WBCE Home | WBCE Hilfe | WBCE Addon Repository | Impressum | Datenschutz

WBCE CMS Forum

WBCE CMS – Way Better Content Editing.

You are not logged in.

#51 12.05.2018 13:12:31

kleo
Member

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

Ich verfolge diese Diskussion über die Datenschutzgrundverordnung ab dem 25.05.2018, aber ehrlich gesagt, habe längst den Überblick verloren...

Kann jemand die Reihenfolge der nötigen Maßnamen hier kompakt auflisten, die bei der mit dem WBCE erstellten Webseiten durchgeführt werden sollten? Was ist zu machen und mit welchen Modulen (Methoden)?

Offline

#52 12.05.2018 13:34:26

florian
Administrator

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

Ich habe an meine Kunden folgende Rundmail* geschickt, die hinsichtlich To Do's als erster Anhaltspunkt dienen kann:

1. Ergänzung bzw. Aktualisierung der Datenschutzerklärung
Die DSGVO sieht umfangreiche neue Informationspflichten vor. Bestehende Datenschutzerklärungen sind nicht mehr ausreichend und müssen überarbeitet werden. Die Pflicht zur Vorhaltung einer Datenschutzerklärung besteht - übrigens ebenso wie eine Impressumspflicht - auch bei einfachen "Baustellenseiten"!
Sie können einen Text in einem Online-Generator erstellen (lassen), es übernimmt dann aber niemand die Gewähr dafür, dass dieser Text wirklich ausreichend/rechtssicher ist. Insbesondere bei Branchen, bei denen mit sensiblen Daten gearbeitet wird und/oder besondere Daten auf der Website erhoben werden, sind Standardtexte in keinem Fall ausreichend. Lassen Sie sich bitte unbedingt durch Ihre Berufsorganisation (z.B. Kammer) oder einen Fachanwalt / Consultant beraten.

2. Umstellung der Seite auf https (SSL)
Die meisten Provider bieten für einen geringen Aufpreis oder sogar als Inklusivleistung die Generierung eines SSL-Zertifikats an, sodass Ihre Website zukünftig via https erreichbar ist. Im Zuge der Umstellung auf https müssen allerdings server- und datenbankseitig Anpassungen vorgenommen werden.
Sollte eine Umstellung auf https nicht möglich oder gewünscht sein, müssen jegliche Kontaktformulare von der Seite entfernt werden, da diese dann nicht mehr DSGVO-konform den sicheren Umgang mit den eingegebenen Daten gewährleisten.

3. Ergänzung eines Cookie-Hinweises
Unabhängig von eventuellen sonstigen Tracking-Cookies setzt das verwendete Content-Management-System bei jedem Besuch einen Cookie auf dem Endgerät des Besuchers. Dies ist technisch bedingt und derzeit nicht zu ändern. Obwohl der Cookie keine persönlichen Daten enthält und ungültig wird, sobald der Besucher den Browser schließt, muss zwingend ein Cookie-Hinweis, wie Sie ihn sicherlich schon auf vielen anderen Seiten gesehen haben, auf Ihrer Seite integriert werden. Dies lässt sich mittels eines CMS-Moduls aber sehr einfach realisieren.
Dieser Hinweis gilt nicht für Seiten, bei denen kein CMS zur Anwendung kommt.

4. Verzicht auf Scripte/Schriften aus externen Quellen
Es war bisher üblich und weit verbreitet, auf der Seite verwendete Schriften und Scripte nicht auf dem eigenen Server vorzuhalten, sondern diese von Drittanbietern zu laden. Das bekannteste Beispiel ist hierfür die Schrifteinbettung von Google Fonts. Da aber bei jedem Seitenabruf die IP-Adresse des Besuchers durch das Laden der Schrift auch an Google übertragen wird, und die IP-Adresse zu den schützenswerten privaten Daten zählt, sollte von dieser Funktion kein Gebrauch mehr gemacht werden, bzw. zumindest muss in den Datenschutzhinweisen auf den Sachverhalt hingewiesen werden. Ein weiteres Beispiel wäre das Laden einer bestimmten Version der JavaScript-Bibliothek jQuery von jquery.com.
Eine Umstellung des Templates auf ausschließliche Nutzung von lokalen Quellen ist daher dringend geboten und mit entsprechendem technischen Sachverstand i.d.R. ohne größere Probleme realisierbar.

