minimalismus: die DSGVO- mit in die Sitekonzeption mit aufnehmen: Überlegungen zum Vorgehen u. Ansatz

guten Abend,

habe mit vielen hier schon des Oefteren über das Thema Seiten-Konfiguration und DSGVO gesprochen.

mit ReLater, Lui Prempt und vielen anderen hab ich das hier schon des öfteren andiskutiert.

zum Einstieg ins Wochenende - heute am Freitag eine Extrafrage. Heute ein Thema zur DSGVO: Hab länger überlegt, wo diese Frage hier am besten unterzubringen wäre. Dann dachte ich, okay - das ist ggf. hier doch wohl am besten im Smalltalk Bereich aufgehoben.

Hier also nun eine Frage - rund um einen Webauftritt mit einer Joomla:

hier die Infos auf Wikipedia - die DSGVO-Seite: [URL unfurl="true"]https://de.wikipedia.org/wiki/Datenschutz-Grundverordnung[/URL]

die Joomla - die wird ja ständig weiterentwickelt - so dass eine neue Version hier auch wesentliche Anpassungen / Verbesserungen bringen soll. Das Thema ist / bleibt aber dennoch ziemlich komplex.

Eine Frage; Was ist - wenn man eine Joomla-Seite absolut minimalistisch aufsetzen würde betreibt: Also - wenn man die Joomla ohne jeglichen Zusatz und ohne Zusatz-Extensions und Plugins betreibt - ohne irgend ein extra-Ding, - sagen wir sogar noch ohne Kontaktmailer (form), ohne Kommentarfunktion, ohne Zusatzfunktionen also. Am Anfang will ich die Joomla nur als LESE-Seite laufen lassen, Also mit anderen Worten:

- kein Mensch kann posten.

- alles ist auf Nur-Lese betrieb ausgelegt

Die externen Sachen habe ich alle angepasst, auch die Datenschutzerklärung. Auf meiner Joomla da soll im Grunde so wenig wie über überhaupt nur denkbar, Daten gesammelt werden. Es gibt nur Besucher/Leser.

einen vorab vorgesehenen Kontaktmailer - den hab ich auch abgeschaltet.

Ziel ist es - eine Seite so an die DSGVO anzupassen, dass sie - "typical eighties" wie in den Achzigern - praktisch so gut wie keine USER-Convenience bietet - aber dann auch keine Daten sammelt.

Frage: Kann man auf diesem Wege aus den Fallstricken der DSGVO kommen!?

Dieser Minimalismus - also diese ausdrückliche DATEN-Abstinenz - die sollte einem doch hier helfen.

Freue mich, von Euch zu hoeren. Viele Grüße

Euer Jobaer

ps: Aufbau der DSGVO: Die DSGVO besteht aus 99 Artikeln in elf Kapiteln:

[URL unfurl="true"]https://de.wikipedia.org/wiki/Datenschutz-Grundverordnung[/URL]

Zitat

Kapitel 1 (Artikel 1 bis 4): Allgemeine Bestimmungen (Gegenstand und Ziele, sachlicher und räumlicher Anwendungsbereich, Begriffsbestimmungen)

Kapitel 2 (Artikel 5 bis 11): Grundsätze und Rechtmäßigkeit (Grundsätze und Rechtmäßigkeit der Verarbeitung personenbezogener Daten, Bedingungen für die Einwilligung, Verarbeitung besonderer Kategorien personenbezogener Daten)

Kapitel 3 (Artikel 12 bis 23): Rechte der betroffenen Person (Transparenz und Modalitäten, Informationspflichten des Verantwortlichen und Auskunftsrecht der betroffenen Person zu personenbezogenen Daten, Berichtigung und Löschung – das „Recht auf Vergessenwerden“ – Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall einschließlich Profiling, Beschränkungen)

Kapitel 4 (Artikel 24 bis 43): Verantwortlicher und Auftragsverarbeiter (Allgemeine Pflichten, Sicherheit personenbezogener Daten, Datenschutz-Folgenabschätzung und vorherige Konsultation, Datenschutzbeauftragter, Verhaltensregeln und Zertifizierung)

Kapitel 5 (Artikel 44 bis 50): Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen

Kapitel 6 (Artikel 51 bis 59): Unabhängige Aufsichtsbehörde

Kapitel 7 (Artikel 60 bis 76): Zusammenarbeit und Kohärenz, Europäischer Datenschutzausschuss

Kapitel 8 (Artikel 77 bis 84): Rechtsbehelfe, Haftung und Sanktionen

Kapitel 9 (Artikel 85 bis 91): Vorschriften für besondere Verarbeitungssituationen (u. a. Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit, Datenverarbeitung am Arbeitsplatz, Zugang der Öffentlichkeit zu amtlichen Dokumenten, Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken, bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften)

Kapitel 10 (Artikel 92 bis 93): Delegierte Rechtsakte und Durchführungsrechtsakte

Kapitel 11 (Artikel 94 bis 99): Schlussbestimmungen (u. a. Aufhebung der Richtlinie 95/46/EG und Inkrafttreten der DSGVO)

Vor den 99 Artikeln sind 173 Erwägungsgründe (ErwG) angeführt, die zur Auslegung der Artikel mit herangezogen werden.[10][11]

Alles anzeigen

... Freue mich von Euch zu hoeren. Viele Grüße und einen schönen Einstieg ins Wochenende,

Hallo und guten Morgen Lui_brempt

vielen Dank für die Rückmeldung - u. für deinen wertvollen Hinweis.

Da hast du Recht.

Viele Grüße JoBaer

hi Pest. hi Lui_Prempt hallo RE Later

danke für die Rückmeldungen u. das Feedback. Es ist m.E. natürlich die 'DSGVO nichts, das man mal eben auf die leichte Schulter nehmen sollte.

Bestimmt nicht - ich glaube dass das echt nach hinten losgehen kann.

Was ich mit diesem Thread versuche ist, herauszufinden wo man wieviel machen muss - und zwar zwingend - ohne sich der Gefahr auszusetzen dass man in eine

# Abmahnfalle oder sonst eine

# andere Falle läuft

Viele Grüße Jo Baer

hi Pest. hi Lui_brempt hallo Re:Later,

Vorweg: vielen Dank für die Rückmeldungen u. das Feedback. Das Thema ist wichtig für alle hier - denn man eigentlich sollte sich wirklich jeder damit auseinandersetzen - wie man mal wieder an der aktuellen Debatte um die Google-Fonts (vgl. unten) sieht.

Ergo: Es ist m.E. natürlich die 'DSGVO nichts, das man mal eben auf die leichte Schulter nehmen sollte. Da bin ich mit dir, Re:Later - und mit allen hier, die das mal nicht eben auf die leichte Schulter nehmen, komplett einig. Wer will schon sich hier Probleme an Land ziehen, die man umfahren kann!? Ich jedenfalls kenne hier im Forum niemanden.

Danke dir, Lui_brempt, wenn du die Bedeutung des Impressums unterstreichst:

Zitat

Da wäre ich äußerst vorsichtig. Die Pflicht zum Impressum wird sehr niedrig angesiedelt. Mit geschäftlich ist nicht wirtschaftlich gemeint.

Danke auch an Dich, Pest für deinen Beitrag:

Zitat von Bundesministerium der Justiz

Zitat

Wen die Impressumspflicht trifft, regelt vor allem § 5 TMG. Grundsätzlich kann man sagen, dass die Pflicht für alle Anbieter einer Internetseite gilt, wenn die Plattform geschäftlichen Zwecken dient. Damit fallen ausschließlich privat genutzte Seiten nicht unter die Impressumspflicht (§ 18 Medienstaatsvertrag spricht von „ausschließlich persönlichen oder familiären Zwecken“)

vielen Dank für den Hinweis!! Der ist sehr wichtig.

Wie bereits oben ausgeführt: Also; ich bin weit davon entfernt, das Thema geringzuschätzen oder tief zu hängen. Ich denke man muss schon auf der Hut sein: vor wenigen Wochen gabs wieder ziemlichen Streit vor dt. Gerichten wg. der Google-Fonts-Dinge. vgl.

in einem Artikel von Sarah Gooding auf WPTavern.com wurde das besprochen:

German Court Fines Website Owner for Violating the GDPR by Using Google-Hosted Fonts

In late January, a Munich regional court ruled that a plaintiff was entitled to injunctive relief and damages of 100 € from an undisclosed website owner for…

wptavern.com

Zitat

Zitat: ....ein Deutsches Gericht verhängt Geldstrafe für Website-Besitzer wegen Verstoßes gegen die DSGVO durch Verwendung von von Google gehosteten Schriftarten Ende Januar entschied ein Landgericht München, dass einem Kläger gegen einen nicht genannten Website-Inhaber Unterlassungs- und Schadensersatz in Höhe von 100 € zustehen, weil er die IP-Adresse des Besuchers durch die Nutzung von Google Fonts an Google weitergegeben hat.

