Datenschutzerklärung – noch keine Gefahr
Das Kopfschütteln über die Sache mit der Datenschutzerklärung ist berechtigt, Panik aber nicht angebracht. Wer (noch) keine Datenschutzerklärung in sein Weblog eingebaut hat, muss nicht mit Abmahnungen und / oder Bußgeldern rechnen.
Das Telemediengesetz, welches eine derartige Erklärung vorschreibt, tritt frühestens am 1. März 2007 in Kraft. Es ist also noch genug Zeit, sich mit Absurdistan zu arrangieren.
Die Kollegen vom (anderen) Law-Blog stellen übrigens eine Mustererklärung zur Verfügung.
Danke für den Link ;-) Abseits der (zugegebenen!) Absurdität gilt die Pflicht streng genommen aber auch nach der jetzigen Gesezesfassung von TDG und MDStV für sehr viele Webseiten. So unendlich viel ändert sich ja mit dem TMG gar nicht. Ehrlich gesagt wage ich fast die Prognose: das Thema ist früher ignoriert worden und wird es wohl auch in Zukunft werden. Ob die Aufsichtsbehörden sich mal aufraffen und wirklich Webseiten absurfen und mit Bußgeldern belegen? Denkbar wär's natürlich…
Dann sollen sie aber bitte bei denen der öffentlichen Hand anfangen.
Hier nur ein Beispiel:
http://www.bundeskanzlerin.de/Webs/BK/DE/Homepage/home.html
Ein hervorragend ausgewähltes und überaus amüsantes Beispiel. Witzigerweise kann man sich da sogar noch streiten, immerhin sind da ja (warum eigentlich?) keine Kommentare, Diskussionen o.ä. möglich. Es ginge da also wohl nur um die reinen Statistik-Serverdaten etc. Hier ist ja nach wie vor umstritten, ob und wann und für wen diese personenbezogene Daten sind. Jedenfalls nach orthodoxer Ansicht (und damit dem Vorsichtsprinzip folgend und gutes Beispiel gebend) sollte die BKin da also besser belehren… ;-)
Oha, vielen Dank für den Hinweis.
@Arne: Es sind ja nicht die Aufsichtsbehörden, die "abgrasen", sondern die lieben Mitbewerber. :(
@ RA Trautmann
Die Bundeskanzlerin hat immerhin ein Kontaktformular, das weit mehr Daten abfragt, als jedes mir bekannte Blog.
Ich habe außer den Serverlogfiles, auf die ich leider vor Ablauf von x Wochen keinen Löschzugriff habe, nur die Daten, die der Leser freiwillig ins Kommentarfeld eingibt und die IP-Nummer. Letztere wird zügig aus der Datenbank gelöscht. Der Blogkommentator veröffentlicht seine Daten doch selber, was genau soll ich da noch schützen?
Wie soll die elektronische Einwilligung aussehen? Lese ich das richtig, dass das protokolliert werden muss und weiterhin vor der Nutzung des Dienstes stattfinden muss?
Wie sieht es für andere Teledienst bzw Mediendienste aus?
SMTP? IMAP?
Viel Spaß an alle Nutzer von Google-Analytics und Google-Adsense. Da werden die Daten ja bekanntlich in die USA übertragen und dort bei Google gespeichert…
Einerseits ist es ja ganz gut, dass nun endlich mal klar gesagt wird, was ein Server so speichert und wie.
Andererseits kann man vor lauter Regeln zu Mail- und Web-Impressum nur stöhnen, denn: Die Betrüger scheren sich eh nicht drum.
Betrügerische Websites, dubiose Shops, eBay-Abzocker, verbotene Callcenteranrufe und deutschsprachige Spams erlebe ich nach wie vor.
Selbst die Bundesregierung hat keine Datenschutzerklärung auf ihrer Seite. Und solange nicht alle Ministerien- und sonstigen Regierungsseiten über eine gesetzlich konforme Datenschutzerklärung verfügen, werde ich mich gar nicht erst bemühen, etwas in der Art in mein Blog zu integrieren.
Nun es wird sich wohl kein Abmahn-Anwalt finden lassen, der sich mit dem oben genannten Link der Kanzlerin anlegt ..
