Datenschutzerklärung verpflichtend

Ein CMSimple Support Forum für deutsch sprechende Nutzer und Entwickler
Post Reply
albert
Posts: 438
Joined: Sun Mar 07, 2010 8:01 pm
Location: Germany
Contact:

Re: Datenschutzerklärung verpflichtend

Post by albert » Thu Sep 15, 2016 11:20 am

cmb wrote:
Hartmut wrote:Die von ihrem Browser automatisch übermittelten Informationen werden zu Nutzungsanalysezwecken in so genannten Log-Files auf dem Server gespeichert […]
Da fällt mir gerade auf, dass diese Dateien nur per .htaccess geschützt sind; die werden aber nicht von jedem Webserver unterstützt, so dass man die Webmaster darauf hinweisen sollte (falls das nicht sowieso schon dokumentiert ist).
in der htaccess der aktuellen Version steht in /usr:

Code: Select all

<IfModule !authz_core_module>
	order deny,allow
	deny from all
</IfModule>
<IfModule authz_core_module>
	Require all denied
</IfModule>
und in /logs

Code: Select all

<IfModule !authz_core_module>
	<Files *.log>
		order deny,allow
		deny from all
	</Files>
	<Files counter.log>
		Allow From All
	</Files>
</IfModule>
<IfModule authz_core_module>
	<Files *.log>
		Require all denied
	</Files>
	<Files counter.log>
		Require all granted
	</Files>
</IfModule>
Ich dachte das wär ok - wenn nicht sagt bitte Bescheid! Danke

cmb
Posts: 12524
Joined: Tue Jun 21, 2011 11:04 am
Location: Mü-Sa, RLP, DE
Contact:

Re: Datenschutzerklärung verpflichtend

Post by cmb » Thu Sep 15, 2016 12:29 pm

albert wrote:Ich dachte das wär ok - wenn nicht sagt bitte Bescheid!
Das sollte okay sein, falls der Webserver .htaccess überhaupt beachtet, und die entsprechenden Module verfügbar sind. Sieht also gut aus für Apache2, aber dürfte bei NginX und IIS und wohl auch anderen nicht funktionieren. Auf dieses Problem wird auch im Wiki bzgl. der CMSimple_XH Installation hingewiesen:
Der direkte Zugriff auf Dateien in einigen Ordnern sollte unterbunden werden. Dies ist bereits durch die mitgelieferten .htaccess Dateien für Apache Webserver gewährleistet. Für andere Server müssen Sie dies durch Mittel sicher stellen, die der Webserver oder Ihr Hoster zur Verfügung stellen.
Christoph M. Becker –Plugins for CMSimple_XH, but not for CMSimple 4+

olape
Posts: 544
Joined: Fri Mar 13, 2015 8:47 am
Contact:

Re: Datenschutzerklärung verpflichtend

Post by olape » Sat Mar 03, 2018 2:40 pm

Um nicht wieder ein neues Thema zu eröffnen. Und hier passt es ganz gut rein.

Datenschutzgrundverordnung: Neue Abmahngefahren für Websites

Im Mai tritt die neue Datenschutzgrundverordung (DSGVO) der EU in Kraft. Sie bringt neue Verpflichtungen für fast alle Betreiber von Websites.

https://www.heise.de/ix/meldung/Datensc ... 36980.html

olape
Posts: 544
Joined: Fri Mar 13, 2015 8:47 am
Contact:

Re: Datenschutzerklärung verpflichtend

Post by olape » Tue Mar 06, 2018 1:10 pm

Was Unternehmen und Admins jetzt tun müssen

Ab dem 25. Mai gilt europaweit ein neues Datenschutz-Gesetz, das für Unternehmen neue rechtliche Verpflichtungen schafft. Trotz der nahenden Frist sind viele IT-Firmen schlecht vorbereitet. Wir erklären, was auf Geschäftsführung und Admins zukommt.

https://www.golem.de/news/datenschutz-g ... 33122.html

cmb
Posts: 12524
Joined: Tue Jun 21, 2011 11:04 am
Location: Mü-Sa, RLP, DE
Contact:

Re: Datenschutzerklärung verpflichtend

Post by cmb » Tue Mar 06, 2018 4:30 pm

olape wrote:
Sat Mar 03, 2018 2:40 pm
Im Mai tritt die neue Datenschutzgrundverordung (DSGVO) der EU in Kraft. Sie bringt neue Verpflichtungen für fast alle Betreiber von Websites.
Danke, dass du dieses Thema hier ansprichst! Sicher sehr wichtig.