5. Google Analytics, Piwik/Matomo u.ä.
Sofern Sie auf Ihrer Seite Zugriffe mittels Trackingtools erfassen, müssen Sie den Besuchern die Möglichkeit geben, der Erfassung ihres Besuchsverhaltens explizit zuzustimmen (Opt-In-Verfahren). Ein bloßer Hinweis auf die Durchführung des Trackings genügt nicht, ebenso wenig wie nur die Möglichkeit, dem Tracking im Nachhinein zu widersprechen (Opt-Out). Der Opt-In muss bereits erfolgen, bevor überhaupt ein entsprechendes Cookie gesetzt und/oder Zählpixel geladen wird.
Da dies insbesondere mit Punkt 3 kollidiert (technisch erforderlicher, zulässiger Cookie), sollte in Erwägung gezogen werden, auf die Erfassung von Zugriffszahlen generell zu verzichten. Andernfalls muss eine entsprechende Information zur Verwendung von Cookies allgemein zuzüglich einer Opt-In-Möglichkeit für Tracking-Cookies unmittelbar nach Aufruf Ihrer Seite dem Besucher angezeigt werden.
Bei Nutzung von Google Analytics MÜSSEN Sie zudem einen schriftlichen Auftragsverarbeitungsvertrag mit Google abschließen.

6. Social Media
Bereits vor Einführung der DSGVO war die Einbindung von Facebook-Timelines, "Like"-Buttons, Twitter-Feeds usw. datenschutzrechtlich hochgrading bedenklich. Daran ändert die DSGVO natürlich nichts, sofern entsprechende Inhalte auf Ihrer Seite vorhanden sind, muss mindestens in der Datenschutzerklärung darauf hingewiesen werden, oder es muss zukünftig auf die entsprechenden Inhalte verzichtet werden.

[...]

9. Allgemeines Gebot der Datensparsamkeit
Grundsätzlich gilt, dass so wenig Daten wie möglich erhoben, gespeichert und verarbeitet werden sollen und nur noch die Daten, die zur Bearbeitung eines Anliegens wirklich erforderlich sind, erhoben werden dürfen. Konkret bedeutet dies möglicherweise, dass in allgemeinen Kontaktformularen die Postanschrift und die Telefonnummer kein Pflichtfeld mehr sein dürfen, wenn eine Beantwortung der Anfrage auch per E-Mail erfolgen kann. Weiterhin ist es i.d.R. nicht mehr erforderlich und damit wohl unzulässig, dass die eingegebenen Formulardaten noch zusätzlich in der Datenbank des CMS bzw. Formularmoduls auf der Website vorgehalten werden (es sei denn, der Benutzer stimmt dem explizit zu und/oder wird in der Datenschutzerklärung darüber informiert). Hier ist also ein Modulupdate und die Anpassung der Einstellungen erforderlich.

Noch einmal der Hinweis, dass die oben stehende Liste ausdrücklich keinen Anspruch auf Vollständigkeit erhebt, noch eine Rechtsberatung darstellt. Desweiteren sind eine Vielzahl weiterer sonstiger Prozesse von der DSGVO betroffen (Stichwort z.B. Verfahrensverzeichnis, Meldepflichten, Pflicht zur Bestellung einer/eines Datenschutzbeauftragten).
Bitte lassen Sie sich durch geeignete Unternehmen/Organisationen fachlich beraten, für diese Aspekte bin ich nicht der richtige Ansprechpartner.

Zu den oben aufgeführten Punkten:
Zu 1)
Ich spreche hier keine konkrete Empfehlung für bestimmten DSE-Generator aus. Nur rein informativ: Ich habe wie andernorts schon erwähnt mir einen e-recht24-Agenturzugang gegönnt, das hat den Vorteil, die DSE ohne Backlink verwenden zu dürfen und sie bei Bedarf auch in englisch zur Verfügung gestellt zu bekommen.
Bei anderen DSE-Generatoren unbedingt Nutzungshinweise beachten (d.h. ob man den als Webworker überhaupt für Kundenwebsites benutzen darf, das ist oft nicht der Fall) und ob dieser bereits auf dem neuesten Stand ist (auch das ist nicht durchgängig so) und was allgemein mit den eingegebenen Daten so passiert.

Zu 2)
Siehe
https://wbce.org/topics/umstieg-auf-ssl---so-gehts/
Ein Outputfilter, der alle Links wie http://wbce.org in https://wbce.org umwandelt, sodass die Aktualisierung der in der DB gespeicherten Daten entfällt, ist aktuell in Entwicklung.

Zu 3)
https://addons.wbce.org/pages/addons.ph … em&item=88
https://addons.wbce.org/pages/addons.ph … em&item=90

Zu 4)
https://www.fontsquirrel.com/
https://www.fontsquirrel.com/tools/webfont-generator
https://www.elmastudio.de/schriften-mit … tionierts/

zu 5)
https://addons.wbce.org/pages/addons.ph … em&item=23

zu 6)
https://addons.wbce.org/pages/addons.ph … em&item=65

zu 9)
https://addons.wbce.org/pages/addons.ph … em&item=16
https://addons.wbce.org/pages/addons.php?do=item&item=2


*Nachtrag: Die Mail ging am 30.04. raus, das war also meinen Wissensstand bzw. waren meine subjektiven Interpretationen / Vermutungen zu jenem Zeitpunkt. (Es haben darauf viele, aber längst nicht alle geantwortet.) Ich mag mich bei manchen Aussagen täuschen und/oder zu schwarz sehen und/oder zu sehr vereinfacht haben.

Der Aspekt "Google Maps / Openstreetmap" o.ä. fehlt, siehe dazu
https://forum.wbce.org/viewtopic.php?id=2098

Auf das Thema "Einwilligung zur Speicherung von Daten bei Abgabe von Kommentaren" bin ich nicht eingegangen, kommt bei meinen Kundenprojekten nicht vor. Auch das Thema Newsletter habe ich nicht eingehender beleuchtet, da diese ebenfalls nur wenige meiner Kunden betrifft.
Es gibt sicherlich noch 500.731 weitere Dinge, die nicht stimmen oder fehlen.

Last edited by florian (12.05.2018 13:47:42)

Offline

Liked by:

bernd, screamindan, cwsoft, harry352

#53 12.05.2018 14:01:54

bernd
Developer

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

Wow, Florian!
Hättest du das nicht 'ne halbe Stunde eher veröffentlichen können?  devil
Hab mir grade die Finger wundgetippt für einen besonders beratungsresisdenten Kunden der meint die Datenschutzerklärung als Menü-Punkt "DSGVO" unterbringen zu müßen und "mimimi" ich will aber mein Google-Analytics behalten ohne was dafür tun zu müssen ...

Ich hab langsam sowas von "die Sch***** voll" von dem ganzen Thema  roll


2 x ROT13 hält besser ...

Offline

#54 12.05.2018 14:19:45

kleo
Member

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

Danke Florian!!!

Ich versuche jetzt die "minimalistische" Variante zu beschreiben, die vielleicht für manch eine neue Seite sinnvoll wäre:

1. Template ohne fremden Schriftarten und Scripte verwenden
2. Kein Kontaktformular, keine Kommentarfunktion
3. Kein GoogleAnalytics, kein PIWIK etc.
4. Keine Verknüpfungen zu den Socialnetzwerken
5. Keine Anbindung von GoogleMaps etc.

Habe ich was vergessen?

P.S.: Florian, eine Frage noch: was waren Punkte 7 und 8 in Deiner Rundmail?

Offline

#55 12.05.2018 15:59:46

florian
Administrator

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

Habe ich was vergessen?

0. Cookie-Hinweis (wegen des Session-Cookies)
6. Ausführliche Datenschutzerklärung erstellen


Punkte 7 und 8 in Deiner Rundmail

Da ging es eher allgemein um das Thema Auftragsverarbeitungsvertrag sowie um Auskunfts- und Löschrechte.

Offline

#56 12.05.2018 16:52:33

bernd
Developer

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

Habe ich was vergessen?

7. Impressum überprüfen ob es alle erforderlichen Pflichtangaben enthält


2 x ROT13 hält besser ...

Offline

#57 12.05.2018 17:06:28

jean
Member

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

ich würde kleos Punkt 1 / 3 / 5 etwas breiter fassen:

keine Ressourcen / Dienste von Dritten ohne mindestens Abnickerei.
Prüft sich am besten in den Dev-Tools / Netzwerkanalyse etc. Alles, was von dritter Seite eingebunden / nachgeladen wird, ist hinweispflichtig (weil zumindest die IP übertragen wird). Falls Scripte nachgeladen oder Storage genutzt wird: da eher kein Mensch beurteilen kann, was die entsprechenden Scripte / Cookies / Storages so alles machen (versuche ich gerade auf einer Seite rauszukriegen), ist man vermutlich nur auf der sicheren Seite, wenn man die generell zustimmungspflichtig macht.

Offline

#58 12.05.2018 17:27:49

kleo
Member

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

Und wenn die Punkte von 0 bis 6 erfühlt sind, kann man ruhig im Punkt 6 "ausführliche Datenschutzerklärung" einfach schreiben so was wie:

"Auf unserer Webseite speichern und verarbeiten wir keine personenbezogenen Daten und geben solche auch nicht weiter".

Und damit soll das Ding vom Tisch.
Oder?

