Welche
ich bin die Tage zufällig durch meinen Firefox (mit uMatrix und noScript) auf der Homepage von Dorothee Bär (https://dorothee-baer.de/) auf die Einbindung externer Resourcen aufmerksam geworden und habe darauf hin mal in die Datenschutzerklärung der genannten Homepage geschaut und war verwirrt.
Da steht nichts darüber drin.
Meine Frage nun: Müsste sowas nicht in der Datenschutzerklärung der Seite ausführlich aufgeschlüsselt werden?
Frag sie doch mal selbst. Gibt bestimmt eine Kontaktadresse. Nachdem sie sich mit Digitalisierung auskennt, müsste sie das wissen.
D., der es wüsste. Cookiebot, Google Fonts,… Oh je, oh je.
Die DSE ist ohnehin extrem dürftig 
Welche DSE ist denn schon wirklich rechtskonform. Die meisten sind zu lang, zu unverständlich und manchmal sogar falsch.
Mein bestes Beispiel zur Dauer der Speicherung ist: “Wir speichern die Daten so lange, wie der Zweck besteht.” - Toll das Gesetz abgeschrieben aber wie lange ist das denn nun? Der Betroffene bleibt uninformiert zurück.
Ja, das kann so sein - aber die DSE von Frau Bär scheint mir unvollständig und zu kurz. Es fehlen essenzielle Dinge.
Also bei mir fällt nur fonts.gstatic.com auf, wenn ich aufmache. Kuugel-Schriften sind grundsätzlich Spionage, wenn nicht lokal eingebunden. Aber die Cookie-Abfragen sind schon lustig. Digital-Kompetenz sieht anders aus.
Man sollte einen Beratervertrag anbieten. Ach nee, wäre ja nur bei Regierungsseiten lukrativ.
D., der leider schon voll ist.
Also der Datenschutzerklärung fehlt doch tatsächlich alles!
Das ist wirklich zum fremdschämen. Auch das Impressum ist Murks und veraltet (55 RStV gibt es nicht mehr). Die Disclaimer sind irgendwo zusammenkopiert und machen genauso wenig Sinn.
Oh Mann…
Die bayrische Datenschutzbehörde genutzt im Beschwerdeformular die Begriffe “Betroffene Person” und “Beschwerdegegner” - meine Frage: Welche der beiden Parteien wäre der:die Bürger:in, die sich beschweren möchte, wer der Homepagebetreiber?
Betroffene Person = Du/Besucher der Homepage
Beschwerdegegner = Homepage-Betreiber/Verantwortliche Stelle
“Beschwerdegegner” ist die kritisierte Stelle, also “der Verantwortliche” für diesen Internetauftritt, etwa laut Datenschutzerklärung. Oh… steht da ja nicht. Also laut Impressum. Wegen “ich” in der Datenschutzerklärung lässt sich annehmen, dass Frau B. selbst verantwortlich ist.
Beschwerdeführer kann die “betroffene Person” sein, deren Daten verarbeitet werden (z. B. durch den Seitenbesuch), muss aber nicht. Um die eigene Betroffenheit zu belegen kann man beschreiben, welche der eigenen Daten verarbeitet wurden, z. B. dass die IP-Adresse und Besuchszeit vom Verantwortlichen an einen externen Dienst übermittelt wurden. Wenn betroffene Personen sich beschwere hat die Aufsichtsbehörde ihr gegenüber gewisse Pflichten, die bei anderen Hinweisgebern nicht anfallen.
D., der hofft, das richtig erklärt zu haben.
Man müsste sich an die Berliner DSB wenden, weil die Anschrift im Impressum in Berlin ist, richtig?
Ja das ist die federführende ASB. Aber du kannst dich an alle ASBs wenden. auch die an deinem Wohnsitz z.B. NRW. Die müssen es dann weiterleiten und sich koordinieren.
Wie lange hat die DSB Zeit eine Beschwerde zu beantworten?
“innerhalb einer angemessenen Frist” (Art. 57 Abs. 1 lit. f DSGVO). Nachdem die Aufforderungen zur Stellungnahme meistens mit Monatsfristen geschrieben werden im Idealfall ca. 3 Monate, bei einigem hin und her auch länger.
D., der als Ergebnis ein “Ach so. Dann wird der Text halt ergänzt. Und die Agentur braucht noch ein bisschen bis sie rausbekommt, wie man externe Schriften auf lokal umstellt.” erwarten würde.
