DSVGO auf privaten Websites umsetzen

[Switters]

Hi!

Am 28. Mai tritt die EU-DSGVO in Kraft.
Was das für Website-Betreiber bedeutet hat Domainfactory in ihrem Blog beschrieben:

https://www.df.eu/blog/der-8-schritte-plan-wie-sie-die-neue-dsgvo-umsetzen/

Wenn ich mir das so durchlese vergeht mir ehrlich gesagt die Lust an einer eigenen Website.
Die Google-Statistiken und die Kommentarfunktion habe ich schon abgeschaltet, Kontaktformular muss noch bearbeitet werden.
Gerade was das speichern von Cookies angeht kann das aber schon schwierig werden.
Jedes CMS (bei mir Wordpress) speichert Cookies. Wenn man dann noch jedes Plugin kontrollieren muss wird es schnell unübersichtlich.

Gibt es irgend eine Möglichkeit zu testen ob die eigene Website DSGVO-Sicher ist?
Wie geht ihr damit um?

 

[geronimoTwo]

https://www.macuser.de/threads/wie-...uf-datenschutzrichtlinie-eu-dsgvo-vor.798574/

 

[wegus]

DSGVO ist ein Prozeß und keine einmalige Sache! Gerade die Betreiber von CMSen werden künftig nachweisen müssen, dass sie regelmäßig nach updates geschaut haben und diese auch durchgeführt haben. Die Betonung liegt da auf Nachweis! Der ist im Zweifel zu erbringen - rückwirkend. Die DSGVO zwingt uns alle zu mehr Struktur und Sicherheit im Umgang mit Daten. Das ist lästig, aber Datenschutz gibt es nicht umsonst!

 

[iToph]

Gibt es irgend eine Möglichkeit zu testen ob die eigene Website DSGVO-Sicher ist?
Wie geht ihr damit um?

Entweder einen Dienstleister im Bereich Datenschutz beauftragen oder bei der zuständigen Behörde Anfragen. Die sind nämlich im Zweifel dazu verpflichtet, dir über die Rechtssicherheit deiner Seite im Bezug auf die EU-DSGVO Auskunft zu geben. (Würde ich persönlich aber auf keinen Fall machen)

Ich sag’s immer wieder: wer vorher BDSG konform war, der kann sich getrost den Stress sparen und sich in Ruhe um die offenen Punkte in seiner To-Do-List kümmern. Es ist ja nicht so, als wäre der Datenschutz momentan nicht gesetzlich geregelt.

 

[chris25]

Ich sag’s immer wieder: wer vorher BDSG konform war, der kann sich getrost den Stress sparen und sich in Ruhe um die offenen Punkte in seiner To-Do-List kümmern. Es ist ja nicht so, als wäre der Datenschutz momentan nicht gesetzlich geregelt.

Die im Blogeintrag genannten Punkte "Analytics-OptOut in der Datenschutzerklärung" und Anonymisierung der IP bei Analytics sind eigentlich schon länger Standard.

 

[basabadee]

Gibt es irgend eine Möglichkeit zu testen ob die eigene Website DSGVO-Sicher ist?
Wie geht ihr damit um?

Wie ich kürzlich aufgeschnappt habe, bietet das aktuelle Wordpress-Update sogar Mustertexte zur DSVGO sowie Tools für die installierten PlugIns. Habe es noch nicht genauer angesehen, klang aber vielversprechend. An der individuellen Bearbeitung der Texte und daran, dass man wissen muss, was auf der Website an Daten gesammelt wird, kommt man nicht vorbei (wie im richtigen Leben).

Ich habe für meine Website einen Kurs mit Mustertexten bei easyrechtssicher gebucht.

 

[Leslie]

Wenn Du mit "privater" Website meinst, dass Du die als natürliche Person nur zu persönlichen Zwecken betreibst, betrifft Dich die DSGVO nicht. Der verlinkte Artikel differenziert da nicht hinreichend.
Verdienst Du denn Geld mit Bannerwerbung oder so?

