Link zur News:
https://www.3dcenter.org/news/die-datenschutz-grundverordnung-startet-mit-reichlich-absurditaeten-und-milliardenschweren-anze

In Österreich beispielsweise gibt es entsprechende Ausnahmen für Privatleute, Handwerker und Freiberufler, welche dort nicht den großen Datenschutz-Aufwand betreiben müssen, welchen die DSVGO in Deutschland dem Normalbürger auferlegt.

Das stimmt so nicht, der "Normalbürger" ist von der DSVGO bzw. deren Einhaltung überhaupt nicht betroffen, da die DSVGO explizit persönliche Kommunikation ausnimmt. So lange du nicht in irgendeiner Form Geld mit deinen Daten verdienst kannst du sie getrost ignorieren.

Was die österreichische Regierung hier wieder gemacht hat ist, ich muss es als Österreicher leider zugeben, typisch österreichisch kein Ja, kein Nein sondern irgendein wischiwaschi, bzw. das Eingeständnis, dass wir in 2 Jahren Übergangsfrist zu blöd waren das vernünftig umzusetzen.

(beispielsweise der Personenbezug einer IP-Adresse, welcher nur absolut gilt – auch für Personen, die real niemals aus einer IP-Adresse eine Person ermitteln könnten)

Falsch! Die DSVGO unterscheidet zwischen direkten personenbezogenen Daten, pseudonymisierten personenbezogenen Daten und anonymisierten Personenbezogenen Daten.
Dabei lassen direkte personenbezogene Daten alleine auf eine Person schließen, pseudonymisierte personenbezogene Daten nur mit weiteren Informationen dritter und anonymisierte personenbezogene Daten gar nicht mehr.

IP-Adressen fallen demzufolge unter die Kategorie pseudonymisierte personenbezogene Daten, da sie direkt zwar nicht auf eine Person schließen lassen, wohl aber durch das Hinzuziehen weiterer Informationen.
Sehr gut ist vor allem, dass mit der DSVGO klipp und klar festgelegt wurde, dass IP-Adressen personenbezogene Daten sind.

Zur Überschrift muss man auch nicht viele Worte verlieren, übelster Clickbait auf Bild-Niveau.
Es wurden Beschwerden bei diversen Datenschutzbehörden eingelegt die zwar eine potentielle Maximalstrafe von mehreren Milliarden € haben, im einfachsten Fall selbst bei einem festgestellten Vergehen mit einer Verwarnung enden könnten.

Und knapp 4 Mrd. € sind auch für Schwergewichte wie Google oder Facebook zwar nicht existenzbedrohend, aber keineswegs aus der Portokasse zu bezahlen.

Na was bin ich da so froh, das wenigstens diese Webeite nicht auch offline geht.

Mir kommt es eher so vor als wären alle die sonst immer dachten datenschutz ist egal, jetzt richtig kalte Füße bekommen.

Google und Co. mal ausgenommen, to big to fail ^^

Das stimmt so nicht, der "Normalbürger" ist von der DSVGO bzw. deren Einhaltung überhaupt nicht betroffen, da die DSVGO explizit persönliche Kommunikation ausnimmt. So lange du nicht in irgendeiner Form Geld mit deinen Daten verdienst kannst du sie getrost ignorieren.


Dies ist nicht ganz korrekt. Für rein persönliche Kommunikation trifft dies zu. Sobald auch nur ein Forum betrieben wird (selbst ein Twitter-Account könnte man dazu zählen, da jenes ja eine Diskussions-Plattform darstellt), kommt auch für den Normalbürger die DSVGO. Und die Sache mit dem Verdienst kannste in DE in der Rechtspraxis generell knicken. Du würdest Dich wundern, was vor Gericht alles als "wirtschaftliche Tätigkeit" zählt.




