene Entscheidung. Vorkauen muß er nichts. Wobei es natürlich konsistent wäre, das Impressum "Allgemeine Informationspflichten gemäß §5 TMG" zu nennen. *g*
    Wenn unter "4. Empfänger der personenbezogenen Daten" das IZUS als Hoster des Webangebots aufgeführt wird, dann ist das keineswegs eine unklare Aussage. Denn daraus folgt, daß beim IZUS zwangsläufig verschiedene Daten verarbeitet werden. Ich fühle mich jedenfalls ausreichend informiert. Kurz und knapp, die notwendigen Informationen vorhanden, bei Fragen kann man sich an die DSB wenden. Alles bestens. Man muß es nicht übertreiben.

  9. #19
    Registriert seit
    19.10.2017
    Beiträge
    33

    Standard

    Wenn ich auf fremden Rechnern, hier denen der Uni Stuttgart, pbDaten verarbeiten lasse, liegt eine Auftragsdatenverarbeitung vor.

    Der Sinn und Zweck des Rechtsinstituts "Auftragsdatenverarbeitung" ist doch eine Vereinfachung:

    - Der Verantwortliche muss seine Datenübertragung an den Auftragsdatenverarbeiter nicht "gesondert" rechtfertigen.
    - Der Betroffene hat EINEN Verantwortlichen.
    - Der Auftragsdatenverarbeiter muss sich nicht mit den Betroffenen herumschlagen.

    Das heißt für mich auch: Der Auftraggeber, hier das LfDI, kann sich nicht darauf zurückziehen, dass er mit den Datenverarbeitungen, die die Uni für bzw. wegen seiner Webseiten macht, nichts zu tun habe. Ganz im Gegenteil: Als Auftraggeber ist er der Verantwortliche.

    Sagen wir mal die Uni wertet systematisch die Daten aus, verkauft sie an eine US-Datenkrake.

    (Gut, die Uni ist hier ein schlechtes Beispiel. Aber die Kassen sind klamm und die Realität ist immer wieder viel erfindungsreicher als es sich Außenstehende träumen lassen.)

    Darf dann das LfDI sagen: Geht uns nichts an? (Ok, die Doppelfunktion als Aufsichtsbehörde und Verantwortlicher macht es noch skurriler. Lassen wir die Aufsichtsfunktion mal außen vor und betrachten das LfDI nur als Webseitenbetreiber.)

    Aber diese Fälle begegnen mir derzeit in der Praxis: Webhoster sammelt fleißig Daten, Webseitenbetreiber sagt: Interessiert mich nicht, ich kriege nur 7-Tage-Weblogs!

    Ich meine derzeit: Das geht nicht. Der Auftraggeber muss seinen Auftragnehmer disziplinieren. Das genau ist u.a. der Sinn der A(D)V.

    Diese "Gesamtverantwortung" ergibt sich im Übrigen auch aus dem neuen Facebook-Urteil des EuGH:

    Wer ein Angebot nutzt, was deswegen für ihn kostenlos ist, weil er de facto mit den pbDaten seiner Kunden bzw. Nutzer zahlt, der Anbieter es als Honigtopf zum Datensammeln nutzt, der ist NATÜRLICH mit in der Verantwortung.
    Das dürfte auch für jedes Einbinden von ach-so-tollen Inhalten der US-Datenkraken gelten, beispielsweise Google-Fonts, Google Maps, Youtube etc.

  10. #20
    Registriert seit
    09.12.2017
    Beiträge
    52

    Standard

    Zitat Zitat von Marsmänsch Beitrag anzeigen
    Das heißt für mich auch: Der Auftraggeber, hier das LfDI, kann sich nicht darauf zurückziehen, dass er mit den Datenverarbeitungen, die die Uni für bzw. wegen seiner Webseiten macht, nichts zu tun habe. Ganz im Gegenteil: Als Auftraggeber ist er der Verantwortliche.
    Ja. Aber die etwas kryptische Beschreibung "Anwendung wird gehostet" lässt es offen, ob Auftragsverarbeitung vorliegt. Ich würde - schrieb ich schon - eher erwarten, dass lediglich der Server gehostet wird und die Anwedung vom LfDI konfiguriert und betrieben wird. Uni-Rechenzentren sind typischerweise keine Dienstleister, die für Dritte Webseiten entwickeln und betreiben. Dann läge aber keine Auftragsverarbeitung vor.

    Ulrich

Seite 2 von 3 ErsteErste 123 LetzteLetzte

Ähnliche Themen

  1. Antworten: 0
    Letzter Beitrag: 23.05.2018, 12:23
  2. Generator für Datenschutzerklärung
    Von Jeff73 im Forum Internet
    Antworten: 1
    Letzter Beitrag: 22.02.2018, 13:59
  3. Antworten: 3
    Letzter Beitrag: 23.04.2013, 13:59
  4. Datenschutzerklärung auf der Homepage
    Von Starkiller im Forum Internet
    Antworten: 3
    Letzter Beitrag: 09.01.2013, 20:09
  5. Datenschutzerklärung für BLOG nötig ?
    Von Topas im Forum DATENSCHUTZ IM ALLTAG
    Antworten: 1
    Letzter Beitrag: 20.08.2010, 15:13

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •