DSGVO auch bei minimalistischer Website nötig?!

[kachiri]

Dient eine Webseite nicht ausschließlich privaten Zwecken, dann ist sie Impressumspflichtig. Das dürfte auf 99% aller Webseiten zutreffen.
Cookiebanner braucht es nur, wenn Cookies eingesetzt werden. Das sehe ich bei dir.
Datenschutzerklärung braucht es, wenn personenbezogene Daten gesammelt werden oder auch, wenn Links zu Drittseiten platziert werden, wo Daten gesammelt werden könnte. Defacto sammelt jeder Webserver mind. die IP-Adresse => ergo personenbezogene Daten.
Eine Datenschutzerklärung ist also notwendig.

Grundsätzlich: Es kann Jahre nichts passieren, weil es niemanden interessiert. Wo kein Kläger, da kein Richter. Abmahnanwälte gibt es aber überall.
Ehrlich gesagt ist das aber auch kein riesiger Aufwand. Entsprechende Generatoren gibt es überall und so ausführlich muss eine Datenschutzerklärung auch nicht immer sein. Da reicht auch ein kurzer Steckbrief was gesammelt wird, wer der Verantwortliche ist und welche Rechte man hat. Fertig.

 

[KitKat::new()]

auch, wenn Links zu Drittseiten platziert werden, wo Daten gesammelt werden könnte.

wirklich?

 

[McMoneysack91]

Link im Footer reicht für die Datenschutzerklärung. Über nicht-technische Cookies muss aber vor dem Setzen informiert werden. Ergo: Wenn keine Cookies etc. genutzt werden, braucht es auch kein Banner.

Okay, dann die Frage, ob ich AUS VERSEHEN Cookies aktiviere oder dergleichen.

Gibt es sowas? Ist sowas möglich? Oder ist dafür wirklich erst ordentliche Schreibleistung erforderlich? Ich weiß ja nicht, was mein...keine Ahnung Host macht. Oder macht der Host nix anderes als Speicherplatz und einen Domainnamen anbieten?

 

[kachiri]

wirklich?

Ja.
https://dr-dsgvo.de/externe-links-auf-webseiten-datenschutzproblem-oder-nicht/

 

[zazie]

@McMoneysack91
Es bringt dir nichts, wenn du hier deinen Ärger über Vorschriften und Umsetzungen 'auslebst' und die dir gegebenen Antworten in Frage stellst. Das entspricht dem Bekämpfen des Problems.
Du kriegst keinen Ärger, wenn du die Anforderungen an Web-Sites grundsätzlich erfüllst. Du kriegst aber Ärger, wenn du die Anforderungen ignorierst.
Und wenn deine Site beispielsweise einen Link auf Facebook enthält, bist du voll drin im Cookie-Schlamassel ...

 

[McMoneysack91]

Ja.
https://dr-dsgvo.de/externe-links-auf-webseiten-datenschutzproblem-oder-nicht/

Der Linkgeber ist nicht für die Datenverarbeitung verantwortlich, die das Linkziel in Eigeninitiative vornimmt. Etwas anderes wäre es, wenn eine Weisung durch den Linkgeber vorläge. Auch eine gemeinsame Verantwortlichkeit von Linkgeber und Linkziel, die über einen Vertrag zustande kommen kann, ist ein anderer Fall.

Das Linkziel ist also selbst für die Verarbeitung der Daten verantwortlich, die es aufgrund des Klicks auf den externen Link auf der Webseite des Linkgebers erhält.

Ich bin definitiv nicht dafür verantwortlich, Facebook und Instagram zu studieren und herauszufinden, was die mit Nutzzerdaten machen. Das werden die dem Nutzer ja schon in IHRER DSGVO Kiste erklären müssen.

 

[kachiri]

Und wenn deine Site beispielsweise einen Link auf Facebook enthält, bist du voll drin im Cookie-Schlamassel ...

