Datenschutzhinweise
Da sind Sie ja, lieber User…. Auf der von der DSGVO (Datenschutzgrundverordnung) und dem BDSG (Bundesdatenschutzgesetz, neue Fassung) verlangten Seite zum Thema Datenschutz. Als zertifizierter Datenschutzbeauftragter betreibe ich natürlich auch eine eigene Internetseite, man will ja über die verschiedenen Suchmaschinen gefunden werden. Also möchte und muss ich den Informationspflichten aus der DSGVO nachkommen. Tja… Wer weiß das schon, vielleicht schaut sich irgendjemand den Text doch mal etwas genauer an. Da sollte das natürlich Hand und Fuß haben.
Hauptsächlich schreibe ich diese Zeilen in der „Ich“-Form, denn ich selbst bin derjenige, der Ihre Daten verarbeitet (mal abgesehen von ein paar wenigen nachgelagerten Auftragsverarbeitern, doch dazu später mehr).
Nun aber zum Thema „Datenschutz“….
Leider haben die Wenigsten Zeit, sich einen langweilen „Datenschutzklimbim“ durchzulesen. Ja, ich gebe zu, das Thema Datenschutz kann durchaus ermüdend sein. Aber glauben Sie mir, befasst man sich ein wenig tiefer damit, kann das spannend und zuweilen auch amüsant sein. Schauen Sie einfach mal in meinem Blog vorbei (der ist im Moment im Entstehen, also Geduld bis zur Freischaltung). Dort beschreibe ich Geschehnisse, die ich im Laufe meiner Tätigkeit als Datenschutzbeauftragter und Sicherheitsauditor erlebt habe. Natürlich sind diese Ereignisse anonymisiert und es kann kein Bezug zu aktuellen oder früheren Kunden hergestellt werden. Sorry, ich komme schon wieder ins Schwärmen ;-). Zurück zum Thema…
Am Ende des Tages kommt es lediglich darauf an, ob ich einem Unternehmen oder einer Person vertraue oder vertrauen will. Ich will ja keine bösen Überraschungen erleben. Oscar Wilde hat einmal gesagt: „Ich bin manchmal geradezu erschrocken, wie aufrichtig ich sein kann!“ Und genau um das geht es hier! Ich erzähle Ihnen in diesen Datenschutzhinweisen die Wahrheit und nichts als die Wahrheit.
Datenschutz ist kein Hexenwerk. Meist kann er mit gesundem Menschenverstand erklärt werden. Einige wenige Dinge, die etwas komplizierter sind, werde ich ausführlich erklären. Ausführlich? Also doch das Lesen von trockenem Stoff? Ja und nein. Wenn Sie keine Zeit haben, die umfassenden Erläuterungen zu lesen (und hoffentlich zu verstehen), gehen Sie doch erst einmal die extra dafür erstellte Kurzfassung durch. Empfehlenswert ist die ausführliche Version allemal.
I. Kurzfassung der Datenschutzhinweise
1. Die Datenverarbeitung erfolgt bei Besuchern und registrierten Nutzern unterschiedlich
Wenn Sie diese Internetseiten als unregistrierter Besucher anschauen, geschieht eigentlich nicht viel mit Ihren personenbezogenen Daten. Letztendlich passiert das Folgende (und mehr nicht):
Die Seiten sind nur sichtbar, wenn die IP-Adresse Ihres Webservers gespeichert wird. Dies geschieht für die Dauer von 14 Tagen.
Das Tool, mit dem diese Seite entwickelt und betrieben wird („Wordpress“ + Plugins) speichert einige Zugriffsarten auf diese Internetseiten, wiederum für 14 Tage. Geloggt werden fehlerhafte Anmeldeversuche, Zugriffsversuche auf nicht existente Inhalte („404 Detection“) und Sperrungen von IP-Adressen von fehlerhaften Anmeldeversuchen. Wenn Sie nichts Böses im Schilde führen und die Webseiten „normal“ besuchen, erfolgt auch keine Speicherung irgendwelcher personenbezogener Daten Ihrerseits.