Ich versteh die Aufregung nicht: die Frau ist doch seit Jahren per Funktion und Amt total kompetent, die wird das schon wissen. Ahem.
Zeitrahmen für ein formales Beschwerdeverfahren vom Absenden der Bescherde bis eine Entscheidung vorliegt: 3-18 Monate. Locker. Je nach Umfang.
Eine Frage dazu im Anschluss: Wie könnte man die DSGVO auch rechtskonform umsetzen, wenn zwar die vollständige Information des Webseitenbesuchers (an anderer Stelle jedes anderen Betroffenen) gefordert wird aber gleichzeitig Transparenz (durch Länge des Textes und Formulierung) verlangt wird? Textlich lässt sich das mE nicht lösen, es sei denn man verlängert die DSE nochmal, indem man jedem sinnigen Absatz eine Zusammenfassung voranstellt.
Technisch könnte ein interaktives Inhaltsverzeichnis, durch das man per Klick zur für den Leser interessanten Stelle springen kann, einen Mehrwert bringen.
Eine Empfehlung von “offizieller Seite” wird es dazu nicht geben, weil mit einer solchen Festlegung im Zweifel nur verlieren würde.
Ja. Genau so! Vielleicht zusätzlich Symbole.
Also… 1. Symbol, 2. Kurzbeschreibung, 3. ausführliche Beschreibung.
Paragrafen bzw. Artikel müssen nicht unbedingt sein; evtl. zusätzlich; dann auf einer 4. Ebene mit den entsprechenden Stichworten in Datenschutz-Deutsch.
Wobei je nach den Betroffenen die Formulierung in Richtung “Verständlichkeit” anzupassen ist, also Kinder, Easy Deutsch, Migrantisch, Übersetzungen für relevante Zielgruppen und Zielgebiete.
Die in der DSGVO angekündigten Symbole sind immer noch nicht standardisiert; und sie wären kein Ersatz, sondern nur eine Ergänzung des Textes.
Die Ausklapp-Variante muss auch Leute berücksichtigen, die z. B. JavaScript nicht unterstützen oder die sich Seiten vorlesen lassen.
Eine einheitliche (vorgeschriebene) Struktur wäre nicht schlecht, damit man die jeweilige Information an einer bestimmten Position erwarten könnte, z. B. nach der Reihenfolge in Art. 13 und 14. Dann würden die Verantwortlichen keine vorgeschriebenen Elemente vergessen.
So würde sich auch ein Standardtext zu den Betroffenenrechten durchsetzen (die sogenannte Litanei), die bei allen Verantwortlichen prinzipiell identisch sein werden. Entscheidungsfindung usw. mit “ggf.” und den jeweiligen Zusammenhängen ergänzt. Beschwerderecht evtl. mit Nennung der zuständigen Behörde. (Nennung nicht vorgeschrieben: man sollte niemandem die Freiheit nehmen, sich an jede mögliche Behörde zu wenden.)
(Evtl. ein “Juristen-Banner” vorschalten. Aus Österreich wurde nämlich mal argumentiert, dass Rechtsanwälte nicht informiert werden müssen, weil sie aufgrund ihrer Ausbildung /Tätigkeit bereits über die allgemeinen Informationen verfügen. D. h. man könnte fragen, ob die Besucher Rechtsanwälte, Richter, Datenschutzbeauftragte, Mitarbeiter einer Aufsichtsbehörde sind, ob sie Jan Albrecht oder Max Schrems heißen, und ihnen dann die Pflichtinformation nicht anzeigen; den spezifischen Rest können sie sich zusammenreimen. Entsprechend dürften Ärzte nicht in Krankenhäusern behandelt werden usw.)
D., der solche Informationen gern übersichtlich und verständlich hätte, aber sie sollten irgendwie auch seine fachlichen Anforderungen erfüllen, indem sie (zusätzlich) die richtigen Begriffe nutzen.
Das ist ja ein interessanter Gedanke. Hast du zufällig einen Link für mich parat, unter dem ich Informationen dazu finden kann?
Der Jurist wird auf eine solche Idee antworten: “Es kommt darauf an”. Nach Art. 13 Abs. 4 DSGVO muss die betroffene Person tatsächlich nicht mehr informiert werden, wenn Sie schon alle Informationen hat. Das mag für DSGVO-versierte Juristen vielleicht für die Betroffenenrechte gelten, aber sicherlich nicht für die Speicherfristen oder weitergehenden Verarbeitungsprozesse (z.B. nach Kontaktaufnahme per E-Mail)…