Das defacto noch nicht. Ich habe auch Links zu meinen Social Media Profilen auf meiner Webseite. Ein Cookie wird aber erst gesetzt, wenn der Link, also Facebook, auch aufgerufen wird. Anders war die Sache mit diesen Gefällt mir Buttons. Da wurden externe Inhalte geladen.
Ich muss aber tatsächlich darauf hinweisen, dass meine Webseite externe Links enthält und sich der Nutzer über den Datenumgang selbstständig informieren muss...

@McMoneysack91 Nein. Bist du nicht. Du bist aber in der Pflicht DEINE Nutzer darauf hinzuweisen, dass SIE es tun können/müssen.
So habe ich das gelöst:

Links​

Auf meiner Website findest du gelegentlich Links zu anderen Websites. Bei Aktivierung dieser Links wirst du entsprechend auf die Website eines anderen Betreibers weitergeleitet, was du insbesondere am Wechsel der URL im Browser erkennen kannst. Ich habe keinen Einfluss darauf und trage insofern auch keine Verantwortung dafür, wie jene anderen Websites mit deinen persönlichen Daten umgehen. Ich habe nicht geprüft, ob die Betreiber jener Websites die Datenschutzbestimmungen einhalten. Bitte informiere dich selbstständig darüber.

Es heißt Datenschutzerklärung, weil der Nutzer aufgeklärt werden soll. Die DSVGO hat den Sinn, den NUTZER aufzuklären und dazu zu bewegen, bewusster mit seinen Daten umzugehen. Darüber, dass die DSVGO eher nicht dazu beiträgt und vor allem einen riesigen Aufwand für Nichts bei Seitenbetreibern erzeugt müssen wir nicht diskutieren.
Aber sie ist nun einmal da.

 

[McMoneysack91]

Okay, ich lege jetzt mal die Waffen nieder und mache ein Impressum und eine Datenschutzerklärung.

In welcher Sprache eigentlich?

Meine Website ist derzeit noch komplett auf englisch und richtet sich eigentlich an weltweites Publikum, nur am Rande an deutsches.

Kommt es auf den Wohnsitz des Erstellers an?

Kommt es auf den Sitz des Host-Servers an?

Kommt es auf die Domain an?

Oder einfach nach dem Motto die Sprachen die deine Website beinhaltet, die müssen auch in der Datenschutzerklärung vorhanden sein?

D.H. meine Datenschutzerklärung muss in englisch verfasst werden? Und wenn ich meine Website auch mit deutscher Übersetzung anbiete dann auch wahlweise der Button die DSE auch auf deutsch anzuzeigen?

 

[_Shorty]

Wo hostest du denn die Webseite?
IP Addresse ist ein personenbezogenes Datum, dadurch DSGVO relevant und du musst den User darüber aufklären was damit passiert.

Und genau hier hast du, ob du willst oder nicht, deine Antwort auf brauche ich das wirklich. Sobald im Serverlog auch nur eine Anzeige auftaucht über eine IP-Adresse die deine Seite besucht, musst du dem Nutzer dies sagen über die schon oft erwähnte Datenschutzerklärung.

 

[McMoneysack91]

Für meine Theorie mit

Sprachen der Seite = Sprachen der DSE

spricht die Seite von Jörg Sprave (Slingshot Channel auf YouTube). Seine Seite gogun.de hat den Sitz der Firma GoGun GmbH in Essen, Deutschland. Entsprechend ist sein Impressum und die DSE auf deutsch.

Aber da seine Seite als zweite Sprache englisch anbietet und sich an die weltweite Besucherschar wendet, hat er sein Impressum sowie die DSE auch auf englisch.

Ich vermute, das werde ich auch so machen müssen.

Aber was wenn meine Seite immer "nur" englisch bleiben wird? Muss ich Impressum und DSE dann auf deutsch machen weil ich als Ersteller Deutscher mit Wohnsitz in DE bin oder auf englisch weil das PUBLIKUM hier ausschlaggebend ist und dieses eher international ist?