Da es möglich ist, die Schriftarten ohne Verbindung zu Google zu verwenden, wertete das Gericht dies als Verstoß gegen die europäische DSGVO (Datenschutz-Grundverordnung), da Google Fonts die IP-Adresse des Besuchers offenlegt:

Zitat: Die Beklagte habe das Recht der Klägerin auf informationelle Selbstbestimmung verletzt, indem sie die dynamische IP-Adresse beim Aufruf der Website der Beklagten an Google übermittelt habe. Die automatische Übermittlung der IP-Adresse durch die Beklagte an Google sei ein unzulässiger Eingriff in das allgemeine datenschutzrechtliche Persönlichkeitsrecht der Klägerin, da die Klägerin bei diesem Eingriff unstreitig nicht nach § 13 Abs. 2 TMG a.F., Art. ( vgl. hierzu: https://rewis.io/gesetze/tmg/p/tmg-13/ ) Art. 6 Abs. 1 lit. a DSGVO eingewilligt hat.

Die häufig gestellten Fragen zu Google Fonts legen die Datenerfassung in einem Abschnitt über den Datenschutz der Benutzer offen und geben an, dass Antworten zwischengespeichert werden, um Anfragen zu minimieren und die Schriftarten schneller bereitzustellen. Es gibt nicht genau an, welche Daten gesammelt werden, scheint aber zu implizieren, dass die gesammelten Informationen notwendig sind, um die Schriftarten bereitzustellen: Die Google Fonts-API wurde entwickelt, um die Erfassung, Speicherung und Verwendung von Endbenutzerdaten auf das Nötigste zu beschränken Schriften effizient bereitzustellen. Das Urteil des deutschen Gerichts droht mit einer Geldstrafe von 250.000,00 € pro Verstoßfall oder alternativ mit sechs Monaten Freiheitsstrafe, wenn der Seitenbetreiber dem nicht nachkommt und Google durch die Nutzung von Google Fonts weiterhin IP-Adressen zur Verfügung stellt."

Ende des Zitat: aus einem Artikel von Sarah Gooding auf WPTavern.com https://wptavern.com/german-co…using-google-hosted-fonts

Die(se) Geschichte ging noch weiter. Es gab/gibt dazu noch weitere Berichte - denn dieser Fall wurde vor Gericht noch weiter verhandelt.

Aber: Über die Google-Fonts-Frage hinausgehend frage ich mich, wie ist es denn mit dem GDPR oder dem Datenschutz bzw. den Auflagen:

- wenn man - sagen wir mal - eine Seite betreibt welche englischsprachig ist und das insges. im Grunde alle anspricht.

Wie wäre es, wenn man bei einer solchen Seite dann in engl. Sprache sich an im Grunde

- User aus aller Welt sich wendet?

- englischsprachiges Forum - für den internationaler Bereich - minimalistischer Ansatz.

Also, die Frage ist, was würde passieren, wenn man praktisch keine Daten sammelt. Also wenn die Seite sich auszeichnet dadurch dass sie keine Daten, sammelt, keinen login zulässt; Nehmen wir mal einen absolut mimalistischen Ansatz einer Seite

- keine Analyse-Tools und Tracking einsetzt,

- keine Fonts von Google einsetzt; des weiteren

- auch keine Cookies — sagen wir mal - nicht mal Session-Cookies,

darüber hinaus sagen wir - ihr habt:

- auch keine Social-Media-Buttons, die z.B. etwa Daten nach Hause senden,

- keine Web-Statistiken mit IP-Adressen - die z.B. aufnehmt: (sagen wir - die Statistiktools - die sind server-seitig abgeschaltet),' Ihr habt des weiteren auch

- keine Daten, die man in Web-Formulare eingeben könnte, und last but not least nehmt ihr auch

- keine Daten auf, die von eurer Website über E-Mail versendet oder empfangen werden könnten.

Frage; wenn man so vorgeht, kommt man dann dem Grundsatz der Datenminimierung und Speicherbegrenzung nach Art. 5 Abs. 1 c und e DSGVO nach. Wenn keine Daten erhoben werden, müssen keine Angaben gemacht werden zum Datenschutz. Eine Datenschutzerklärung ist z.B. nur dann wichtig, wenn Daten von dir oder eine dritte Person durch deine Webseite erhoben werden.

Mit Ausnahme von essenziellen Daten: Logindaten dürfen und müssen teils erhoben werden. Diese Daten dürfen dann aber nur zweck gebunden verwendet werden. Also keine Log-Informationen nutzen, um diese für Statistiken auszuwerten, sondern nur um systemrelevante Arbeiten durchzuführen.

Was wäre zum Beispiel datenschutzrelevant?

