DSGVO - Die Datenschutzerklärung nur der erste Schritt?

  • Hallo,


    Ja ich weiss, noch ein Thread zur DSGVO, irgendwie passt das Thema nirgendwo.


    Das aufgrund von Schützenfest verlängerte Wochenende habe ich mich zunächst mal zurückgelehnt.


    "Zumindest die Datenschutzerklärung ist somit schon mal online."


    Der Alltag kehrt zurück und damit auch die Realität.

    Mir ist klar, dass die DSE nur der erste Schritt zur DSGVO Konformität ist.

    Gefühlt ist das allerdings nur der Erste eines Marathons okay 100m Laufs oder doch nur 10m Laufs.


    Je mehr ich mich mit der Thematik beschäftige, umso mehr Fragezeichen tauchen auf.


    Konkrete Fragezeichen:

    • wie ist mit der Galerie meines (Motorrad) Forums und den darin enthalten Fotos umzugehen.
      Teilweise sind die Nummernschilder sichtbar. Auf vielen Fotos sind Personen sichtbar.
    • Was ist mit den Avataren? Teilweise das eigene Foto

    Allgemeineres Fragezeichen:

    • welchen organisatorischen Dingen muss ich als Foreninhaber noch gerecht werden.

      Beispiele:
      • Verzeichnis von Verarbeitungstätigkeiten
      • Dokumentation der technischen und organisatorischen Maßnahmen
        • schriftliche Verträge mit den Moderatoren und Administratoren erforderlich?
      • Risikoanalyse (Notwendigkeit einer Datenschutz-Folgenabschätzung)
      • ...
      • ...


    Die Liste lässt sich fortschreiben.


    Wie handhabt ihr das?


    Sollte ich in der Flut der Threads einen übersehen haben, mea Culpa, mit der Bitte um einen Link


    Beste Grüsse,


    Werner

  • wie ist mit der Galerie meines (Motorrad) Forums und den darin enthalten Fotos umzugehen.
    Teilweise sind die Nummernschilder sichtbar. Auf vielen Fotos sind Personen sichtbar.


    Verbot mit Erlaubnisvorbehalt
    Personenbezogene Daten dürfen nur verarbeitet werden, wenn eine Einwilligung vorliegt, oder die Voraussetzungen einer Rechtsgrundlage erfüllt sind.


    Personenbezogene Daten
    Im Sinne dieser Verordnung bezeichnet der Ausdruck: 1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen […]“, Art. 4 DSGVO


    Grundsätzlich handelt es sich bei Nummernschildern nicht um personenbezogene Daten. Da aber über Umwege durchaus ein Personenbezug hergestellt werden kann, wird daraus am Ende doch ein personenbezogenes Datum. Daher würde ich bei Möglichkeit die Nummernschilder zensieren.


    Zwecks abgebildeter Personen lohnt sich ein Blick in §22 KUG und §23 KUG. Vielleicht schafft das auch noch etwas Klarheit: vermerk_dsgvo.pdf


    Tatsächlich ist die Aufnahme und/oder Veröffentlichung von Personenfotos als Verarbeitung personenbezogener Daten zu werten, für die grundsätzlich die DSGVO eingreift.


    Auf der Grundlage von Art. 85 DSGVO kann der nationale Gesetzgeber aber gesetzliche Ausnahmen und Abweichungen von der DSGVO vorsehen. Nach Aussagen verschiedener Europapolitiker, die bei der DSGVO mitgewirkt haben, ist das Kunsturhebergesetz (KUG) als enstprechende gesetzlichen Spezialregelung zu werten.


    Was ist mit den Avataren? Teilweise das eigene Foto


    Ich behaupte, dass die Einwilligung zur Verarbeitung durch den Upload erteilt wird, so lange der Avatar ausschließlich zu dem Zweck genutzt wird, für den er hochgeladen wurde.


    Verzeichnis von Verarbeitungstätigkeiten

    Musst du erstellen.


    Dokumentation der technischen und organisatorischen Maßnahmen

    Musst du erstellen. Im Rahmen deiner Möglichkeiten.


    schriftliche Verträge mit den Moderatoren und Administratoren erforderlich?


    Wenn diese Zugriff auf personenbezogene Daten (E-Mail, IP, ...) haben, ja.

  • Was müssen das denn für Verträge mit den Moderatoren und Administratoren sein, wenn sie Einblick auf E-Mail und IP zum Beispiel haben? Was muss da drin stehen?

    Wir haben eine Schweigepflichtserklärung geschrieben, die jeder mit Namen, Adresse etc. und Unterschrift bestätigen muss, reicht sowas aus?


    Wie ist das mit persönlichen Fotos von sich selbst? Gilt es, wenn sie sie selber hochladen als in Ordnung? Ich zwinge sie ja nicht dazu, die Fotos hochzuladen...

  • Hallo ZeroGravity,

    Was müssen das denn für Verträge mit den Moderatoren und Administratoren sein, wenn sie Einblick auf E-Mail und IP zum Beispiel haben?

    Das ist mir auch noch unklar. Verträge war als Platzhalter zu sehen.


    Was allerdings Fakt ist, sollten mehr als 10 Personen Zugriff auf personenbezogene Daten habe, benötigt das Forum einen Datenschutzbeauftragten.

    Und die Kontaktdaten müssen den Aufsichtsbehörden gemeldet werden...