Was die österreichische Regierung hier wieder gemacht hat ist, ich muss es als Österreicher leider zugeben, typisch österreichisch kein Ja, kein Nein sondern irgendein wischiwaschi, bzw. das Eingeständnis, dass wir in 2 Jahren Übergangsfrist zu blöd waren das vernünftig umzusetzen.


Mag sein. Ich habe in diesem Punkt ehrlicherweise der Berichterstattung seitens Heise & Co. vertraut, das die keinen ganz großen Unsinn schreiben.



Falsch! Die DSVGO unterscheidet zwischen direkten personenbezogenen Daten, pseudonymisierten personenbezogenen Daten und anonymisierten Personenbezogenen Daten.
Dabei lassen direkte personenbezogene Daten alleine auf eine Person schließen, pseudonymisierte personenbezogene Daten nur mit weiteren Informationen dritter und anonymisierte personenbezogene Daten gar nicht mehr.


IP-Adressen fallen demzufolge unter die Kategorie pseudonymisierte personenbezogene Daten, da sie direkt zwar nicht auf eine Person schließen lassen, wohl aber durch das Hinzuziehen weiterer Informationen.
Sehr gut ist vor allem, dass mit der DSVGO klipp und klar festgelegt wurde, dass IP-Adressen personenbezogene Daten sind.


Das Problem ist: Egal welche Stufe an Personen-Daten - sobald diese Einschätzung überhaupt erreicht wird, ist man dran und dabei im Wahnsinn. Dabei könnte ich mit den Foren-Daten niemals einen Personenbezug herstellen, dafür fehlen mir schlicht die Mittel. Das es theoretisch machbar wäre, ist praxisfern - insbesondere dann, wenn aus dieser Theorie-Konstruktion für mich dann praktische Pflichten erwachsen.



Zur Überschrift muss man auch nicht viele Worte verlieren, übelster Clickbait auf Bild-Niveau.
Es wurden Beschwerden bei diversen Datenschutzbehörden eingelegt die zwar eine potentielle Maximalstrafe von mehreren Milliarden € haben, im einfachsten Fall selbst bei einem festgestellten Vergehen mit einer Verwarnung enden könnten.


Da widerspreche ich energisch. Die Überschrift enthält exakt das, was auch im Text steht. Ein Clickbait wirbt dagegen in aller Regel mit etwas, was der Text gar nicht hergibt oder auch mit besonders neugierig machenden Formulierungen (trifft hier nicht zu). Im übrigen suche ich meine Überschriften bewußt danach aus, möglichst das wiederzugeben, was im Text steht - und nicht danach, besonders knallig zu sein.

Aber heutzutage lohnt es sich wohl einfach nicht mehr, ehrlich zu arbeiten - wenn alle Welt generell davon ausgeht, das genau das Gegenteil der Fall. Ich glaube, ich mache da etwas grundsätzlich falsch. Besser wäre es wohl, einfach so zu arbeiten, wie man jeder annimmt, das es sowieso getan wird.

PS: Letzten Absatz kann man es Erklärung dafür sehen, warum seriös aussehende Leute in diesem blöden Spiel mitmachen - weil jeder denkt, er muß es sowieso tun, weil sowieso nichts anderes erwartet wird.




Und knapp 4 Mrd. € sind auch für Schwergewichte wie Google oder Facebook zwar nicht existenzbedrohend, aber keineswegs aus der Portokasse zu bezahlen.


Mutmaßlich inkorrekt. Ich weiss es von Google & Facebook nicht genau, aber ähnlich wie Apple (wo man es weiss) dürften die riesige Gewinnsummen vor sich herschieben. Insofern ist es eine gute Annahme, das man diese Gelder sofort flüssig hat (= Portokasse).

Dies ist nicht ganz korrekt. Für rein persönliche Kommunikation trifft dies zu. Sobald auch nur ein Forum betrieben wird (selbst ein Twitter-Account könnte man dazu zählen, da jenes ja eine Diskussions-Plattform darstellt), kommt auch für den Normalbürger die DSVGO. Und die Sache mit dem Verdienst kannste in DE in der Rechtspraxis generell knicken. Du würdest Dich wundern, was vor Gericht alles als "wirtschaftliche Tätigkeit" zählt.