Etliche Seiten verwenden Google Fonts und binden die über CSS, JavaScript oder andere Methoden ein. Dabei erhebt Google Benutzerdaten wie IP, Browser, Spracheinstellungen und Betriebsystem. Diese werden beim Abrufen deiner Seite an Google weiter gegeben.

Ein Lösung wäre es die Schriften von der Google Font Seite herunterzuladen und diese dann direkt in die Seite einzubinden - sind sowieso freie Schriften. Wenn Daten erhoben werden muss der Besucher erst zustimmen und es muss eine Datenschutzerklärung auf der Seite geben. Falls keine Daten von dir oder durch Dritte erhoben werden, brauchst du nicht einmal eine SSL-Zertifikat.

Mit einem Datenschutz-Generator lässt die Datenschutzerklärung selber und kostenlos erstellen, dazu noch einen AV-Vertrag mit Google Analytics, mit Newsletter-Anbieter oder dem Hoster abschliessen und ein Cookie Consent Tool (es gibt auch kostenlose) installieren.

Freue mich, von Euch wieder zu hören

Euch jedenfalls einen schönen und sonnigen Sonntag...

Euer Jobaer,

Moinsen,

vorweg; Es ist m.E. natürlich die 'DSGVO nicht das, das man mal eben auf die leichte Schulter nehmen sollte. Da bin ich mit dir, Re:Later - und mit allen hier, die das mal nicht eben auf die leichte Schulter nehmen, komplett einig. Wer will schon sich hier Probleme an Land ziehen, die man umfahren kann!? Ich jedenfalls kenne hier im Forum niemanden.

Also: Minimalismus ist hier nicht die Idee, hauptsache wenig sich um die Belange kümmern zu müssen, sondern vielmehr das Thema maximal wichtig zu nehmen. Ergo glaub ich dass wir hier erstmal klären müssen was die Beweggründe sind - und worum es hier eigentlich geht.

das vorausgeschickt, geh ich im Folgenden nur auf ein paar Details ein - die mir grad besonders hervorstechen:

RE: later. du schreibst:

Zitat

Wenn du mit absoluter Sicherheit gewährleisten kannst, dass auch der Provider keine personalisierbaren Daten sammelt, bspw. in üblichen Log-Dateien ODER davor; zum Abgleich mit Spamlisten usw. usf.

....bin selbst auf nem Rootserver. Keine Ahnung was du (da) machst. Das Thema externes Providing ist nicht meins. Deins!?

Das ist aber nicht der Tief-Punkt in diesem Thread - der kommt erst jetzt. Das ist komplett falsch u. kann man nun wahrlich niemanden empfehlen..

....

Zitat

Die Sprache, die du auf deiner Seite verwendest, ist übrigens IMMER vollkommen unerheblich! Abgesehen davon: https://www.datenschutz.org/da…zerklaerung-mehrsprachig/ , was in meinen AUgen eine weitere Farce an dem ganzen DSGVO-Gedöns ist. Wenn die Seite auf deutschem Boden gehostet ist, sollte eine deutsche ausreichen. Letztlich macht man mit so Unwägbarkeiten das Internet kaputt. Sind ja nach wie vor alles nur Konjunktive.

wow - das würd ich nicht mal meinem aergsten Feind empfehlen. Damit jagst du deine DSGVO-Expertise von zig Postings in den Rating-Abgrund rein.

-> Durchschlag der (deiner) Bewertungs-Skala bei minus 1000 - nach unten.

Das ist leider grottenfalsch:

Falsch - zumindest für gewerbliche / geschäftsmäßige Websiten innerhalb dem Wirkungsbereich der DSGVO. Die Frage ist nach den Zielsprachen, und den Übersetzungen in (x) Zielsprachen der TOS u. PP - die richtet sich nach den Zielgruppen:

M.a.W: Die Frage ist erst mal an, wen konkret als Zielgruppe sich die Website richtet. Stellen wir uns einfach mal kurz vor, du, Re:Later, du hast eine Seite, auf der du Sachen anbietest - also sagen wir Würste usw. usw. Lebensmittel eben.

Hier ein kurzes Beispiel - das belegen soll dass deine Orientierung am Serverstandort zu kurz greift - viel zu Kurz.

Beispiel: Der Spanier, der auf (d)einer (Re:Later) rein deutschen Seite auf Deutsch eine Wurst bestellt, kann z.B. den deutschen Verbraucherschutz nicht durchsetzen. Anders ist es, wenn die Website den Versand nach Spanien standardmäßig anbietet, oder sogar auf Spanisch verfügbar ist und erst Recht auch immer dann, wenn vom Sitebetreiber aus in der Spanien Werbung für die Site / die Wurst gemacht wird.

