Wie bereitet Ihr Websites auf Datenschutzrichtlinie EU-DSGVO vor?

Hier ist mal eine Übersicht über die DSGVO https://dsgvo-gesetz.de/

Ohne Worte...

Trotzdem finde ich es gut das du den Thread eröffnet hast, wollte ich nämlich auch schon machen, vielleicht kann man hier ja Infos für kleine bis mittlere Seiten sammeln um nicht an Anwaltsberatungskosten zu ersticken.

Ich habe das so verstanden, das schon die Datenspeicherung an sich ein Problem darstellen kann, z.B. simple Kontaktformulare die natürlich in der Datenbank landen, da geht es schon los mit Informationspflichten etc.
Nur mit einem Cookie-Banner ist es dann wohl nicht mehr getan.

Das würde mich auch interessieren, wenn damit mehr als simple https Verschlüsselung gemeint ist.

Grüße Jenna

Hallo zusammen,

heute Abend habe ich mich für eine Vereins-Homepage mit dem Thema auseinandergesetzt. Sehr hilfreich war dabei der folgnede Link.

https://www.it-recht-kanzlei.de/faq-datenschutz-grundverordnung.html

Jetzt muß ich noch an die Homepage meiner Frau (auch Drupal) und meinen Onlineshop (osCommerce). Da ist bis zum Mai noch einiges zu tun.

Auch ich lese mich derzeit so gut es geht in das Thema ein.

Kommentare und Messages sind meiner Meinung nach erst mal keine personenbezogenen Daten, da sie alleine nicht das Potential haben, jemanden zu identifizieren. Das es eine Pflicht zum verschlüsselten Speichern personenbezogener Daten in der DB gibt, hab ich bis jetzt noch nirgends gelesen. Was natürlich nicht heißen muss, dass es nicht so wäre.

Eine Einwilligung zum zweckgebundenen speichern von persönlichen Daten aus Formularen besteht laut dieser Rechtsauffassung nicht:
https://www.it-recht-kanzlei.de/kontaktformular-datenschutzgrundverordnu...

Die verschlüsselte Übertragung hingegen ist bereits jetzt laut deutschem Datenschutz zwingend.

Der Knackpunkt für das Gros der Websites wird wohl eine ordentliche Datenschutzerklärung sein, in der die Betreiber vor allem ihrer Informationspflicht nachkommen müssen. Dies betrifft vor allem:

• Server Logfiles --> was wird wie gespeichert und wie lange
• persönliche Daten aus Formularen --> was und wie lange
• Social Media Plugins -> welche Daten werden übertragen
• Cookies ---> welchen Zweck, bei Tracking Cookies ist Einwilligung nötig
• Analyse Software wie Google Analytics oder Piwik --> Bei Analytics auf weiterverarbeitung durch Google hinweisen und Widerspruchsmöglichkeit, bei Piwik Anonymisierung einschalten
• Userdaten bei registrierten Usern
• Nennung eines Datenschutzbeauftragten bei mehr als 9 Beschäftigen

Dieser Datenschutzgenerator ist ganz hilfreich: https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de/

Davon abgesehen ist die DSGVO mit all ihren Dokumentations- Sicherungs- Auskunfts- und Meldepflichten ein einziges Moloch. Wer soll sich da bitte in einem Kleinstunternehmen drum kümmern?

Vorbereiten kann man sich mit diesem Fragebogen: https://www.lda.bayern.de/media/dsgvo_fragebogen.pdf Wenn du hier alle Fragen mit Ja abhaken könntest, dann wärst du auf der sicheren Seite. Allerdings kann das KEINER! Außerdem kommt auch noch die Privacy-Verordnung, die dann wohl einen drauflegen wird. Solange man so viele der im PDF genannten Fragen mit Ja beantworten kann, ganz egal, ob Blog oder Unternehmenswebseite, ist man zumindest schon mal auf einer sicheren Seite als die Anderen.

Ob und in welcher Form die Datenschutzbehörden sich dann an die kleinen Blogger wenden, ist mir nicht bekannt. Wenn ich eine Datenschutzbehörde wäre, würde ich aber erst mal bei Google und Co anfangen. Apropos Google Von dort habe ich auch noch keine Info gesehen, wie Google Analytics dann in Zukunft genau gehen soll. Sicher ist nur, dass Datenschutzerklärungen nach TMG keine Gültigkeit mehr haben werden, bzw. nicht mehr ausreichen.

Wer ganz sicher gehen will, der sollte dringend einen Kostenvoranschlag bei einer Medienrechtskanzlei einholen oder bei zwei drei oder vier. Gesetze in Eigenregie umzusetzen oder zu hoffen, dass Generatoren wie der von E-Recht.de ausreichen, um alle Fallstricke abzudecken, dürfte ziemlich blauäugig sein.

Die wissen es ja selber nicht. Hab einen RA für IT- und Internetrecht wegen Cookie Tracking gefragt. Ergebnis: Kann er derzeit keine konkrete Aussage treffen, man wird auf Urteile der Rechtsprechung warten müssen. Gegen das grundlegende Recht des "Betroffenen" auf Schutz seiner Daten steht ständig das "berechtigte Interesse" des Datenerhebenden. Die meisten Paragraphen der DSVGO sind derartig schwammig formuliert, dass vieles einfach Interpretations- und Auslegungssache ist.

Was da in der Checkliste steht, hab ich bereits x-mal gelesen:
"geeignete Maßnahmen" hier.... , "geeignete Garantien" da...., man dieses Geschwafel, da kann man nur noch kotzen, ehrlich. Was "geeignet" ist, liegt dann wahrscheinlich an der persönlichen Auffassung von Mitarbeitern irgendwelcher Kontrollbehörden oder eines Richters.

Egal, mit wem du momentan über das Thema sprichst, alle hoffen nur darauf, erstmal unter dem Radar zu bleiben, bis es Urteile gibt, an denen man sich orientieren kann.

Eigentlich bin ich ein Freund von Datenschutz. Aber dieses Phampflet der brüsseler Bürokraten und vor allem dessen Umsetzung ist eine einzige Katastrophe.

Ist generell ne Katastrophe. Man kann viel tut aber du kannst dir 100% sicher sein das du nicht alles erfassen wirst. Das ist so schwammig und so eigenartig.
Beispielsweise die quasi Mithaftung für Facebook Like-Buttons.

Ich habe allen addthis Kram und FB Plugins entfernt und Shariff eingesetzt. Ist echt interessant:
https://github.com/heiseonline/shariff

Kommentare alle deaktiviert, Kontaktformulare auch, wenn ich nicht auf ssl umstellen kann. Projekte die quasi nur anderen helfen lösche ich einfach. Keine Lust auf tickenden Zeitbomben zu sitzen. Mir ist klar, dass die damit die Großen angehen wollen aber eben alles treffen. Die Großen werden allerdings wie immer, Wege und Mittel finden, dies zu umgehen.

Das ist als ob man den Maulwurf im garten weghaben will und dann alles platt macht und betoniert.

Das wäre so als ob du haftest, wenn ein Autohersteller dir ein Auto mit nicht zugelassenen Reifen oder Blinkern verkauft.

Hallo, wo habt ihr Mustervorlagen für entsprechende Dokumente wie Datenschutzerklärung oder Verarbeitungsverzeichnis oder Einwillungserklärungen usw. gefunden oder alles selbst geschrieben?

Mustervorlagen gibt es z.B. hier

Einiges davon ist kostenlos, anderes gibts nur bei einer kostenpflichtigen Mitgliedschaft. 100% verlässlich ist aber leider gar nichts. Du solltest vielleicht auch schauen, was Du Dir von anderen vergleichbaren Websites abkucken könntest, falls Du nicht einen Fachanwalt zu Rate ziehen möchtest.

Diesen kostenlosen Kurs habe ich mir mal angehört:
https://www.udemy.com/dsgvo-basics-fur-einzelunternehmerinnen/learn/v4/o...
Ich finde, er informiert gut und zeigt auch auf, dass nicht alles so heiß gegessen ist...u.s.w.

Wo gibt es frei zugängliche und kostenfreie Mustervorlagen?

Kann man dieses Video auch ansehen, ohne sich wieder auf einer weiteren Seite, die man danach nie wieder braucht, registrieren zu müssen und seitenweise Datenschutzbestimmungen akzeptieren muss?

Danke montviso.
@DrupalFan Nein, man muss sich registrieren. Hab ich eben auch gemacht.
Es sei denn du kannst das hier auch so aufrufen
https://www.udemy.com/dsgvo-basics-fur-einzelunternehmerinnen/learn/v4/t...
Info: Triggerwarnung. Die finden alles so lustig und lachen alles weg. Hahah hihih ist ja nur gut für den Nutzer....da wird einem ein bisschen übel. Ist halt weniger lustig wenn die Großen die Pflichen auf mini Webseiten abwälzen die etwas Adsense einblenden. Trotzdem ein interessantes und gutes Video.

Was ich mich halt immernoch Frage ist, ob Facebook Like/Likeboxen nun quasi illegal sind und ICH für facebook hafte, weil die diese Dinger nicht konform machen.

Es lässt sich nur das Kurzvideo ansehen ohne Registrierung. Das ist schade.

Jaaaaa.....stimmt schon.
Aber im Grunde fand ich genau das mal ganz gut, dass man nach dem Anhören das Gefühl hat, es ist alles nicht sooo heiß gegessen.

Ich sehe schon den Vorteil für die Privatnutzer.

Wenn es eine Einschränkung gäbe, dass das alles erst ab xy Mitarbeitern gilt, dann wären die ganzen kleinen Spam-Klitschen nicht erfasst.
Wobei die ja sowieso irgendwo außerhalb der EU sitzen.
Im Grunde stimme ich zu, dass es unverhältnismäßig ist, aber es hilft ja nichts, wir müssen da jetzt durch.

Ich habe für unsere Seiten, die außer Kontaktformular nichts haben, nun folgende Maßnahmen ergriffen, bzw. werde sie noch ergreifen:
- SSL
- Checkbox bei Formularen mit Bestätigung, dass man die Datenschutzvereinbarungen gelesen hat
- EU Cookie Compliance
- Datenschutzvereinbarungen überarbeitet

Wir verzichten sowieso auf alles, was nicht sein muss:
Überflüssige Felder bei Formularen, Facebook-Share-Buttons, Google-Analytics

Es heißt ja immer, der Privatkunde wird geschützt.
In wie weit ist man eigentlich aus dem Schneider, wenn man nur Geschäftskunden hat?
Vermutlich nicht, wenn man Privatkunden nicht davon abhält, die Webseite und das Kontaktformular zu bedienen oder?

Wie habt Ihr die Texte von EU Cookie Compliance übersetzt?
Ist das mit deutschem Recht vereinbar, dass man automatisch zustimmt, wenn man irgendeinen Link auf der Webseite anklickt?

@DrupalFan
Ich habe schon lange einen Account bei Udemy, weil ich da auch schon kostenpflichtige Kurse angehört habe.
Die nerven nicht sonderlich mit Mails. Mache doch einfach einen Account
Es gibt dort auch sehr schlange Muster-Datenschutz-Vorlagen.

Danke, montviso. Ich werde es mir überlegen und wahrscheinlich werde ich mich dort registrieren.

Aber zusätzlich wären auch andere Quellen noch interessant.

Damit der Thread hier nicht zu lange wird, habe ich bezüglich DSGVO und Google, Amazon & Co ein neues Thema erstellt und hoffe auf regen Austausch:

https://www.drupalcenter.de/node/57812

@montviso: Deine Cookiebar unten auf der Webseite entspricht noch dem alten Gesetz aber nicht der DSGVO, oder?

