DSGVO (DS-GVO) - Recht auf Datenübertragbarkeit / Export personenbezogener Daten

**TobiasAlke** · 24.01.2018, 09:23

Laut der Ende Mai in Kraft tretenden DS-GVO müssen Websitebetreiber in Zukunft eine Exportfunktion der Kundendaten in maschinenlesbarer Form anbieten (ich interpretiere das als JSON, XML oder CSV Format).
Private Familienseiten und rein darstellende Seiten die keine personenbezogenen Daten erfassen fallen nicht darunter.
Alle anderen fallen darunter, insbesondere auch Blog-Betreiber (und auch dynamische IP-Adressen gelten als gesondert zu behandelnde personenbezogene Daten).

Wie sieht es denn mit der Umsetzung dieser Pflichten in Bezug auf Contao und den Isotope Shop aus?

» Musterdatenschutzerklärung «

Das Gesetz im Original (die EU-Mitgliedsländer dürfen dennoch Ergänzungen machen)!

__
Ergänzung vom 25.01.

**TobiasAlke** · 05.02.2018, 10:43

Interessiert das Thema niemanden oder wird es bereits woanders besprochen?

**Spooky** · 05.02.2018, 10:55

Diese Pflicht obliegt ja dem Besitzer der Website bzw. Website Applikation. Wir sind ja meistens "nur" die Umsetzer

**stefan-at-work** · 05.02.2018, 10:57

Das Thema ist sehr komplex, jedoch weiß scheinbar momentan niemand so ganz genau, wie eine Webseite die Anforderungen erfüllen kann. Selbst die Datenschutz-Generatoren sind noch auf dem alten Stand. Wir werden aller Voraussicht auf der Contao-Konferenz einen Vortrag von einem Fachanwalt zu diesem Thema anbieten, der dann Licht ins Dunkle bringt.

***lucina*** · 05.02.2018, 10:57

Es interessiert vermutlich etliche Menschen. Was ich aber aus den Gesprächen mit Kolleginnen und Kollegen sowie dem Datenschutzzentrum hier in Kiel mitgenommen habe war eine Menge an Ratlosigkeit beim Thema der Umsetzung.

Beim Thema Shop ist da sicherlich angeraten, zeitnah fachjuristischen Rat einzuholen und zu klären, wie die Pflichten nach der DS-GVO denn im konkreten Fall erfüllbar sind. Über technische Umsetzbarkeit kann man sich dann ja konkrete Gedanken machen. Ob eine Downloadmöglichkeit innerhalb des CMS oder mit einem Zugriff auf ein bestehendes CRM erfolgen soll ist ja in dem Kontext noch eine sehr spezielle Frage.

**tab** · 05.02.2018, 10:59

Ich verstehe das zwar momentan nicht so wie du mit der Exportfunktion, aber ich werde mir diesen Monat noch einen Vortrag zu dem Thema reinziehen und da nötigenfalls auch ein paar konkrete Fragen dazu stellen. Da bin ich dann mal gespannt, ob ich da dann auch ebenso konkrete Antworten bekomme. Bisher gehe ich davon aus, dass man die Daten nur auf Anfrage auch in maschinenlesbarer Form zur Verfügung stellen muss. Also nicht als Export-Button auf der Website. Zur Verfügung stellen muss man sie ja auf Anfrage auch bisher schon, nur nicht unbedingt in maschinenlesbarer Form. Wobei das wiederum bisher noch nicht näher spezifiziert ist. Eine intelligente Maschine liesst auch einen eingescanten Brief. Ist schon spannend - und die ganzen Abmahnanwälte und -vereine reiben sich schon mal wieder die Hände.

Warum nur erhärtet sich bei mir der Verdacht, dass solche Gesetze nicht (nur) zum Schutz der Verbraucher gemacht werden, sondern hauptsächlich als Geldbeschaffungsmaßnahme für unseren Juristenberg

.

**TobiasAlke** · 05.02.2018, 11:38

Zitat von Spooky

Diese Pflicht obliegt ja dem Besitzer der Website bzw. Website Applikation. Wir sind ja meistens "nur" die Umsetzer

Wenn ein Nutzer Eures System eine solche Aussage durchdenkt, heißt das im Umkehrschluss das es den "Umsetzern" egal ist ob ihr System den Nutzer mit Rechtswidrigen Konfigurationen stehen lässt.
Dann müssen die Anwälte "nur" noch im Header das CMS System auslesen und ist Conto angegeben kann man einfach eine (automatisierte) Abmahnung verschicken.
Macht Euer System in einem solchen Szenario sehr attraktiv, fördert bestimmt die weitere Verbreitung von Contao!!!

