Erklärungen zur DSGVO [Teil 2]

Lena Vanilli
Lena Vanilli
 Administrator edited May 27 in General Themes
*** The English Version will be posted very soon ! ***


... hier kommt die Fortsetzung vom Teil 1:


Cookie-Einverständnis


Fast jede Webseite verwendet Cookies. Wenn ihr Wordpress oder Joomla im Einsatz habt sowieso. Wenn das bei euch auch der Fall ist, dann müsst ihr eure Besucher beim ersten Aufruf eurer Webseite informieren. Ihr erdet es schon auf anderen Webseiten gesehen haben, dass sich ein kleiner Balken mit dem Text aufmacht, dass man Cookies verwendet und das bei einer weiteren Nutzung der Webseite die Zustimmung hierzu vorausgesetzt wird. 

Hier handelt es sich also um eine einfache Benachrichtigung, welche auch in der Regel nur einmal angezeigt wird. In diese Benachrichtigung kann man dann auch einen Link zu den eigenen Datenschutz-Richtlinien einbauen.

Es gibt hierzu vorgefertigte Module, die einfach in die eigene Webseite eingebaut werden können:

 - Cookie-Abfrage Wordpress
 - Cookie-Abfrage JScript
 - Cookie-Abfrage Joomla

Diese Einverständnis-Abfrage solltet ihr auch schon aus einem anderen Grund einbauen: Google lehnt beim Spidern Seiten ab, die diese Cookie-Abfrage nicht eingebaut haben. ;)

Und vor allen Dingen: Diese Abfrage muss beim ersten Anzeigen der Weseite und sofort erfolgen. Also ohne jetzt noch woanders hinklicken zu müssen. HYPERGRID-BUSINESS z.b. hat es falsch eingebaut. Da muss man erst unten auf "Privacy" klicken, bevor es angezeigt wird. Das ist nicht Google-konform und auch nicht DSGVO-konform.


So, und nun wünschen wir euch viel Spass mit euren DSGVO-konformen Webseiten. 

Liebe Grüße,
Euer METRO-Team

Comments

  • Data Rossini
    Data Rossini
     Member
    Hallo Lena,
    vielen Dank für die Infos. Ist nicht einfach sich mit diesem Thema auseinanderzusetzen. Ich für mich habe zunächst die Visitorcounter von meinen beiden  Sims entfernt. Die würden den Loginnamen und den Zeitpunkt des Besuches speichern. Dies läßt aber eigentlich keinen Schluss auf den echten RL-Namen zu. Aber bis ich mich mit dem Thema besser auskennen bin ich vorerst auf der sicheren Seite. Nun werde ich mal ein Blick in das OpenSim.log machen, was da eigentlich protokolliert wird.

    LG
  • Lena Vanilli
    Lena Vanilli
     Administrator
    Hallo Data,

    das DSGVO spricht im § 4 eindeutig nur von "natürlichen Personen". Avatare sind Pseudonyme, und entwickeln keine eigene Rechtspersönlichkeit. Von daher sind auch die Daten der Avatare im Sinne des DSGVO keine personenbezogenen Daten. Erst wenn diese Daten mit realen Personen verknüpft werden, bzw. die Möglichkeit einer Verknüpfung gegeben wird, werden aus diesen Daten "personenbezogene" Daten. Da wir das nicht haben, müssen wir bei Besuchern (auch HG-Besuchern) kein Einverständnis einholen.

    Bei der METRO sieht es so aus, dass wir in unserer Datenschutzerklärung darauf hinweisen, dass wir Logfiles führen und gewisse Daten gespeichert werden. Diese Mitteilung reicht bei Avataren vollkommen aus.

    Zumal es jetzt mit dem neuen DSGVO erschwert wurde, überhaupt an die Inhabernamen von Domains oder Service-Providern zu kommen. Denn das geht nicht mehr so einfach. Von daher hast du schon mal ganz praktisch garnicht die Möglichkeit eine IP-Adresse direkt einem realen Menschen zuzuordnen. Es sei denn, dieser hat dem irgendwo und irgendwann zugestimmt.

    Viele Grüße
    Lena



  • Christoph Balhaus
    Christoph Balhaus
     Member edited May 28
    (...)werden aus diesen Daten "personenbezogene" Daten. Da wir das nicht haben, müssen wir bei Besuchern (auch HG-Besuchern) kein Einverständnis einholen.

    Das ist so leider nicht ganz korrekt. Für die DSGVO ist es nicht relevant ob du die Möglichkeit hast die Person zu identifizieren. Eine Person ist "identifizierbar" wenn es irgendjemanden gibt der dies kann und z.B. die Strafverfolgungsbehörden können das in aller Regel. Auf der Grundlage hat die Rechtsprechung auch schon vor einer Weile entschieden, dass IP Adressen persönliche Daten sind.