Das ist auch richtig so, schließlich wird mit praktisch jeder Website auf irgendeine Art und Weise Geld gemacht, sei es über Werbung oder ähnliches.
Personenbezogene Daten, die andere Personen betreffen, durftest du übrigens auch vor der DSGVO nicht einfach auf Twitter oder ähnlichen Plattformen ohne deren Einverständnis veröffentlichen.

Im Grunde hat sich durch die DSGVO gar nicht so viel geändert du darfst im Wesentlichen fast das Gleiche wie zuvor. Was sich geändert hat ist in erster Linie die Zusammenfassung aller Datenschutzmaßnahmen in einer Verordnung und dass es erstmals wirklich die Möglichkeit drastischer Strafen bei Vergehen gibt.


Das Problem ist: Egal welche Stufe an Personen-Daten - sobald diese Einschätzung überhaupt erreicht wird, ist man dran und dabei im Wahnsinn. Dabei könnte ich mit den Foren-Daten niemals einen Personenbezug herstellen, dafür fehlen mir schlicht die Mittel. Das es theoretisch machbar wäre, ist praxisfern - insbesondere dann, wenn aus dieser Theorie-Konstruktion für mich dann praktische Pflichten erwachsen.


Was auch gut ist. Es ist unerheblich ob du durch diese Daten alleine einen Personenbezug herstellen kannst, so lange es irgendjemand kann.
Eine automatischen Verspeicherung der IP-Adressen für jede Aktion auf eine Website entspricht defakto einer ansatzlosen Vorratsdatenspeicherung die ja vom EuGh gekippt wurde.
Während man noch darüber diskutieren könnte ob eine solche überhaupt existieren sollte, darf dies definitiv nicht in den Händen von privaten sein.



Da widerspreche ich energisch. Die Überschrift enthält exakt das, was auch im Text steht.
Die Überschrift impliziert ganz klar, dass es milliardenschwere Schadenersatzklagen gegen Google&Co gibt, was defakto nicht der Fall ist. Es gibt lediglich Beschwerden bei Datenschutzbehörden welche rein theoretisch in entsprechend hohen Geldstrafen enden könnten, wobei selbst im Falle einer festgestellten Schuld sehr viel geringere Strafen zu erwarten sind, insbesondere da es sich um die ersten Beschwerden handelt und die Datenschutzbehörden daran angewiesen sind nicht unbedingt möglichst hohe Strafen zu verhängen sondern die Einhaltung der Datenschutzrichtlinien durchzusetzen.


Ein Clickbait wirbt dagegen in aller Regel mit etwas, was der Text gar nicht hergibt oder auch mit besonders neugierig machenden Formulierungen (trifft hier nicht zu).
In der Regel erzählt ein Clickbait nicht unbedingt die Unwahrheit sondern übertreibt einfach maßlos. Genau das wird hier gemacht


Im übrigen suche ich meine Überschriften bewußt danach aus, möglichst das wiederzugeben, was im Text steht - und nicht danach, besonders knallig zu sein.

Stimmt, das ist eigentlich immer der Fall, zumindest in den Überschriften der Hauptseite.
Bei dieser allerdings nicht. Mag sein das du, da du als Webseitenbetreiber selbst betroffen bist und dich, verständlicherweise, nicht mit dieser Materie auseinandersetzten willst emotional beeinflusst bist. Diese Überschrift erinnert allerdings mehr an manche Überschriften deiner Blogeinträge und nicht an deine sonstige seriöse Berichterstattung.
Auch letzteres muss mal erwähnt werden. Ich weiß, dass meistens nur negative Kritiken ausgesprochen werden und man positive einfach als gegeben hinnimmt. Da nehme ich mich keinesfalls aus, ich poste auch nicht bei jeder deiner (größtenteils) guten News ein Danke, sondern eigentlich auch hauptsächlich wenn etwas (meiner Meinung nach) nicht stimmt.