- Ein Webanalyse-System ist aktuell nicht im Einsatz.
- Personenbezogene Daten von „Besuchern“ bekomme ich letztendlich nur, wenn Sie meinen (bald verfügbarer) Newsletter abonnieren.
- Für die registrierten Benutzer findet dann allerdings schon eine ganze Menge mehr an Datenverarbeitung statt. Da verweise ich dich wohl oder übel mal weiter nach unten, wo es um die Datenverarbeitung von registrierten Nutzern geht.
2. Die Datenverarbeitung findet hauptsächlich in der EU statt
Mein Webserver steht in Deutschland und befindet sich im Rechenzentrum eines deutschen Unternehmens („Luft Engineering GmbH“). Und natürlich habe ich mit diesem Provider einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen (ist doch klar!).
Allerdings beabsichtige ich, Videos über Vimeo oder YouTube einzubinden. Vimeo und YouTube sind Dienstleister aus den USA. Leider gibt es derzeit keine passende Alternative aus der EU. Schade …
3. Die wenigen Cookies, die ich nutze, sind erforderlich
Cookies werden für Besucher hauptsächlich zur Steuerung von bestimmten Sessions genutzt. Um bestimmte Datenbankinhalte darzustellen (z.B. das Vor- und Zurückblättern), werden Session-Cookies verwendet. Aber keine Angst! Das ist jetzt wirklich nicht garstig. Und ein sogenanntes „Tracking“ ist es schon gar nicht.
Ansonsten können Cookies z.B. im Bereich des Online-Shops angewendet werden (der im Übrigen momentan wegen Wartungsarbeiten ausgeschaltet ist). Aber da befinden Sie sich dann auch im Bereich der „Vertragsanbahnung“. Die Cookies sind in diesem Zusammenhang zum Abschluss des / eines Kaufvertrags „erforderlich“ und sie haben (in der Regel) eine maximale Lebensdauer von nur zwei Tagen. Lebensdauer? Genau. Hier spricht man von der Zeit, während der diese Cookies gespeichert werden. Danach werden sie automatisch gelöscht. Also nicht länger als die durchschnittliche Lebenserwartung einer Eintagsfliege (die im Übrigen nicht einmal funktionsfähige Kauwerkzeuge besitzt, aber das nur am Rande).
Sofern ein Video eingebettet wird, kann es sein, dass Cookies gesetzt werden. Nämlich vom jeweiligen Videoservice-Anbieter. Das ist (leider) und lässt sich nicht verhindern.
4. Rechtsgrundlagen der Verarbeitung von Besucherdaten
Rechtsgrundlage für die Verarbeitung von reinen Besucherdaten ist Art. 6 Abs. 1 lit. f) DSGVO. Das ist die sog. Datenverarbeitung auf Basis der Wahrung des berechtigten Interesses des Verantwortlichen.
Mein Interesse ist natürlich der sichere und funktionsfähige Betrieb meiner Website. Reicht das? Nein, denn ich muss ja noch Ihr Interesse, also das des Besuchers abwägen. Ich gebe unumwunden zu: Das habe ich getan, und zwar schon bei der Planung dieser Webseite. Und jetzt kommt das wenig Überraschende: Mein Interesse überwiegt. „Das ist aber blöd“, könnten Sie jetzt vermuten. Und ich kann das verstehen. Trotzdem, wenn Ihnen das nicht gefällt, wäre genau jetzt der richtige Zeitpunkt, diese Webseite zu verlassen und sich mit Ihrem Browser auf eine andere Seite zu begeben. Allerdings gebe ich zu bedenken, dass a) die Wahrscheinlichkeit recht hoch ist, dass dort wesentlich mehr mit Ihren personenbezogenen Daten geschieht und b) der Informationsgehalt zum Thema Datenschutz geringer ist 🙂
Allerdings benötige ich auch einen Teil dieser Daten, um die nach Art. 32 DSGVO zu gewährleistende Vertraulichkeit, Verfügbarkeit und Integrität von Daten zu gewährleisten. Ja, die DSGVO hat Ihre Tücken, aber aufmerksam gelesen, dient sie dem Schutz Ihrer personenbezogenen Daten.
