Frage zum Datenschutz

    Ich hoffe mir kann die Frage hier ohne den Hinweis auf professionelle rechtliche Beratung beantwortet werden.


    Ich nutze für meine gewerbliche Internetseite nur css/html ohne plugins, Formulare oder sonstiger Verlinkungen auf google etc. die Daten verarbeiten. Nach meinem Verständniss, ist die einzige Instanz, die Daten verarbeitet netcup selbst. Habe ich da etwas übersehen? Oder reicht es in diesem Fall, darauf hinzuweisen, dass serverseitige Log Datein gesammelt werden.


    Freue mich auf hilfreiche Antworten

    Ich kann Dir folgende Seite empfehlen: https://www.hub24.de/datenschutzerklaerung-konfigurator/

    Dort kannst Du all die Dinge eingeben, nach denen gefragt wird. Der Online-Generator entwirft Dir die Datenschutzerklärung, abhängig von den verwendeten Tools/Einrichtungen. Wenn bei Dir "nur" html/css ohne Plugins etc. verwendet werden, dürfte das Ergebnis entsprechend schlank aussehen. Einfach mal testen. Mir hat das immer geholfen.

    Liebe Grüße
    Rolf

    Quote from ThomasG.

    Ich hoffe mir kann die Frage hier ohne den Hinweis auf professionelle rechtliche Beratung beantwortet werden.

    Das Problem, ist gar nicht, dass keiner will, sondern dass nur die wenigsten dürfen:

    Quote

    Wer unentgeltliche Rechtsdienstleistungen außerhalb familiärer, nachbarschaftlicher oder ähnlich enger persönlicher Beziehungen erbringt, muss sicherstellen, dass die Rechtsdienstleistung durch eine Person, der die entgeltliche Erbringung dieser Rechtsdienstleistung erlaubt ist, durch eine Person mit Befähigung zum Richteramt oder unter Anleitung einer solchen Person erfolgt.

    § 6 (2) RDG

    Die IHK München schreibt:

    Quote

    Websitenbesucher müssen Auskunft darüber erlangen, wer welche Daten zu welchen Zwecken auf welcher Rechtsgrundlage und wie lange verarbeitet. Die Datenschutzerklärung muss hierüber aufklären.

    Ist recht eindeutig, finde ich.

    Quote from ThomasG.

    Nach meinem Verständniss, ist die einzige Instanz, die Daten verarbeitet netcup selbst. Habe ich da etwas übersehen? Oder reicht es in diesem Fall

    In den Webhostingpaketen ist das Logging nicht abstellbar. Mein persönliches, nicht von Rechtslehre gestörtes Verständnis ist: In diesem Fall muss deine Datenschutzerklärung nur darüber aufklären, wer was wie lange speichert und verarbeitet und zu welchem Zweck das geschieht, und da du eine Datenschutzerklärung brauchst, muss die auch gewisse Pflichtangaben enthalten.


    Das ist viel Text, den niemand außer ein paar Bots liest, die nach Abmahngelegenheiten suchen. Die DSGVO ist ein Versuch, Datenschutz lächerlich zu machen und darüber letztendlich abzuschaffen, was man auch daran sieht, dass ohne den kleinsten Versuch, echte Missstände abzustellen, weiter überall munter alles gespeichert und verarbeitet wird und allen ins Gesicht gelogen wird, dass das erforderlich ist oder ein berechtigtes Interesse besteht.


    In dem Sinne: Danke, dass du die Daten gar nicht erst erhebst, und die Bitte an Netcup, eine Möglichkeit zu schaffen, das Logging komplett abzuschalten.

    Quote from RAD750

    Sowas gibt es?

    Leider ja. Gab beispielsweise vor gar nicht allzu langer Zeit eine regelrechte Abmahnwelle gegen Wordpress-Seiten, die in der Datenschutzerklärung nicht angegeben hatten, dass sie z. B. Fonts von Google Servern laden. Soweit ich weiß wurde das automatisiert geprüft.