Mutmaßlich inkorrekt. Ich weiss es von Google & Facebook nicht genau, aber ähnlich wie Apple (wo man es weiss) dürften die riesige Gewinnsummen vor sich herschieben. Insofern ist es eine gute Annahme, das man diese Gelder sofort flüssig hat (= Portokasse).

Gut wenn das deine Definition ist muss ich dir natürlich zustimmen. Google & Co haben sicher genug flüssige Mittel um auch die Maximalstrafe zu stemmen.

Unter "Portokasse" verstehe ich allerdings eher "tut überhaupt nicht weh" und letzteres ist bei einem Betrag der in die Richtung der Hälfte eines Quartalsgewinns einer der genannten Unternehmen geht sicher nicht der Fall.

Das hab ich im Übrigen im letzten Post vergessen und würde dir dringend mal empfehlen durchzulesen:

https://www.janalbrecht.eu/2018/05/dsgvo-haeufig-gestellte-fragen-haeufig-verbreitete-mythen/

Um die österreichische Lösung zu verstehen muss man etwas die Hintwrgrundgeschichte verstehen. Bis vor einem Jahr hatten wir ähnlich wie Deutschland eine große Koalition SPÖ/ÖVP (entspricht in etwa SPD/CDU). Danach hat es einen Führungswechsel in der ÖVP gegeben mit deutlichem Rechtsruck (speziell in der Flüchtlingspolitik) mit anschließenden Neuwahlen und Koalition mit der FPÖ (entspricht einer gemäßigten Form der AfD dafür mit ca. 25%). Seither wird so einiges politisch umgegraben bzw. von der Opposition extrem kritisiert (mehr als nur das übliche Herumnörgeln).

Die DSGVO wurde noch unter der alten Regierung beschlossen und in österreichisches Recht umgesetzt. Dass ein paar Wochen vor Inkrafttreten während die meisten Firmen die zu setzenden Maßnahmen schon beschlossen haben ist mehr als Ziehen der Notbremse einzustufen bevor das Thema komplett aus dem Ruder läuft, was meiner Meinung nach die richtige Entscheidung war. Diese Entscheidung wurde vor allem von linken Medien extrem kritisiert und es ist schwer fraglich ob die österreichische Umsetzung rechtlich überhaupt hält oder ob es zu einem EU Verfahren kommt. Meiner Ansicht nach war das eher ein Hinauszögern bzw. Hoffen, dass die größten Schwachstellen der Regelung bis dahin behoben sind.

Meiner Ansicht nach war die DSGVO mangels ausreichender Kompetenz in der Politik ein kompletter Griff ins Klo. Die eigentlichen Probleme scheinen nicht gelöst zu sein und es wurde ein Kollateralschaden in mehrstelliger Milliardenhöhe angerichtet. Das ganze Grundsystem der Einwilligung war schon Schwachsinn und komplett realitätsfern. Genauso war das festlegen auf personenbezogener Daten schon ein grober Unfug. Geburtsort und Religionszugehörigkeit werden als extrem heikle Daten betrachtet, aber wenn heimliche alle Passwörter über einen Keylogger abgesaugt werden und auf dem Schwarzmarkt verkauft werden ist das komplett unbedenklich. Da läuft eindeutig was schief.

Das Hauptproblem, dass IT Experten in der Politik schon relativ schwach verteten sind vor allem diejenigen, die schon einmal die Verantwortung für die Umsetzung übernommen haben.

Eine automatischen Verspeicherung der IP-Adressen für jede Aktion auf eine Website entspricht defakto einer ansatzlosen Vorratsdatenspeicherung die ja vom EuGh gekippt wurde.


Die sich hieraus ergebende Frage ist doch: Wie soll das Internet funktionieren ohne IP-Adressen? Irgendwo ein wenig Praxistauglichkeit darf ich doch einfordern.

