Datenschutzverordnung EU-DSGVO [ Projekt #192 bei EFI-WAP ]

Wir zitieren aus der Quelle datenschutz-nord-gruppe.de:

Am 14. April 2016 hat das Europäische Parlament die Datenschutz-Grundverordnung beschlossen. Zum 25.05.2018 gelten damit neue Datenschutz-Vorgaben. Mit der EU-Datenschutzgrundverordnung wird das Ziel verfolgt, einheitliche Regelungen im europäischen Datenschutz zu schaffen, auch wenn das Gesetz an vielen Punkten nationale Abweichungen zulässt. Die Neuregelungen werden erhebliche Auswirkungen auf Unternehmen haben.

Wir folgen logischerweise den neuen / geänderten / erweiterten Anforderungen. Damit es andere einfacher haben, protokollieren wir unser Vorgehen und machen das für andere nachvollziehbar.

1 - Ist ein Link zu dem aktuellen Impressum leicht erreichbar?

Alle notwendigen Angaben sollten als „Impressum“ oder „Kontakt“ oder „Wir über uns“ auf einer Seite zusammengefasst sein, die über einen ständig und gut sichtbaren Button von jeder Seite direkt abrufbar ist. Der BGH hat klargestellt, dass die Anbieterinformationen so bereitgehalten werden können, dass sie auch über zwei Links erreichbar sind, sofern diese so bezeichnet sind, dass es für den Verbraucher klar und verständlich ist.

Erledigt. Das Impressum ist über drei Wege erreichbar: Top der Seite, Fuß der Seite und im Hauptmenue Kontakt. Hier der Link zum Impressum


2 - Entspricht die Information im Impressum den Vorschriften?

Der Name des Anbieters ist im Internetauftritt anzugeben. Daneben ist die vollständige ladungsfähige Anschrift anzugeben. Es muss eine E-Mail-Adresse aufgeführt werden und daneben eine weitere Möglichkeit der schnellen elektronischen Kontaktaufnahme. Auch wenn nicht ausdrücklich die Angabe einer Telefonnummer im Gesetz genannt wird, sollte diese als weitere Möglichkeit der elektronischen Kontaktaufnahme angegeben werden. Soweit der Diensteanbieter in das Handels-, Vereins-, Partnerschafts- oder Genossenschaftsregister eingetragen ist, ist die Registernummer sowie der Name des betreffenden Registers zu vermerken.

Erledigt. Die Information im Impressum genügt den Vorschriften und enthält zusätzliche Hinweise.


3 - ist ein Link zu den Datenschutzinformationen leicht erreichbar?

Gleiche Voraussetzungen wie beim Impressum unter Punkt 1.

Erledigt. Die Information zum Datenschutz ist über drei Wege erreichbar: Top der Seite, Fuß der Seite und im Hauptmenue Kontakt. Zusätzlich wird an kritischen Stellen (z.B. bei der Registrierung) darauf aufmerksam gemacht bzw. in Teilen zitiert. Hier der Link zum Datenschutz


4 - Werden die Grundsätze zum Datenschutz für dieses Portal ausreichend dargestellt?

Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt, andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden.Die Verordnung ersetzt die aus dem Jahr 1995 stammende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

nach Wikipedia - hier ist der Link dazu...

Erledigt. Die für einen Nutzer des Portals wesentlichen Elemente werden ausführlich dargestellt. Hier der Link zum Datenschutz

Erledigt. Die Information zu nichtgenutzten Social Apps und zu ebenfalls nicht genutzten Cookies ist ausreichend dargestellt und zusätzlich mehrfach verlinkt. Hier der Link zum Datenschutz nicht genutzten Socials

Erledigt. Es fehlten zusätzliche Informationen zu internen Statistik und zur Verwertung / Speicherung von IP-Adressen. Dazu gibt es nun die Punkte 10 und 11 und werden dort gesondert behandelt


5- Transparenz - aus Sicht der registrierten Nutzer?

Der Erwägungsgrund (39) hebt den Grundsatz der Transparenz jeglicher Datenverarbeitung für die betroffenen Personen hervor. Mehrere Artikel verlangen entsprechende Maßnahmen:  

Nach Artikel 15 hat jede Person das Recht auf Auskunft über alle sie betreffenden Daten.