    Quote from cltrmx

    Gab beispielsweise vor gar nicht allzu langer Zeit eine regelrechte Abmahnwelle gegen Wordpress-Seiten, die in der Datenschutzerklärung nicht angegeben hatten, dass sie z. B. Fonts von Google Servern laden. Soweit ich weiß wurde das automatisiert geprüft.

    Ja, und das Schöne dabei war, dass sich die Abmahner gerade mit diesem Automatismus in's eigene Knie schossen: Das Landgericht München urteilte im Januar 2022 nämlich, dass aufgrund der Verwendung eines "Crawlers" (und ohne persönlichem Aufrufen der entsprechenden Seiten) keine Verletzung der Persönlichkeitsrechte stattfand. Zudem ist das automatische Crawlen zum Erstellen von Abmahnungen rechtsmissbräuchlich (PDF des Urteils).

    Quote from Golem

    Dem Gericht zufolge liegt keine Verletzung des Persönlichkeitsrechts durch die Weitergabe der IP-Adresse an Google vor, da der Abmahner die Seiten gar nicht selbst aufgesucht habe. "Vielmehr wurde ein automatisiertes Programm (sog. Crawler) eingesetzt, um Websites aufzufinden, auf denen Google-Fonts dynamisch eingebunden waren. (...) Wer Websites gar nicht persönlich aufsucht, kann persönlich auch keine Verärgerung oder Verunsicherung über die Übertragung seiner IP-Adresse an die Fa. Google in den USA verspüren", heißt es zur Begründung.


    Darüber hinaus scheide ein Unterlassungsanspruch unter dem Gesichtspunkt der Tatprovokation aus. "Der mutmaßlich vom Beklagten eingesetzte Crawler sollte ja gerade Websites mit dynamischer Google-Fonts-Einbindung finden. Die Übertragung der IP-Adresse in die USA war dann auch zwingende Voraussetzung, um überhaupt einen Unterlassungsanspruch geltend zu machen", heißt es weiter.

    Zumindest in Deutschland war das ein wichtiges Urteil gegen "Massenabmahner", das die Situation etwas entspannt haben dürfte...

    Quote from yankee-lima

    Ich kann Dir folgende Seite empfehlen: https://www.hub24.de/datenschutzerklaerung-konfigurator/

    Dort kannst Du all die Dinge eingeben, nach denen gefragt wird. Der Online-Generator entwirft Dir die Datenschutzerklärung, abhängig von den verwendeten Tools/Einrichtungen. Wenn bei Dir "nur" html/css ohne Plugins etc. verwendet werden, dürfte das Ergebnis entsprechend schlank aussehen. Einfach mal testen. Mir hat das immer geholfen.

    Liebe Grüße
    Rolf

    Wenn ich hier eine Datenschutzerklärung generiere und lediglich die server log Daten auswähle, wird mir noch unter anderem "Recht auf Auskunft, Berichtigung, Sperrung, Löschung" generiert. Ich habe mir mal die server log Daten angeschaut, das ist ein unüberschaubares Durcheinander - welche Auskunft soll man da denn jemandem geben können? Löschen kommt ja ebenfalls nicht infrage weil die log files nur solange existieren, wie sie gesetzlich vorgeschrieben sind. Oder ist das nicht auf logfiles bezogen? Genauso wie die folgenden Punkte (die mir generiert wurden):