 

[MountWalker]

[...] Anders war die Sache mit diesen Gefällt mir Buttons. [...]

Nicht nur die Gefällt-Mir-Buttons, sondern auch die Teilen-Buttons, oder?

 

[Piktogramm]

Es ist beeindruckend, wie viel hier durcheinandergeworfen wird o.O

TLDR Tips:
1. Lern das Programmieren von Webseiten auf einem RaspberryPi Apache oder Nginx als Webserver anstatt öffentlichem Webspace!
2. In dem Moment wo du irgendwas in die breite Öffentlichkeit stellst, solltest du dringend die entsprechenden Gesetze selbst lesen (und verstehen)

Cookiebanner haben wenig mit der DGVO zu tun sondern eher etwas mit dem TTDSG:
https://www.gesetze-im-internet.de/ttdsg/
Die DSGVO ist eine andere Baustelle, die man jedoch genauso beachten sollte. Dabei ist es nicht nur wichtig, was dein eigener Code macht, sondern auch die Dienste des Dienstleisters, wo deine Webseite liegt. Dafür braucht es einen Datenverarbeitungsvereinbarung zwischen dir und deinem Dienstleister. Die hast du, im Zweifelsfall ohne sie zu lesen, bereits abgeschlossen. Je nachdem was du und die andere Partei vereinbart haben, müsstest du den Besuchern deiner Webseite etwaige Datenverabeitung transparent machen. Wobei sich das für jeden Fall wiederholt, wo du Dienste Dritter auf deiner Seite nutzt.

Und IP Adressen bei Webservern. Entweder stellt man da sein Logging aus, oder konfiguriert es derart, dass es im Einklang dessen steht, was in der DSGVO mit "brechtigtem Interesse" gemeint ist.

Wenn du Fragen stellst, ob dein eigener Code Cookies setzt oder nicht, fehlt dir derart viel Grundlagenwissen, dass du nichts in Web stellen solltest! Bitte übe offline, setz dir einen RaspberryPi mit einem Webserver auf. Schreibe deine Seite einmal und schreib sie noch mal, während du dich darüber aufregst wie bescheuert dein früheres Selbst beim Schreiben von Version 1 war. Wenn du Fragen wie "wann werden Cookies gesetzt" lies dir alles zu Cookies in Theorie und Praxis durch, bis du die Frage eigenständig beantworten kannst!

 

[gymfan]

Lieber Herr im Himmel steh mir bei. Bald sind wir eine Gesellschaft von Petzen in Datenschutzbunkern, juristischen Schlachtfeldern und Minenfeldern wo ein Wort zu viel schon das Aus bedeutet.

Da sind wir schon lange, sowohl bei Webseiten wie auch anderswo. Und je nach Richter oder Qualität der Anwälte werden dann auch illegal aufgezeichnete Daten plötzlich zu gerechtsverwertbaren Beweisen (siehe Dashcams in Deutschland).

So lange Dich niemand mit einer Abmahnung o.Ä. überzieht, kannst Du machen, was Du willst. Dein Hoster wird nicht automaisch eine Seite melden, die weder ein Impressum noch eine Datenschutzerklärung besitzt.

Aber wenn das halt jemand tut, dann wird es u.U. teuer und aufwändig für Dich. Welches Risiko Du eingehen möchtest, musst Du wissen. Eine Rechtschutzversicherung muss sowas nicht zwingend mit einschießen.

Wenn Du aber noch nicht einmal weisst, was Cookies sind und was Du auf Deiner Webseite einsetzt (man kann auch Qualltexte fremder Libs lesen und analysieren, wenn man sie schon einsetzen will) dann wäre es m.M.n. in der Tat besser, erst mal loakl bei Dir zu üben.

Das braucht auch keine RasPi, da genügt eine VM auf dem PC/Mac.

Es heißt Datenschutzerklärung, weil der Nutzer aufgeklärt werden soll. Die DSVGO hat den Sinn, den NUTZER aufzuklären und dazu zu bewegen, bewusster mit seinen Daten umzugehen.

