Hallo,
ich fange jetzt mal an. Hab mich da ein weinig beschäftigt, allerdings bin ich nun ratloser wie zuvor. Was ich definitiv weis: die Umsetzung der Richtlinien muss am 25.52018 abgeschlossen sein.
Es sind hier auch ein paar Sachen die nur Entwicklungsseitig zu lösen sind. Was muss hier seitens Pixtacy, und auf der anderen Seite von uns, den Betreibern bis dahin umgesetzt werden?
Hier ein Link: https://m.heise.de/ix/meldung/Datenschutzgrundverordnung-Neue-Abmahngefahren-fuer-Websites-3936980.html
was ich bis jetzt gefunden habe. Und alle warnen natürlich vor Abmahnwellen, das hier schon einige Abmahnanwälte in der Startlöchern stehen. Irgendwie habe ich hier ein etwas ungutes Gefühl. Deshalb hoffe ich hier Klärung zu finden.
Gruß
Thomas
Hallo Herr Stolz,
ich verstehe nicht, in welcher Weise ein Programmierer einer Software wie Pixtacy im Zusammenhang mit der DSGVO entwicklungsseitig Wesentliches bewirken soll ... welche „Sachen“ könnten also gemeint sein? Doppelte/aktive Zustimmung vor Übermittlung von Daten via Kontaktformular, bei der Registrierung oder beim Bestellprozess? Nun, ... ok, könnte man wohl verbessern.
Der eigentliche Berg Arbeit liegt jedoch vor den Website-Betreibern, die bislang mit Datenschutz nicht viel am Hut hatten:
Für den Umgang mit den zu schützenden Personen-Daten ist immer schon derjenige verantwortlich, der die Software einsetzt um Daten zu generieren; daher steht auch überall „Betreiber“ einer Website.
Das fängt an mit dem Web-Hosting und tangiert danach Punkte wie SSL-Zertifikate, BackUps, Web-Seiten mit Informationen für die Besucher (z.B. Datenschutzerklärung in verständlicher Form), Marketing und Analyse.
Sauberes Impressum und eine rechtskonforme Datenschutzerklärung waren allerdings auch bislang schon Pflicht, die „neue Form“ ist nicht so gravierend anders. Infos und mehr findet man überall im Netz, also nicht bange machen lassen.
Für den Einsatz von Pixtacy auf einer öffentlich zugänglichen Website sollten die Rahmenbedingungen wie sichere Übermittlung von Daten (SSL) sowie geschützte BackUps von Kundendaten (z.B. in der Datenbank) geschaffen werden, dabei kann Sie Ihr Hosting-Provider unterstützen. Fragen Sie ihn bei der Gelegenheit auch, wie es mit dem Loggen von IP-Adressen (Server-Log-Dateien) aussieht und wie diese Daten bevorratet werden (Sie sind darüber auskunftpflichtig, und das nicht erst zum 28.05.2018!).
Prüfen Sie schließlich, ob Sie zu Markteing- und Analyse-Zwecken mit den wirklich großen Datensammlern wie Google, Facebook & Co. zusammenarbeiten (und das vertraglich geregelt ist!): Die Anforderungen in dem Zusammenhang an Website-Betreiber sind wirklich nicht ohne – wer sie nutzt sollte allerdings wissen, was er tut, und seiner Verantwortung gerecht werden.
Ob wir Angst vor der Abmahnwelle haben sollten u./o. ob wir dieser modernen Landplage entgehen werden dank ein paar zusätzlicher Checkboxen für Zustimmungserklärungen, die uns Herr Wandelt in Pixtacy einbauen könnte um die DSGVO leichter erfüllen zu können? Nun, ...
Viele Grüße,
Heike
Hallo Heike,
danke für die Ausführliche Antwort. Das mit der Check box scheint wirklich eine Lücke zu sein. Ich hab jetzt eine Kanzlei gefunden und hier eine Datenschutzerklärung, hoffentlich rechts konform, für unsere Seite angepasst.Die Erstellung und Nutzung ist kostenlos, es darf nur der darin enthaltenen Schlussteil mit den Links nicht entfernt werden. Hoffe es hilft auch den anderen Pixtacy Usern.
Hier der Link zur entsprechenden Seite, Rechts oben geht es zur Seite mit dem Generator. https://dg-datenschutz.de/
Falls was auffällt das fehlen sollte, wäre Dankbar über entsprechende Antwort, hier im Forum.