    Ich zitiere mal aus https://www.datenschutz-praxis.de/fachartikel/personenbezogene-daten/ wo die Gründe besonders gut dargelegt werden:

    "Der Europäische Gerichtshof stellte klar: Ein Datum gilt als personenbezogen, wenn eine Stelle „über rechtliche Mittel verfügt, die es [ihr] erlauben, die betreffende Person anhand der Zusatzinformationen […] bestimmen zu lassen“ (EuGH, Urteil vom 19.10.2016, Rs. C-582/14, Rn. 49). Die „rechtlichen Mittel“ sind auch gegeben, wenn man Dritte einschalten kann und diese rechtlich gezwungen sind, Auskünfte zur Identität zu geben (BGH, Urteil vom 16.05.2017, Az. VI ZR 135/13).

    Somit liegt ein Personenbezug nur dann nicht vor, wenn die Identifizierung der betreffenden Person praktisch nicht durchführbar oder gesetzlich verboten ist."

    [Ende des Zitats]


    Zudem gibt es eine ganze Reihe von Pseudonymen deren RL Inhaber in der Community wohl bekannt sind oder sich leicht ergoogeln lassen.


    Allerdings, die wesentlichen Daten wie IP, UUID und Avatarname sind für die Erbringung der Leistung aus technischen Gründen zwingend notwendig. Auf der Grundlage ist es wohl tatsächlich kein Problem die zu erheben und für begrenzte Zeit zu speichern - Leider entbindet es einen nicht, diesen Personen auch die Datenschutzerklärung zugänglich zu machen und ich weiss nicht, wie man das mit dem gegenwärtigen Stand von Opensim machen sollte.


    Auch wäre die Argumentation nicht für weitergehende Datenerhebungen gültig. Wenn du die Bewegungen des Avatars trackst oder gar in einer Besucherliste anderen zugänglich machst ist das nicht zwingend erforderlich und würde IMHO ein gegebenes Einverständnis voraussetzen.


    /Chris  (der sich schon seit Wochen mit diesem Thema herumschlagen muss :/ )


  • Lena Vanilli
    Lena Vanilli
     Administrator
    Huhu Chris,

    es ist immer hilfreich, wenn man sich ins Gedächtnis zurückruft, warum der EU-Gesetzgeber dieses Gesetz erlassen hat. Er will den Konsumenten vor der Datenkrake schützen. Das heisst, dass zu einer Person möglichst viele Daten der unterschiedlichsten Art gesammelt werden.

    Stimmt das? Natürlich nicht!

    Der Gesetzgeber will, dass ich weiss, wo welche Daten über mich gespeichert sind und wie damit umgegangen wird. Und der Gesetzgeber will, dass ich als Konsument der Datenspeicherung widersprechen und sogar die Löschung der Daten verlangen kann.

    Punkt! Das war's schon!

    Und was davon betroffen ist, dass wird in § 4 DSGVO ganz klar geregelt. Und wie ich finde: unmissverständlich! Avatardaten sind keine personenbezogenen Daten, weil die Bezugsgröße bereits anonymisiert ist. 

    Was heisst das denn nun? Das heisst nichts anderes, als dass wir die Avatardaten aus Sicherheitsgründen protokollieren: IP-Adresse, UUID, MAC-Adresse usw. Darauf weisen wir in unserer Datenschutzrichtlinie hin. Und der Besucher muss sich damit einverstanden erklären. Ansonsten sollte er unsere Dienste nicht in Anspruch nehmen.

    Ehrlich gesagt verstehe ich diese ganze Aufregung im Opensim-Bereich wegen der Logfiles nicht. Die fast identischen Logfiles werden auch von Uniux/Linux, Nginx und Apache geführt. Leider vermisse ich diese Logfiles bei fast allen Datenschutz-Richtlinien.

    Warum?

    Weil sie nicht ohne Weiteres mit einer bestimmten Person gekoppelt werden können. Mittlerweile dürfte auch Laien aufgefallen sein, dass WHOIS nicht mehr wie gewohnt funktioniert.

    Angenommen, jetzt kommt der John Smith mit der IP-Adresse 1.2.3.4 und verlangt, dass alle Logfile-Einträge zu dieser IP gelöscht werden sollen. Aber wie sollte ich wissen, dass diese IP-Adresse und diese Person zusammen gehören? Wie sollte ich da meiner Pflicht nachkommen? Es gibt noch viele andere Beispiele, die das verdeutlichen. 

