Wir bieten einen Web-Service an, der in öffentliche Webseiten (etwa Online-Shops) eingebunden und direkt vom Browser des Webseitenbesuchers bei unserem Server abgefragt wird. Als personenbezogene Daten fallen nur die IP-Adressen der Webseitenbesucher an. Die IP-Adressen werden nach Abschluss der Transaktion gelöscht.
Wie weist man das dem Auftraggeber, der sein Kontrollrecht ausüben möchte nach!? Muss man ihm Einsicht in den Programmcode (mit Betriebsgeheimnissen) und in die Entwicklungsumgebung gewähren? Es ist ein Problem, dass sich mehr oder weniger bei vielen Webdiensten stellt.
(Aus Performancegründen ist die direkte Kontaktaufnahme des Browsers bei unserem Server erforderlich, Ansätze mit dazwischengeschaltetem Proxy funktionieren deswegen nicht vernünftig.)
Na, meine Güte - der Kunde ist ja wirklich zu beneiden, wenn er Zeit und Geld hat sich solchen Fragestellungen zu widmen. Er scheint wirklich keine kritischeren Probleme zu haben. Denn selbst wenn Sie schindluder mit den Daten machen - es sind halt nur IP-Adressen. Vielleicht hilft es auch, ihm diese Risikosituation mal aufzuzeigen, damit er ruhiger schlafen kann.
Nein, es hat kein Kunde nachgefragt. Mir kam das Problem nur bei der Bearbeitung unserer Datenschutzerklärung. Es gibt andere Web-Dienste, bei denen mehr Daten bearbeitet werden, z.B. Namen, Adressen, Bankverbindungen. Der Nachweis, dass keine Daten gesammelt werden, ist nicht leicht zu führen!
Das ist ein grundlegendes Problem. Genauso wie ein Nachweis über eine erfolgte Löschung von Daten…
Da sowieso alle Verarbeitungsschritte in Bezug auf den Datenschutz irgendwie dokumentiert werden müssen, wird in diesem Zusammenhang einfach der entsprechende Prozess beschrieben. Wie werden die IP-Adressen gelöscht - Automatisch durch eine “Löschroutine”, zu festen Zeitpunkten und/oder nach gewissen Kriterien (Was bedeutet “nach Ende der Transaktion”?) usw.
Es könnte auch sein, dass eine Aufsichtsbehörde ihr Kontrollrecht ausüben möchte
So sehe ich das auch… dokumentieren (im Verzeichnis der Verarbeitungen) und informieren (in einer Datenschutz-Information und/oder im AV-Vertrag - je nachdem, was es gibt.
Spätere Auskunftsanfragen könnten durch eine Log-Datei befriedigt werden. Der Anfragende müsste dann Datum, Zeit und IP-Adresse nennen, die zum Zeitpunkt der Verarbeitung genutzt wurde.
Ist der Sinn des Kontrollrechts nicht gerade, dass sich der Auftraggeber davon überzeugen kann, dass die in der Dokumentation (Papier ist geduldig) so schön beschriebenen Verfahren auch tatsächlich eingehalten werden? Insofern reicht die Dokumentation eben gerade nicht! Kontrollieren lässt es sich aber nur, indem man in den Programmcode hineinschaut. (Ja, man muss auch verifizieren, dass es der untersuchte Code ist, der dann auch ausgeführt wird…)
Dies ist auch fast unmöglich. Zum einen haben Auftraggeber kaum die Kompetenz, dies zu beurteilen. Das sind doch normalerweise keine IT-Programmierexperten. Zum anderen sind die digitalen Vorgänge häufig auch so komplex, dass es nicht mit einem Blick in ein Script getan ist. Da halte ich die Lösung mit Log-Dateien und evtl. ein Vorführbeispiel “am lebenden Objekt” für zielführender.