Habe gelesen, dass laut DSGVO die Nutzer Cookies auch ablehnen können müssen und damit Cookies deaktiviert werden. Und das sollten sie wohl auch einzeln können, also z. Bps. nur Google Analytics Cookies ablehnen aber die anderen nicht usw.

Oder zumindest so wie hier (nicht kostenfrei):
https://www.cookiebot.com/de/cookie-consent/

Bin auf der Suche nach einem konformen Script für Webseiten ohne Drupal und auch für Drupal-Seiten.

>> Es gibt dort auch sehr schlange Muster-Datenschutz-Vorlagen.

@montviso: Wo finde ich dort Mustervorlagenß

>> Es gibt dort auch sehr schlange Muster-Datenschutz-Vorlagen.

@montviso: Wo finde ich dort Mustervorlagen?

Habe mich inzwischen registriert und das Video groß angesehen. Muss ich mir wohl noch einmal konzentriert ansehen.

Suche gute Beispiele für bereits DSGVO konforme Datenschutzerklärungen für Webportale und Community-Sites.

Ja, das ist das Problem mit dem Modul EU Cookie Compliance, da brauche ich noch was Anderes.
Oder hätte ich das im Modul einstellen können? Da finde ich nichts dazu.

Das kann er ja im Browser einstellen.
Wüsste nicht, mit welchem Tool auf der Webseite ich das Bereitstellen könnte.

Ich glaube, ich schalte das blöde Modul wieder aus. Als Besucher einer Webseite mag ich es auch nicht.
https://www.e-recht24.de/artikel/datenschutz/8451-hinweispflicht-fuer-co...

Da ich mich damit auch gerade intensiv beschäftigen muss:

EU Cookie Compliance Module sagt selber
"This module does not provide:
prevention of cookies being set on the site."

Es erfüllt damit also nicht die DSGVO. Ich habe noch Cookie Control auf meiner Liste und eigtl. ein Sandbox Modul Beljaako, das nach Angaben wohl all das könnte, aber ich krieg das .git dazu einfach nicht.

Ansonsten habe ich gestern in einer FB Gruppe eine sehr schöne Auflistung bekommen der Maßnahmen:

1. Auf SSL umstellen.
2. Checkbox in Forms einbauen, die der User anklicken muss, um Datenverarbeitung zuzustimmen
3. Cookie notice inkl. Opt-in für Tracking
4. Tracking abschalten, sofern der User nicht aktiv einwilligt
5. Datenschutzbestimmungen anlegen (ggf. inkl. Google Maps, Google Fonts, Analytics, Facebook Pixel etc.)
6. Analytics opt out in die Datenschutzbestimmungen aufnehmen

Die Umsetzung des Trackings/Cookies bereitet mir jedoch auch etwas Schwierigkeiten.

Ansonsten kann ich den Vorrednern nur zustimmen, ein gutes Impressum + Datenschutzerklärung sind fast das wichtigste.

Hier muss vor allem auf die Daten- Auskunft, deren Löschung und deren Verwendung hingewiesen werden.
Für mich stellt sich da aber schon die nächste Frage: als Webagentur erstelle ich die Websiten der Kunden, habe somit also auch immer Zugriff als Drittanbieter auf die Daten, da wir ja immer einen Zugang haben um Updates zu machen, Probleme zu beheben, neue Sachen einzufügen.

Das müsste ich ja streng genommen auch in der Datenschutzerklärung angeben, oder wie seht ihr das?

Noch ein guter Tipp war ein Buch "Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine: Das Sofortmaßnahmen-Paket " gibts für 5,50€ beim großen A ;) und die Rezensionen dazu sind wohl echt gut.

Danke für diese tolle Aufstellung, prinCiangi,

Da greift wieder meine Frage von oben: Soll das nicht in erster Line Privatkunden schützen?
Deine Kunden sind ja vermutlich keine Privatkunden.
Ich dachte eigentlich, damit wären wir in der Beziehung aus dem Schneider.

Ich habe:
-SSL
- Checkbox unter Kontakt und Commentform. Frage ohnehin nur das was nötig ist ab.
-Nur anonyme User
-Google analytics anonymisiert.
-Datenschutz, 20 Seiten lang, jeder Mist erwähnt.
-Habe schon immer nur das wichtigste an Daten abgefragt.
-Facebook kram durch Shariff ersetzt. Bin mal gespannt ob das den Seiten schadet was die Verbreitung angeht.
-Cookie Banner mit Hinweis auf den Datenschutz.
-Externe CDN Quellen wie Webfonts habe ich auch. Sowas steht in den Datenschutz Bestimmungen.
-Adsense und Werbelinks. Kann ich auch nicht wegmachen, genau so wenig wie Pro7, RTL oder Zeitungen die Werbung abschaffen können bzw. sich vorher ne Erlaubnis einholen. Wüsste gerne welcher Schwachkopf sich da wieder null informiert hat @EU

Wenn das der EU wirklich immer noch nicht nicht reicht und ich dem User noch per Popup erlauben und gestatten muss,das er sämtliche Werbung wegblocken kann, sich dann den gratis Inhalt holen kann, dann kann
ich meine Seiten auch einfach löschen und mich arbeitslos melden.
Was diese Tiefflieger vergessen ist, das diese ganze Popup Akzeptanz sehr gering ist und die einzige Chance die kleine Seiten haben, Werbung ist. Es gibt sogar schon Addons die die Cookie Bars blockieren :)
Große Seiten werden viel weniger Probleme haben da "consent opt-ins" einzuholen. Facebook macht das einmal und fertig. Seiten die nur anonyme User zulassen und klein sind werden da eine Konversion jenseits von gut und böse haben. Toller Wettbewerbsvorteil für die Großen.
Ich persönlich habe gezielt keine solchen Addons oder Adblock an, weil ich solche kleinen Seiten nicht ihrer Finanzgrundlage berauben will. Wenn es jedoch jemand übertreibt und mir Overlay-Videos ungefragt lädt aktiviere ich ihn.

Naja meine Kunden haben Websites die von Privatkunden genutzt werden.
Somit muss ich ja meinen Kunden empfehlen was sie tun müssen damit ihre Websites der DSGVO entsprechen.

Da meine Kunden ja in der Informationspflicht sind was mit den Daten der End/Privatkunden, die die Website nutzen, passiert, müssten diese streng genommen auch darauf verweisen das ich als Unternehmen und somit Drittanbieter zugriff auf die Daten zb. innerhalb eines Kontaktformulars Zugriff habe.

@mchorn

mein Azubi hat im Zuge dessen noch rausgefunden das reintheorethisch vor jedem Formular stehen muss warum man diese Daten jetzt erhebt.

Finde ich persönlich ja auch totaler Schwachsinn vor einem Kontaktformular zu schreiben 'Wir benötigen diese Daten um Ihnen auf ihre Kontaktanfrage zu antworten' - weil das ja eigentlich logisch ist, ist aber wohl auch eine Notwendigkeit für solche Formulare im Zuge der DSGVO.

Schaut euch mal die Webseite des Experten an, der im Video die DSGVO erklärt hat (blueberry-power at):

Seine Cookiebar unten ist einfach und verschwindet sogar beim Scrollen, man muss nicht mal auf OK klicken.

Er erwähnt in der Datenschutzerklärung folgendes:

Allerdings kann man im Google Chrome heute diese Einstellung gar nicht mehr so vornehmen, dass man Cookies einzeln erlauben kann (früher ging das mal). Das würde zwar niemals ein Nutzer verwenden, weil es total umständlich ist, aber dann wäre seine Erklärung korrekt und das wäre eine korrekte Lösung.

Aber anscheinend ist der Experte doch kein Experte, sonst wüsste er, dass das nicht geht. Seine Erklärung zu den Cookies ist also falsch. Wie könnte man diese leicht anpassen, um dennoch eine einfache Lösung ganz ganz ähnlich der Lösung, wie der Experte sie hat, einzubauen?

Und auch seine Analytics-Lösung ist einfach: Lest einfach den Text dazu in seiner Datenschutzerkärung durch.

Warum machen wir das nicht einfach nach und passen leicht an? Dann ist alles einfacher.

Hat jemand das Video, welches oben erwähnt wurde, ganz genau angeschaut: Wird der Experte seine Webseite noch anpassen bis zum 25. Mai oder ist seine bereits DSGVO konform? Wenn ja, warum sollten wir alles verkomplizieren (z. Bsp. auf Analytics Opt-out verzichten, nur seinen Text übernehmen. Komplizierte Cookiebar verzichten, nur seinen Text leicht adaptiert einbauen ... usw.).

Oder wer mag den Experten kurz anrufen um zu klären, ob das konform ist oder er seine Webseite noch aufrüsten wird?

Habe folgende Datenschutzerklärung gefunden, die wohl ohne viel Aufwand das Problem Google Analytics und das Problem Cookies löst:

Wobei man auf den Link "Google Analytics deaktivieren" wohl verzichten kann, da eine Lösung, das Runterladen des Browser-Plugins, ja reichen muss.

Oder wir suchen uns nach das Script, welches Google Analytics Cookies deaktiviert ....

Besser hätte ich es auch nicht ausdrücken können :)

Ich stell mich jetzt auch mal dumm. Dann kommt folgendes, der Witz des Tages, raus:
Ich möchte jetzt übrigens von der Post, jedes mal, wenn ich ein Paket aufgebe, darüber informiert werden, dass meine Adresse und die des Empfängers im System bzw. deren Computern landet, + tracking. Da ich mich ja nicht ausweisen muss, soll das bitte jedes mal, also sicher dann millionenfach in DE geschehen. Die Aufklärung per Zettel, den ich dann erstmal vor Ort lesen muss. Damit ich auch weis das die Post meine Adresse braucht usw.
Muhahahaha

Also der Experte wird seine Datenschutzerklärung noch anpassen, hat er gesagt. Bei seinen Kunden ist schon alles korrekt, aber seine eigene noch nicht ganz.

Die zweite Seite (Lösung mit dem Plugin-Link usw.) sollte seiner meine nach schon DSGVO konform sein, zumindest für die jetzige Fassung der DSGVO, da wird es ja bald noch Änderungen geben.

Wenn ihr eure Pages auf SSL bzw. TLS umstellt, dann scannt diese nach mixed-contrnt. Sonst habt ihr nachher Browserwarnungen und der Besucher denkt ihr "wollt ihn hacken" oder seinen "pc beschädigen". Leider ist das so, denn die meisten wissen nicht mal was SSL bzw. TLS ist und wo es wirklich gebraucht wird und Sinn macht.

Ich habe mit dem CLI Script hier gescannt. Manuell könnt ihr das vergessen wenn ihr viele Unterseiten habt. Das Script spuckt auch aus, welche Seiten mixed content haben, dann kann man das einfach fixen.
https://github.com/spatie/mixed-content-scanner-cli

Hierfür habe ich diese beiden Module gefunden:
Sign for acknowledgement
und
Entity Legal

Hat die schon mal jemand verwendet/getestet?

Aber so eine Checkbox reicht ja nicht. Es gilt ja das Koppelungsverbot: Sprich für jede Verwendung der Daten muss eine eigene Zustimmung möglich sein, es muss also mehrere Checkboxen geben. Eine allgemeine Checkbox "Habe die Datenschutzerklärung gelesen" ist nicht das, was wir alle brauchen werden ...

Mal ehrlich, würdest Du ein Formular noch abschicken, wo das alles abgefragt wird?
Dann kannst Du es gleich weg lassen und eine Email hinterlegen, an die man mailen kann.