Allerdings geht es mir beim Nachlesen im Netz ähnlich wie mit den Cookie-Regulierungen: zunehmend werden bei mir sämtliche Klarheiten aus dem Weg geräumt.

Beispiel 1: Standard-Server-Logs

Die Rechtsgelehrten sind sich wohl einig, dass IP-Adressen personenbezogene Daten darstellen, auch wenn man selbst (ohne Dritte) diese nicht bestimmten Personen zuordnen kann. Weiterhin ist man sich wohl einig, dass personenbezogene Daten nicht ohne ausdrückliche Zustimmung erfasst/gespeichert werden dürfen, es sei denn, diese Daten seien für den Dienst zwingend erforderlich. Das ist bei Standard-Server-Logs aber wohl nicht der Fall. Also dürften dort wohl höchstens anonymisierte IP-Adressen gespeichert werden. Das macht die Logs im Fall der Untersuchung einer rechtswidrigen Nutzung der Website aber weniger hilfreich.

Beispiel 2: für wen gilt die DSGVO?

Häufig liest man, dass Unternehmen/Online-Händler diesbezüglich Handlungsbedarf haben. Die DSGVO scheint allerdings nur Ausnahmen für rein private Websites vorzusehen. Was eine rein private Website ist, scheint aber nicht wirklich geklärt. Was ist z.B. mit cmsimple-xh.org wo Software zum Download angeboten wird – wohl gemerkt, ohne Gewinnerzielungsabsicht (dort ist ja nicht einmal kommerzielle Werbung oder ein Paypal-Spenden-Button zu finden).

Warum kann der Gesetzgeber solche typischen Fälle nicht klarer fassen? Um es einmal überspitzt zu formulieren: wenn ich einen Taschenrechner mit solch "schwammigen" Spezifikation programmieren soll, dann kann ich auch gleich als Ergebnis eine beliebige Zufallszahl ausgeben.
Christoph M. Becker –Plugins for CMSimple_XH, but not for CMSimple 4+

olape
Posts: 544
Joined: Fri Mar 13, 2015 8:47 am
Contact:

Re: Datenschutzerklärung verpflichtend

Post by olape » Tue Mar 06, 2018 4:40 pm

cmb wrote:
Tue Mar 06, 2018 4:30 pm
Warum kann der Gesetzgeber solche typischen Fälle nicht klarer fassen? Um es einmal überspitzt zu formulieren: wenn ich einen Taschenrechner mit solch "schwammigen" Spezifikation programmieren soll, dann kann ich auch gleich als Ergebnis eine beliebige Zufallszahl ausgeben.
:mrgreen: Ja, der Vergleich trifft es sehr gut.

Aber, ich kann ja auch nix dafür. :cry:

Mal ernsthaft.
Es ist als Info gedacht. Wir können hier keine Rechtsberatung geben.
Da muss sich schon jeder selber seinen Reim drauf machen.
cmb wrote:
Tue Mar 06, 2018 4:30 pm
Was ist z.B. mit cmsimple-xh.org wo Software zum Download angeboten wird – wohl gemerkt, ohne Gewinnerzielungsabsicht (dort ist ja nicht einmal kommerzielle Werbung oder ein Paypal-Spenden-Button zu finden).
Hm, es werden eigentlich keinerlei Daten erhoben. Kein Kontaktformular ...
In dem Tarif sind nicht mal Severlogs drin. Jedenfalls für uns nicht erreichbar. Also ohne jeden Einfluss unsererseits. (Geben wird es mit Sicherheit welche)
Das sehe ich eigentlich entspannt.

cmb
Posts: 12524
Joined: Tue Jun 21, 2011 11:04 am
Location: Mü-Sa, RLP, DE
Contact:

Re: Datenschutzerklärung verpflichtend

Post by cmb » Tue Mar 06, 2018 5:00 pm

olape wrote:
Tue Mar 06, 2018 4:40 pm
Es ist als Info gedacht. Wir können hier keine Rechtsberatung geben.
Da muss sich schon jeder selber seinen Reim drauf machen.
ACK
olape wrote:
Tue Mar 06, 2018 4:40 pm
Hm, es werden eigentlich keinerlei Daten erhoben. Kein Kontaktformular ...
In dem Tarif sind nicht mal Severlogs drin. Jedenfalls für uns nicht erreichbar. Also ohne jeden Einfluss unsererseits. (Geben wird es mit Sicherheit welche)
Das sehe ich eigentlich entspannt.
Ah, das keine Serverlogs verfügbar sind, war mir neu. Soweit ich es überblicke, ist cmsimple-xh.org so gesehen tatsächlich bereits rechtskonform. (Bei 3-magi.net ist das wohl noch nicht so.)
Christoph M. Becker –Plugins for CMSimple_XH, but not for CMSimple 4+

olape
Posts: 544
Joined: Fri Mar 13, 2015 8:47 am
Contact:

Re: Datenschutzerklärung verpflichtend

Post by olape » Wed Mar 07, 2018 1:49 pm

cmb wrote:
Tue Mar 06, 2018 5:00 pm
Ah, das keine Serverlogs verfügbar sind, war mir neu. Soweit ich es überblicke, ist cmsimple-xh.org so gesehen tatsächlich bereits rechtskonform.
Da war meine Aussage nicht ganz korrekt. Theoretisch wären Logs möglich. Sind aber nicht aktiviert.
Screenshot-2018-3-7 Login w017374e (cmsimple-xh org).png
Müsste man vielleicht mal überdenken, ob man die Logs aktiviert. Manchmal sieht man eben doch rein.
IP kann ja gekürzt oder ganz ersetzt sein.

Nochmal zu den neuen Reglungen.

Problematisch sehe ich hier vor allem iFrames (nur bei Inhalten von fremdem Hosts)

- erstens kann der Besucher nicht unbedingt erkennen, das Inhalte von fremden Hosts eingebunden sind.
Ausserdem hat man als Betreiber einer solchen Seite auch kaum einen richtigen Einblick, was auf dem anderen Host mit den Daten der Besucher passiert.
Von daher sehe ich iFrames als sehr problematisch. Z.B., was Videos von YouTube betrifft.
Wer traut sich zu, eine Datenschutzerklärung zu verfassen, in der die Datenverarbeitung von Google mit abgedeckt ist?
Aber eben auch Texte von anderen Hosts sind nicht viel besser.

Andere Dinge sind bbclone, den ich nun auch aus meiner Seite verbannt habe.
Oder auch Downloadcontrol von Svasti.
Bei beiden werden vollständige IP-Adressen gespeichert.

Und da gibt es sicher noch mehr.
You do not have the required permissions to view the files attached to this post.

cmb
Posts: 12524
Joined: Tue Jun 21, 2011 11:04 am
Location: Mü-Sa, RLP, DE
Contact:

Re: Datenschutzerklärung verpflichtend

Post by cmb » Wed Mar 07, 2018 2:35 pm

olape wrote:
Wed Mar 07, 2018 1:49 pm
Müsste man vielleicht mal überdenken, ob man die Logs aktiviert. Manchmal sieht man eben doch rein.
IP kann ja gekürzt oder ganz ersetzt sein.
Falls die IPs "ordnungsgemäß" anonymisiert werden, soll es mir recht sein.
olape wrote:
Wed Mar 07, 2018 1:49 pm
Problematisch sehe ich hier vor allem iFrames (nur bei Inhalten von fremdem Hosts)
IFrames mit fremden Inhalten (also solchen, auf die man keinen Einfluss hat) sind sowieso problematisch. Kann ja jederzeit sein, dass die andere Seite plötzlich völlig andere Inhalte anzeigt, und die hätte man dann auf der eigenen Seite. Und auch bezüglich X-Frame-Options muss man aufpassen.
olape wrote:
Wed Mar 07, 2018 1:49 pm
Andere Dinge sind bbclone, den ich nun auch aus meiner Seite verbannt habe.
Oder auch Downloadcontrol von Svasti.
Bei beiden werden vollständige IP-Adressen gespeichert.
Stimmt. Sollte vielleicht allgemein geändert werden?
Christoph M. Becker –Plugins for CMSimple_XH, but not for CMSimple 4+

olape
Posts: 544
Joined: Fri Mar 13, 2015 8:47 am
Contact:

Re: Datenschutzerklärung verpflichtend

Post by olape » Wed Mar 07, 2018 3:18 pm

cmb wrote:
Wed Mar 07, 2018 2:35 pm
Falls die IPs "ordnungsgemäß" anonymisiert werden, soll es mir recht sein.
Dann müsste aber eine kurze Datenschutzerklärung auf die Seite, denke ich.

Geht aber leider eh nur mit Zustimmung von svasti. Er ist Account-Inhaber.
Und es liegen noch weitere Seiten auf dem Account die dann auch entsprechende Aufklärung betreiben müssten.
cmb wrote:
Wed Mar 07, 2018 2:35 pm
Stimmt. Sollte vielleicht allgemein geändert werden?
Das sollte auf jeden Fall sein. Vielleicht konfigurierbar?
Aber wenn man an dieser Stelle ansetzt, könnte man die IP sofort anonymisieren.

Post Reply