PS: Ob die IP-Adressen lange gespeichert werden, ist für die DSVGO egal. Allein die reine Erhebung reicht aus, um in deren Einfluß zu geraten. Ohne die Erhebung von IP-Adressen aber kein Internet.



PS: Mit dem Rest Deiner Kritik kann ich mich voll und ganz arrangieren. Ich sehe es leicht anders, aber Du bringst gute Argumente vor, die ich zu bedenken habe.

Mag sein. Ich habe in diesem Punkt ehrlicherweise der Berichterstattung seitens Heise & Co. vertraut, das die keinen ganz großen Unsinn schreiben.
Da muss man sehr vorsichtig sein, wenn ein fachfremder Journalist andere fachfremde Journalisten zu so einem komplexen Thema zitiert. Unbeachtet kann man das Thema trotzdem nicht lassen, deshalb bin ich auch für deinen Artikel dankbar, aber selbst Juristen widersprechen sich bei der Auslegung mancher Alltagsprobleme gegenseitig und enden damit, dass man auf die ersten Gerichtsverfahren warten muss. In der Hinsicht kann man jetzt natürlich sagen, dass das Gesetzeswerk handwerklich schlecht gemacht ist. Aber man muss auch bedenken, dass jeder erstmal nur seinen Anwendungsfall sieht und wie schlecht das Gesetz darauf passt. Es gilt immer in Hinterkopf zu behalten, dass diese EU-Verordnung eine Mammutaufgabe war, bei der alle Anwendungsbereiche, alle Länder Europas mit völlig unterschiedlichen gesetzlichen Voraussetzungen und das bei einem so schwierigen Thema wie Datenschutz, gerade im IT-Zeitalter, nie perfekt werden kann. Die nationalen gesetzlichen Umsetzungen der Verordnung können kaum ohne Reibungspunkte auskommen (z.B. in Dtl. mit dem KUG).

Von daher sollte man aufpassen, dass die Berichterstattung nicht ins simple Meckern über Kuriositäten abdriftet, sondern dass diese Anstrengung und deren Zielsetzungen auch zu würdigen ist. Lange Rede, kurze Bitte: Wenn du dieses Thema weiter begleiten willst, dann bitte mit kompetenten juristischen Quellen und nicht mit Heise!

Die sich hieraus ergebende Frage ist doch: Wie soll das Internet funktionieren ohne IP-Adressen? Irgendwo ein wenig Praxistauglichkeit darf ich doch einfordern.



PS: Ob die IP-Adressen lange gespeichert werden, ist für die DSVGO egal. Allein die reine Erhebung reicht aus, um in deren Einfluß zu geraten. Ohne die Erhebung von IP-Adressen aber kein Internet.


Die DSGVO verbietet nicht die Erhebung von Daten sie verbietet die Verarbeitung von Daten über das für die Bereitstellung des Dienstes notwendige maß ohne vorherige Zustimmung des Besitzers dieser Daten.
Die Verarbeitung dieser Daten beginnt mit der Speicherung dieser in einer "Kartei", unabhängig ob diese "Kartei" digital oder ein Offline-Medium ist.
Für die Bereitstellung eines Dienstes "Webservice" ist es notwendig, dass die IP des Gegenübers für die Dauer der Session im RAM des jeweiligen Webservers liegt. Unabhängig ob es schon als "speichern der Daten" gilt, wenn die IP im RAM des Webservers liegt (imo nein da diese nicht dauerhaft gespeichert wird) ist dies in jedem Fall zulässig, ohne vorherige Einwilligung, da es technisch für die Bereitstellung des Dienstes notwendig ist.