 

[stonefred]

Wenn Du mit "privater" Website meinst, dass Du die als natürliche Person nur zu persönlichen Zwecken betreibst, betrifft Dich die DSGVO nicht. Der verlinkte Artikel differenziert da nicht hinreichend.
Verdienst Du denn Geld mit Bannerwerbung oder so?

Vorsicht, die DSGVO gilt auch für Privatpersonen, wenn sie personenbezogene Daten erheben oder verarbeiten. M.M. entfällt hier lediglich die eine Möglichkeit, dass Konkurrenten Dich wegen Wettbewerbsverstössen abmahnen könnten. Das bedeutet aber nicht, dass Du keine Datenschutzverstösse begehen und nicht dafür abgemahnt oder bestraft werden kannst.

 

[Leslie]

Vorsicht, die DSGVO gilt auch für Privatpersonen, wenn sie personenbezogene Daten erheben oder verarbeiten. M.M. entfällt hier lediglich die eine Möglichkeit, dass Konkurrenten Dich wegen Wettbewerbsverstössen abmahnen könnten. Das bedeutet aber nicht, dass Du keine Datenschutzverstösse begehen und nicht dafür abgemahnt oder bestraft werden kannst.

Wie kommst Du darauf? Hast Du Dir wirklich mal den sachlichen Anwendungsbereich der DSGVO angeschaut?

 

[stonefred]

Wie kommst Du darauf? Hast Du Dir wirklich mal den sachlichen Anwendungsbereich der DSGVO angeschaut?

Private Website per Definition, ist wenn Du eine Seite für Familie und Freunde betreibst und keine Dritten an Deiner Website interessiert sind. Sobald Dritte auf Deine Website gehen und Du z.B. IP-Adresse im Serverlog oder per Trackingscript abspeicherst, erhebst und verarbeitest Du personenbezogene Daten ausserhalb Deines privaten Freundes- und Familienkreises.

Kannst Du einfach sagen, was Du meinst?

 

[Chaostheorie]

und Du z.B. IP-Adresse im Serverlog oder per Trackingscript abspeicherst, erhebst und verarbeitest Du personenbezogene Daten ausserhalb Deines privaten Freundes- und Familienkreises.

Das Problem - egal ob privat, gewerblich, freiberuflich oder großes Unternehmen: sobald die Webseite auf dem Webspace bei einem Provider liegt, wird das wahrscheinlich automatisch gemacht, und zwar von der Software des Providers. Das dürfte auf alle Webseiten zutreffen - selbst auf die kleinste private Seite, die seit zehn Jahren nicht mehr geändert wurde. Ein eigenes Zutun in dem Sinne, dass man Einstellungen geändert hat, ist gar nicht erforderlich. Serverlogs werden doch immer erstellt?

 

[stonefred]

sobald die Webseite auf dem Webspace bei einem Provider liegt, wird das wahrscheinlich automatisch gemacht, und zwar von der Software des Providers. Das dürfte auf alle Webseiten zutreffen - selbst auf die kleinste private Seite, die seit zehn Jahren nicht mehr geändert wurde. Ein eigenes Zutun in dem Sinne, dass man Einstellungen geändert hat, ist gar nicht erforderlich. Serverlogs werden doch immer erstellt?

Das sehe ich absolut genauso. Selbst wenn der Server bei Dir zu Hause laufen würde, würde er sehr wahrscheinlich Logdateien anlegen. Hier könntest Du aber noch einstellen, dass Du keine IP-Adressen in den Logs speichern möchtest (z.B. bei Apache usw.), dann kommt der nächste Layer, die CMS- oder Blogsoftware, die meistens (Session-)Cookies ablegt und ebenfalls Daten speichern kann.

 

[Leslie]

Private Website per Definition, ist wenn Du eine Seite für Familie und Freunde betreibst und keine Dritten an Deiner Website interessiert sind. Sobald Dritte auf Deine Website gehen und Du z.B. IP-Adresse im Serverlog oder per Trackingscript abspeicherst, erhebst und verarbeitest Du personenbezogene Daten ausserhalb Deines privaten Freundes- und Familienkreises.

Kannst Du einfach sagen, was Du meinst?