@Farlion
vermutlich hat aber die Bundesregierung die besseren oder zumindest mehr Anwälte ;-)
Datenschutzerklärung, Impressum, Disclaimer, Nettiquette, Regeln… so langsam bekomm ich in meinem Forum ein Problem, denn die ganzen Texte vergraulen User und die die sich doch noch trauen finden neben den ganzen Regeln und Erklärungen die Diskussionen nicht mehr…
Aber is vielleicht auch besser so. Denn die paar Stunden die ich neben meinem Beruf damit verbringe; dies und jenes zu beantragen, Steuererklärung zu schreiben und die Tankquittungen nach Tankstelle, Menge und Datum zu sortieren, dazu auch noch meiner Krankenkasse erkläre warum ich mit einer schweren Virusinfektion zum Arzt ging und diese Infektion überhaupt bekommen konnte, und ich auf dem Nachhauseweg dann von Polizisten angehalten und durchsucht werde, weil denen mein Parteiaufkleber (einer demokratischen und im Bundestag vertretenen Partei) nicht gefällt; lassen ja kaum noch Zeit dazu, mir die Beiträge im Forum vorzunehmen, mögliche Rechtsverstöße mit meinem Rechtsanwalt und dem Bundesjustizministerium abzugleichen und dann doch wieder von irgendeinem Typen verklagt zu werden, weil es dem nicht passte das ein anderer User "ne das seh ich anders" schrieb …
aha, die speicherung von ip adressen kommt einer "erhebung von daten" gleich und begründet damit die notwendigkeit einer datenschutzerklärung.
dann ist auch der zugriff auf meine seiten eine "änderung der daten" im sinne von paragraph 303a datenschutzgesetz. das lesen einer webseite hat ja unmittelbar zur folge, dass das logfile geändert wird.
(1) Wer rechtswidrig Daten (§ 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
(2) Der Versuch ist strafbar.
wie kann ich denn erreichen, dass der zugriff von z.b. herrn beckstein mir nicht passt und ich ihn damit als rechtswidrig erklären kann?
Das schlimmste an dem Gesetz ist ja nicht das jede Webseite eine Datenschutzerklärung haben muss, sondern die schwammige Formulierung:
"Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung, Verarbeitung und Nutzung personenbezogener (…) zu unterrichten"
Was heist den wieder "zu Beginn" und was heißt "unterrichten"? Da macht man dann schön nach Vorschrift seine Datenschutzerklärung drauf und dann geht die Abmahnwelle los. Dann entscheidet ein Gericht das ein Link zur Datenschutzerklärung reicht. Das nächste Gericht sagt man müsste vor dem betreten der Seite unterrichten. Das übernächste will eine aktive Kenntnisnahme in Form einer Checkbox.
Und so weiter und so weiter. In ca. 5-6 Jahren haben wir dann eine höchstrichterliche Klärung und in der Zwischenzeit verdienen sich die Anwälte eine goldene Nase.
@13, ich speichere aber gar nicht die Daten, sondern mein Serveranbieter. Soll ich jetzt für den eine Datenschutzerklärung abgeben? *sich am kopf kratz*
@14, nun ja. Problematisch ist: Die (Zwischen)speicherung der IP ist eine Erhebung von Daten. Darum muss man eine Datenschutzerklärung abgeben, mit dem sich der User einverstanden geben muss. ABER: Ob man dies nun sofort beim Betreten der Seite anzeigen lässt, oder erst per Hyperlink – die IP wird doch IMMER an den Server gesendet. Ich bin zwar kein Fachmann, allerdings halte ich das doch für ein Ding der technischen Unmöglichkeit…
Das wäre ja so, als wenn man sich mit den AGB einverstanden erklären muss um einen Kaufvertrag abzuschließen, die AGB aber erst nach dem Verkauf ausgehändigt wird.
Was war überhaupt zuerst da? Das Ei oder das Huhn?
@10: Nun es wird sich wohl kein Abmahn-Anwalt finden lassen, der sich mit dem oben genannten Link der Kanzlerin anlegt ..
Also ich kenne da einen in München, der sitzt vermutlich schon… (in den Startlöchern).
@13: aha, die speicherung von ip adressen kommt einer “erhebung von daten” gleich und begründet damit die notwendigkeit einer datenschutzerklärung.