Demnächst werden nur noch Telefone verkauft, wo man vor Kontaktaufnahme eine Automatische Abfrage betätige muss.
"Sind sie damit einverstanden, dass ich mir ihren Namen merke? Dann drücken Sie bitte die 1.
Sind sie damit einverstanden, dass sich mein Telefon Ihre Nummer merkt? Dann drücken Sie bitte die 2.
In allen anderen Fällen legen Sie bitte auf." ;-)

Ich denke, es kommt auch auf die Sensiblität der Daten drauf an, die in einem Formular abgefragt werden.

Das muss man ja alles für den Einzelfall bewerten und es gibt nicht eine Empfehlung für alle Seiten.
Wir haben mehrere Web-Projekte und werden sicher in jedem Fall einzeln entscheiden.
Nur wie weiß ich noch nicht. ;-((

Also ich glaube ja, dass sich da ein Audit durch einen Anwalt für Internetrecht lohnt. Mir graut vor Dingen wie Google Analytics, wenn ich an die Dsgvo denke. Klar aktualisieren jetzt alle ihre Geschäftsbedingungen. Aber Mal ehrlich wenn jemand weiß, welche Daten ich verschlüsseln muss und wie ich am besten ein Datenvetarbeizungseinverstàmändbiss beim Nutzer abhole, dann doch jemand, der die DSGVO inhaliert hat, bevor er eine Beratung dazu verkaufen kann.

Ich würd mir also ansehen, welche Daten meine Kunden sammeln und dann mit dieser Liste eine Preisanfrage an einen Anwalt stellen. Anders besteht ein Abmahnrisiko für den Kunden. Selbst ein Spezialist kann dieses nur minimieren.

advertiseagents unterstützt euch bei der Umsetzung der DSGVO. In diesem Zusammenhang sammeln wir über WIE-ICH eure Fragen zu eurem DSGVO-Fall und leiten diese an einen Anwalt weiter. Die Antwort veröffentlichen wir über unsere DSGVO-Sendung ( ist zudem als kostenfreier Download in Form eines Podcasts erhältlich ).

Eure Fragen zur DSGVO könnt ihr, wenn ihr möchtet, über WIE-ICH unter https://goo.gl/uypaoG einreichen. Von dort aus werden alle Fragen zur DSGVO von unserer Redaktion empfangen und an unsere Partneranwälte weitergeleitet.

Hallo Domenik,
Bis wann genau sammelt ihr den Fragen (und Nutzer :-D)?

Das ist eine österreichische Seite oder? Österreich ist klug und hat das DSGVO direkt entschärft.

Also, grad gefunden das EU Cookie Compliance Module hat eine neue Dev rausgebracht die bis 25.05. auch final sein soll.
Dort kann man nun folgendes auswählen:

Consent for processing of personal information
The EU General Data Protection Regulation (GDPR) (see https://www.eugdpr.org/) comes into enforcement from 25 May 2018 and introduces new requirements for web sites which handle information that can be used to identify individuals. The regulation underlines that consent must be unambiguous and involve a clear affirmative action. When evaluating how to best handle the requirements in the GDPR, remember that if you have a basic web site where the visitors don’t log in, you always have the option to not process data that identifies individuals, in which case you may not need this module. Also note that GDPR applies to any electronic processing or storage of personal data that your organization may do, and simply installing a module may not be enough to become fully GDPR compliant.
Consent method
- Consent by default. Don’t provide any option to opt out.
- Opt-in. Don’t track visitors unless they specifically give consent. (GDPR compliant)
- Opt-out. Track visitors by default, unless they choose to opt out.
- Automatic. Respect the DNT (Do not track) setting in the browser, if present. Uses opt-in when DNT is 1 or not set, and consent by default when DNT is 0.

Ich werde das jetzt auf ner privaten Seite testen und mal sehen ob das passt ;)

________________________________________________________________________-

Ich schließe mich da meinen Vorrednern ein, es reicht eben nicht nur ein allgemeines 'Datenschutzerklärung gelesen ich willige ein' überall hinzupassen.

Soweit ich es verstanden habe benötigt jedes einzelne Formular folgendes:
a) Eingehende Informationen wofür die Daten, wie verarbeitet, wer verarbeitet
b) Checkbox die nicht vor ausgewählt sein darf das er der Datenverarbeitung dieser Daten für den o.g. Zweck zustimmt.

Und vermutlich wird auch das meine Vorgehensweise sein, Formular dahingehend zu erweitern. Nervig wird es wenn man viele Kunden /Websites hat deren Formulare gern auch mal erweitert werden.

Man muss sich dabei immer Fragen: Welche Daten sind jetzt wirklich zwingend notwendig, darüber hinaus sollte ich nichts 'erfragen' weil man sozusagen alles erklären muss.

Beispiel Kontaktformular:

"Im folgenden Kontaktformular erfragen wir ihre Kontaktdaten ( Name, Vorname, Telefonnummer, E-mailadresse). Diese personenbezogenen Daten speichern wir beim Absenden auf unserem Server. Sie dienen dazu mit Ihnen bzgl. ihres Anliegens Kontakt aufzunehmen."

Am besten ergänzen mit "Sollten Sie dieser Datenverarbeitung ihrer persönlichen Daten nicht zustimmen, rufen Sie uns doch am besten an ... "

Ist nervig, aber letztendlich der einzige diskriminierungsfreie Weg weiterhin Kontaktformulare laut DSGVO zu nutzen, denn du musst auch dem Kunden eine Kontaktmöglichkeit bieten der eben nicht seine Daten preisgeben will. Gibt er dann halt seine Handynummer preis :p

Gute Idee!

Frage zu den Konfigurationsmöglichkeiten der aktuellen dev-version des eu-cookie-compliance-modules:

-----------
- Opt-in. Don’t track visitors unless they specifically give consent. (GDPR compliant)
-----------

Sofern ich es richtig verstehe ist also einzig und allein das Opt-in rechtlich korrekt?

Und: sobald ich diese Option wähle, habe ich die Möglichkeit
– disable JavaScripts
– Whitelisted cookies
einzutragen

Meine (vermutlich naive) Frage: muss ich das oder kann ich das?

Ich hab die Auto Funktion angemacht, weil dann schaut er vorher ob der Browser nicht schon eingestellt hat gar keine Cookies anzunehmen.

Ansonsten kannst du Javascript und Cookies angeben.
In Bezug auf Cookies ist das aber Käse weil du sollst ja eben keine ausnahmen machen ;)

Ich bin schon etwas nervös wegen dem Hinweis ' PHP session cookies and the cookie for this module are always whitelisted.'
Wie da wohl die EU-DSGVO zu steht? :D Was ist jetzt ausgenommen und was eben nicht...

Hallo liebe Leidensgenossen,

ich betreibe auch ein Portal in dem sich über die Jahre ca. 6000 Mitglieder registriert haben. Die meisten davon dürften inzwischen sicherlich Kartei-Leichen sein. Wenn man es also positiv sieht, dann zumindest der Punkt, jetzt mal aufzuräumen.

Auf meiner Website gibt es ein viel genutztes Forum (das ganz normale Advanced Forum-Modul), ein Kontaktformular, sowie die Möglichkeit i.d.R. Artikel auf der Website kommentieren zu können.

Da ich bislang bei der Registrierung keine Checkbox eingebaut habe, aber ja schon Mitglieder habe, muss ich deren Einverständnis sicherlich noch einholen.

Hab mir das jetzt so gedacht, dass ich die alle anschreibe und um Ihr Einverständnis bitte (ich denke Einverständis für meine Datenschutzerklärung?!). Alle Benutzerkonten, die sich bis zum Stichtag nicht gemeldet haben, lösche ich zum Gast. Weiss noch nicht wie das bei den gelöschten Konten mit der Email-Adresse läuft oder ob das bei dem Vorgang gleich mit erledigt wird. Die Beiträge der entsprechenden Mitglieder würde ich dann drin lassen, weil sonst ja das ganze Forum in einen Käse mit vielen Löchern zerfällt.

Oder aber ich deaktiviere die entsprechenden Konten - im Frontend ist ja eh nur der Pseudonym-Name ersichtlich und ich lösche in der Datenbank die Email-Adressen.

Was meint Ihr?

Wie setzt Ihr das um? In meinem Fall würde ich die Mitglieder bitten sich einmal anzumelden und dann die „Einverstanden“-Checkbox zu klicken. Aber ich weiss nicht, wie ich das praktisch umsetzen soll. Mail schicken, klar, aber setze ich die Mitglieder vorher alle auf deaktiviert, damit die sich selber wieder aktivieren können?

Das nächste Problem, was ich nicht verstehe ist, wie man das dann nachweist. Wird das Ergebnis der Checkbox in die Datenbank gespeichert? Reicht das bei Nachfrage aus, oder muss da noch Datum, IP usw mit erfasst werden.

Viele Grüße,
Matthias

Auf jeden Fall hiermit. Ich bin jetzt einfach so frech und Kopiere mal den Post aus dem Kanal #localize-german auf Drupalchat.eu

GDPR/DSGVO-Verrückt? Drupal hat jetzt zwei Lösungen dafür. Wäre schön, wenn wir die Übersetzt bekämen!

https://www.drupal.org/project/gdpr_compliance
https://www.drupal.org/project/gdpr

https://localize.drupal.org/translate/languages/de/translate?project=gdp...
https://localize.drupal.org/translate/languages/de/translate?project=gdp...

Wer Vorschläge in Petto hat, bitte Vorschlagen, dafür ist der Kanal ja da.
www.drupal.org
General Data Protection Regulation Compliance
Basic GDPR Compliance use cases (drupal 8.x only): Form checkboxes Pop-up alert Policy Page Policy Page * If the Policy Page does not suit you - create your own, replace the link & clear cache. * Policy Page based on: EN: edps.europa.eu data-protection-legal-notices & legal-notices
www.drupal.org
General Data Protection Regulation
"the GDPR was finally approved by the EU Parliament on 14 April 2016. Enforcement date: 25 May 2018 - at which time those organizations in non-compliance will face heavy fines." – http://www.eugdpr.org/ This module aims to help site admins follow the guidelines and legislation set by the EU. Installing and using this module pack does not mean your site becomes GDPR compliant. GDPR affects the whole organisation, this module aims to help to understand its Drupal relations and tries to provide helper tools to make your site GDPR compliant.
localize.drupal.org
Translate General Data Protection Regulation Compliance to German | Translations
localize.drupal.org
Translate General Data Protection Regulation to German | Translations

Welche Methode des Cookie Consents ist nun nötig in welchen Ländern?
Ist ein opt-in nötig?
Ist ein opt-out nötig?
Oder nur ein Hinweis?

Und das ganze für die Länder
- Deutschland
- Österreich
- Luxemburg
- Italien
- Slowenien
- usw.

Was ist, wenn der Seitenbetreiber seinen Sitz in dem einen EU-Land hat, aber von der Webseite auch eine Version für ein anderes Land existiert (z. Bsp. Domains .de, .at, .ch, .it, .lu usw.)? Ist dann immer die Cookie-Lösung zu verwenden, die dem Land des Webseitenbetreibers selbst entspricht oder für verschiedene Länder unterschiedliche Lösungen?

Artikel 3 (1) DSGVO

Wenn du in der Europäischen Union angesiedelt bist dann gilt die DSGVO

Eigentlich ist mit der DSGVO nur opt-in zulässig.

Und es gilt die DSGVO sobald es ein EU Land ist, oder für ein EU Land eine Website bereitstellt oder Waren für ein EU Land anbietet... sowas

Aber wann gilt opt-in und wann opt-out?

In welchem EU-Land ist ein opt-out ausreichend? Wenn es kein Land gäbe, dann würden die Script-Entwickler diese Möglickeit gar nicht erst programmieren. Also muss es auch Länder geben, bei denen in opt-out ausreichend ist.