Du, Re: Later du musst aber was tun. Was hilft (hülfe [konjunkiv]) dir denn die Orientierung am Serverstandort - nix. ist falsch und bringt dir nix. Deshalb ist dein Tipp oben - einfach nix zu machen - dieser Tipp führt nicht nur ins nix -sondern kann viele, die das befolgen, komplett in Schwierigkeiten reiten. Das ist gefährlich. Ich würde diesem Tipp hier nichts beimessen. Er ist gefährlich - wie kommst du drauf diesen Tipp hier auszugeben!?

Gehen wir die weiteren Optionen durch.

Re: Later - du hast noch mehr Optionen - gehen wir die mal eben durch: du kannst:

- einfach nicht zu übersetzen - ist schon mal eine ganz schlechte Idee;

- einfach auf der Sprache des Landes stehen zu lassen, in dem der Server steht ist eine ziemlich dumme Idee.

- einfach in irgendeine Sprache zu Übersetzen ist schon mal eine ganz schlechte Idee, denn man muss durchaus eventuelle Besonderheiten der jeweiligen Länder beachten.

Also - ich geh jetzt mal nicht in die Tiefe, sonder kratze nur an der Oberfläche.

Innerhalb der EU, da gilt oft das Herkunftslandprinzip ( im Unterschied dazu reden wir bei der Datenschutz-Grundverordnung (DSGVO) vom sogenannten Marktortprinzip): Im Blick auf die Europäische Union, da wurde das Recht teilweise harmonisiert bzw. angeglichen / vereinheitlicht.

Es kommt also im Grunde immer darauf an - was auf der Webseite passiet, was man damit vorhat. Wer ist der Anbieter, wer der Kunde?

Nehmen wir den Wirtschaftsraum der EU zum Beispiel: Die EU z.B. will, eigentlich, das im Grunde alles "nach EU Recht" ist; d.h. es ist also so, dass wenn ein kommerzielle Diensteanbieter in einem Land beheimatet ist, gewissemaßen also seinen Sitz im sogenannten Nicht-EU-Ausland hat, jedoch sein Leistungen innerhalb der EU erbringen will, dann hat das rechtliche Implikationen.

Man kann im Engeren unterscheiden zw. dem sogenannten Herkunftslandprinzip und darüber hinaus dem Verbraucherlandprinzip. Des weiteren kommt hier noch das Marktortprinzip in Betracht, und was ist, wenn der kommerzielle Diensteanbieter mit Sitz im Nicht-EU-Ausland die Leistungen außerhalb der EU erbringt?!

Diese Aspekte sind alle wichtig.

deshalb ....

Zitat

Die Sprache, die du auf deiner Seite verwendest, ist übrigens IMMER vollkommen unerheblich! Abgesehen davon: https://www.datenschutz.org/da…zerklaerung-mehrsprachig/ , was in meinen AUgen eine weitere Farce an dem ganzen DSGVO-Gedöns ist. Wenn die Seite auf deutschem Boden gehostet ist, sollte eine deutsche ausreichen. Letztlich macht man mit so Unwägbarkeiten das Internet kaputt. Sind ja nach wie vor alles nur Konjunktive.

Fazit: wow - das würd ich nicht mal meinem aergsten Feind empfehlen. Damit jagst du deine DSGVO-Expertise von zig Postings in den Rating-Abgrund rein.

Conclusio -> Durchschlag der Bewertungs-Skala bei minus 1000 - nach unten.

Das ist leider grottenfalsch: So kann man Minimalismus natürlich nicht ansetzen - Da muss man schon bisschen mehr Energie reinstecken - und tun...

Sorry -....

hi Elwood,

vielen Dank für deine Rückmeldung - freue mich sehr.

Ich denke dass die Beschäftigung mit der DSGVO - und ggf. auch mit

Fragen über

Impressum

und ja - ggf. auch über weitere Basics - etwa- wie und in welcher Sprache wir

AGB -. etc. etx verfassen

Das interessiert hier sicher viele - ist m.E. ein Thema das in zumindest den Basisaspekten hier durchaus Ansprache, Behandlung und Erwähung oder Diskussion verträgt.

Ich pers. hab keine drängenden Fragen - denke aber wie oben beschrieben, dass das Thema hier immer auch gut vertreten sein sollte.

VLLT machts einen Sinn - hier auch eine Wiki oder ähnliches zu den Basics anzulegen

Viele Grüße u. noch einen schoenen

Abend

euer Jobaer;)