Aha. Ich fordere, daß jede Gaststätte bereits am Eingang deutlich sichtbar eine Datenschutzerklärung anbringen muß. Begründung:
Anders, als eine IP- Adresse, die mir mehrmals täglich neu zugeteilt wird, sind meine genetischen Daten und Fingerabdrücke, welche ich auf dem Besteck und den Gläsern hinterlasse, statisch.
Es ist unerheblich, ob Daten auf einer Festplatte, oder (bei deren Erfassung) auf einem Trinkglas gespeichert werden.
Die Datenerhebende Stelle, hier also der Gastwirt, hat die unmittelbare Verfügungsgewalt über seine Datensammlung. Die Pflicht für eine Datenschutzerklärung von Gastwirten ist also mindestens so notwendig wie die, von Internetdienstanbietern.
(Wer Sarkasmus findet, darf ihn behalten)
Gruß A. John
@16, spätestens wenn man die DNA-Datenbank für alle eingeführt hat wird dies zwingend notwendig sein.
wieso regen sich alle so auf?
Eine Datenschutzerklärung ist erforderlich wenn personenbezogene/personenbeziehbare daten erfasst werden.
dann sollte man dies auch schon in seinem verfahrensverzeichnis (siehe bdsg) aufgeführt haben und nennt den zweck und umfang nun auch auf der website _bevor_ die daten erfasst werden (bspw. bestellformular).
ip adresse und serverstatistiken erfassen erstmal keine solche daten. ich kann gar nicht ermitteln wer an dem pc gesessen hat wenn ich nicht weitere zusätzliche angaben (siehe absatz vorher) erfasse.
auch mit google analytics erhalte ich keine solche daten, das ist nur bunter als manche statistik.
insgesamt führen soclhe diskussionen eigentlich nur weiterhin dazu, dass der datenschutz weniger ernstgenommen wird als er sollte.
datenschutzerklärungen sollten dort auftauchen und umgesetzt werden wo erhebliche daten erfasst werden (versicherungsseite mit angeboten, communities, etc.)
dort muss eine erklärung schon aus gründen des datenschutzgesetzes her.
grüße
ich
@18, Datenschutz ist wichtig. Aber doch bitte nicht, in dem der Staat darauf sch**** und dann irgendwelche Privatpersonen das Leben so schwer macht, das sie sich um eine Webseite zu betreiben 10 Fachanwälte an die Seite stellen.
Wenn ich jemanden nach seiner Handynummer oder eMail-Adresse frage muss ich als Privatperson ja (bis jetzt) auch keine Datenschutzerklärung abgeben!
Und eine Datenschutzerklärung für den Serverbetreiber kann ich auch nicht abgeben…
@19
macht der staat auch nicht, aber wer sich den schuh anzieht…
wobei es eben drauf ankommt was ich für eine "private" website betreibe. eine datenschutzerklärung für den reinen betrieb eines servers/einer internetseite ist doch, meines wissens, gar nicht nötig. die datenschutzerklärung sollte ich aber haben und umsetzen wenn ich entsprechende daten (bspw. auf der website aber auch anderswo) erhebe.
"Sammeln Web-Sites nur aggregierte Daten über ihre Besucher, z.B. für Statistiken über Seitenabrufe, oder nur anonymisierte Daten in Form von auf Domain-Ebene reduzierten IP-Adressen, so ist damit keine Speicherung personenbezogener Daten gegeben. Die Veröffentlichung von Online-Datenschutz-Prinzipien ist somit nicht generell nötig, wird jedoch empfohlen, weil damit evtl. vorhandene Bedenken und Befürchtungen der Besucher zerstreut werden können."
quelle: http://www.datenschutz-bayern.de/technik/orient/priv_pol.htm
@ 20: Da sind dann Blogs, wo man kommentieren kann und am Ende vielleicht sogar seine Email-Adresse zwecks Newsletter oder ähnlichem hinterlässt, aber nicht mit drin. Genausowenig wie jede Seite, die ein Gästebuch betreibt… Oder Cookies vergibt…
Das Privatpersonen und Unternehmen vom Gesetz hier wieder direkt über einen Kamm geschoben werden, beweist nur, dass die zuständigen Damen und Herren in Berlin eben doch darauf verzichtet haben, sich vorab mal mit der Materie zu befassen.