Bezüglich Ihrer Betroffenenrechte informieren Sie sich bitte weiter unten in den Datenschutzhinweisen. Aber kurz und knapp: Personenbezogene Daten, die ich Ihnen zuordnen und damit auch darüber Auskunft erteilen könnte, besitze ich nicht, wenn Sie hier als „normaler“ Besucher unterwegs sind. Natürlich steht Ihnen das Recht frei, trotzdem Auskunft darüber verlangen. Dann schaue ich gerne noch mal genauer nach. Aber die Chance, dort etwas zu finden, tendiert gegen Null. Ich sag’s nochmal: Die Wahrheit und nichts als die Wahrheit. Wenn ich sage, dass ich nichts habe, dann ist das auch so.
Allerdings, wenn Sie mir eine E-Mail geschrieben haben, sind Sie nicht mehr ein „normaler“ oder „einfacher“ Besucher der Seite, sondern Sie haben einen Kommunikationskanal mit mir eröffnet. Aber das behandle ich an einer anderen Stelle in diesen Datenschutzhinweisen. Leider müssen Sie dafür dann doch in die ausführliche Beschreibung gehen. Sorry…
Das war es eigentlich im Kurzen. Beginnen wir mit der Beschreibung dessen, wie ich personenbezogene Daten verarbeite, welche Datenarten es gibt und welche Verwendungszwecke usw.
II. Ausführliche Datenschutzhinweise
1. Welche Daten werden verarbeitet?
IP-Adressen
Ich speichere (bzw. der Server) keine vollständigen IP-Adressen von normalen Besuchern der Website. Nach dem Ende der Nutzung der Website werden die IP-Adressen unverzüglich gelöscht. Auf Webserver-Ebene erfolgt die Speicherung dadurch, dass in der Logfile (Access-Log und Error-Log) standardmäßig das letzte Oktett der IP-Adresse gelöscht bzw. gekürzt wird (das sind die letzten drei Ziffern der IP-Adresse, was ein Oktett genau ist, kann hier nachgelesen werden. Danke Wikipedia!). So wird aus „123.123.123.123“ z.B. die Adresse „123.123.123.1″. Die Herstellung eines Personenbezuges ist für mich dann natürlich nicht mehr möglich. .
Allerdings: Keine Regel ohne Ausnahme. Dazu jetzt ein wenig Vertiefendes:
Bei fehlerhaften Anmeldeversuchen wird die IP-Adresse dann doch gespeichert, und zwar für 14 Tage. Dies mache ich (bzw. lasse es den Server durchführen), um Hacking-Versuche zu unterbinden und weiter zu analysieren. Aber auch für Sie, lieber registrierter Benutzer, ist das notwendig. Denn wie sollte ich sonst Fehler bei der Anmeldung analysieren und beheben? Jetzt fragen Sie sich zurecht: „Man hört doch immer von sieben Tagen Speicherfrist, wieso darf der Mühlenbrock das länger machen?“ Da habe ich eine ganz einfache Erklärung: Erst ab einer Speicherung von 14 Tagen kann wirklich vernünftig nachvollzogen werden, wie systematische Hackversuche ablaufen. Und auch erst dann können die identifizierten IP-Adressen dauerhaft gesperrt werden.