Die Frage ist eher, mit welchem Ziel die Website betreiben wird. Die DSGVO greift ja nicht einfach deshalb, weil jemand Daten Dritter speichert oder verarbeitet. Wenn es sich um eine Seite handelt, die zu persönlichen Zwecken betrieben wird (nicht z. B. zum Zweck der Gewinnerzielung), dann fällt das einfach nicht in den Anwendungsbereich der DSGVO. Da mag dann im Einzelfall die Frage sein, was als "persönlicher" Zweck durchgeht (wenn jemand zur Kostendeckung ein paar Banner platziert, dann damit einen Überschuss erzielt und die Sache moderat erweitert oder z. B. politische Stimmungsmache mit seinem Blog betreibt, die dann doch über einfache private Meinungsäußerungen hinausgeht), aber das ist hier nicht entscheidend, weil die Voraussetzung "privat" schon gegeben ist.

 

[Leslie]

Das Problem - egal ob privat, gewerblich, freiberuflich oder großes Unternehmen: sobald die Webseite auf dem Webspace bei einem Provider liegt, wird das wahrscheinlich automatisch gemacht, und zwar von der Software des Providers. Das dürfte auf alle Webseiten zutreffen - selbst auf die kleinste private Seite, die seit zehn Jahren nicht mehr geändert wurde. Ein eigenes Zutun in dem Sinne, dass man Einstellungen geändert hat, ist gar nicht erforderlich. Serverlogs werden doch immer erstellt?

Ja, deshalb sollte jeder, der mit seiner Website in den DSGVO-Anwendungsbereich fällt, möglichst schnell einen konkreten Vertrag zur Aufrags(daten)verarbeitung mit seinem Provider haben, damit klar ist, womit man seinen "Nachunternehmer" überhaupt beauftragt hat, womit nicht und was der möglicherweise aus technischer oder rechtlicher Notwendigkeit unabhängig von diesem Vertrag macht oder doch eher zukünftig zu unterlassen hat, auch da er im Regelfall direkt selbst durch die DSGVO tangiert ist.

 

[Hausbesetzer]

Die Frage ist eher, mit welchem Ziel die Website betreiben wird. Die DSGVO greift ja nicht einfach deshalb, weil jemand Daten Dritter speichert oder verarbeitet. Wenn es sich um eine Seite handelt, die zu persönlichen Zwecken betrieben wird (nicht z. B. zum Zweck der Gewinnerzielung), dann fällt das einfach nicht in den Anwendungsbereich der DSGVO.

Doch, sobald Du als Privatmann personenbezogene Daten speicherst, fällst Du volle Kanone unter DSGVO.

 

[bowman]

Doch, sobald Du als Privatmann personenbezogene Daten speicherst, fällst Du volle Kanone unter DSGVO.

...Wahnsinn, wie Manche von keinerlei Selbstzweifel getrübt volle Kanone Nonsense in die Welt rausblasen. Hast Du irgendwelche belastbaren Quellen?

Ich hab welche für das Gegenteil, nämlich die DSGVO selbst in Art. 2 Abs. 2c:
https://dsgvo-gesetz.de/art-2-dsgvo/

...bzw. Erwägungsgrund 18:
https://dsgvo-gesetz.de/erwaegungsgruende/nr-18/

 

[Kratzwerk]

Die Frage ist eher, mit welchem Ziel die Website betreiben wird. Die DSGVO greift ja nicht einfach deshalb, weil jemand Daten Dritter speichert oder verarbeitet. Wenn es sich um eine Seite handelt, die zu persönlichen Zwecken betrieben wird (nicht z. B. zum Zweck der Gewinnerzielung), dann fällt das einfach nicht in den Anwendungsbereich der DSGVO.

Ab wann eine Seite rein privat ist, mag nur schwer zu definieren sein. Besser ist es denke ich, generell soviel wie möglich der DSGVO einzuhalten, Datenschutzerklärung auf aktuellen Stand halten, ist schnell gemacht und sobald Cookies verwendet werden, muss auch dabei, ob privat oder nicht, die richtige Einstellung vorgenommen werden und für alle anderen Seitenbetreiber, die ihre Seite nicht aus persönlichen Zwecken betreiben gelten dann noch Bestimmungen wie bspw. AV Verträge.