**Spooky** · 05.02.2018, 11:40

Mit welcher Software die Webapplikation umgesetzt wird ist ja unerheblich. Umsetzen musst du die Anforderungen der Verordnung ohnehin.

**TobiasAlke** · 05.02.2018, 11:42

Zitat von tab

Bisher gehe ich davon aus, dass man die Daten nur auf Anfrage auch in maschinenlesbarer Form zur Verfügung stellen muss. Also nicht als Export-Button auf der Website. Zur Verfügung stellen muss man sie ja auf Anfrage auch bisher schon, nur nicht unbedingt in maschinenlesbarer Form.

Wenn für jede Anfrage ein Mitarbeiter im eigenen Unternehmen tätig werden muss, verliert das CMS seinen Wert in seiner Arbeitserleichterung!
Im CMS klicke ich auf einen Button und es wird in ein paar Sekunden generiert und wenn es erst einer manuell formatieren muss, ist er/sie je nach Kunde zwischen ein paar Minuten oder im Extremfall auch Stunden beschäftigt. Und da Kunden im Login Bereich schon auf ihre Daten Zugangsbeschränkt werden, wieso soll es so kompliziert sein hier einen Exportfilter für eben diese Daten einzurichten!?!

***lucina*** · 05.02.2018, 11:45

Was für ein - mit Verlaub - bescheuerter Beitrag. Selbstverständlich ist es die Pflicht des Betreibers, die rechtlichen Rahmenbedingungen abzuklären, und genauso selbstverständlich ist der die Pflicht des Umsetzers, auf offenkundige Probleme hinzuweisen.

Ich persönlich habe allerdings bisher keinen konkreten Anforderungskatalog mit konkreten Umsetzungsdirektiven gesehen, den man dann mit einem System (ganz gleichgültig, was es ist - CMS, CRM, Shopsystem, Cloudservice, Mailserver, etc) abarbeiten könnte. Ich würde diese Anforderungen auch immer als auf den konkreten Fall bezogen sehen.

Möglicherweise sind in anderen Fällen schon Musterlösungen erarbeitet worden, die dann den Bereich Contao treffen können und die man gerne hier auch vorstellen kann.

Ansonsten bewegen wir uns hier ja im juristischen Bereich, bei dem ich nur wiederholen kann, dass ich fachlich qualifizierten Rat dringend empfehle. Das schreibe ich ausdrücklich auch als Nebenfachjuristin.

**Stefko** · 05.02.2018, 11:51

Zitat von TobiasAlke

Macht Euer System in einem solchen Szenario sehr attraktiv, fördert bestimmt die weitere Verbreitung von Contao!!!

Na na, den Zwinkersmiley mal nicht übersehen/lesen

Aber im Ernst, was erwartest Du? Für eine korrekte juristische Einordnung der ganzen Sache fehlen mir mindestens zwei Staatsexamen ... und den meisten anderen hier wird's wohl ähnlich gehen. Wo bei ja wohl selbst ein Studium der Juristerei in diesem Fall nicht unbedingt zu der Weisheit letztem Schluss führt, wenn man die Diskussion diesbezüglich verfolgt - drei Juristen und fünf Meinungen

Es mag unbefriedigend klingen, aber hier tendiere ich einfach mal in Richtung abwarten und schauen wie die ganze Sache sich entwickelt und dieses Gesetz dann tatsächlich gelebt und vor allem ausgelegt wird. Dann wird's spannend

--
Habe nun, ach! Philosophie,
Juristerei und Medizin,
Und leider auch Theologie
Durchaus studiert, mit heißem Bemühn.
Da steh' ich nun, ich armer Tor,
Und bin so klug als wie zuvor!

**tab** · 05.02.2018, 11:57

Zitat von lucina

Ansonsten bewegen wir uns hier ja im juristischen Bereich, bei dem ich nur wiederholen kann, dass ich fachlich qualifizierten Rat dringend empfehle. Das schreibe ich ausdrücklich auch als Nebenfachjuristin.

Kann ich nur unterstreichen. Als Nichtjurist kannst ich das, was ich da in dieser Verordnung lese, nicht wirklich interpretieren. Ich gehe zwar davon aus, dass das 99,9% der RAs in dieser Republik auch nicht können, aber die DÜRFEN dich immerhin beraten. Und wenn man dann falschen Rat bekommen sollte, dann dürfen sie auch dafür haften

, zumindest im Rahmen ihrer gesetzlich vorgeschriebenen Berufshaftpflichtversicherung. Was letztlich bei der ganzen Geschichte wirklich verbindlich getan werden muss, werden letztlich - wie so oft - mal wieder die Gerichte klären müssen. Siehe z.B. Impressumspflicht. Denn wie heißt es so schön: "Zwei Juristen, drei Meinungen".