Bitte beachten Sie ebenfalls: Sollte ein Besucher oder Nutzer der Internetseiten ein Passwort mehrmals falsch eingeben oder sich mit „einschlägigen“ Administrator-Benutzernamen anzumelden versuchen, erfolgt eine Sperre auf Basis der IP-Adresse sofort (frei nach Günther Schabowski: „Das tritt nach meiner Kenntnis… ist das sofort, unverzüglich.“). Ich werde wirklich böse, wenn sich aus einer Analyse ergibt, dass ein Besucher der Website versucht, rechtswidrig Zugang zu diesen Internetseiten (meine Plattform) zu bekommen, deshalb erfolgt auch eine längere Speicherung der IP-Adresse, um sie gegebenenfalls permanent zu sperren. Die Speicherdauer lege ich nach bestem Wissen und Gewissen (also anlassbezogen) selbst fest. Natürlich erfolgt dies nach Durchführung einer Verhältnismäßigkeitsprüfung.
Im Rahmen einer sogenannten „404 Detection“ werden IP-Adressen von Besuchern ebenfalls gespeichert. Die Speicherdauer ist hier natürlich auch 14 Tage. Wer sich oft im Internet aufhält, wird schon das ein oder andere Mal auf eine „404“-Seite geleitet worden sein. Das ist letztendlich eine Umleitung zu einer Fehlermeldung, wenn versucht wurde, einen früher bekannten Link aufzurufen, den es nicht mehr gibt. Hacker versuchen oftmals, sich auf diesem Weg Zugang zu einer Webseite zu verschaffen. Viel tiefer will ich jetzt nicht gehen. Dazu gibt es eine Fülle an Links im Netz zu finden. Bedienen Sie sich einfach dort. Wichtig für Sie ist letztendlich, dass im Rahmen einer Interessensabwägung meine eigenen Interessen im Hinblick auf die Verarbeitung dieser Daten überwiegen.
Wenn Sie Kunde oder registrierter Benutzer dieser Internetseite sind, speichere ich Ihre IP-Adresse, die Ihrem Endgerät beim Vertragsschluss zugewiesen war, und zwar bis zur vollständigen Beendigung des Vertragsverhältnisses. Das gilt auch, wenn Sie ein ein Download-Produkt erworben haben (wird mal möglich sein, ist in Vorbereitung). In diesem Fall speichere ich die zum Zeitpunkt des Kaufs Ihnen zugewiesene IP-Adresse (von der aus der Download erfolgte), und auch hier so lange, wie Sie registrierter Nutzer dieser Internetseite sind.
Sobald es die Möglichkeit gibt, Abonnent eines Newsletters zu werden, speichere ich die bei der Registrierung verwendete IP-Adresse für die Dauer des Bezugs des Newsletters. Aber das dürfte Ihnen inzwischen klar sein, stimmt’s?
Sprechen wir noch über die Rechtsgrundlage der Verarbeitung Ihrer personenbezogenen Daten. Die benötigt man nämlich immer! Für die Verarbeitung Ihrer Daten ist dies im Hinblick auf normale Besucher dieser Internetseite Art. 6 Abs. 1 lit. f) DSGVO. Mein Interesse hier ist die Gewährleistung der Integrität, Vertraulichkeit und Verfügbarkeit der Daten, die über meine Plattform verarbeitet werden.
Für registrierte Nutzer dieser Internetseiten ist die Rechtsgrundlage Art. 6 Abs. 1 lit. b) DSGVO. Es ist meiner vertraglichen Pflicht geschuldet, dass ich diejenigen Maßnahmen zu treffen habe, die zur Gewährleistung der Integrität, Vertraulichkeit und Verfügbarkeit Ihrer personenbezogenen Daten erforderlich sind. Na klar, als Datenschützer nehme ich das natürlich Ernst.
4. Webanalyse
Auf diesen Internetseiten findet derzeit keine Webanalyse statt. Geplant ist hier im Moment nichts. Sobald die Webseite mal so richtig Dampf aufgenommen hat, überlege ich mir was.
An dieser Stelle also keine Sorge. Ihre personenbezogenen Daten landen über Statistikportale bei irgendwelchen Datenkraken im Internet.