Die Informationen darüber sind laut Artikel 12 in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu liefern.

Nach Artikel 13 und 14 muss jeder betroffenen Person bei einer Datenerhebung umfangreich Auskunft u. a. über Zweck, Empfänger und Verantwortliche der Datenverarbeitung, Dauer der Datenspeicherung, Rechte zur Berichtigung, Sperren und Löschen und Verwendung der Daten für Profiling-Zwecke gegeben werden. Wenn sich der Zweck ändert, ist die betroffene Person aktiv zu informieren.

Nach Artikel 16 hat die betroffene Person ein Recht auf Berichtigung falscher Daten sowie laut Artikel 18 ein Recht auf Einschränkung („Sperrung“) der Datenverarbeitung, wenn Richtigkeit oder Grundlage der Datenverarbeitung bestritten werden.

Die Effektivität all dieser Rechte hängt allerdings an der unausgesprochenen Voraussetzung, dass betroffene Personen selbst verpflichtet sind, sich aktiv darum zu kümmern, von wem und wie ihre Daten verarbeitet werden, und ihre Rechte einzufordern.

Erledigt. Das Recht auf Transparenz wird ausführlich auf der Informationsseite zum Datenschutz behandelt.

Erledigt. Eine eigene Seite für die Nutzer legt die Datenstruktur eine Profiles offen und erklärt den Datenschutz anschaulich und mit Beispielen. Hier der Link dazu Schutz meiner Daten

Erledigt. Abruf der gespeicherten persönlichen Daten 'on Request' für einen angemeldeten Nutzer ist bei der Ansicht des eigenen Profiles nun möglich. So sieht die Einblendung mit dem Link aus:




6 - Das Recht auf Vergessenwerden?

Das Recht auf Vergessenwerden, das in der Überschrift des Artikel 17 ausdrücklich so genannt wird, ist eines der zentralen Rechte der DSGVO. Es umfasst einerseits, dass eine betroffene Person das Recht hat, das Löschen aller sie betreffenden Daten zu fordern, wenn die Gründe für die Datenspeicherung entfallen. Darüber hinaus muss aber auch der Verarbeiter selbst aktiv die Daten löschen, wenn es keinen Grund mehr für eine Speicherung und Verarbeitung gibt.

Erledigt. Das Recht auf Vergessenwerden wird ausführlich auf der Informationsseite zum Datenschutz behandelt.


7 - Das Recht auf Datenübertragung / Datenübertragbarkeit?

Der Austausch personenbezogener Daten in der EU darf nicht (mehr) mit dem Argument abgelehnt werden, dass der Datenschutz innerhalb der EU verschieden gehandhabt wird. Artikel 1, Absatz (3) formuliert:

„Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.“

Erledigt. Das Recht auf Datenübertragbarkeit wird ausführlich auf der Informationsseite zum Datenschutz behandelt.

Erledigt. Im Zuge der Transparenz kann ein angemeldeter Nutzer seine eigenen persönlichen und bei uns gespeicherten Daten abrufen. Dies geschiejt im XML-Format und damit ist ein Datenaustausch einfach möglich.


8 - privacy by default? Wie ist das bei einer Registrierung?

Im Erwägungsgrund (78) werden die Begriffe „data protection by design“ und „data protection by default“ eingeführt, üblicherweise als „Privacy by Design“ und „Privacy by Default“ bezeichnet. Diese Grundsätze bedeuten, dass die Technik („design“) der Datenverarbeitung von vorneherein darauf entworfen und ausgerichtet ist und die Voreinstellungen („defaults“) so ausgewählt sind, dass den Grundsätzen des Datenschutzes Genüge getan wird. Ein solches dokumentiertes Vorgehen kann dabei helfen, die Einhaltung der DSGVO nachzuweisen.

Erledigt. Die Regeln zu 'privacy by default' werden bei der Registrierung ausreichend beschrieben.

Erledigt.  Bei der allgemeinen Darstellung auf der Seite Datenschutz werden nun die Einstellungen für die Datenschutzschalter und den Schalter für die Pushmails ausreichend erklärt.