Das Problem ist, dass dies nicht abschließend geklärt ist. Grundsätzlich gilt immer das Opt-In -Verfahren Wenn der Nutzer dir keine Einverständniserklärung gibt, dann kannst du seine Daten auch nicht bearbeiten. Das Problem ist, dass es hier überschneidungen mit den bisher geltenden Gesetzen gibt und eigentlich noch keiner weiß, weil die Finale Version der DSGVO aussehen wird.

Siehe heirzu: http://www.horizont.net/medien/nachrichten/DSGVO-Datenschuetzer-empfehle...

Danke, ist ist eine gute Antwort.

Weißt Du auch, ob es in anderen Ländern (Italien, Ungarn, Österreich, ...) ebenfalls noch unklar ist (opt-in oder opt-out)?

Na ja klar, da die DSGVO für den gesamten Europäischen raum gelten soll, wenn sie Fertig ist, ist das dort nicht anders.

Ich denke ganz so selbstverständlich ist es nicht, dass die DSGVO für ganz EU gilt:
https://www.heise.de/newsticker/meldung/Keine-Strafen-Oesterreich-zieht-...

Das ist schon so, aber nicht jedes Unternehmen hat seine Sitz in Österreich. Wer sich das allerdings leisten kann, der kann sich ein Haufen ärger ersparen. Ich hab allerdings noch keinen Paragraphen da drin gefunden, indem steht unter welchen Bedingungen beispielsweise Österreich der DSGVO dem Datenschutz so einfach die Zähne ziehen kann, wie es in dem Artikel so schön heißt. Wenn das tatsächlich so einfach geht, dann müssten das ja nicht nur die Österreicher hinbekommen.

Habt ihr schon ein Verarbeitungsverzeichnis für Eure Webseite oder euer Unternehmen erstellt?

Oder habt ihr gute Muster für Verarbeitungsverzeichnisse im Internet gesehen?

Äh nein aber habt ihr wirklich mehr als 250 Mitarbeiter?

Moment, das ist ein Irrtum.

Auch alle Unternehmen oder Vereine mit weniger als 250 Mitarbeitern müssen ein Vearbeitungsverzeichnis führen.

Ausgenommen sind diese "kleinen" nur dann, wenn Daten nur gelegentlich verarbeitet werden. Gelegentlich bedeutet z. Bsp. wenn Fotos auf bei einer Veranstaltung gemacht werden, die z. Bsp. alle 2 Jahre stattfindet oder oder eben gelegentlich stattfindet.

Aber, sobald Du Kundendaten hast, verarbeitest Du diese Kundendaten nicht nur gelegentlich sondern diese sind doch die ganze Zeit bei Dir gespeichert (= verarbeitet) und damit musst Du ebenfalls ein Verarbeitungsverzeichnis führen.

Ausgenommen sind wirklich nur Datenverarbeitungen, die nur gelegentlich stattfinden, und dies nur bei Unternehmen mit weniger als 250 Mitarbeitern.

Damit ist eigentlich kein einziges Unternehmen von der Erstellung eines Verarbeitungsverzeichnisses befreit.

Habt ihr das nicht gewusst?

Das ist ja das schöne an der DSGVO.
Es bleibt weiter Raum für Interprätationsmöglichkeiten.
Man darf schon gespannt sein auf den Rattenschwanz an Rechtsstreiten. ;-((

Hier eben nicht. "Gelegentlich" ist eindeutig. Wenn Du ein Unternehmen mit Kundendaten oder eine Webseite mit Benutzerdaten hast, dann ist das garantiert nicht gelegentlich und daher ist immer ein Verarbeitungsverzeichnis zu führen. Da braucht es keine Rechtssprechung mehr.

Das steht halt leider anders in dem dicken Schmöker auf dem DSGVO steht. ich hab die entsprechende Stelle ja nicht umsonst zitiert. Wenn da jetzt natürlich irgendwo das Gegenteil drin steht, dann immer her mit der Stelle. Die interessiert mich. Kleinere Unternehmen sind in Erwägungsgrund 13 bzw in Artikel 2 des Anhangs zur Empfehlung 2003/361/EG der Kommission definiert. das Zitieren spare ich mir an dieser Stelle aus Platzgründen.

Nein das wusste ich nicht, ich kann den entsprechenden Passus nämlich nirgendwo finden.

Das kam in dem Webinar vor, von dem weiter oben gesprochen wurde.

Und ist hier nachzulesen:
https://www.wko.at/service/unternehmensfuehrung-finanzierung-foerderunge...

Zitat:

Die WKO (der Link stammt von der WKO Webseite) ist die Vertretung aller Unternehmen in Österreich. Alle Unternehmen werden also über die WKO informiert, "dass grundsätzlich jedes Unternehmen, das eine Kundendatenbank führt oder eine Mitarbeiterverwaltung betreibt, ein Verarbeitungsverzeichnis benötigt".

Die Unternehmen richten sich nach den Angaben der WKO. Daher ist das derzeit fix, außer es gibt in Zukunft noch Änderungen in der DSGVO wo dieses "gelegentlich" in der Form gänzlich entfällt, dass alle Unternehmen unter 250 Mitarbeitern ausgenommen werden. Dies ist aber nur ein Wunschdenken, es ist nicht davon auszugehen, dass so viele Unternehmen ausgenommen werden.

Inzwischen würde ich den von mir verlinkten Kurs nur noch mit Vorsicht genießen.
Bzw. der Kurs ist noch auf altem Stand, aber dort hinterlegte Dokumente.

Österreich hat ja die DSGVO vor ein paar Tagen abgeschwächt.
Man kann nicht mehr davon ausgehen, dass es einheitlich ist zu DE.

Übrigens wurden nochmal Änderungen an der DSGVO vorgenommen :D Man darf nun wohl für Newsletter wirklich nur noch die Emailadresse einsammeln, kein Name, kein Gebudatum, nichts weiter, nur noch Email. Bin mal gespannt was noch bis 25.5. auftaucht.

Also was ich aus meiner Erste-Hilfe Broschüre rauslesen konnte war auch:
alle die Daten verarbeiten müssen zumindest aufschreiben welche Daten, warum, wofür genutzt.

Das ist aber unrichtig. Diese Aussagen stehen schon sehr lange auf der WKO Webseite, lange bevor in Österreich kleine Änderungen vorgenommen worden sind.

Die Änderungen in Österreich betreffen weiters garantiert nicht das Verarbeitungsverzeichnis, sondern es sind nur geringere Strafen in Aussicht gestellt worden und Behören bleiben strafffrei. All diese kleinen Änderungen haben nichts mit dem Verarbeitungsverzeichnis zu tun.

Das Verarbeitungsverzeichnis muss weiterhin von allen Unternehmen erstellt werden!

Stelle Dir vor, man würde alle Unternehmen unter 250 Mitarbeitern ausnehmen: Dann würden nur noch wenige Prozent an Firmen übrigbleiben, die die DSGVO ernst nehmen müssen.

Ca. jedes zweite Unternehmen ist ein Einzelunternehmen, sprich hat Null Mitarbeiter. Ca. 50% aller Unternehmen hat keinen Mitarbeiter, sehr viele haben 1-10 Mitarbeiter, ganz ganz ganz viele haben bis zu 250 Mitarbeiter. Nur wenige Konzerne haben mehr als 250 Mitarbeiter.

Die DSGVO macht keinen Sinn, wenn fast alle Unternehmen nicht mal ein Verarbeitungszerzeichnis erstellen müssen. Jeder der sich mit Datenschutz beschäftigt, muss doch einmal zusammenschreiben, wo im Unternehmen überall Daten verarbeitet (gesammelt, gespeichert, usw.) werden. Dies muss man sowieso machen und schon hat man das Verarbeitungsverzeichnis, es reicht ja sogar handschriftlich, kann aber natürlich auch am Computer geschrieben werden.

Und das Verarbeitungszerzeichnis ist ein internes Dokument, das niemandem gezeigt werden muss, außer der Datenschutzbehörde, wenn diese anfragt. Also theoretisch kann man es dann ja schnell in 2 Tagen schreiben, wenn eine Anfrage von der Datenschutzbehörde kommt, denn 2 Tage wird sich die Behörde schon gedulden können, wenn sie eine Anfrage an ein Unternehmen stellt (meistens, wenn sich Kunden oder Nutzer beschwert haben).

Ich kann der Argumentation nicht folgen. Wir befinden uns doch gar nicht in Österreich und steht das och hier in Absatz 5 Was soll denn jetzt an Absatz 5 genau falsch sein. Wo ist denn da das Tatbestandsmerkmal, dass den Rechtsgrund aushebelt?
https://dsgvo-gesetz.de/art-30-dsgvo/

Hallo,

Für mich als Hobbyist ist das Gesetzt mal wieder eine mittlere Katastrophe. Weiss jemand wie die Zwei Klick Lösung für verlinkte Bilder unter Drupal 7 realisiert werden kann? Brauche ich das überhaupt?

Habe ich doch schon ausführlich erklärt:

Bitte lies den Satz mehrmals, dann wirst Du feststellen, dass nur Unternehmen < 250 Mitarbeiter ausgenommen sind, wenn die Verarbeitung der Daten nur gelegentlich erfolgt.

Kein Unternehmen mit Kundendaten oder Benuterdaten einer Webseite verarbeitet Daten nur gelegentlich, daher sind alle normalen Unternehme NICHT ausgenommen!

Das ist genau das, was auf WKO steht und der Experte erklärt hat.

Ich zitiere dazu mal:

1. Pflicht zur Erstellung
Grundsätzlich fordert Art. 30 DS-GVO, dass alle Verantwortlichen ( Siehe Definition 4) ein Verzeichnis über alle Verarbeitungstätigkeiten zu führen haben, die in ihrem Unternehmen oder ihrem Verein durchgeführt werden. Es muss also dokumentiert werden, in welchem Zusammenhang mit personenbezogenen Daten gearbeitet wird.

Bsp. Programme zur Kunden-, Mitarbeiter- oder Mitgliederverwaltung

definition4:

Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von Personen bezogenen Daten entscheidet.
Mit anderen Worten: Verwantwortlicher ist jeder, der mit personenbezogenen Daten von anderen umgeht.

2. Freistellung von der Verpflichtung, Verzeichnis zu erstellen
Die Freistellung von der Verpflichtung, ein Verzeichnis der Verarbeitungstätigkeiten aufzustellen, gibt es theoretisch für Unternehmen und Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen. In der Praxis hat das aber fast keine Bedeutung, da diese Freistellung u.a. nur dann gilt, wenn die Verarbeitung nur gelegentlich erfolgt und auch keine besonderen Datenkategorien wie Gesundheits- oder Religionsdaten verarbeitet werden.

Jedes Unternehmen oder jeder Verein, der kontinuierlich für seine Beschäftigten Lihnabrechungen durchführt, einschließlich der Verarbeitung von Religionsdaten zur Abführung der Kirchensteuer oder Gesundheitsdaten zur Bestellung der Krankheitstage oder als Verein seine Mitgliederverwaltung auf dem Laufenden hält, ist von der Freistellung nicht mehr umfasst. Er verarbeitet Daten nicht mehr nur gelegentlich. Unabhängig davon sollten Verantwortliche eher weniger Aufwand in die Begründung ihrer Freistellung investieren als im Zweifel lieber ein Verzeichnis ihrer Verarbeitungstätigkeiten aufzustellen. es hilft jedem Verantwortlichen, einen überblick darüber zu bekommen oder zu behalten, wie im eigenen Unternehmen oder Verein mit personenbezogenen Daten umgegangen wird. Dass dieses Verzeichnis darüber hinaus sehr hilfreich sein kann, um andere gesetzliche Verpflichtende Aufgaben zu erfüllen, wird im Folgenden immer wieder dargestellt werden.