Ein anderes Beispiel: Ein Versandhändler darf ohne zusätzliche Einwilligung die notwendigen Kontaktdaten eines Kunden speichern, schließlich ist es für die Bereitstellung des Dienstes (Versand von Waren) notwendig, Namen und Adresse des Kunden zu kennen um diesem auch die Waren zu versenden. Genauso dürfen entsprechende Subunternehmer (Logistiker, Post etc.) die entsprechenden Daten für diesen Auftrag speichern, da diese eben notwendig sind um dem Kunden die entsprechende Waren zu liefern.
Was (ohne weitere Zustimmung) nicht zulässig ist, ist die weitere Verarbeitung dieser Daten beispielsweise für die Zusendung von Werbung.

Weiteres Beispiel:
Ein Kunde ruft bei einer Firma an und hinterlässt seinen Namen und Telefonnummer zur weiteren Kontaktaufnahme.
Es ist ohne weitere Zustimmung zulässig diese aufzuschreiben.
Was ohne Einwilligung des Kunden nicht zulässig ist, ist einen neuen Outlook-Kontakt mit dessen Daten anzulegen, da es sich dann um eine durchsuchbare "Kartei" handelt und selbstverständlich noch viel weniger die Daten für andere Zwecke zu verwenden.


Nun mal ein Beispiel aus der Praxis um "Harmlosigkeit" von IP-Adressen:

Bei meinem Arbeitgeber gibt es regelmäßig interne anonyme Umfragen.
Im Zuge der DSGVO haben nun auch alle Mitarbeiter eine entsprechende Benachrichtigung bekommen was da nun so alles Verarbeitet wird.
Die Umfragen finden grundsätzlich auf einem (internen) Webserver statt, mit einer externen Software. Die Kommunikation mit dem Webserver erfolgt ordnungsgemäß verschlüsselt, von dem her gibt es also keine Probleme.

Nun ist der Webserver natürlich "standardmäßig" konfiguriert und speichert in entsprechenden Logdateien Zugriffe und dabei ua. auch die IP-Adressen.
Die Umfragesoftware selbst speichert keine Personenbezogenen Daten (außer natürlich potentiell welche die im Umfrageformular eingegeben wurden).
Was die Umfragesoftware allerdings speichert ist Datum und Zeitpunkt der Umfrage.

Mit diesen 2 Informationen lässt sich allerdings mit hoher Wahrscheinlichkeit feststellen welche IP welche Umfrage gestartet hat. Und von der IP ist es dann nur mehr ein kleiner weg zum dazugehörigen Rechner (unsere internen IPs ändern sich so gut wie nie) um vom Rechner zur Person die dahinter sitzt (bei uns gibt es praktisch keine Rechner die von mehreren Personen benutzt werden).

Das ist natürlich ein sehr spezielles Beispiel und funktioniert unter anderem aufgrund der relativ wenigen Mitarbeiter (ca. 80) und damit wenigen Zugriffen auf den Webserver sehr gut, aber zeigt gut wie gefährlich ach so harmlose Datensätze sind wenn man sie nur mit einer weiteren Information kombiniert.

Es zeigt auch weiterhin, was ja auch die DSGVO fordert, dass endlich mal ein Umdenken zur Datensparsamkeit erfolgen muss. Nicht standardmäßig alles mitloggen was man gerade zur Verfügung hat, sondern standardmäßig so wenig wie möglich, am besten gar nichts, mitloggen und erst im Anlassfall die Logs entsprechend aufzudrehen.

Für weitere Informationen zur DSGVO und den Schwierigkeiten diese überhaupt durchzusetzen ist übrigens folgender Film sehr empfehlenswert:

https://www.imdb.com/title/tt5053042/

Von daher sollte man aufpassen, dass die Berichterstattung nicht ins simple Meckern über Kuriositäten abdriftet, sondern dass diese Anstrengung und deren Zielsetzungen auch zu würdigen ist. Lange Rede, kurze Bitte: Wenn du dieses Thema weiter begleiten willst, dann bitte mit kompetenten juristischen Quellen und nicht mit Heise!


Auch das stimmt wieder. Ich sollte mehr über Kuriositäten berichten, beim Meckern mir aber viel sicherer sein (oder es halt lassen).