allgemeine Beurteilung einer Datenschutzerklärung

  • Hinweis: Die ursprüngliche Frage wurde von @Die_Diablos unter AV-Vertrag / Datenschutz gestellt. Ich gliedere die Antwort auf die Frage, ob die Datenschutzerklärung so OK ist, in einen neuen Thread aus, da ich für einige Fragen auch ein allgemeines Interesse sehe. Ein Link zu der Seite wurde mir per PN zur Verfügung gestellt.


    ist es möglich, dass jemand der da Ahnung hat evtl. Sie, Sie scheinen sich da mehr auszukennen mal drüber schaut und mir sagt ob das so an gemachten Angaben im Impressum / Datenschutz ausreicht? Mir ist klar, dass dies keine Rechtaberatung ersetzt, ist nur mein erstes "Projekt" und bin mir da an der Flut von Verpflichtungen für webmaster unsicher.


    Hallo @Die_Diablos ,


    als erstes fällt mir auf, dass die Seite bis zum Schließen des Cookie-Hinweises gar keine Cookies verwendet. Da im Info-Banner aber aktiviert ist, dass dieses Banner nach dem Schließen nicht erneut angezeigt wird, muss jetzt notwendigerweise ein Cookie abgelegt werden, welches diesen Zustand dokumentiert. Dieses Cookie hat eine Gültigkeitsdauer von 365 Tagen. Dies sollte auch entsprechend in der Datenschutzerklärung vermerkt werden.


    • Ein Link zum „Datenschutz“ ist direkt auf allen Seiten verfügbar, dies entspricht den Anforderungen an die schnelle Erreichbarkeit der notwendigen Informationen.
    • Bei Aufruf der Seite zeigt sich aus meiner Sicht jedoch ein erstes Problem mit der verwendeten Schriftart Aclonica, diese ist nur sehr schlecht zu lesen. Da haben wir einen Konflikt mit Art. 12 DSGVO, welcher eine leicht zugängliche Form verlangt.
    • Der Seitenbetreiber ist korrekt als verantwortliche Stelle benannt.
    • Als Datenschutzbeauftragter ist jedoch ebenfalls der Seitenbetreiber benannt. Dies funktioniert so nicht, da die verantwortliche Stelle sich nicht selbst kontrollieren kann. Ob ein Datenschutzbeauftragter notwendig ist, richtet sich leider nicht nur nach der DSGVO (Art. 37), sondern auch nach dem BDSG (§38). Wenn ein DSB zu bestellen ist, kann dieser bei entsprechender Fachkunde intern bestellt werden (darf aber nicht gleichzeitig zur verantwortlichen Stelle gehören, also beispielsweise kein IT-Administrator sein) oder muss extern bestellt werden. Wenn kein DSB bestellt werden muss, sollte dies auch entsprechend in der Datenschutzerklärung vermerkt werden.
    • Die Rechte der Nutzer und Betroffenen sind aus meiner Sicht korrekt dargestellt.
    • Die technisch notwendigen Serverdaten sind aus meiner Sicht korrekt dargestellt.
    • Cookies: Hier lohnt sich ein sorgfältiger Blick, welche Cookies überhaupt verwendet werden.
      • Im Falle der angefragten Seite werden keine Drittanbieter-Cookies verwendet. Diese trotzdem zu erwähnen, widerspricht der Anforderung nach Art. 12 DSGVO nach präziser Erläuterung (Es muss also alles genannt werden, was tatsächlich zutrifft, nicht zutreffende Angaben würden aber den Nutzer verwirren).
      • Eigene Cookies werden durch die Webseite nur genutzt, wenn im Info-Banner das „nach dem Schließen nicht erneut anzeigen“ aktiviert ist. Dies hatte ich bereits zu Anfang des Beitrages erwähnt. Hier wäre ein Lösungsansatz, statt der „Zustimmung zur Verwendung von Cookies“ einen „allgemeinen Hinweis auf die Datenschutzerklärung“ zu platzieren (siehe unsere Vereinshomepage – bitte im Inkognito-Modus aufrufen) und erst in der DSE (Datenschutzerklärung) detailliert darauf einzugehen. Dann aber wirklich detailliert mit Name des Cookies, Funktion und Gültigkeitsdauer.
      • Hinweis auf Beseitigungsmöglichkeit von Cookies, hier korrekt definiert, wenn noch andere Cookies verwendet werden, bitte noch einen direkten Deaktivierungslink anbieten.
    • Kundenkonto / Registrierung: Hier ist der Ansatz richtig, auf die Erfüllung vertraglicher Verpflichtungen abzuzielen, ich sehe es aber problematisch, wenn dann bei der Anlage des Kundenkontos doch eine Einwilligung eingeholt wird. Eine Einwilligung ist immer verbunden mit der Möglichkeit des Widerrufs. Kunde eröffnet also ein Kundenkonto, bestellt und widerruft danach seine Einwilligung. Was nun? Mit der Bestellung wurde ein in den Geschäftsbüchern zu erfassender Vorgang eingeleitet, welcher gesetzlichen Aufbewahrungsfristen unterliegt. Die Kundenadresse kann also nicht gelöscht werden, ohne gleichzeitig gegen steuerliche Aufbewahrungspflichten zu verstoßen. Freiwillige Daten, die nicht zur Vertragserfüllung notwendig sind, dürfen dann auch problemlos gelöscht werden. Ganz hinten im Textabschnitt wird zwar auf die Aufbewahrungsfristen verwiesen, aber es ist eben nicht präzise und verständlich, wenn man zuerst mit einer Einwilligung arbeitet und diese danach einschränkt. Hier bitte trennen zwischen notwendigen Daten zur Vertragserfüllung (Name, Anschrift) = keine Einwilligung, und freiwilligen Daten (E-Mail-Adresse, Telefonnummer, Lieblingsfarbe etc.) = Einwilligung und Widerruf.
    • Bei Kontaktanfragen und Kontaktmöglichkeiten bitte prüfen, ob das Risiko besteht, dass über die angebotenen Kontaktmöglichkeiten auch sensible Daten übertragen werden. Bei einer Gaming-Community wohl eher nein, bei einer Anfrage zu einem Frisörtermin potentiell ja (Ich brauche eine Schuppenbehandlung) und bei ärztlichen Seiten quasi immer. Allein, das ich bei einem Urologen einen Termin anfrage, ist schon ein sensibles Datum. Dort darauf achten, dass die Kommunikation verschlüsselt erfolgt, also nicht via sendmail/php, sondern über SMTP mit Verschlüsselung (in den Formularoptionen einzurichten).
    • Nutzerbeiträge und Kommentare mit Verweis auf Einwilligung OK, damit muss aber auch eine Möglichkeit zum Widerruf „Recht auf vergessen werden“ angeboten werden, entweder über Verweis auf ein Kontaktformular oder eine Mail-Adresse, an die der Widerruf zu richten ist. Bei einem öffentlichen Forum empfiehlt sich eine Einschränkung des Widerrufs dahingehend, den Beitrag bei Bedarf nur zu anonymisieren (Wenn ich jetzt im Forum alle meine Beiträge gelöscht haben will, würde ein wesentlicher Sinn des Forums verloren gehen J.
    • Google Recaptcha: hinreichend erklärt, aus meiner Sicht sollte aber im Kontaktformular noch ein entsprechender Hinweis gesetzt werden.
    • Google Fonts: Ganz heißes Eisen, da bei Verwendung dieser Fonts bereits beim erstmaligen Betreten der Seite ein „Nach Hause Ruf“ stattfindet, mit dem die IP-Adresse als pb-Datum an Google übermittelt wird. Nach meiner Einschätzung empfiehlt es sich hier, die Fonts auf dem eigenen Server zu hosten, siehe entsprechende Beiträge im Forum.
    • Youtube: In der vorgestellten Seite werden keine Youtube-Videos verwendet, eine Erwähnung in der DSE wäre also nicht präzise nach Art. 12 DSGVO. Wenn Youtube-Videos genutzt werden, bitte den Einbettungscode mit erweiterten Datenschutzeinstellungen verwenden und auch so in der DSE erklären.