_____________________________________

Das ist das was im Sofort-Hilfe Buch dazu steht.

_________________________________________________________

Im Zuge dessen werde ich für meine Websiten auch Verzeichnisse anlegen, wo welche Daten gespeichert und verarbeitet werden.

z.B.

- Webforms / Contact
- Nutzeranmeldung
- Newslettermodule und daran angeschlossene Dienste wie z.B. Mailchimp
- Backup and Migrate -> Wir sichern auf einem 2. Server zusätzlich
- Google Analytics

Das Auflisten ist auch gar nicht mal so schwer, folgende Daten müssen pro Verarbeitungstätigkeit angegeben werden:

- Verantwortlicher / Abteilung
- Bezeichung
- Zweck der Verarbeitung
- betroffene Personen (Kunden, Lieferanten, Beschäftige... )
- Datenkategorie a) Besondere Arten ( Religion, Krankmeldung, Gesundheitsdaten) b) der ganze rest :D
- Empfänger der Daten ist a) intern Abteilung: Funktion: b) extern - Empfänger:
- Datenübermittlung an Dritte a) findet nicht statt b) findet statt wie folgt c) Drittland
- konkreter Datenempfänger
- Fristen für die Löschung
- technische und organisatorische Maßnahmen (TOM)

Des Weiteren können Ergänzungen hilfreich sein:
- Rechtsgrundlage der Verarbeitung
- Dokumentation das eingewilligt worde
- Dokumentation das Transparenz der Verarbeitung vorliegt
- Dokumentation zu Informationspflichten
- Dokumentation Datenschutz durch Technik eingehalten
- Dokumentation des Prozess für Auskunft, Berichtigung und Löschung
- Umsetzung Speicherbegrenzung
- Umsetzung der Sicherheit der Verarbeitung
- Auflistung aller Auftragsverarbeiter inkl. Datentransfer
- Umgang mit Datenschutzverletzungen
- Darstellung der Meldepflicht
- Risikoberwertung / datenschutzfolgenabschötzung
- Dokumentation von Awareness-Maßnahmen

Das Buch enthält darüber hinaus natürlich noch ein vollständiges Muster.

Bedenken müssen wir vor allem das eigtl. jede Website auch für Dritte ( Hoster bzw. Webentwickler/Agentur ) zugäugig ist. Somit auch dessen Daten.

Also dieses Muster würde mich ja brennend interessieren.

Also dieses Muster würde mich ja brennend interessieren.

DA ich den Link zu dem Udemy-Kurs gemailt hatte und der von österreichischen Betreibern stammt, die auf ihrer Webseite auch Muster bereit stellen, wollte ich nur mal darauf hinweisen, dass wir nicht mehr davon ausgehen können, dass Angaben und Muster für AT auch in DE stimmen.
https://www.heise.de/newsticker/meldung/Keine-Strafen-Oesterreich-zieht-...
Weiter war keinerlei Aussage damit verbunden.
Ich blicks sowieso nicht. ;-)

Das Buch heißt: Erste Hilfe zur Datenschutzgrundverordnung für Unternehmen und Vereine

Herausgegeben vom Bayerischen Landesamt für Datenschutzaufsicht, gibts für 5,50€ beim großen A zu bestellen
Also gut angelegte 11 Deutsche Mark die jedes Unternehmen und Verein einfach mal investieren sollte.

ISB 978-3-406-71662-1

Ich werde nicht noch mehr aus dem Heft veröffentlichen. Urheberrecht und sowas :D

Das Muster bezieht sich übrigens nicht auf Drupal/Websites oder sowas, sondern allgemein auf Datenschutz im Unternehmen. Nur falls da Verwirrung auftritt.

@montviso :

Aber nur weil die Strafen abgemildert wurden und die Behörden gar nicht gestraft werden, gelten doch alle anderen Dinge weiterhin. Es hat sich nichts geändert, außer das was geändert wurde.

Du gehst davon aus, dass nichts mehr von dem, was in Österreich geschrieben wurde, gilt. Das ist aber unrichtig, es gilt weiterhin ALLES ausgenommen der hohen Strafen, die vorerst nicht kommen in Österreich. Die WKO hätte längst ihre Webseite überarbeitet, wenn Teile davon nicht mehr gültig sind, weil sich täglich tausende Unternehmen auf dieser WKO Webseite informieren.

@DrupalFAn
Ich habe genau geschrieben, dass ich von gar nichts ausgehe, sondern nur erwähnen wollte, dass AT und DE nicht automatisch parallel laufen.

http://www.spiegel.de/netzwelt/web/dsgvo-das-sollten-sie-zur-datenschutz...

Punkt 6: "Worauf sollten Blogger und Betreiber kleiner Websites jetzt achten?"
Da heißt es: "Im Zweifelsfall sollte man seine DAtenschutzbehörde fragen, ob und welche Vorkehrungen man bis zum 25. Mai treffen muss."

Das ist doch mal eine Aussage. ;-)
Die Datenschutzbehörde freut sich.

Also schreiben wir jetzt jeder einzeln mal dahin? :D - nur weil es geht?

Habe meinen Beitrag versehentlich in den anderen Thread zu DSGVO gesetzt, man wird ja langsam irre.

Vorschlag ein Trello Board oder ähnliches zu gründen. Falls ein MOD mitliest, gern den nachstehend verlinkten Beitrag in diesen Thread verschieben, danke.

https://www.drupalcenter.de/node/57812#comment-198111

Grüße Jenna

@dinmikkith hat das Trello Board eröffnet, Einladungslink zum privaten Board:

https://www.drupalcenter.de/node/57812#comment-198123

Grüße Jenna

Das Trello Board funktioniert nicht.
Am besten, es wird wieder gelöscht, denn so nutzt es wohl kaum.

Wie macht ihr eure Einwilligungserklärungen?

Einfach nur eine Checkbox bei der Benutzerregistrierung "Ich stimme der Datenschutzerklärung zu" und das reicht für alles?
Oder ist das der falsche Weg?

Wo braucht man in einem Community-Portal mit Benutzerprofilen usw. jeweils Einwilligungserklärungen und wofür?
Wann braucht man mehrere Checkboxen und für was?

?

Wieso funktioniert (an) Trello nicht. Es funktioniert doch wie es soll, Du stellst eine Frage und bekommst eine Antwort, wenn jemand eine hat. Wo genau hast du denn Probleme mit dem Board, vielleicht kann ich dir helfen. Heißt funktioniert nicht gefällt mir nicht oder gibt's Bedienungsprobleme?

Hoffentlich mit dem GDPR Modul bzw. der D7 Variante, da die Einwilligung ja jederzeit widerrufen werden können muss. Allerdings sind die Module noch nicht fertig. -außerdem musst du personenbezogene Daten in der Datenbank anonymisieren. und dem Benutzer Einblick in seine auf der Webseite gespeicherten Daten geben. Ein Kontrollkästchen alleine tut es also nicht.

Trello selbst funktioniert schon, aber die extra hier erstellten DSGVO Boards funktionieren in der Form nicht, dass sie keinen Mehrwert und keinen Vorteil bieten. Da ist es doch viel sinnvoller, hier im Forum des Drupalcenters weiter zu schreiben und zu diskutieren, als bei diesem Board. Es hätte schon einen Sinn, wenn alle dort mitlesen würden, aber außer einer Person hat niemand reagiert und außerdem ist es extrem unübersichtlich (genau das sollte ja der Vorteil von Trello sein, aber das Gegenteil ist der Fall) und wohl niemals vollständig. Und wenn einer Person die angelegte Strukur gefällt, heißt das noch lange nicht, dass die gewählte Struktur auch für andere sinnvoll und übersichtlich ist.

Kenne Trello schon länger und finde, dass Trello in folgendem Fall viel Sinn macht und gut funktioniert:
Bei einem Projekt (z. Bsp. Website-Erstellung in Auftrag eines Kunden oder im Auftrag einer Agentur) gibt eine Person die Ziele vor und erstellt sozusagen Aufgagen, die zu erledigen sind. So können alle offenen Punkte nach und nach abgearbeitet werden und in "Erledigt" verschoben werden usw.

Sprich für Diskussionen oder ähnliche Abläufe macht Trello wenig Sinn, über Projekt-Abarbeitung nach Angabe einer Person allerdings klappt es gut.

Ich denke nicht, dass man irgendeinen Mehrwert hat, wenn man jetzt in die DSGVO Trello Boards schaut, denn alle dort genannten Links sind ja hier auch schon vorhanden und kennt man ja großteils schon.

Bei mir wird es so sein:

Wenn jemand die Einwilligung zur Verarbeitung der Daten, die bei der Registrierung auf dem Community-Portal nötig sind, widerruft, dann ist das mit der Löschung seines gesamten Accounts und seines Profils usw. verbunden. Widerruf jederzeit mögilch, aber laut Datenschutzerklärung wird der Benutzer dann gelöscht.

Natürlich kann der Widerruf zum Newsletter extra erfolgen, und dann wird nur der Newsletter abgemeldet und nicht mehr. Das sind ja alles getrennte Bereiche mit getrennten Einwilligungs-Checkboxen.

Macht das Modul das anders?

Zwischendurch:
Wie bindet ihr denn Google Fonts DSGVO konform ein? ladet ihr die direkt auf den server und nutzt die so?

In die Datenschutzerklärung habe ich am Schluss folgenden Passus eingefügt:

Google Web Fonts
Diese Seite nutzt zur einheitlichen Darstellung von Schriftarten so genannte Web Fonts, die von Google bereitgestellt werden. Beim Aufruf einer Seite lädt Ihr Browser die benötigten Web Fonts in ihren Browsercache, um Texte und Schriftarten korrekt anzuzeigen.

Zu diesem Zweck muss der von Ihnen verwendete Browser Verbindung zu den Servern von Google aufnehmen. Hierdurch erlangt Google Kenntnis darüber, dass über Ihre IP-Adresse unsere Website aufgerufen wurde. Die Nutzung von Google Web Fonts erfolgt im Interesse einer einheitlichen und ansprechenden Darstellung unserer Online-Angebote. Dies stellt ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO dar.

Wenn Ihr Browser Web Fonts nicht unterstützt, wird eine Standardschrift von Ihrem Computer genutzt.

Weitere Informationen zu Google Web Fonts finden Sie unter https://developers.google.com/fonts/faq und in der Datenschutzerklärung von Google: https://www.google.com/policies/privacy/.

Google Web Fonts

P.S. eingebunden habe ich Google Web Fonts jeweils per CSS

Ich habe gerade eben bei einer Webseite die Schriften lokal eingebunden, wie meistens in letzter Zeit.
Ist eigentlich ganz Easy über diesen Link:
https://google-webfonts-helper.herokuapp.com/fonts/
Man darf nur nicht vergessen, den Link auf googleapsis im Template raus nehmen, sonst hat man ja den Mist trotzdem noch drinnen. ;-)

Beim Aufruf von Google Web Fonts werden personenbezogene Daten übertragen?

Hier steht, warum das kritisch ist:
https://www.7media.de/wp-coaching/dsgvo-neue-datenschutz-anforderungen/

Danke. Sehr hilfreich!

Habt ihr schon einen Vertrag zur Auftragsdatenverarbeitung mit Google abgeschlossen?

Hier ist so Vertrag, den man ausfüllen kann:
https://static.googleusercontent.com/media/www.google.de/de/de/analytics...

Ich möchte ihn aber nicht per Post verschicken sondern eingescannt an eine Mailadresse von Google senden. Könnt ihr mir sagen, welche Mailadresse das ist?