    - Widerruf Ihrer Einwilligung zur Datenverarbeitung

    - Recht auf Datenübertragbarkeit

    - Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde

    Da die IP-Adressen in den Logfiles als personenbezogene bzw. personenbeziehbare Daten gewertet werden, speicherst und verarbeitest du Daten, durch die du der DSGVO unterworfen bist (bzw. lässt sie speichern und verarbeiten, also hallo Auftragsdatenverarbeitungsvereinbarung). Damit gelten eben alle Rechte für die Betroffenen, die sich daraus ergeben. "Kommt nicht in Frage" kennt das Gesetz nicht. Du musst deine Prozesse entsprechend anpassen, so dass sie den Anforderungen des Gesetzes genügen. Um eine Auskunft, Berichtigung, Sperrung und Löschung bestimmter Daten durchführen zu können, müsstest du sicher feststellen können, welche Daten das sind. Du kannst ja nicht irgendwem Auszüge der Logfiles mit den IP-Adressen von jemand anderem schicken. Wie dir jemand nachweisen soll, durch welche IP-Adresse er wann identifiziert war, und dass das niemand anderen z.B. durch CGNAT betraf, ist mir auch ein Rätsel. Wie gesagt: Datenschutz ad absurdum geführt. The only winning move is not to play. Die DSGVO ist völliger Blödsinn, aber leider geltende Rechtslage.

    Wenn mich morgen Hans Peter anschreibt und sein "Recht auf Auskunft" ausübt, dann kann ich ihn nicht identifizieren. Es ist mir ein Rätsel wie das in der Praxis funktioniert soll. Ich habe kein log-in System, mit dem ich sehen kann wann sich eine IP in den Account eigewählt hat. Ich müsste ihn also zuerst fragen welche IP Adresse er hat und diese mit den logdaten abgleichen. Im Endeffekt weiß ich dann mehr über ihn als vorher.. Ich will nur auf diese Situation vorbereitet sein.

    Vielleicht kann irgendjemand die Daten mit externen Daten verknüpfen und irgendwas zuordnen, aber ich kann das nicht. Wenn mich mal jemand so was fragt, bekommt er diese Antwort: "Der von Ihnen angegebenen Identifikation konnten keine gespeicherten oder verarbeiteten personenbezogenen Daten zugeordnet werden."

    Quote from cltrmx

    Das liest sich für mich, als ob es ein sehr hilfreiches Feature wäre, wenn Kunden im Webhosting das IP-basierte Logging einfach komplett deaktivieren könnten ...

    Nein, bloß nicht. Ich möchte mich im Fall der Fälle ja auch verteidigen können.

    Einfach so antworten, wie NaN in #11 dargelegt hat.

    »Hauptsache BogoMIPS!«

    Fleischfresser

    »Sämtliche Cyberrisikomanagementmaßnahmen wurden übererfüllt!«

    Like 1

    der fall der fälle ist z.b. du bist bei einer massenabmahnung dabei und kannst nachweisen, daß der kläger deine seite gar nicht besucht hat.

    »Hauptsache BogoMIPS!«

    Fleischfresser

    »Sämtliche Cyberrisikomanagementmaßnahmen wurden übererfüllt!«

    Quote from Olivetti

    der fall der fälle ist z.b. du bist bei einer massenabmahnung dabei und kannst nachweisen, daß der kläger deine seite gar nicht besucht hat.

    Müsste man in dem Fall den Provider der Klägers hinzuziehen und sich seine IP geben lassen? Dürfte alles nicht so schnell gehen angesichts der kurzen Speicherungszeit der Logdaten

    Quote from ThomasG.

    Dürfte alles nicht so schnell gehen angesichts der kurzen Speicherungszeit der Logdaten

    Das ist ein Ding in diesem Fall. Ich glaube kaum, dass die Klage in den wenigen Tagen, in denen die Logs noch nicht gelöscht wurden, erstellt, verarbeitet und bis zu dir zugestellt wurde.

    Dann kann man abschließend annehmen, dass diese "Pflichtangaben" nicht ganz zutreffend sind, wenn es sich nur um Serverlogdaten handelt und man sonst nichts speichert. Ich nehme an sowas wie "Recht auf Auskunft, Berichtigung, Sperrung, Löschung" ist nur eine Pflichtangabe die in dem Datenschutz stehen muss, aber nicht praktikabel umsetzbar ist in meinem Fall und daher mit einer Antwort wie die von NaN entgegnet werden muss.