Offline

#59 12.05.2018 17:35:21

cwsoft
Member

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

kleo wrote:

Und wenn die Punkte von 0 bis 6 erfühlt sind, kann man ruhig im Punkt 6 "ausführliche Datenschutzerklärung" einfach schreiben so was wie:

"Auf unserer Webseite speichern und verarbeiten wir keine personenbezogenen Daten und geben solche auch nicht weiter".

Und damit soll das Ding vom Tisch.
Oder?

Nein. Im Impressum steht ja mindestens eine Kontaktemail. Wenn Dir jemand schreibt, hast Du personenbezogene Daten. Wie lange hebst Du die auf, wofür nutzt du die ...   smile

Also zumindest so was in die Art schreibe ich auf rein statische Seiten (HTML, CSS, JavaScript ohne Fremdinhalte, Kontaktformular etc.):

cwsoft wrote:

Personenbezogene Daten werden nur erfasst, wenn Sie diese Angaben freiwillig, ... (z. B. E-Mail) ... übermitteln.

Dann noch Infos über Personenkreis, Speicherung und Einsicht oder Löschung ...

Last edited by cwsoft (12.05.2018 17:53:00)


Account inactive since 2018/11/17.

Offline

#60 12.05.2018 18:12:29

jean
Member

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

>"Auf unserer Webseite speichern und verarbeiten wir keine personenbezogenen Daten und geben solche auch nicht weiter".
> Und damit soll das Ding vom Tisch

fast. Dein Provider sammelt (für dich) die IP, die ist personenbezogen, also speicherst du ... Schreib einfach: "... darüber hinaus speichern wir keine ..."

@cwsoft
bei Mail-Adressen knobel ich auch ein wenig. Im Moment schreibe ich da auch einen Hinweis rein, aber die Mail kann ja auch aus anderen Quellen bekannt sein - und da gibt es dann keinen Hinweis? Ich denke mal, da schlägt eigentlich der gesunde Menschenverstand zu: wenn ich eine Mail verschicke, wird die zwangsläufig gespeichert, auch ohne Ankündigung. Aber der gesunde Menschenverstand ist halt nicht immer relevant.

Offline

#61 12.05.2018 18:16:45

bernd
Developer

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

@jean:
Ich glaube wenn du versuchst "gesunden Menschenverstand" und EU-Verordnungen/Gesetzgebung in Einklang zu bringen hast du von vornherein verloren  devil


2 x ROT13 hält besser ...

Offline

Liked by:

cwsoft, screamindan, jean, florian

#62 13.05.2018 02:38:48

jean
Member

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

... wie geschrieben:  ist nicht immer relevant - das gilt dann aber für Recht im Allgemeinen, nicht nur für die EU-Gesetze. Aber bei aller Schwammigkeit in den Details und einigen logischen Kollateralschäden würde ich dem ganzen Konstrukt doch nicht so ganz die Sinnhaftigkeit absprechen.

Offline

#63 15.05.2018 11:02:35

axelga
Member

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

Die EU-Justizkommissarin will bezüglich DSGVO beruhigen. Laut eines aktuellen Presseartikels auf dem Portal heise-online.
Das hilft jetzt auch nicht mehr. Oder doch? Ja. Nein. Egal. Die Umsetzung in Homepages hat Nachtschichten bedeutet ... und die Fragen bleiben. Den Artikel gibt es hier: https://www.heise.de/newsticker/meldung … 48608.html

Offline

#64 16.05.2018 10:47:21

florian
Administrator

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

Das.
https://t3n.de/news/rant-dsgvo-datensch … r-1078247/

Die DSGVO überzieht zahllose Menschen mit einem bürokratischen Irrsinn und treibt diejenigen, die das vermeiden wollen, zu den großen Plattformen, die sich unter dem Deckmantel der „Einwilligung“ dann allerlei erlauben können.

Und vor allem:

Die Arroganz einiger Verfechter der DSGVO macht es nicht gerade besser: „Jammert nicht, immerhin hattet ihr zwei Jahre Zeit, euch mit der DSGVO auseinander zu setzen“, sagen sie und übersehen dabei völlig, dass die allermeisten für Erika Mustermann halbwegs verständlichen Texte, Zusammenfassungen und Leitfäden überhaupt erst im Frühjahr 2018 zur Verfügung standen. Das ganze erinnert an das Vorgehen der Vogonen in der Satire „Per Anhalter durch die Galaxis“, die die Erde für eine Hyperraumumgehungsstraße in die Luft jagen wollen. Dass die Menschheit wenig amüsiert reagiert, können die Vogonen überhaupt nicht verstehen, schließlich hätten die Pläne ja lange genug auf Alpha Centauri zur Einsicht ausgelegen, das ja auch nur 4,3 Lichtjahre entfernt sei.