Sie hat allenfalls den Sinn, den Nutzer zu verwirren. Wer liest sich 10-20 Seiten mit nutzlosen Infos durch (außer Rechtsanwälten, die einne Grund zur Abmahnung suchen)? Welcher User, der sich dafür interessiert, muss dort auf die zugehörigen Gesetze hingewiesen werden. Ich will dort allenfalls wissen, was die Seite macht aber nicht, warum sie dies darf.

1. Lern das Programmieren von Webseiten auf einem RaspberryPi Apache oder Nginx als Webserver anstatt öffentlichem Webspace!
2. In dem Moment wo du irgendwas in die breite Öffentlichkeit stellst, solltest du dringend die entsprechenden Gesetze selbst lesen (und verstehen)

Stimmt zwar im Grunde, nur wenn es keine höchstrichterliche Auslegung der schwammigen "Gesetze" gibt, ist selbst das Verständnis durch juristisch gebildete Personen nicht möglich.

 

[Piktogramm]

Gesetze sind immer schwammig, da sie den Willen des Gesetzgebers abbilden sollen und nicht zwingend wortwörtlich zu nehmen sind. Wobei gerade die DSGVO geradezu leicht verständlich ist was Rechtstexte angeht.
Verwirrend wird es meist erst, wenn die staatlichen bzw. Landesdatenschutzgesetze hinzu kommen. Genauso wie Gesetzesinterpratationen immer schwer werden, wenn die lesenden Personen ihren Willen als Bewertungsgrundlage nutzen anstatt jenen Willen des Gesetzgebers.

 

[KitKat::new()]

Sie hat allenfalls den Sinn, den Nutzer zu verwirren. [...] Welcher User, der sich dafür interessiert, muss dort auf die zugehörigen Gesetze hingewiesen werden. Ich will dort allenfalls wissen, was die Seite macht aber nicht, warum sie dies darf.

Eigentlich ja nicht.
Mir wäre auch nicht bewusst, dass die DSGVO erfordert zu erklären warum die Seite das darf. Tatsächlich muss man erklären was die Seite macht und wofür

 

[kim88]

Das ist ja die Frage. Wofür Datenschutzerklärung? Die ist doch dafür da dem Besucher zu sagen, was mit seinen Daten passiert. Aber ich greife doch noch nicht mal welche ab.

Ich nehme an du hast keinen eigenen Server als Hosting aufgesetzt.
Wenn du einen Webhoster hast, speichert er in den Logs in der Regel IP, Datum, und weitere Daten pro Seitenaufruf.

Da die IP nach DSGVO schützenwert ist musst du darüber in den Datenschutbedinungen informieren.

Okay, dann die Frage, ob ich AUS VERSEHEN Cookies aktiviere oder dergleichen.

Man kann das nicht aus versehen aktivieren.
1. Sagst du ja selbst, das von der ersten bis zur letzten Zeile selber codest, dass bedeutet wenn du Cookies nutzt wirst du das wissen.

2. Bist du verantwortlich, was auf deiner Webseite passiert, egal ob selber gecodet oder nicht. Deine Webseite, deine Verantwortung.

im absoluten Zweifel gibt es am Ende einen Richter der Spielraum im Strafmass hat und dann im Einzelfall prüft ob hier absichtlich, unabasichtlich, versehentlich, etc das Gesetz gebrochen wurde und dann eine höhere oder tiefere Strafe gibt.