Gruß
Thomas
e-recht24 bietet auch einen Generator an:
https://www.e-recht24.de/muster-datenschutzerklaerung.html
Stimmt, hat nicht direkt mit der DSGVO zu tun, vielmehr mit Double Opt-In, also aktive Zustimmung („denn sie wissen nicht, was sie tun“, die Benutzer, die ein Formular ausfüllen und abschicken ;-) ).
Es gibt die Empfehlung, dass man sich als Betreiber der Website beim Einsatz von Kontaktformularen mit einer durch den Benutzer aktiv zu markierenden Checkbox absichert:
Der Benutzer stimmt dann aktiv zu, dass er die Datenschutzerklärung zur Kenntnis genommen hat und erklärt sich damit einverstanden, dass die übermittelten Daten elektronisch erhoben und gespeichert werden dürfen.
Ich gehe mitunter so weit, dass ich via CSS ohne Aktivierung der Checkbox den Button zum Absenden des Formulars „unsichtbar“ mache.
Das funktioniert, wenn an die Aktivierung der Checkbox eine Bedingung geknüpft ist: Das Sende-Element <button> (oder <input type="button"> bzw. "submit") ist mit dem Attribut "disabled" ausgestattet, das entfernt wird wenn die Checkbox ihr Häkchen bekommt.
Mojn, ich schließe mich mal hier an mit 2 Fragen:
1. Ist es möglich das Kontaktformular auf das nötigste zu reduzieren? - Ich denke daran das ich erstens möglichen Kunden eine leichte möglichkeit geben möchte mich einfach zu Kontakten und zum anderen wenn jemand ein Frage zu einem Bild hat und dieses in die Lightbox legt darüber ein Anfrage zu senden, Name und Mailadresse würden mir hier völlig genügen.
2. Ich habe die möglichkeit zur Sebstregistrierung entfernt und auch alle Kaufmöglichkeiten entfernt da ich kein Bock auf den ganzen neuen DSGVO Mist habe und nutze die Software nur noch als "Download Center" in dem ich selbst für Downloadberechtigte die Benutzer erstelle ohne deren Daten zu erfassen, wird von Pixtacy ein Cockie erstellt und muss ich den Nutzer per Einblendung informieren?
@Carsten:
Das Kontaktformular kannst du jetzt schon anpassen: Log dich ein. Ruf die Kontaktseite auf und gehe oben auf Bearbeiten. Wenn du ganz runterscrollst, kannst du anklicken, welche Felder Pflichtfelder sind.
Zur zweiten Frage ganz unverbindlich: Meines Wissens werden Cookies verwendet. Sonst würde das mit dem Speichern in der Lightbox nicht gehen. Für die Cookies gibt es hier eine Anleitung für das Einblenden eines Hinweises: https://support.pixtacy.de/Wissensbank/Tipps%20und%20Tricks/EU-Cookie-Richtlinie%20erf%FCllen. Ich würde aber mal ganz schwer vermuten, dass du das in der Datenschutzerklärung zusätzlich noch mit angeben musst, um der DSGVO zu entsprechen.
@MTH, danke für die schnelle Hilfe. Das mit dem Cookie schau ich mir morgen gleich mal genauer an.
Das mit den Pflichtfeldern kenne ich, ich dachte mehr an die radikale lösung und Felder wie Adresse und Telefon statt freiwillig Komplet entfernen.
Datenschutz und Impressum habe ich heute etwas überarbeitet, ich werde da im Mai noch mal einige Generatoren bemühen und hoffe das dann mehr oder einfachere Informationen zu bekommen sind.
Kontaktformlar radikal reduzieren geht bestimmt auch. Herr Wandelt kann bestimmt nach den Feiertagen Info geben, wo man das im Code ändern kann. Das weiß ich leider nicht. Für Datenschutz und Impressum gibt es ja besagter Generatoren. Das hilft jedenfalls schon einmal. Denkt aber bitte auch alle an das Verarbeitungsverzeichnis. Auch das muss z.B. vorbereitet sein...