Meine 2 Cent….
das ist ja das schlimme, eine website die privat ist braucht ja auch keine daten sammeln. wozu?
und genau deshalb gilt das datenschutzgesetz auch NICHT für privatpersonen. die frage ist, ob der betrieb einer website privat ist. es gibt ja auch noch andere dinge (urheberschutz). und nur weil ich sage ich laufe jetzt privat und zu fuss bei rot über die ampel gilt ja trotzdem die straßenverkehrsordnung. da kann ich auch nicht sagen ich war privat. und ebenso muss ich ich eben an die reglen halten wenn ich daten im netzverkehr erfasse… oder ich lasse es oder lasse mich nicht erwischen (eben wie bei der roten ampel).
Wer wäre denn überhaupt abmahnberechtigt bei einem privaten Blog? Ich habe jedenfalls keine "Mitbewerber" i.S.d. UWG bei meinem (werbefrei etc.).
Das Märchen, daß jeder Anwalt einfach ohne Aktivlegitimation abmahnen kann, sollte doch gerade in einem Lawblog nicht unkommentiert bleiben. :o) Ich kann ja auch nicht nach Pockelsdorf fahren und da jeden Falschparker abmahnen, nur weil er gegen die StVO verstößt.
@ 23: Das nicht. Du kannst sie aber alle anzeigen. Also die Falschparker. ;-)
@20, der Staat sch***** auf den Datenschutz und Co. 22 Millionen Karten durchgescreent, das beweist doch schon alles. Jaja, ich weiß. War keine Rasterfahndung. War nur eine erpresste Outsource-Rasterfahndung…
Und mein Beispiel haben Sie wohl ignoriert: Ich stelle ein Kontaktformular mit eMail + Frage ein. Dazu muss ich eine Datenschutzerklärung einstellen. Ich schreib nur meine eMail ein, der User schickt mir diese Daten dann manuell per eMail und ich muss keine Datenschutzbestimmung einsetzen. Und die Eintragungen in einem Kontaktformular sind genauso wie wenn ich jemanden direkt frage, ob er mir seine Daten gibt – mit dem Unterschied das ich bei ersterem wieder eine Datenschutzerklärung abgeben muss, beim letzten nicht…
@22, ich habe gelesen, das diese Datenschutzerklärung vom TELEDIENSTANBIETER eingestellt werden muss. Ein privater Betreiber eines privaten Forums mit Privatleuten über private Themen (mehr "privat" hab ich jetzt nicht unterbekommen…) ist auch ein Anbieter eines Teledienstes.
@25
Kontaktformular = ich schreibe warum ich jetzt welche Daten zu welchem Zweck erhebe.
Persönliche Erfassung von Daten = Ich sage dem Betroffenen warum ich welche Daten wissen möchte.
Jeweils so, dass der Betroffene auch die Möglichkeit hat nachzufragen und auch weiß wo er später nachfragen kann.
Und nur weil der Staat (ein anderer) sich unrechtmäßig verhält sollte ich das ja nicht auf mich übertragen.
[in privater Betreiber eines privaten Forums ...] aber eben nicht mehr privat (im Sinne des Teledienst-Gesetz) sondern ziemlich öffentlich.
@26, und wo is jetzt der genaue Unterschied bis auf die Kommunikationsform und die Aufnahmeform???
Außerdem, wenn ich Ihnen sage: "Geben Sie mir mal Ihre Handynummer" sage ich Ihnen ja nicht warum ich die haben möchte. Sie könnten mich dann höchstens fragen – das ist auch der einzige Unterschied…
Hi, ich hab auf der Basis des Weblog-angepassten Texts im 'andern' Law-Blog etwas erstellt: http://typo.twoday.net/stories/3284669/
Und einige mir wesentlich scheinende Dinge eingebaut 8Drittanbieterproblem, externe Counter-Problem. (Kursive Passagen)
Da ich kein Jurist bin wäre ich über konstruktives Feedback erfreut ;)
Ich finde, dass wenn jemand auf seiner homepage Daten veröffentlicht, er davon ausgehen muss, dass sie von jedem gelesen werden und er erklärt sich damit einverstanden. Die Daten oder Informationen, die dort angegeben sind, können doch sowieso nicht durch einen Leser verändert werden, oder bin ich da falsch informiert? Also, wenn ich irgendwelche von meinen Daten schützen möchte, dann stelle ich sie einfach nicht ins Internet.
Vielen Dank für den Tipp mit der Datenschutzerklärung.