***lucina*** · 05.02.2018, 12:07

Zitat von TobiasAlke

Im CMS klicke ich auf einen Button und es wird in ein paar Sekunden generiert und wenn es erst einer manuell formatieren muss, ist er/sie je nach Kunde zwischen ein paar Minuten oder im Extremfall auch Stunden beschäftigt. Und da Kunden im Login Bereich schon auf ihre Daten Zugangsbeschränkt werden, wieso soll es so kompliziert sein hier einen Exportfilter für eben diese Daten einzurichten!?!

Bist Du denn sicher, dass das dann die kompletten Daten sind? Zumindest bei mir ist das öfter mal so, dass die Bestellungen per Mail oder Push in ein anderes System übernommen werden. Wenn ein Zahlungsdienstleister involviert ist, dann können noch ganz andere Dinge an anderen Orten vorhanden sein. Wird ein CRM in Verbindung mit einer Warenwirtschaft oder mit Analysetools oder Newslettersystemen verwendet, dann schaut das noch einmal ganz anders aus. Möglicherweise gibt es ein internes oder ein externes Ticketsystem und eine Schnittstelle zum Versand.

Ganz ehrlich: Ich sehe nicht, wie man das mit einem simplen Downloadknopf im Shop erledigen kann.

**mlweb** · 05.02.2018, 12:46

Zitat von TobiasAlke

Wenn ein Nutzer Eures System eine solche Aussage durchdenkt, heißt das im Umkehrschluss das es den "Umsetzern" egal ist ob ihr System den Nutzer mit Rechtswidrigen Konfigurationen stehen lässt.
...
Macht Euer System in einem solchen Szenario sehr attraktiv, fördert bestimmt die weitere Verbreitung von Contao!!!

Neben den vielen Dingen die schon gesagt wurden, muss ich hier mal bemerken, dass OpenSource immer "unser" System ist.

**tab** · 05.02.2018, 12:54

Zitat von TobiasAlke

Wenn für jede Anfrage ein Mitarbeiter im eigenen Unternehmen tätig werden muss, verliert das CMS seinen Wert in seiner Arbeitserleichterung!
Im CMS klicke ich auf einen Button und es wird in ein paar Sekunden generiert und wenn es erst einer manuell formatieren muss, ist er/sie je nach Kunde zwischen ein paar Minuten oder im Extremfall auch Stunden beschäftigt. Und da Kunden im Login Bereich schon auf ihre Daten Zugangsbeschränkt werden, wieso soll es so kompliziert sein hier einen Exportfilter für eben diese Daten einzurichten!?!

Das heißt doch dann im Umkehrschluss, dass von dir ausgelieferte Systeme das bereits jetzt können müsste. Denn die Pflicht zur vollständigen Auskunft über die gespeicherten personenbezogenen Daten gab es ja schon länger. Und wenn das CMS diese Daten nicht automatisiert ausspuckt, also für jede Anfrage ein Mitarbeiter (oder Datenverwaltungsprogramm) im Unternehmen tätig werden muss, verliert das CMS seinen Wert in seiner Arbeitserleichterung!

**WebRoxx** · 08.02.2018, 11:52

Was mich sehr interessieren würde in Bezug auf Datenschutz wie es mit privaten Websiten aussieht. (Blogs oder Fanseiten)
Man liest halt immer nur "Unternehmen" aber nie was mit privaten Seiten ist.

**mlweb** · 10.02.2018, 17:15

Doch das steht alles auch drin. Das problematische ist eher, dass mancher glaubt er bewege sich noch im rein privaten Rahmen, was man m.E. aber zum Beispiel schon dann nicht mehr tut, wenn man Werbung schaltet.

**WebRoxx** · 11.02.2018, 17:19

Zitat von mlweb

Doch das steht alles auch drin. Das problematische ist eher, dass mancher glaubt er bewege sich noch im rein privaten Rahmen, was man m.E. aber zum Beispiel schon dann nicht mehr tut, wenn man Werbung schaltet.

Hast du mal eine Quelle, denn ich finde da nicht! Das einzige was ich gelesen habe war was mit Foto für Familie & Freunde. Ja aber wo ist da ne Grenze?