    Die bereitgestellte DSE wurde auf Basis eines Musters einer Anwaltskanzlei erstellt. Meine Kommentare zeigen glaube ich deutlich, dass Datenschutz ein derart komplexes Thema ist, dass Muster nur eine Grundlage sein können, man sich aber intensiv mit der individuellen Situation beschäftigen muss.


    Im Impressum der vorgestellten Seite sind aus meiner Sicht die notwendigen Pflichtangaben enthalten. Hinweis: Je nach Land und beworbener Tätigkeit können weitere Pflichtangaben erforderlich sein.

  • Vielen Dank für die umfangreiche Ausfertigung, bin echt begeistert :S


    Werde mich an die genannten Punkte nochmal ransetzen und diese abändern.

    Die Google Fonts waren im verwendeten Theme mit eingebunden soweit ich das gesehen hab.

    Dann werde ich da was anderes suchen.

    Ein Datenschutzbeauftragten werde ich für diesen Zweck wohl nicht benötigen und den Abschnitt einfach weglassen, genau wie den Rest den ich nicht verwende.


    Liebe Grüße


    Die_Diablos

  • Für den Fall, dass sich die Einladung, mich zu äußern, auch auf diesen thread bezog:


    Ich hatte jetzt nicht die Zeit, allen Punkten genau nachzugehen, aber was ich gesehen habe, ist einleuchtend, und ich kenne Hanabi seit langem als hervorragenden DS-Experten, der zudem immer die praktische Perspektive im Blick hat.