Last edited by florian (16.05.2018 10:49:16)

Offline

Liked by:

axelga, screamindan, better-work

#65 16.05.2018 11:45:34

screamindan
Member

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

Leider reicht es nicht, nur sein Handtuch dabei zu haben. big_smile

Offline

Liked by:

grindmobil

#66 16.05.2018 13:41:45

jean
Member

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

> Leider reicht es nicht, nur sein Handtuch dabei zu haben

... deshalb gibt es vorher ja noch die Bierchen (oder Brause, falls Kinder im Raum sind). Und dann ist der bürokratische Irrsinn gar nicht mehr so irrsinnig, die Panik gar nicht so zwingend, die arroganten Verfechter gar nicht so arrogant, und irgendwie ist doch nicht alles sooo schlimm. (Rant ist Rant, aber am besten daran fand ich noch den Kommentar)

Offline

#67 18.05.2018 10:43:06

better-work
Member

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

Auch sehr schön zum Thema erklärt:

https://www.youtube.com/watch?v=4pO6uc05kpw


Gruß Jörg

Offline

#68 18.05.2018 11:07:11

florian
Administrator

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

Offline

Liked by:

better-work

#69 20.05.2018 01:36:52

bernd
Developer

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

Sodele,
jetzt bin ich endlich auch mal mit einer dämlichen Frage dran:

Östereichischer Staatsbürger (Freiberufler) mit festem Wohnsitz in Deutschland aber Webseite mit .at-Domain.
Impressum und Datenschutzerklärung nach DE-Spielregeln oder nach AT-Spielregeln ???


2 x ROT13 hält besser ...

Offline

#70 20.05.2018 08:36:14

grindmobil
Guest

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

Bei welchem Finanzamt zahlt er denn seine Steuern? Die Website wird ja mit seinem Einkommen zu tun haben.

#71 20.05.2018 14:19:24

bernd
Developer

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

Bei welchem Finanzamt zahlt er denn seine Steuern

Hab grade nachgefragt, seit diesem Jahr in DE.
Ich denke mal, wenn auch bei der nic.at seine deutsche Adresse hinterlegt ist (müßte er wohl aktualisieren), dann die DE-Spielregeln auch wenn's ne .at-Domain ist, oder bin ich da grade auf dem Holzweg?


2 x ROT13 hält besser ...

Offline

#72 22.05.2018 14:37:22

tomno399
Member

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

nach DE-Spielregeln

Begründung: DSGVO, Erwägungsgründe 22 - 24

Bernd, ich bin vielleicht eine nähere Erklärung schuldig: Das Problem ist nicht die östterreichische Seite, gehostet und Domain, sondern sein Wohnsitz in Deutschland. Damit unterliegt er der deutschen Interpretation und Rechtsprechung zu der DSGVO.

Last edited by tomno399 (22.05.2018 14:53:17)

Offline

#73 22.05.2018 15:18:42

bernd
Developer

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

Dann bin ich ja nicht ganz daneben.
War nur durch die Kreuz- und Querkonstellation etwas verunsichert.
Zumal solche Angaben wie §5 TMG leicht mal zu "Lachern" führen könnten: TMG in AT -> Tiermaterialiengesetz  devil


2 x ROT13 hält besser ...

Offline

#74 22.05.2018 15:43:51

tomno399
Member

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

Ich versuche mich aus der Politik rauszuhalten, auch wenn ich innerlich eine eigene Meinung vertrete. Aber was der Bund sich mit dem neuen BDSG geleistet hat, ist lachhaft und erinnert an die schlechte Umsetzung der Cookie-Richtlinie 2009. Holland hat damals gehandelt und deshalb hat Ruud schon 2012 sein Cookie-Modul herausgebracht. Das deutsche Telemediengesetz wurde im BDSG gar nicht erwähnt. Deshalb beteht zwischen der DSGVO und dem TMG ein Spannungsverhältnis, das (deutsche) Juristen dadurch zu lösen versuchen, dass die DSVGO stets Vorang vor dem TMG hat. Über diese Lösung / Interpretation sind die deutschen Datenschützer selbst nicht begeistert, wie hier zu lesen ist. Aussitzen und verklagen lassen nennt sich derzeit unsere politische Grundhaltung. Ich fahre Diesel.

Offline

#75 22.05.2018 16:11:29

bernd
Developer

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

o.k. jetzt wirds absolut offtopic:

Ich fahre Diesel.

Du auch ...  lol  tongue  angel


2 x ROT13 hält besser ...

Offline

Board footer

Powered by FluxBB

up