Bei meinem Webspace-Provider war das so einfach möglich und nur wenige Stunden später kam schon die Bestätigung per E-Mail, dass der Vertrag in Kraft gesetzt wurde. Google kann doch nicht wirklich erwarten, dass Millionen Seitenbetreiber diesen Vertrag per Post schicken.

Ha, wenn wir schon beim Thema Auftragsdatenverarbeitung sind.
Welche Vorlagen nutzen Eure Kunden denn so, um mit Euch als Dienstleistern einen Vertrag zu schließen?
Ich habe jetzt mehrere Vorlagen angesehen und jedes Mal wieder zu gemacht...
Und warte einfach mal, was mir die Kunden so zukommen lassen, mit denen ich schon drüber gesprochen habe.

Das ist tatsächlich nur per Post und mit frankierten Rückumschlag möglich, Beispiel Artikel (habe bestimmt 15 ähnliche Artikel dazu gelesen, steht überall in der Form drin).
https://www.e-recht24.de/artikel/datenschutz/6843-google-analytics-daten...

Und solange der Vertrag nicht unterzeichnet zurück ist, würde man (wenn ich es richtig gelesen habe), GA nicht datenschutzkonform nutzen.

Ich habe mich, bis GA eine reine Online-Lösung anbietet (wie bei meinem Provider z.B. komfortabel gelöst) erstmal von GA verabschiedet und werde nur Matomo einsetzen.

Für ein Unternehmen in der Größe ist das ein Trauerspiel.

Grüße Jenna

ergänzt: Verlinke hier mal auf meinen Beitrag mit Erklärungen zum Einsatz von Cookies mit GA / Matomo etc., Quelle: Mittwald Blog
https://www.drupalcenter.de/node/57857

Das hier
https://static.googleusercontent.com/media/www.google.com/de//analytics/...
ist der alte Vertrag. Man sieht ja schon am Titel dieser Seite, dass dieser Vertrag aus dem Jahr 2016 stammt. Diese schriftliche Form hat also mit dem alten Gesetz in Deutschland etwas zu tun, aber nicht mit der DSGVO, dies ist ja neu.

Und hier kann man nachlesen
https://www.datenschutzbeauftragter-info.de/google-analytics-ist-die-ele...

dass die elektronische Zustimmung oder ein elektronisch abgeschlossener Vertrag zur Auftragsdatenverarbeitung sehr wohl ab dem 25. Mai, wo die DSGVO das alte Gesetz ablöst, gültig ist und sein wird.

Mein Webspce-Provider aus Deutschland bietet ausschließlich elektronische Verträge an, in der Form, dass man den PDF-Vertrag ausdruckt, unterschreibt, einscannt und an eine spezielle Mailadresse des Providers schickt. Danach erhält man eine E-Mail, in der bestätigt wird, dass der Vertrag in Kraft gesetzt wurde. KEIN Schriftstück per Post.

Google wird es wohl noch einfacher machen und zwar so, wie es jetzt schon möglich ist. Man kann ja jetzt schon dem Zusatz zur Datenverarbeitung im Analytics Konto zustimmen. Und das wird reichen, weil elektronische Vereinbarungen laut DSGVO nicht verboten sind.

Außerdem steht im letzten Satz des verlinkten Beitrags, dass in Österreich schon bisher die elekronische Form ausgereicht hat und dies jetzt ab 25. Mail in Deutschland sozusagen auch möglich wird.

Und wenn das elektronisch möglich ist: Google bestimmt wie dieser Vertrag aussieht und nicht wir Analytics Nutzer: Wenn das nur die Zustimmung im Analytics Konto ist, dann ist es nur das. Sollte noch mehr kommen, wird Google uns das mitteilen und wir werden es dann machen (vielleicht mit eigenhändiger Unterschrift eingescannt hochladen ...).

Also ich verschicke gar nichts per Post und baue Analytics auch nicht aus. Millionen andere Webseiten werden genau so handeln.

So wie ich es raus lese gilt:
Auftragsdatenverarbeitungsvertrag, nur schriftlich
Auftragsverarbeitungsvertrag, online möglich, aber bei GA noch nicht vorhanden?

Grüße Jenna

Auftragsverarbeitungsvertrag hieß der Vertrag anscheinend früher und bis zum 25. Mai in Deutschland. Das ist doch nur ein Begriff, man kann es nennen wie man es will.

Und nun nennt man es eben Auftragsdatenverarbeitungsvertrag und eigentlich ist es dasselbe, nur dass es ind er DSGVO neu geregelt wurde.

Wer hatte denn bisher einen per Post abgeschlossenen Verarbeitungsvertrag mit Google wegen Analytics? 1% bis 5% aller Webseiten die Analytics in der EU einsetzen? Oder noch weniger?

Nachdem dies nun elektronisch möglich sein wird, werden es sehr viele machen, also abschließen.
Es liegt an Google: So wie Google das umsetzt, so werden wir es machen, aber per Post würden es wohl wieder nur sehr wenige Prozent aller Analytics Nutzer umsetzen.

Der auftragsverarbeitung vertrag bei Google Analytics ist vorhanden. auch Online dazu reicht ein Klick in die entsprechende Checkbox. Die DSGVO erlaubt dies nach §9 link zum entsprechenden Formuilar https://support.google.com/analytics/answer/3379636?hl=de

Ganz wichtig erst ab dem 25 Mai zustimmen. Bis dahin gilt laut BSDG §11 nur die Schriftliche Form
http://www.google.com/analytics/terms/de.pdf

Wer sich die PDF also sparen will, der wartet mit der Zustimmung einfach bis zum Ablauf des 24.05.2018

Kann man unter Drupal 7 die Cookies ausschalten? Es sind in meiner Seite nur die, die irgendwie durch Drupal erzeugt werden.

Man muss hier klar die Rechtslage anschauen.
Sind es notwendige Cookies die zum Seitenaufbau erforderlich sind ( Session Cookies ) dann musst du diese nicht angeben und auch nicht abschalten, sicher bist du diese trotzdem in der Datenschutzerklärung zu erwähnen.

Sind es erweiterte Cookies ( Google Analytics, Google Fonts, ... ) musst du darauf hinweisen und dem Nutzer ein Opt-In geben.

Auf https://webbkoll.dataskydd.net kann man seine Seite übrigens testen, da erfährt man zumindest schon mal was zu den third-partie Cookies um die es ja in erster Linie geht.

____________________________________________________________

Hat sich schon einer mit Blogkommentaren und Nutzerkonten beschäftigt?
Schließlich müsste ich streng genommen wie bei den Newslettern alle alten Nutzer und Kommentare bestätigen lassen oder eben offline nehmen.

Da ich auch gerade daran sitze das Verzeichnis für Verarbeitungstätigkeiten unserer Websites aufzuschreiben, wäre auch da mal interessant wie man damit verfährt.

Beschäftigt ist zu viel. Aber zumindest was den Newsletter angeht, solltest du all deinen Nutzern ein Opt-opt anbieten mit optionalem-re-opt in. Block-Kommentare sind so eine Sache. Ich setze da voll auf Disqus, wer sich beim disqus-Netzwerk anmeldet gibt dort seine Zustimmung ab und ich muss mich nicht kümmern, ob da Daten übermittelt werden. Ohne Anmeldung von Nutzerseite läuft dann auch kein Kommentieren. Für alte Kommentare ist das allerdings durchaus Ticky. Du müsstest praktisch von jedem Nutzer die Zustimmung einholen siene Benutzernamen oderr seine E-Mail-Adresse zusammen mit seinem Kommentar zu speichern von der IP will ich gar nicht reden

Alternativ kannst du die dinger auch dem Gast Benutzer zuordnen,, dann bist du zumindest auf der sicheren Seite.

Ist Disqus echt eine Alternative - wenn es um Datenschutz geht?
https://pressengers.de/sicherheit/disqus-datenschutz-eklat/

Der Artikel ist ja schön und gut, aber bei der Verwendung von Disqus sind EU-Bürger betroffen. Somit liegt die Verantwortung der Datensicherheit bei Disqus sobald ein EU-Bürger Disqus verwendet. Wen Disqus sich also in der EU anbieten möchte, dann muss Disqus die Richtlinien der DSGVO einhalten. Sonst können Sie sämtliche Bürger aus der EU künftig aus ihrem Angebot ausschließen. Selbiges gilt für Google, Microsoft usw. Selbst von der Drupal-Association habe ich bereits eine E-Mail erhalten, meine Subscriptions für deren Newsletter zu erneuern und die sitzen ja schließlich auch außerhalb der EU.

Solche Beiträge liest man ständig Facebook war der letzte große Dienst, den es betroffen hat und den man dann mal so richtig durch den Kakao zieht. Dieser Artikel weißt auf eine Datenpanne hin, wie es schon tausende vorher gegeben hat und es wird Sie weitergeben. Zu Facebook-Zeiten war das Wort Datenpanne allerdings noch nicht erfunden. Wer Disqus nicht nutzen möchte, der muss ja kein Konto erstellen. und außerdem mal ehrlich. Wer schreibt denn schon beleidigende Kommentare in ein Blog-Netzwerk und hat dann angst, dass man seine E-Mail-Adresse seinem Nutzernamen zuordnet. Wer nichts blödsinniges tut, der hat auch von solchen Datenpannen nichts zu befürchten. Außer eventuell die ein oder andere Spam-Mail mehr. Wir haben auf Drupal-TV selbstverständlich auch ein Disqus-Konto Spamanstieg seit dem 9. September 2017 0 %

Und natürlich bereitet auch Disqus die GDPR vor:

https://blog.disqus.com/update-on-privacy-and-gdpr-compliance

Den von dir verlinkten Artikel hab ich übrigens gleich mal kommentiert, weils gar so schön ist und einer Trash-Mail-Adresse verwendet. Was da unter dem Kommentarfeld steht macht mir Datenschutztechnisch mehr sorgen als die Panne bei Disqus

"und außerdem mal ehrlich" ... brauchen wir hier nicht nach Sinnhaftigkeit solcher Dinge zu fragen....gaaaanz anderes Thema. ;-)

Fakt ist, dass Disqus mehrfach gegen DSGVO verstößt und sich eben bislang nicht drum schert.
Vielleicht wird das ja jetzt anders. Vielleicht wird Disqus eine der Plattformen, die sich aus dem EU Markt ganz zurück zieht...
Jedenfalls sind wir nicht aus der Verantwortung, in dem wir solche Drittanbieter einbinden.
Sonst wären ja Google Analytics, Maps, Facebook ect.auch kein Problem.

"Wer Disqus nicht nutzen möchte, der muss ja kein Konto erstellen"
Das Problem ist, dass User auch ohne Login getrackt werden.
Daten wie IP-Adresse werden an Dritte weiter gegeben. Das ist ein klarer Verstoß.

Also nochmal.. SSL Zertifikat habe ich. Ich möchte bei Drupal aber keine Cookies mehr. Wie das?

1, Coockies finden
beispielsweise mit ao
https://www.wikihow.com/View-Cookies

Module, die unnötig cookies setzen rausschmeißen

Beispielsweise Media twitter embed.

Alles was du nicht rausschmeißen kannst, weil sonst deine Seite nicht mehr funktioniert, wie sie soll auflisten

Dann Cookie Hinweis basteln

Trustarc macht das ganz toll nur so als beispiel

https://www.trustarc.com/

Hallo zusammen,

nachdem ich zig Datenschutzerklärungen geschrieben habe und viele Wordpress-Seiten PlugIns DSGVO-sauber gemacht habe, bin ich eben noch auf das Bootstrap-Thema hingewiesen worden.
Ich mache nur gelegentlich Drupal-Seiten, und habe letztes Jahr für eine Künstlerseite das bootstrap theme verwendet. Ausserdem wird auf meinen älteren Drupal-Seiten immer wieder ein bootstrap.inc aufgerufen.
Wie handelt ihr das mit Bootstrap mit der DSGVO?