    Nochmals zusammengefasst: wir protokollieren gewisse Daten der Avatare und die werden auch in unserer Datenschutz-Richtlinie näher beschrieben. Der Kunde erklärt sich damit einverstanden, dass dies geschieht. Tut er es nicht, kann er unsere Dienste nicht weiter nutzen. 

    Außerdem wird Niemand verlangen können, dass wie IP-Adressen aus den Logfiles löschen. Denn nach dem EU-Umsatzsteuerrecht von 2015 sind die IP-Adressen die Grundlage für die Zurechnung der fälligen Umsatzsteuer bei virtuellen Gütern. Wenn du die löschst, kannst du irgendwann ziemliche Probleme mit dem Finanzamt bekommen. ;) 

    Viele Grüße, Lena
  • Christoph Balhaus
    Christoph Balhaus
     Member
    Hi Lena,

    nur noch ein paar kurze Bemerkungen um meine Aussagen zu präzisieren und dann werde ich auch nicht mehr mit dem Thema nerven ;-)

    1) Mir geht es ausschliesslich um Besucher die über das Hypergrid auf eine Sim kommen. Dass alle Mitglieder dieses Grids Gelegenheit hatten die Datenschutzverordnung zu lesen, davon gehe ich aus. Besucher aus dem Hypergrid hatten das leider nicht und ich wünschte es gäbe ein akzeptiertes und praktikables Verfahren wie man sie darauf aufmerksam macht und sie ihre Zustimmung zum Ausdruck bringen können.

    2) Logfiles halte ich für völlig unproblematisch und ich schliesse mich dir an insofern, als ich die Aufregung darüber auch nicht verstehe. Allerdings ist meine Begründung weswegen sie zulässig sind eine ganz andere und der Grund weswegen ich darauf herumreite ist, dass diese Daten ohne Zustimmung der Leute (nur die aus dem Hypergrid) nicht für andere Zwecke benutzt werden dürfen als eben um den Betrieb und die Sicherheit zu gewährleisten oder um gesetzliche Auflagen zu erfüllen.

    3) Das IP-Adresse und Avatarname persönliche Daten sind steht für mich ausser Frage und ergibt sich aus der bisherigen Rechtsprechung. Auch die DSGVO macht einen Unterschied zwischen Pseudonymisierung und Anonymisierung und sofern Jemand nicht aktiv versucht seine Spuren zu verschleiern und dabei keine Fehler macht, sind die Daten geeignet ihn sehr schnell zu identifizieren.

    4) Logfiles können nicht nur, sondern müssen dennoch angelegt werden, wegen der allgemeinen Sorgfaltspflicht z.B. Aufklärung bei Straftaten, wegen anderer gesetzlicher Bestimmungen die das fordern (dein Beispiel).

    5) Für alles was darüber hinausgeht (detailliertes Logging für Performanceanalysen oder Tracking der Nutzer) ist ein Einverständnis der Hypergridbesucher erforderlich (oder richtige Anonymisierung). Damit meine ich eigentlich nicht harmlose Benutzerstatistiken sondern Dinge die weit darüber hinausgehen. Aber es wäre in jedem Fall gut, wenn man einen Weg finden würde um ihm zu sagen was mit seinen Daten passiert.

    6) Es wird alles nicht so heiss gegessen wie es gekocht wird. Wenn wir befürchten dass hunderte von Anwälten jetzt über uns herfallen, nehmen wir uns zu wichtig. Diese Bedeutung hat Opensim leider nicht. Dennoch fände ich es gut, wenn wir mittelfristig versuchen die DSGVO möglichst vollständig umzusetzen, nicht wegen der Anwälte, sondern weil ich die Grundgedanken die dazu geführt haben richtig und gut finde - auch wenn sie einige Jahrzehnte zu spät kommen.

    Aber jetzt wirklich gute Nacht allerseits :-)

    /Chris

  • Lena Vanilli
    Lena Vanilli
     Administrator edited May 29
    Huhu Chris,

    vielen Dank für deine interessanten Postings. Ich denke auch, dass die meisten europäischen Internetnutzer die neue DSGVO begrüßen und dass wir alle bestrebt sind damit mehr Transparenz für die Nutzer zu erreichen.