@Herr Wandelt:
Die Datenschutzerklärung auf unseren Webseiten muss wohl auch sehr konkret und detailliert angeben, was an Daten wohin weitergegeben wird. Dazu gehören natürlich die bereits angesprochenen Cookies, aber auch, ob Google Analytics automatisch mit irgendwelchen Daten gefüttert wird oder ob Sie bspw. für das Abprüfen der Lizenz ein Zählpixel übermitteln. Wie sieht das bei Pixtacy aus?
Dankeschön!
Und noch ein weiterer Punkt im Hinblick auf die DSGVO: Vermutlich ist es ratsam, eingegangenen Anfragen und Bestellungen sowie das Protokoll der Downloads regelmäßig zu löschen, da auch hier Daten festgehalten werden - und dann auch noch online im Backend von Pixtacy abgespeichert werden.
Frage 1: Wenn ich die Bestellungen im Backend lösche, ist dann auch die Bestellhistorie beim eingeloggten Kunden weg? Und wenn ich wirklich alle Bestellungen lösche - wird dann nicht wieder bei der nächsten eingehenden Bestellung die Bestellnummer 1 vergeben?
Frage 2: Macht es hier nicht ggf. Sinn, wenn wir eine Automatik einführen? Also bspw. dass man im Backend einen Zeitraum definieren kann, ab dem die Daten gelöscht werden (z.B. Lösche alle gelesenen Anfragen, die älter sind als 4 Wochen - Lösche alle Bestellungen, die auf erledigt stehen und älter sind als 2 Monate - Lösche alle Download-Protokolle, die älter sind als ...)
Dankeschön + Grüße!
Ich habe dieser Diskussion zwei konkrete Punkte entnommen, in denen es Nachholbedarf in Pixtacy gibt: Dies sind das Kontakt- und das Registrierungsformular, in denen es bislang nicht möglich ist, eine Zustimmung zur Datenschutzerklärung anzufordern (analog zum Bestellformular). Ein Wartungsupdate, das in Kürze erscheint, wird dieses Manko beseitigen.
@MTH: Die Bestellungen sind die Bestellhistorie — wenn man sie löscht, ist auch die Historie weg (und in der Tat: wenn man die letzte Bestellung entfernt, beginnt Pixtacy wieder bei 1 an zu zählen).
Wie lange man Daten aufbewahrt, ist aus datenschutzrechtlicher Sicht zweitrangig, da allein das Erfassen und Verarbeiten bereits Pflichten mit sich bringt. Wenn eine Funktion zum zeitgesteuerten Löschen gewünscht wird, wäre ein Eintrag unter Wünsche und Ideen ratsam.
Zweitraning - jein. Pflichten haben wir schon vorher - das stimmt. Aber zu den Pflichten gehört auch, dass die Daten irgendwann gelöscht werden. Daher die Frage, ob es ggf. Sinn macht, hier eine Lösch-Automatik im Backend zu ermöglichen (Das Verarbeitungsverzeichnis der DSGVO verpflichtet zur Angabe eines Zeitraums, nach dem die Daten gelöscht werden).
Und ein zweistufiges Anmeldeverfahren für den Admin fände ich wie gesagt auch echt sinnvoll. Denn wir sind ja auch verpflichtet, die erfassten Daten so gut wie technisch möglich zu schützen.
Beides nicht zwingend zum 25.5.2018, aber wünschenswert für eine mittelfristige Umsetzung.
Sind in Pixtacy denn irgendwelche fonts oder scripts am Werk die bei Benutzung nach Hause telefonieren wie Google fonts und somit Daten an Dritte übermitteln?
Was wird wo gespeichert wenn man das Kontaktformular nutzt?
Wird ein Cookie vom System erzeugt? Wenn ja, wann und was wird dort gespeichert?
...Ich habe die letzten 2 Wochen massenhaft in meinem WordPress gewerkelt und die meisten Funktionen abgeschaltet oder über Plugins deaktiviert... Was ne scheiß Arbeit.
Beste Grüße Carsten
@Carsten - vielleicht hilft dir diese Seite bei der Prüfung: https://webbkoll.dataskydd.net/en/
Hallo zusammen,
ich beschäftige mich jetzt schon eine ganze Weile mit dem Thema. Stehe zur Zeit mit mehreren Anwälten im Kontakt. Alles schön und gut, ich weis nicht wie Ihr arbeitet. Akutell siehts bei uns so aus das wir das so gar nicht mehr dürfen. Aktuelle Lage: der Veranstalter kommt auf uns zu und möchte das wir sein zeitgeschichtliches Ereignis festhalten. So, jetzt darf ich das aber nicht mehr, weil ich als Daten-Erfasser tätig bin! Hier stehen nun zwei Gesetzte im Raum, KuG/UrHG und DSGVO, Alle Antworten die ich bis jetzt habe, sagen ganz klar, ohne Genehmigung der Person die ich fotografiere (weil gleich Datenerfassung ab 25.5.18) geht nix mehr. Stand aktuell: ab 25.5. 2018 können wir zumachen!