Herzlichen Dank für Infos
Anne

Was genau meinst du? sprichst du die Einbindung über CDN an?

Grüße Jenna

Ja.
Ich habe nur gelesen, dass ein Webentwickler Bootstap lokal auf seinen Host laden wollte.
Das hat mich doch etwas schockiert.

Ist es damit getan in Datenschutzerklärung auf das CDN hinzuweisen? Ähnlich den Webfonts. Wie handhabt ihr das?
Viele Grüße
Anne

Hier nochmal der Infolink den montviso weiter oben schon genannt hatte, da findest du die Lösungen zu Google Fonts selber einbauen und warum man das machen sollte.
https://www.7media.de/wp-coaching/dsgvo-neue-datenschutz-anforderungen/

Beim Bootstrap Theme brauchst du das CDN nicht, du kannst im Theme unter admin/appearance/settings/dein-bootstrap-theme unter Erweitert / CDN benutzerdefiniert auswählen.
Dort trägst du die Pfade zu den bootstrap Dateien auf deinem Server ein (die müssen dort natürlich vorhanden sein), z.B. unter http://getbootstrap.com/docs/3.3/customize/ eine eigene Variante erstellen und auf deinen Server laden.
Nur drauf achten ob du bootstrap 3 oder schon 4 verwendest.

Grüße Jenna

@montviso

Zitat aus t3n:

Hast du schon eine Einschätzung ob das optimierte css ausreicht? oder hast du die full-variante gewählt?
Der Tipp zu 7media.de war echt gut, die geben sich ja viel Mühe mit Erklärungen und so unsinnig ist der Selbsteinbau zu Fonts gar nicht, wenn man mal liest was man so alles an Daten überträgt, bzw. der Besucher der Site.

Grüße Jenna

Wenn man CDN möglichst erstmal vermeiden will, was macht man dann mit https://www.drupal.org/project/jquery_update ?

Unter Einstellungen gibt es:
Google
Microsoft
jQuery
keine

Was passiert wenn ich "keine" wähle? kann sich das unmittelbar auf Funktionen auswirken, oder kriege ich nur die neuesten Versionen nicht mit?

Muß auch das wieder in der Datenschutzerklärung erklärt werden, weil ja vermutlich keiner der Server in Europa steht, oder doch?
Hat jemand schon einen Text dazu gefunden?

Grüße Jenna

Vielen Dank Jenna, werde ich morgen früh umstellen.
Auch Dank an montviso, dessen Rat hatte ich schon einige Tage genutzt.

@Jenna,

Hmmm...was meinst Du da genau?

Ich lasse mir das CSS und die Dateien hier generieren (z.B. Lato)
https://google-webfonts-helper.herokuapp.com/fonts/lato?subsets=latin

Dann die Schrift-Details gewählt, also ob ich italic brauche und welche Schriftstärken.
Dann den Code rauskopiert und in die CSS geschrieben.

Ich hake immer alle Schriftstärken an, damit später keine Dateien fehlen, wenn man doch mal italic 800 braucht.

War das die Antwort auf Deine Frage?

Was ich noch nicht ganz überblicke in Bezug auf Google Fonts:
Wie ist das mit dem Update der Schriften?
Was passiert, wenn die nicht mehr aktuell sind?
Google selbst empfiehlt
"To make sure the fonts installed locally on your personal computer are always up-to-date, we recommend using a fonts manager (such as SkyFonts) that automatically syncs the latest versions of fonts from the Google Fonts API to your computer."
https://developers.google.com/fonts/faq

Ich überlege gerade, warum noch mal fand ich Verdana oder Arial nicht mehr so schön??? ;-)

Danke an @prinCiangi, der diesen Link geteilt hat:
https://webbkoll.dataskydd.net
Demnach ist jetzt alles im grünen Bereich, bis auf den Referrer-Header.
Macht Ihr auf allen Seiten das hier rein?

Da gabs doch ein Modul für: https://www.drupal.org/project/noreferrer

@Tiles, ja das Modul habe ich gesehen.
ist halt die Frage, wie wichtig ist das?
Installiert ihr das bei allen Kunden?

Hm. Ich weiss gar nicht ob Referring überhaupt unter die DSGVO fällt. Ich habe das Modul jedenfalls an. Tut ja nicht weh :)

Ich bin mir da auch nicht sicher, Fällt der Ort, von dem aus der Nutzer die Webseite aufruft unter personenbezogene Daten des Nutzers. Ich würde sagen Ja. Demzufolge kann man alles, was mit dem Nutzer zu tun hat erst mal abschalten. Das Betrifft dann auch so lustige Sachen wie Google Fonts in Bootstrap, CDNs usw.

Eine Meinung dazu gibt es hier:

https://www.7media.de/wp-coaching/dsgvo-neue-datenschutz-anforderungen/

Ich weiß auch noch nicht, wie ich das umsetzen soll.

Disqus, dass ich weiter oben schon angeführt hatte, löst die Problematik aktuell so:

Cookiebot bietet sogar die Möglichkeit dem Nutzer mittels Pop-Up die Nutzung der Seite völlig zu untersagen, wenn er den Bedingungen eines Webseitenbetreibers bezüglich Cookies & Co nicht voll zustimmt.

https://www.icosmedia.de/webseite/dsgvo-cookie-zustimmung/

Im Video zu sehen ca. ab 4:50

Irgendwie bin ich gerade echt überfordert mit der Umstellung meiner Seite auf die DSGVO und wäre Dankbar für jeglich best-Practice-Tipps

Auch interessant ist, was die EU selbst momentan so zu diesem Thema publiziert. Leider noch ncit alles in Detusch aber zumindest in Teilen und natürlich auf Englisch verfügbar:

https://ec.europa.eu/info/law/law-topic/data-protection_de

Hi Jenna,

wenn ich das richtig sehe, ist deine Frage noch offen. Vielleicht kommt meine Antwort noch nicht zu spät, auch wenn der Stichtag schon vorbei ist. jQuery aktuell zu halten gehört zur Sicherheit und Integrität eines Webseite und ist damit letztendlich selbst Teil des Datenschutzes. Deshalb habe ich mich entschieden, diese Maßnahmen nicht abzuschalten, sondern mit dem berechtigten Interesse des Seitenbetreibers zu begründen (Art. 6 Abs. 1 Buchstabe f ). Natürlich sind die "berechtigten Interessen" noch nicht gerichtsfest definiert. Aber die DSGVO ist nicht dazu da, den Betrieb von Websites unsicherer oder ganz unmöglich zu machen.

Da es nun mal zum Grundprinzip der Kommunikation zwischen einem Internetbrowser und einem Server gehört, dass die IP-Adresse übermittelt wird, geht es der DSGVO in erster Linie darum, die "Streuung" dieses persönlichen Datums möglichst klein zu halten. Sie zwingt uns halt dazu, zu überlegen, welche Kommunikation müssen wir den Usern zumuten, damit die Seite sicher funktioniert und optisch wie technisch unseren Ansprüchen genügt. Was ist dazu unbedingt nötig? Google-Fonts kann ich mir auf den Server laden, ich muss nicht unbedingt durch externe Einbettung dazu beitragen, dass Google über sein Fontsangebot darüber informiert wird, welche Seiten wir im Laufe der Zeit besuchen und wie oft.

Bei anderen CDNs wie jQuery sieht das schon anders aus, weil das auch eine Frage der Sicherheit der eingesetzten Technik ist. Wenn Du bzw. der Website in der Datenschutzerklärung auf die Verwendung von CDNs hinweist und ein Data Processing Amendment mit Google abgeschlossen hast, sollte die Verwendung von CDNs DSGVO-konform sein.

Viele Grüße
Christoph

Kann man sicher so begründen.

https://dsgvo-gesetz.de/erwaegungsgruende/nr-47/

Es gibt sogar Firmen, die sich so den Einsatz von Google Webfonts vorbehalten. Habe ich am Freitag gefunden.

Allerdings würde ich mir diese Teile aus Gründen der Performance tatsächlich auf den Server ziehen. @Christoph. Gibt es einen sachlichen Grund, warum du Jquery nicht beispielsweise per Cronjob in regelmäßigen Abständen selbst aktualisierst. So übermittelst du definitiv nur die IP deines Servers an beispielsweise Github. Jquery wird dann lokal geladen und die IP des Nutzers bleibt bei dir.

Ein ausgereiftes Beispiel zum Update von Jquery und anderen Skripten findest du zum Beispiel hier:

http://snipplr.com/view/53199/bash-script-to-update-common-javascript-li...

Das macht dem DSGVO-Wahn ganz schnell ein Ende. Auch wenn du das Skript natürlich an deine Drupal-Version und die benötigte Jquery-Version anpassen müsstest. Abschließend muss das teil dann im Dateisystem noch verschoben und der entsprechende Cache geleert werden. Dass kann man dan automatisch einmal am Tag machen.

@montviso

Das lässt sich auch in admin/config/search/metatags/config unter Advanted tags / Referrer policy einstellen.

Grüße Jenna

Danke, das ist mir noch nie aufgefallen. Da ich das Metatag ja bei den meisten Projekten installiert habe, ist das natürlich die beste Lösung.

@criho

danke, nee kommt nicht zu spät, ich habe erstmal "keine" gewählt, aber das kann so auch nicht bleiben. Werde den CDN Zusatz wieder einbauen und dann einen der Update Anbieter nehmen.

Dein Hinweis das man damit letztendlich einen Teil Sicherheit entzieht ist sehr gut, lasse ich gern drauf ankommen wie es mit CDN weiter geht, ich setze es jedenfalls wieder ein. So langsam wird mir das auch zu blöd. Ich bin gern bereit Fonts vom Server zu laden und habe Bootstrap ohnehin nicht über CDN laufen, aber irgendwann ist auch gut.

Insofern werde ich, wenn nötig, auf einen Cookie Banner wechseln wo der User dann auswählen kann, welche Cookies zugelassen werden, und wem es nicht passt der geht eben wieder oder kommt gar nicht erst auf die Seite. Wobei ich mich frage welcher "normale" Besucher weiß was CDN ist oder warum es eben auch Sinn machen kann.

Trotz allem werde ich mir aus Interesse die Lösung von dinmikkith ansehen, aber es sieht ziemlich aufwendig aus, so auf den ersten Blick.

Was ist eigentlich das Hauptproblem bei CDN? das die IP übertragen wird, oder das die IP ausserhalb Europas übertragen wird?

Grüße Jenna

Ich denke, dass CDN niemals zum Problem wird und falls doch, dann erst in ein paar Jahren, wenn die Gerichte das wirklich als Problem gemacht haben durch entsprechende Gerichtsentscheidungen. Aber das wird wohl niemals der Fall sein.

Bis dahin werden Hunderttausende Webseiten weiterhin CDN verwenden wie bisher.

Jetzt mal ganz ehrlich ohne die Übermittlung einer IP (heiß Öl, wegen Tippfehler) von einem Server zum anderen funktioniert das Internet nicht mehr. Ohne das Referrer Tag nimmt dir jeder Webmaster der das abstellt einen SEO Messwert und solange es dazu kein Urteil gibt, nehme ich meinen Kollegen doch nicht einen Messwert weg. Es sei denn ich heisse Facebook oder Google und habe berechtigter Weise Angst vor einem der ersten Urteile mit Dsgvo-Bezug

Hi dinmikkith, ich wusste zwar nicht, dass man Öl braucht, damit das Internet funktioniert. ;-)
Aber ansonsten bin ich ganz Deiner Meinung und lasse das jetzt drinnen mit dem Referrer.
Das Problem ist: Die Kunden haben ja auch diese Checker-Webseiten, wo Refferer fett rot angemerkt wird.
Huch....ganz schlimmmmmm....wenn ich jetzt sage, das ist ein normaler Messwert und unbedenklich und es gibt dann doch mal Ärger, dann gibts Ärger.
Aber OK, ich finde auch, das muss man jetzt einfach zum Teil Nerven bewahren.