    Über das Thema "Avatare" habe ich mich auch schon intensiver mit einem auf IT-Recht spezialisierten Anwalt unterhalten. In Paragraph 4 des DSGVO sind die Begriffe näher erläutert.  Auch der Begriff "natürliche Person". Und da steht er auf dem Standpunkt, dass ein Avatar keine natürlich Person ist, bzw. nicht direkt oder indirekt auf eine bestimmte natürliche Person geschlossen werden kann. Im Verlaufe des Gesprächs stellte sich aber auch heraus, dass er eigentlich garnicht weiss, was ein Avatar wirklich ist. Ich hatte das Gefühl, für den Anwalt ist es mehr eine Art NPC. Was ja so nicht stimmt. Wir kamen zu dem Schluss, dass weder er noch ich die nötigen Kenntnisse des anderen Fachbereiches mitbringen, um diese Frage zu klären. 

    Na toll! Aber er hatte noch einen anderen Ansatz. Wir müssten uns überlegen, wie wir denn den Pflichten gemäß DSGVO nachkommen wollen. Wenn wir in unserer Datenschutz-Richtlinie Avatar-Daten als personenbezogene Daten bezeichnen, dann müssten wir auch Anträge bzgl. Beauskunftungen und Löschungen bearbeiten.

    Und das können wir nicht! Anhand der uns vorliegenden Daten können wir nicht zweifelsfrei auf eine bestimmte natürliche Person schliessen, wenn wir nicht bereits seinen realen Namen mit einem Avatar (aufgrund einer freiwilligen Nennung) gekoppelt haben. Weder IP-Adresse noch MAC-Adresse sind dazu geeignet. Zudem müsste sich ein Avatar legitimieren. Er müsste quasi aus seiner Anonymität hervortreten und sich selbst mit seinem realen Namen zu erkennen geben. Und selbst dann bedarf es noch stichhaltiger Bewweise, damit der Avatar mit der realen Person gekoppelt werden kann.  Die Sache mit der Legitimierung ist übrigens auch in der DSGVO geregelt.

    Also, wir bei der METRO sehen Avatardaten nicht als personenbezogene Daten an, weil sie weder direkt noch indirekt zweifelsfrei einer natürlichen Person zugeordnet werden kann. Und wenn ich das nicht kann, dann kann ich auch nicht den Pflichten bzgl. Beauskunftung und Löschung nachkommen. Ansonsten wäre dfas Grid ein Spielball für Manipulationen und Verleumdungen. Von diesem Drama hatten wir in der näheren Vergangenheit auch ohne DSGVO genug!

    Aber der Anwalt hat uns auf Dinge hingewiesen, die wir bislang so nicht gesehen haben. Normalerweise weiss der Betreiber eines geschlossenen Grids, wer der Eigentümer einer bestimmten Region ist (und das wahrscheinlich auch mit Klarnamen). In der Metro ist das anders. Jeder kann einen externen Server anschliessen und seine eigenen Regionen ins Grid anhängen. Die Problematik sieht der Anwalt darin, dass der Besucher nicht unbedingt weiss, auf welchem Server er sich gerade aufhält und ob sich der Eigentümer der jeweiligen Region an die Datenschutz-Bestimmungen hält.

    Das heisst, dass wir demnächst von den Betreibern von selbstgehosteten Regionen eine schriftliche Zustimmung zu unserer Datenschutz-Erklärung benötigen. Anderenfalls würde das "Treu und Glauben"-Prinzip greifen und das Grid würde zumindest eine Mitverantwortung tragen. Das gleiche trifft auch auf das OSGrid zu, soweit es sich um europäisch gehostete Regionen handelt. 

    Das wird jetzt nicht dein Problem sein, Chris. Aber du siehst, da gibt es noch einige Fallstricke. Und manche Dinge entwickeln sich da nicht zum Positiven. Eines davon ist sicherlich Facebook: die sind jetzt 4 Tage nach dem inkrafttreten der neuen DSGVO schon dabei, sich die Daten von Whatsapp einzuverleiben. Denn jetzt ist die irische Datenschutzbehörde für Facebook zuständig. In Deutschland war es Facebook untersagt worden; jetzt haben sie wieder freie Bahn! :(

    By the way: auf die Datenschutz-Richtlinie von Kitely (und anderer Shops)  bin ich schon gespannt. Denn die hätten anhand der IP-Adresse feststellen müssen, aus welchem EU-Land der Käufer bestellt hat. Und aufgrund dieser Daten die europäische Umsatzsteuer für virtuelle Güter und Dienstleistungen in dem jeweiligen Land entrichten müssen. Und das muss auch in der Datenschutz-Richtlinie stehen. Diese Bestimmung gibt es seit dem 01.01.2015 . Das wird für einige Anbieter ein böses Erwachen geben.

    Viele Grüße
    Lena

Sign In or Register to comment.

Welcome

It looks like you're new here. If you want to get involved, click one of these buttons!

Discussions

© Copyright 2017 - Metropolis Metaversum
All times are GMT