**DampfHans** · 11.02.2018, 19:04

Tatsächlich betrifft die Verordnung das CMS kaum bzw. gar nicht. Im Wesentlichen wird verlangt, dass im Unternehmen ein Verarbeitungsverzeichnis zu führen (und ggfls den Behörden zu überlassen) ist und dass einer Person alle gespeicherten Daten zu nennen und ggfls. zu löschen sind (auch hierzu braucht es eigentlich ein Verarbeitungsverzeichnis). Dabei kann das CMS / der Shop natürlich helfen - muss aber nicht.

Was den Aspekt der Abmahnung angeht kann man m.E. insofern relativ gelassen bleiben. Ein Massenabmahner kann gar nicht wissen, ob es was abzumahnen gibt - er müsste erstmal beim Seitenbetreiber nachfragen. Und damit ist die Massenabmahnung witzlos (u.a. weil das Unternehmen gegenüber dem Abmahner wohl kaum auskunftspflichtig ist - da braucht es sicherlich einen richterlichen Beschluss und damit eine Klage mit Kostenrisiko). Massenabmahnungen funktionieren nur bei offensichtlichen Verstößen und die kann es hier nicht geben. Das gilt übrigens auch für die älteste "Shop-Klamotte", die noch auf irgendwelchen Servern rumgeistert.

Ob das Fehlen eines Verarbeitungsverzeichnisses tatsächlich überhaupt "klassisch" abmahnbar ist, bleibt abzuwarten. (Ich vermute mal, nein, denn abgemahnt werden üblicherweise Verstöße gegen UWG und da das Verarbeitungsverzeichnis m.E. auf keinen Fall Teil des Wettbewerbs ist -wär' ja noch schöner :-) - hat sich das Thema "Abmahnung" damit sowieso erledigt)

Ich würde als Realisierer einer Homepage oder eines Shops gegenüber dem Kunden auch keine bzw. nur sehr konkret abgefragte, technische Aussagen treffen. Das ganze Thema sollte beim Datenschutzbeauftragten, einem Anwalt und dem GF aufgehängt sein. Und wenn man hier falsche Aussagen trifft, dann kann der Anwalt des Unternehmens den Realisierer tatsächlich abmahnen - und wird es ggfls auch tun, denn Anwälte mögen juristische Laien nicht, die unzulässigerweise Rechtsberatung geben...)

Und falls irgendein Anwalt mitliest: Alles hier geschriebene ist nur eine persönliche Meinungsäußerung und keine Rechtsberatung :-)

**mlweb** · 11.02.2018, 21:42

Zitat von Ralf2011

Hast du mal eine Quelle

https://www.e-recht24.de/datenschutz...endungsbereich

Eine rein private Seite, die auch nicht der Impressumspflicht unterliegt, dürfte damit m.E. nicht gemeint sein.

**WebRoxx** · 12.02.2018, 05:48

Zitat von mlweb

https://www.e-recht24.de/datenschutz...endungsbereich

Eine rein private Seite, die auch nicht der Impressumspflicht unterliegt, dürfte damit m.E. nicht gemeint sein.

Okay geht mir aus dem Text nicht hervor, also abwarten.

Wenn dem doch so ist dann hieße das ja das eine reine Seite "Private Fotos" kein Datenschutz braucht, eine Fanseite über ein Band mit News etc. schon. (wobei diese ja auch privat sind)

Ich finde es persönlich zu schwammig was das alles angeht.

**tab** · 12.02.2018, 08:41

Hast du schon mal ein klares und eindeutiges Gesetz gesehen, das von Juristen formuliert wurde? Die letzten klar formulierten Gesetze die ich kenne, waren auf Steintafeln geschrieben

.

**WebRoxx** · 12.02.2018, 08:48

Zitat von tab

Hast du schon mal ein klares und eindeutiges Gesetz gesehen, das von Juristen formuliert wurde? Die letzten klar formulierten Gesetze die ich kenne, waren auf Steintafeln geschrieben

.

Ja so meinte ich das jetzt auch ne

Zur Not halt die Seiten offline nehmen bis man was weiß

***lucina*** · 12.02.2018, 08:59

Moderation:

Okay - bevor hier jetzt ein fröhliches juristisches Rätselraten stattfindet, das weder Leserinnen noch Lesern hilft und möglicherweise fragwürdige Ratschläge bietet, schliesse ich das Thema. Hier schadet das mehr als es hilft.

Bitte sucht Euch für alle juristischen Fragen rund um die Datenschutz-Grundverordnung, die diversen Telemediengesetze und das ewige Rätsel, welche Seite ein Impressum in welcher Form benötigt fachjuristischen Rat.