9 - Anforderung an die Einwilligung - bei der Registrierung?

Prinzipiell sind die Anforderungen an eine wirksame Einwilligung gegenüber dem deutschen BDSG reduziert: Die Schriftform ist nicht mehr die Regel, auch eine stillschweigende Einwilligungserklärung ist nach Erwägungsgrund (32) zulässig, wenn sie eindeutig ist. Da aber andererseits dies vom Verarbeiter nachzuweisen ist, wird die Schriftform doch gängig bleiben. Für besondere personenbezogene Daten ist sie weiterhin vorgeschrieben.

Erledigt. Die Einwilligung wird explizit bei der Registrierung abgefragt und ist nicht automatisch vorbelegt. Hier der Link zur Registrierung.

Erledigt. Bei der Registrierung gab es bis zum 5. April 2018 noch keine Möglichkeit, den Newsletter / Pushmail Schalter direkt zu setzen und dieser wird automatisch auf ON gesetzt. Auch die datenschutzeinstellungen wurden nach default (mittel) gesetzt. Dies wurde komplett überarbeitet. Der Newsletterschalter ist aus, Datenschutz ist mittel und das kann bereits bei der Registrierung aktiv verändert werden. Ebenfalls wurde eine entsprechende Erklärung eingebaut!


10 - Statistiken bei EFI-WAP und EFI-Bayern?

Es werden interne Statistiken geführt, diese sind ausführlich zu beschreiben, auch wenn diese keine persönlichen Daten enthalten - aber eben durch das Klickverhalten der Nutzer erzeugt werden.

Erledigt. Die unterschiedlichen statistischen Erfassungen werden ausführlich beschrieben. Hier der Link zur Information Statistik.

Erledigt. Die Angaben zur Statistik (Counter), Platz innerhalb der Profile) wurden nun entflochten und richten sich auch nach den Datenschutzschaltern. Die Beschreibungen wurden entsprechend erweitert. Details finden Sie hier.


11 - Verwendung / Speicherung von IP Adressen?

Momentan werdenan einigen Stellen zur Kontrolle IP-Adressen ungekürzt gespeichert (Beispiel: Fehlerhaftes Login). Einmal muß dies angepasst werden und zum zweiten dies ebenfalls den Nutzern erklärt werden.

Erledigt. Eine Beschreibung der bei uns genutzten IP Protokollierung und Speicherung wurde nun erstellt. Hier der Link zur Information IP-Adressen.


12 - Kontakt- / Nachrichtenformulare

Genauso wie das Formular zur Registrierung müssen die verschiedenen Kontaktformulare umgearbeitet werden und vor allem Informationen zu den Eingabedaten angezeigt werden. Die Formulare wurde nun entsprechend angepasst, Hilfetexte wurden eingebaut und bei der Beschreibung zur Nutzung von IP-Adressen wurde ein Block zum Kontaktformular neu aufgenommen. Die Löschung der IP Adressen im Captcha Fall wird nun durchgeführt und dem Nutzer aktiv mitgeteilt..

Erledigt. Hier der Link zur Information IP-Adressen.
Erledigt. Löschung der IP Adressen


13 - Wer kontrolliert bei uns eigentlich die Einhaltung der Vorschriften (Datenschutzbeauftragter)?

Alle notwendigen Aktionen und beschreibende Inhalte auf den Webseiten sollten durch einige kundige Person kontrolliert werden. Idealerweise wäre das ein Datenschutzbeauftragter.

In Arbeit

Der Vorstand hat darauf hingewiesen, dass ein Datenschutzbeauftragter nur notwendig ist, wenn mindestens 10 Personen kritische Daten im Verein bearbeiten. Das ist so richtig, entbindet aber nicht den Vorstand, die vorgenommener Erweiterungen / Änderungen im Sinne der EU-DSGVO zu kontrollieren. Wie diese Kontrolle auszusehen hat, wird auf der nächsten Vorstandssitzung geklärt.

Verantwortlich für Veröffentlichungen im Sinne des Presserechts
für dieses Projekt ist Müller-Basler Willi