IPs & DSGVO anonym / nicht anonym


#1

Hallo Kollegen,
spätestens seit der DSGVO wird ja verlagt, dass die IP-Adressen der Besucher anonymisiert werden und Matomo bietet ja auch entsprechende Möglichkeiten dafür an.

Meine dumme Frage ist dazu nur:
Wie sollte das kontrolliert werden? Wie sollte jemand abgemahnt werden, der nicht anonymisiert, wo dies doch von außen nicht zu erkennen ist?

Oder habe ich was übersehen? Wie seht Ihr die Sache?


(Fabian Dellwing) #2

Dir ist bewusst, das Abmahnungen hier nicht das Problem sind, sondern das auch einfach mal die Datenschutzbehörde vorbeikommen kann um das zu prüfen? (Ja mir ist bewusst, dass das zu 99% bei Privatpersonen und kleinen Firmen nicht passieren wird)


#3

Die Frage wäre ja, was die Datenschutzbehörde darf und was sie nicht darf.


(Fabian Dellwing) #4

Bitte gehe davon aus, dass der BfDi alles darf was du dir vorstellen kannst und dann noch einiges was du dir nicht vorstellen kannst. Die Rechte wurden mit der DSGVO eher ausgeweitet als eingeschränkt. Bei den untergeordneten Landesstellen sieht das nicht anders aus.

Du bist im übrigen auch verpflichtet auf Anfrage (wahrheitsgemäße!) Auskunft zu geben.


#5

Danke fürs Mitwirken, Fabian! Vielleicht interpretiere ich es ja falsch, aber deine Aussagen hören sich so nach mahnendem Zeigefinger an und du sprichst mich persönlich an, als sei ich gerade dabei Rechtsbruch zu begehen. Ich habe hier eine Frage zu einem allgemeinen Sachverhalt in den Raum gestellt, mit dem Zweck um Meinung, Diskussion und dem Zusammentragen von Fakten.

Mit der Aussage “Bitte gehe davon aus, dass der BfDi alles darf” kann ich erstmal nicht viel anfangen, da diese durch nichts belegt ist und ich halte dies auch für sehr abwegig. Es wäre die erste Instanz in Deutschland, von der ich gehört hätte, dass sie Narrenfreiheit hätte…


(Fabian Dellwing) #6

https://www.saarland.de/17180.htm

Im Zusammenhang mit der Wahrnehmung ihrer Befugnisse stehen der Landesbeauftragten umfassende Auskunfts-, Einsichts- und auch Zutrittsrechte gegenüber den ihrer Kontrolle unterliegenden Stellen zu. Werden Verstöße gegen datenschutzrechtliche Vorschriften oder Mängel bei der Verarbeitung personenbezogener Daten in technischer oder organisatorischer Hinsicht festgestellt, so kann sie dies im Falle von öffentlichen Stellen beanstanden. Gegenüber nicht öffentlichen Stellen kann sie Maßnahmen zur Beseitigung von Verstößen oder Mängeln durch Bescheid anordnen. Ebenso kann die Landesbeauftragte Verstöße gegen das Recht auf Informationszugang bei den zuständigen öffentlichen Stellen beanstanden.

Falls du genauere Informationen hast was die Datenschutzbeauftragten NICHT dürfen, gerne her damit. Ansonsten gehe ich sicherheitshalber weiterhin davon aus, dass sie alles dürfen.


(Lukas Winkler) #7

Ich will nur kurz ergänzen, dass das komplett vom Land abhängt (Und ich glaube in DE auch vom Bundesland). Hier in Österreich ist das Problem eher das Gegenteil. Die Datenschutzbehörde darf gar nichts. Weder Strafen verhängen (in den meisten Fällen) noch Informationen zu GDPR bekanntgeben.


(Peterbo) #8

Das war auch schon vorher so (BDSG-neu), außer man hat diverse Maßnahmen zur Ankündigung der Erhebung personenbezogender Daten ergriffen (OptIn). Für den Privatmann wird es wahrscheinlich in absehbarer Zukunft keine behördlichen Audits geben, aber vor allem für Unternehmen, die Verarbeitungsverzeichnisse pflegen müssen (oder womöglich sogar einen Datenschutzbeauftragten bestellen müssen) unentbehrlich. Diese lehnen sich zwar an personenbezogene Daten an, aber Verarbeitungsprozesse, die womöglich als persönlich identifizierbar gelten könnten (visitorID) sollten mit aufgenommen werden.

Edit um das Thema abzurunden:
Das Thema gehört zu den TOM (technisch organisatorische Maßnahmen) zur Einhaltung des Datenschutzes. EIn Datenschutzbeauftragter ist als weisungsentbundener Mitarbeiter (oder externer) im Falle eines Verstoßes verpflichtet, seinen eigenen Arbeitgeber bei den Behörden anzuzeigen.