Hier ist ein gut beschriebener Artikel warum man no-referrer setzen sollte:
https://www.oneconsult.com/de/http-referer-header-wie-browser-private-ur...

Vorteil: mehr Sicherheit
Nachteil: Affiliate Provisionen gehen eventuell verloren
Der Artikel ist zwar für wordpress, aber egal weil es ja keine spezielle wordpress config ist um die es hier geht:
https://youdid.blog/wordpress-update-verhindert-affiliate-einnahmen-durc...

und passend dazu:
https://www.christoph-freyer.at/blog/links-absichern-mit-rel-noopener/

Grüße Jenna

Danke für die interessanten Links, Jenna.
Das mit dem target=_blank habe ich mir auch noch nie klar gemacht.
Natürlich setze ich das, wenn ich z.B. bei der Checkbox "Habe die Datenschutzerklärung gelesen" Datenschutzer. als Link mache.
Der Fluss würde ja viel mehr unterbrochen, wenn man die Seite da öffnet, wo eben noch das Formular war.
Das kann ich als User hassen....

No-referrer werde ich erst mal nur auf erklärten Wunsch setzen.
Bei unseren eigenen Affiliate-Projekten kommt es ja eh nicht in Frage.

Wichtiger ist, in der URL keine wichtigen Daten zu übertragen, aber das ist ja nicht neu.

Ich versuche gerade zu verstehen, was die beiden Module eigentlich genau machen.
Ich möchte wissen, welches sinnvoller ist, falls man es einsetzen möchte.
So lästig sie sind – der Kunde fühlt sich auf der sicheren Seite, wenn eines davon installiert ist.

Jetzt zur Seite des Users:
zunächst zu eu_cookie_compliance (Drupal 8, dev-version):
wenn ich auf Ablehnen klicke, fährt die Farbfläche spektakulär über die Seite.
Wenn ich dann einen pagereload mache, erscheint die Seite komplett ohne Cookiebanner
und ich kann danach fröhlich die Seite weiter besuchen, ohne dass mich der Cookiebanner nervt.
Das - finde ich - ist doch widersprüchlich. Ich würde erwarten, dass das Modul nach Ablehnung ordentlich weiternervt.

Es sieht für mich so aus, als hätte es nur den Zweck, den User zu manipulieren, Cookies zu akzeptieren und ihm zu suggerieren, er könne durch seine Ablehnung den Einsatz von Cookies unterbinden?

Wie seht Ihr das?

Alo grundsätzlich hat der User beim Cookie setzen erst mal keine echte Wahl, da diese vom Browser gesetzt werden, es sei denn, der Benutzer startet von sich aus ein Opt-Out Verfahren. EU-Cookie-Compliance erzeugt aber tatsächlich nur ein Banner. Die GDPR Variante tut grundsätzlich mal nichts anderes. Außer, dass Sie beim Klick auf Weitere informationen eine Entsprechende Seite anzeigt, die den Nutzer anleitet, wie man Cookies deaktiveren kann. und einen Button zur Verfügung stellt, um ein Opt-Out-Verfahren anzustoßen. Das ist genau das, was die EU hier vorgibt. Auch die Seiten des EU Datenschutzbeauftragten verfahren auf die selbe Weise.

Auch die Texte sind vom EU-Datenschutzbeauftragten übernommen und entsprechend angepasst.

Nachteile von EU-Cookie-Compliance

Nicht vollständig übersetzt.
Entspricht den alten Richtlinien, als es noch ausgereicht hat, lediglich einen Hinweis anzubieten und kein Opt-Out-Verfahren angeboten werden musste.

Jetzt kommt die DSGVO aber leider auch noch und sagt, dass im Grunde die Zustimmung des Nutzers eingeholt werden muss, bevor ein Cookie gesetzt wird. Dazu ist allerdings nicht das GDPR-Cookie-Compailence-Modul gedacht, sondern das Modul GDPR.

Der Kleine Nachteil, den GDPR-Cookie-Compliance noch hat, ist, dass gerade der wichtige Hinweistext, den du über Weitere Informationen erreichst noch nicht übersetzt wurde. Was einfach daran liegt, dass ich noch keine Zeit dazu hatte die Texte zu adaptieren.Ein entsprechender Issue existiert bereits. Die Texte sind bereits auf Deutsch auf der Seite der EU verfügbar und müssen lediglich abgeändert werden.

https://www.drupal.org/project/gdpr_compliance/issues/2974210

Am interessantesten finde ich den Ansatz von Com Press

https://comm-press.de/blog/blizz-vanisher

Der Kommt nämlich im Augenblick am nächsten an die Lösung von TrustArc, ist aber leider bei weitem noch nicht fertig

Innerhalb eines spontanen Drupal GDPR Meetups in Berlin, hat mein Kollege Sven, Maintainer vom EU Cookie Compliance eine recht umfangreiche Zusammenfassung der GDPR-bezogenen Contrib Module sowie einer ausführlichen Demo seines Modules, gehalten.

Diese Präsentation wird er diese Woche nochmal als Webcast (in englischer Sprache) halten, der dann auch archiviert auf Youtube aufgerufen werden kann.
Mehr Infos folgen unter: https://groups.drupal.org/node/519652

Die GDPR Anpassungen sind derzeit (wie die Modulseite verrät) nur in der dev-Version inkludiert. Ein stabiles Release für diese Änderungen soll in Kürze folgen, für das es momentan noch ein paar offene Issues gibt, die es zu lösen gilt.

Na also und ich hatte schon Angst Mark könnte Recht haben und es gäbe nirgendwo einen Stream dazu :-)

hallo und guten Tag,

vielen Dank für dienen Beitrag. Der ist sehr sehr hilfeich. Wie überhaupt die Besprechung zum DSGVO hier
in diesem Forum insgsamt. Das ermutigt sich mit dem Thema DSGVO auseinanderzusetzen.

Vielen Dank für diese Übersicht: Also was wäre wenn man total minimalistisch ansetzt:

ich verzichte praktisch auf alles, was nicht unbedingt wichtig ist und lehne mich hier an bereits im Forum auch schon geäusserte Positionen:
: Überflüssige Felder bei Formularen, Facebook-Share-Buttons, Google-Analytics als radikalkur hab ich gedacht mach ich einfach folgendes und werfe alles raus...:

Analyse-Tools und Tracking,

• Fonts von Google
• Cookies — nicht mal Session-Cookies,
• Social-Media-Buttons, die Daten nach Hause senden,
• Web-Statistiken mit IP-Adressen (Diese sind server-seitig abgeschaltet),
• die von dieser Website über E-Mail versendet oder empfangen werden.
• Daten, die in Web-Formulare eingeben müssten

Was würde das denn bedeuten - so radikal und parktisch minimalistisch anzusetzen

WoW also ich hab ja sonst nichts auf meiner Webseite, seit dem sie mir beim letzten Thunder Update zusammengebrochen ist. Aber vielleicht helfen dir ja die Datenschutzbestimmungen in Punkto DSGVO weiter. Da geht fast alles, was vorher auch ging. Du musst nur die technische Umsetzung am Ende wieder mit Drupal hinkriegen. Wenn ich das geschafft habe, werde ich auch eine Anleitung dazu online stellen. Rauswerfen ist wenn überhaupt eine temporäre Lösung

EU Cookie Compliance hat die wunderbare Möglichkeit Javascripts zu sperren, bis der Nutzerr den Datenschutzbestimmungen zustimmt. Wenn ich GDPR-Cookie-Compliance nicht schon komplett eingedeutscht hätte, würde ich dir alleine deshalb EU-Cookie-Compliance empfehlen. GDPR-Cookie-Compliance lässt dieses wunderbare Feature bisher nämlich vermissen.

In der Praxis heißt dass, du kannst einen Facebook-Sharing-Button so lange blockieren, bis der Nutzer den Datenschutzbestimmungen,zugestimmt bzw zur Datenübertragung an Facebook seine Einwilligung gegeben hat und diesen dann, aber wirklich nur dann anzeigen. Das macht schon Spaß

hallo und guten Tag dinmikkith und quixxel,

vielen Dank für eure schnelle Antworten - freue mich sehr. werde mir das auf der Drupal-TV zum Datenschutz durchlesen bzw. ansehen: https://drupal-tv.de/datenschutz

Quixxel, das hoert sich ja sehr interessant an.

Du setzt also darauf dass die Drupal-Compliance schon auch mit der vielzahl der moeglichen Optionen und Tools hinzubekommen ist - also auf die DSGVO anpassbar ist.

bin sehr gespannt

Also - ich finde es sehr ermutigend was du schreibst - und wie du darauf setzt - nicht rauszuwerfen - sondern auch einen gewissen Funktionsumfang zu halten.

Freue mich auf die Anleitung.

viele Grüße
Drupal_bert

Nein ich setze nicht darauf, dass ein einziges Modul darauf anpassbar ist. Es wird eine ganze Reihe Module benötigt um wirklich sicherzustellen, dass deine Seite Rechtskonform ist. Wenn ich ein Javascript in meine Seite einbinde. Beispielsweise Twitter for Websites dann übermittelt meine Webseite Daten an Twitter. Nämlich die IP-Adresse des Webseitenbesuchers, Und zwar ganz egal, ob der das will oder nicht. Das war ja auch schon immer so, weil das Internet so funktioniert.

Jetzt kommt die EU und sagt, wenn einer dein Silo, also deine Webseite betritt, dann musst du dafür sorgen, dass er auch da drin bleibt. Also muss ich dafür sorgen, dass das entsprechende Java-Skript nicht beim Laden der Webseite gealden wird, sondern erst nach dem Einholen der entsprechenden Zustimmung über eine Checkbox oder einen Button nach dessen Klick das entsprechende Skript geladen wird.

Das gilt für

Twitter,
Youtube
Google Analytics

und alles, was du sonst so in den verlinkten Datenschutzbestimmungen findest.

Die Drupal Community hat angefangen auf diese Situation zu reagieren und beispielsweise

https://comm-press.de/blog/blizz-vanisher

entwickelt.

Das Problem ist nur, dass dieses Modul von Natur aus nicht mit GDPR_compalience zusammenarbeit. Meiner Meinung nach sollte man die beiden Module Zusammenführen und integrieren. Compress das beizubringen und schlüssig Darzulegen, warum es aus meiner Sicht besser ist ein großes aufgeblasenes Modul zu haben, statt 2 oder 3, wie das im Drupalversum so üblich ist, habe ich bis her noch gar nicht versucht. Aber ich finde, es sollte nicht nur Drupal out of the Box geben, sondern auch eine GDPR/DSGVO Out of the Box distribution. Sonst muss ich mir in Zukunft wirklich externe Tools wie Cookiebot leisten. Der kostet Geld und deckt auch wieder nur den halben Funktionsumfang ab.

Letzten Endes sollte man irgendwann in der Lage sein. Javaskript und das Setzen von Cookies so lange zu blockieren, bis der Nutzer zustimmt. die Zustimmung Pro Nutzer aufzeichnen und die entsprechenden Funktionen beim Entziehen der entsprechenden Zustimmung instant wieder zu entziehen, bzw abzuschalten.

Prinzipiell funktioniert das auch schon. Aber leider eben nicht aus einer Hand und so einfach wie Kuchen.