    Wie ist das mit persönlichen Fotos von sich selbst? Gilt es, wenn sie sie selber hochladen als in Ordnung? Ich zwinge sie ja nicht dazu, die Fotos hochzuladen...


    Imho, auch die freiwiliig bereitgestellten und in der Datenbank hinterlegten personenbezogenen Daten unterliegen der DSGVO und müssen in der Datenschutzerklärung berücksichtigt werden.


    Beste Grüsse,


    Werner

  • Also hier ist es auch so, dass jedes Team-Mitglied einen Vertrag zu unterzeichnen hatte. Allerdings schon lange vor Inkrafttreten der DSGVO. Dabei hat der Großteil hier gar keinen Zugriff auf nicht öffentliche, personenbezoge Daten. Aber sicher ist sicher :)

  • Wie soll man denn Fotos in der Datenschutzerklärung berücksichtigen, was schreibt man da?


    Sascha, was müssen sie denn bei dir unterschreiben?


    Bei uns haben die Mods Zugriff auf die E-Mail Adresse und auf die IP, mehr nicht.

    Reicht da die Schweigepflichtserklärung?

  • Guten Morgen,


    ich wollte jetzt nicht ein neues Datenschutzthema eröffnen, aber ich benötige etwas Hilfe. Ich steig da irgendwie nicht mehr durch :S


    1. Ich habe bei mir Google Maps für Core, Blog, Linkliste und Galerie deaktiviert. Sollte man trotzdem den Hinweis Google Maps mit in die Datenschutzerklärung hinzunehmen ?


    2. Bei mir kann man Artikel, Blogbeiträge, Links oder Bilder Bei Facebook, Twitter ect. teilen, aber man kann sich nicht über Drittanbieter registrieren. Muß trotzdem ein Hinweis zu FB, Twitter ect. erfolgen ?



    3. Bei der Galerie die ich nutze (EasyMedai) werden, wenn man auf das einzelne Bild klickt, Informationen zum Bild rechts in der Seitenleiste veröffentlicht.




    Diese haben ich jetzt aber aus dem betreffenden Template entfernt, da ich meine gelesen zu haben, das solche Infos nicht veröffentlicht werden dürfen ?

    viele Grüße ... Ute

  • 1. Ich habe bei mir Google Maps für Core, Blog, Linkliste und Galerie deaktiviert. Sollte man trotzdem den Hinweis Google Maps mit in die Datenschutzerklärung hinzunehmen ?

    Was ich nicht verwende brauch ich auch nicht in die Erklärung rein.



    2. Bei mir kann man Artikel, Blogbeiträge, Links oder Bilder Bei Facebook, Twitter ect. teilen, aber man kann sich nicht über Drittanbieter registrieren. Muß trotzdem ein Hinweis zu FB, Twitter ect. erfolgen ?

    Dann musst du es in die Erklärung hinein. Es kann ja zu Verbindungen mit FB etc. kommen.

    schöne Grüße


    Tom

  • Dann musst du es in die Erklärung hinein. Es kann ja zu Verbindungen mit FB etc. kommen.

    dann könnte man auch eigentlich das registrieren über Drittanbieter hinzunehmen oder ?


    Wie sind eigentlich Eure Erfahrungen ... wird das genutzt oder eher nicht so ?

    viele Grüße ... Ute

  • Das Teilen auf FB und Konsorten muss in der Variante wie wir es im WSC haben nicht in die DSE, es sind ja nur Links mit Bildchen.

    Beim Aufruf des Forums wird ja nichts an FB übertragen, erst wenn man auf den Link klickt.


    Wir haben den Drittanbieter LogIn für FB und Google aktiv. Das muss dann natürlich in die DSE.

  • Dankeschön für Eure Hilfe. Ich habe mich dafür entschieden kein Drittanbieter-Login zu aktivieren und habe auch die Teilen-Buttons wieder entfernt. Habe gelesen, das man das wieder in der DSGVO wieder angegeben werden muß. Ich denke je weniger man an Funktionen hat, desto übersichtlicher die DSGVO. Was man nicht hat, kann man nicht für belangt werden :S


    Ich habe schon die nächste Frage. Ich habe irgendwo auf einer Webseite gelesen, das man auch die Linkliste in der DSGVO erwähnt hat. Ich finde es aber nicht wieder X/ ... irgendwas mit das man nicht für die dortige DSVGO verantwortlich ist oder so. Was meint Ihr .. gehört die Linkliste und Partnerseiten auch noch erwähnt ?

    viele Grüße ... Ute

  • Nochmal, für externe Links muss kein Eintrag in die DSE.

    Die Teilenbuttons sind auch nur externe Links.


    Es wird, wenn man eine Seite aufruft auf denen externe Ziele einfach nur verlinkt sind, keine Daten an diese Ziele geschickt.


    Wenn man jetzt jedes extern verlinkte Ziel in die DSE aufnehmen müsste, wäre das Internet kaputt.


    Oder vereinfacht, es gibt einen technischen Unterschied zwischen verlinkt und eingebettet.

  • okey ... ich war nur irritiert, weil es Seiten gibt, die das in ihrer Datenschutzerklärung hinzugefügt haben. Danke Herr Geiger :)

    viele Grüße ... Ute

  • Ich habe trotzdem einen Hinweis eingebaut, "sie verlassen jetzt ...", ist ja nicht immer für jeden sichtbar.

    Und ich gehe nicht davon aus das jeder Nutzer sich total mit allen Gegebenheiten des Internet auskennt.