@Carsten: Der einzige Fall, in dem Pixtacy "nach Hause telefoniert", ist der Freischaltvorgang, aber auch dann werden keinerlei personenbezogene Daten (schon gar nicht von Anfragen oder Bestellungen!) übermittelt.
Die Daten, die das Kontaktformular übermittelt, werden unter "Verwaltung > Anfragen" gespeichert und können dort jederzeit gelöscht werden.
Pixtacy nutzt Cookies, um bestimmte Benutzereinstellungen zu speichern (z. B. die aktuell gewählte Landessprache, die Lightbox-Inhalte u. ä.) und um die Benutzer-Sessions zu verwalten. Daher ist es ratsam, grundsätzlich einen dieser unsäglichen Cookiehinweise einzublenden.
@ MTH, danke.
@ Thomas, ich habe genau das selbe Problem, mein Auftraggeber liebt Bilder wo Publikum drauf ist, am besten viel davon... Die Rennfahrer mit denen ich arbeite lieben das natürlich auch, wer will schon vor ner Lehrern Tribüne sein Triumph feiern... letztes Wochenende sprach ich mit einigen Dänischen Fotografenkollegen über die neue DSGVO und deren Fotografie, die meisten wussten von nichts, und die werden auch fotografisch nichts ändern, außer halt die Webseiten etwas anpassen und gut ist. Selbst ein Journalist der für eine große Taggeszeitung arbeitet schüttelte nur den Kopf, und der ist noch Presseoffizier für eine Motorsportklasse und Hobbyfotograf. Ich bin schon am überlegen ob ich mir eine Domain im Ausland holen soll und meine Deutsche Seite dahin einfach umleite bzw ein Link setze und fertig.
@ Martin, Dankeschön. Welche Schriftart verwendet Pixtacy eigentlich?
Ich habe grad ne Ewigkeit gebraucht die Google Fonts gegen das gute alte Verdana in meiner WordPress Webseite sowie der ganzen Plugins zu ändern, da selbst die fonts nach Hause (Google) telefonieren...
Weiß Jemand wo ich bei Google klicken muss um eine Löschung de Indexierung meiner Pixtacy Seite beantragen kann? Den Unterordner auf dem Server wo Pixtaxy liegt in die robots.txt aufnehmen sollte doch genügen um die Suchmaschienen abzuhalten, oder?
@Carsten: Der Umzug der Domain ins Ausland wird m.E. nicht reichen. Dafür musst du schon den Firmensitz verlagern. Und auch deine Tätigkeit selber. Beides ins außereuropäische Ausland.
@MTH: Pixtacy verwendet nur die Standardschriften des Betriebssystems. Es werden also keine Daten an Google oder ähnliche Fontanbieter übertragen. Um Pixtacy aus dem Google-Index zu entfernen, müsste ein entsprechender Eintrag in der robots.txt ausreichen.
@ Martin, danke.
@ MTH, kein Problem. Ich habe keine Firma, bin rein Privat und arbeite eh im EU Ausland. Meine Fotokunden sind Rennfahrer in Dänemark die bis auf ganz wenige Ausnahmen hauptsächlich in Dänemark fahren. :-) Im September geht es für ein Wochenende und drei Rennen nach Hockenheim, das wird wohl mein diesjähriges Highlight im Motorsport.
@MTH: Dänemark ist EU-Mitgliedsland seit 1. Januar 1973, DSGVO gilt für die EU; mit einer Domain im europäischen Ausland ist die Rechtslage demnach nicht anders.
IMHO driftet die Diskussion hier langsam ab: Es sollte doch eigentlich darum gehen, wie man das System soweit aufbereitet, dass man die Anforderungen der DSGVO erfüllen kann – und nicht um persönliche Meinungen zum Für und Wider dieser Gesetzes-Novelle.