5. Hinweise zur Einbindung von Videos
Ich verwende auf dieser Internetseite demnächst an der ein oder anderen Stelle auch Videos. Diese sind eine gute Möglichkeit, Inhalte besser zu transportieren und verständlich zu machen. Ein lokales Hosting von Videos ist auf meinem Server leider nicht leistungsfähig genug, daher nutze ich die Möglichkeit von externen Video-Anbietern. Ich nutze für die von mir erstellten Videos hauptsächlich Vimeo. Manchmal auch YouTube. Ganz selten binde ich Videos von anderen, also externen Seiten ein. Auch hier kommen natürlich Drittanbieter zum Einsatz.
Durch die Einbindung der Videos kommt es technisch bedingt zu Aufrufen der Server der Anbieter, wie eben gesagt z.B. Vimeo. Ich verweise an dieser Stelle für die damit verbundene Verwendung von Daten Ihres Browsers bzw. Endgerätes auf die jeweiligen Datenschutzhinweise der entsprechenden Anbieter. Diese sind nämlich für die jeweilige Datenverarbeitung verantwortlich. Die Datenschutzhinweise von Vimeo finden Sie hier: https://vimeo.com/privacy
Nach eigenen Angaben garantiert Vimeo ein angemessenes Datenschutzniveau, indem sie die Vorgaben zum Privacy Shield einhalten (Privacy Shield Eintrag).
6. Benutzerkonto („Account“) & Registrierung
Sollten Sie ein Benutzerkonto auf dieser Seite eingerichtet haben, werden die von Ihnen gemachten Angaben für die Dauer des Nutzungsverhältnisses gespeichert. Im Hinblick auf die jeweils erforderlichen Pflichtangaben verweise ich auf meine AGB, aus denen sich entsprechende Angaben entnehmen lassen.
In Ihrem Benutzerkonto werden die von Ihnen getätigten Bestellungen gespeichert.
Legen Sie ein Benutzerkonto an, erhalten Sie im Anschluss so genannte Transaktions-Mails von meiner Internetseite. Transaktions-Mails sind z.B. E-Mails, in denen Sie gebeten werden, Ihre E-Mail-Adresse für einen „Double-Opt-In“ zu verifizieren oder ein Link zur Passwort-Zurücksetzung über die „Passwort vergessen“-Funktion.
Double-Opt-In kennt inzwischen fast jeder. Sollten Sie zur aussterbenden Spezies
Wenn Sie Ihr Benutzerkonto löschen lassen möchten, wenden Sie sich jederzeit gerne an mich. Bitte beachten Sie, dass zumindest bei vorgenommen kostenpflichtigen Bestellungen für bestimmte Daten Aufbewahrungspflichten (z.B. nach HGB und AO) bestehen. In diesen Fällen tritt an die Stelle der Löschung der Daten eine Sperrung. Eine Löschung kann erst nach Ablauf der Aufbewahrungsfrist erfolgen.
Bei E-Mails, die an registrierte Nutzer versendet werden, ist die Rechtsgrundlage Art. 6 Abs. 1 lit. b) DSGVO. „Meine“ Benutzer erhalten auf diesem Wege Informationen, die Gegenstand meiner vertraglichen Leistungen sind.
7. E-Mail
Wenn Sie mir eine E-Mail schicken, werden diese Daten von mir gespeichert. Zum Jahresende prüfe ich, ob eine weitere Speicherung erforderlich ist oder Aufbewahrungspflichten für die E-Mails bestehen. Abhängig davon speichere ich die E-Mails oder lösche sie (natürlich unwiederbringlich).
III. Verantwortlicher im Sinne der DSGVO ist:
Mühlenbrock Datenschutz Consulting
Sudetenweg 51
71139 Ehningen
Deutschland
Telefon: +49 7034 6556 009
Fax: +49 7034 6556 008
E-Mail: fm (at) boeblingen-datenschutz.de
IV. Empfänger / Weitergabe von Daten
Sofern ich das oben nicht bereits erwähnt habe, werden Daten, die Sie mir gegenüber angeben, grundsätzlich nicht an Dritte weitergegeben. Insbesondere werden Ihre Daten nicht an Dritte für Werbezwecke weitergegeben.