Das ist auch der Grund warum Gesetze nie klar ein Strafmass definieren. Im Gesetz steht nicht "wenn du das und das machst bekommst du 3 Jahre gefängnis" - sondern es steht "wenn du das und das machst kann es 1-3 Jahre Gefängnis geben"

wie viel es dann wirklich gibt, entscheidet ein Richter und dort wird eben darauf rücksicht genommen ob du das gesetz absichtlich oder versehentlich gebrochen hast, aber auch dinge wie vorstrafen, etc

Wenn du Cookies nutzt die technisch notwendig sind, brauchst du kein Cookie Banner.
Als Beispiel, wenn du speicherst ob dein Besucher die deutsche oder englische version deiner Webseite anschaut und beim nächsten besuch automatisch auf die entsprechende Sprache weiterleiten möchtest speicherst du seine bevorzugte Sprache als Cookie.
Das ist kein Marketing, kein Tracking, kein Drittanbieter, und keine Statistik -> das kannst du ohne Cookie Banner einfach so umsetzen.

Ich würde IMMER prüfen ob du alternativ zu einem Cookie nicht mit einem localStorage arbeiten kannst - das löst dann das Problem komplett und gehtnsehenoft.

 

[BeBur]

Ich weiß ja nicht, was mein...keine Ahnung Host macht. Oder macht der Host nix anderes als Speicherplatz und einen Domainnamen anbieten?

Die DSGVO ist u.a. genau dafür, dass du verpflichtet bist, dich mit dieser Frage zu beschäftigen und die Antwort darauf zu dokumentieren. Z.B. was mit den IP Adressen deiner Besucher passiert, bzw. was dein Hoster damit macht.

 

[KitKat::new()]

Ich würde IMMER prüfen ob du alternativ zu einem Cookie nicht mit einem localStorage arbeiten kannst - das löst dann das Problem komplett

Nein?
Da macht das TTDSG einenen Strich durch die Rechnung. Es ist dabei egal wie die Daten gespeichert werden.
https://gesetz-ttdsg.de/25-ttdsg/

 

[Gelöscht 871778]

Nein! Es ist ist ja nicht nur ein Cookie-Banner

Also ich denke schon, dass ein Cookiebanner nur ein Cookiebanner ist

 

[gymfan]

Eigentlich ja nicht.
Mir wäre auch nicht bewusst, dass die DSGVO erfordert zu erklären warum die Seite das darf. Tatsächlich muss man erklären was die Seite macht und wofür

Dann hat sich das entweder mittlerweile geändert oder viele der Beispieltexte (bei Heise damlas angeblich von einem Rechtsanwalt, der sich mit dem Thema ausgekannt haben soll) und Generatoren zur Anfangszeit der DSGVO waren falsch.

Warum steht das ganze dann auch bei CB immer noch im "Datenschutz". Entweder gilt das immer noch oder CB ist/war in den letzten Jahren dabei genauso "faul" wie ich selber und hat die Sachen seit Einführung einfach drin gelassen:

Die Rechtsgrundlage für die Einholung von Einwilligungen sind Art. 6 Abs. 1 lit. a und Art. 7 DSGVO, die Rechtsgrundlage für die Verarbeitung zur Erfüllung unserer Leistungen und....

Gesetze sind immer schwammig, da sie den Willen des Gesetzgebers abbilden sollen und nicht zwingend wortwörtlich zu nehmen sind. Wobei gerade die DSGVO geradezu leicht verständlich ist was Rechtstexte angeht.

Nur, weil ein paar Datenschutzbeauftragte und sonstige Personen, denen man u.U. vertrauen könnte, dazu "irgendwo" etwas veröffentlicht haben und es bis heute m.W.n. keine Gerichtsurteile zur Frage gibt, ob das KunstUrhG §23 oder die DSGVO höher zu bewerten sind, ist das noch lange nicht eindeutig oder verständlich.

Selbiges gilt auch für die hier angeführte Diskussio bzgl. Hyperlinks (zu Seite im EU-Ausland und sonstwo). Der verlinkte Artikel ist, soweit ich das verstehe, nicht von einem Juristen und mit extrem vielen "wenn, dann oder auch nicht" Annahmen versehen. Wäre die DSGVO mit all ihren Erwägungsgrundsätzen auch nur ansatzweise verständlich, dann wäre sowas spätestens aus einer diese Erwägungsgrundsätzen klar abzuleiten.