V. Datenverarbeitung außerhalb der Europäischen Union
Außer in den o.g. Fällen findet eine Datenverarbeitung außerhalb der europäischen Union grundsätzlich nicht durch mich statt.
VI. Datenschutzbeauftragter
Ich nehme das Thema Datenschutz (auch als Rechtsanwalt) besonders ernst. Wir sind gesetzlich nicht verpflichtet, einen Datenschutzbeauftragten zu benennen und haben auch keinen Datenschutzbeauftragten benannt.
VII. Ihre Rechte als Betroffene/r
Sie haben das Recht auf Auskunft über die Sie betreffenden personenbezogenen Daten. Wenden Sie sich für eine Auskunft jederzeit bitte an mich.
Bei einer Auskunftsanfrage, die nicht schriftlich erfolgt und die nicht auf anderem Wege sicher verifiziert werden kann, müssen Sie jedoch damit rechnen, dass ich Nachfragen stelle. Ich muss schließlich sicherstellen, dass Sie auch die Person sind, für die Sie sich ausgeben.
Ferner haben Sie ein Recht auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung, soweit Ihnen das gesetzlich zusteht.
Schließlich haben Sie ein Widerspruchsrecht gegen die Verarbeitung im Rahmen der gesetzlichen Vorgaben. Insbesondere wenn Sie ein Widerspruchsrecht gegen eine Verarbeitung Ihrer Daten auf Basis meiner Interessenabwägung geltend machen möchten, müssen Sie damit rechnen, dass ich das genau prüfen werde. Ich bitte also, den Art. 21 DSGVO genau zu lesen und damit zu rechnen, dass ich auch hier Nachfragen zur „besonderen Situation“ i.S.d. Art. 21 Abs.1 DSGVO stellen werde.
Last, but not least haben Sie auch ein Recht auf Datenübertragbarkeit. Auch hier gilt, dass dies nur im Rahmen der gesetzlichen Vorgaben gewährt wird.
VIII. Löschung von Daten
Ich lösche personenbezogene Daten grundsätzlich und immer dann, wenn die Erfordernis für eine weitere Speicherung nicht mehr besteht. Ein Erfordernis kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um vertragliche Leistungen zur erfüllen, Gewährleistungs- und ggf. Garantieansprüche prüfen und gewähren oder abwehren zu können. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.
Registrierte Nutzer können (und müssen) davon ausgehen, dass Daten über einen Kauf für zehn Jahre aufbewahrt werden.
Für Nutzer-Accounts gilt: Wenn der Account nicht mehr aktiv ist, prüfe ich spätestens nach zwölf Monaten, ob der Account gelöscht werden kann. Eine Löschung kommt nicht in Betracht, wenn das zugrundeliegende Vertragsverhältnis noch nicht vollständig beendet ist. Das kann z.B. dann der Fall sein, wenn noch Forderungen meinerseits bestehen. Aber das ist ja klar, denke ich 😉
IX. Beschwerderecht bei einer Aufsichtsbehörde
Sie haben das Recht, sich über die Verarbeitung personenbezogener Daten durch mich bei einer Aufsichtsbehörde für den Datenschutz zu beschweren. Da mein „täglich‘ Brot“ die Verarbeitung und das Beraten bei der Verarbeitung von personenbezogenen Daten ist, freue ich mich auf eine neue Erfahrung 😉
X. Änderung dieser Datenschutzhinweise
Ich überarbeite diese Datenschutzhinweise bei jeder Änderung an dieser Internetseite oder bei sonstigen Anlässen, die dies erforderlich machen. Die jeweils aktuelle Fassung findest Sie stets hier.
Haben Sie Fragen zum Datenschutz, wenden Sie sich bitte direkt an mich.
Nehmen Sie Kontakt mit mir auf
Mühlenbrock Datenschutz Consulting
Ich berate KMU, aber auch größere Unternehmen zu den Themen Datenschutz und Informationssicherheit.
© 2020 MDS Consulting
Allgemeines
Datenschutz