Ein ungeliebtes Thema bei jeder Organisation – ganz besonders f\u00fcr ehrenamtliche Organisationen. Es scheint zwar so, dass das Thema DSGVO sich in der Zwischenzeit etwas beruhigt hat. Aber man soll das schlafende B\u00fcrokratiemonster auch nicht untersch\u00e4tzen.<\/p>\n\n\n\n
Die Frage f\u00fcr jede Organisation – egal nun ob nicht-profit-orientiert oder doch – ist, wie und was muss ich notwendigerweise dokumentieren, um den Vorschriften gerecht zu werden.<\/p>\n\n\n\n
Grunds\u00e4tzlich: sobald Daten von nat\u00fcrlichen Personen gespeichert werden, ist man in der Pflicht, diesen nat\u00fcrlichen Personen Auskunft \u00fcber den Umfang der gespeicherten Daten sowie deren Nutzung Auskunft geben zu k\u00f6nnen. <\/p>\n\n\n\n
Die Frage ist halt: ab wann speichert man denn nun Daten? Einfaches Beispiel: der Verein und die Mitgliederverwaltung samt Beitragseinzug, usw. usw.. Und auch egal, ob nun Daten digital oder analog (z.B. manuelle Beitrittserkl\u00e4rungen) erfasst sind und archiviert sind. <\/p>\n\n\n\n
Hier gilt es nun zu dokumentieren:<\/p>\n\n\n\n
Ist also kein Hexenwerk und man sollte nach dem Motto “wer schreibt, der f\u00fchrt” vorgehen. Man soll also zeigen, dass man sich organisatorisch Gedanken zu diesem Thema gemacht hat und man auch eine dokumentierte Vorgehensweise einschlie\u00dflich den verantwortlichen Personen an der Hand hat, welche mit dem Thema DSGVO vertraut sind bzw. vertraut gemacht worden sind. <\/p>\n\n\n\n
Nat\u00fcrlich gibt es in diesem Zusammenhang auch “unendliche” Diskussion, im Besonderen beim F\u00fchren von Web-Seiten wie hier. Das “unendliche” Thema dabei: die von den Web-Servern vorgenommene Registrierung des Zugriffes auf eine Web-Seite (z.B. Web-Server Apache -> Access Log). Einige Richter sind der Meinung, dass hiermit pers\u00f6nliche Daten gespeichert werden. Diese Richter haben sich aber in der Praxis noch nie angesehen, wie denn die Speicherung dieser Daten zur Identifizierung einer nat\u00fcrlichen Person f\u00fchren soll – wohlgemerkt: f\u00fcr den normalen Betreiber einer Homepage. Wir reden hier nicht \u00fcber staatliche Organe, welche ggf. andere M\u00f6glichkeiten der Identifizierung via IP-Adresse haben. <\/p>\n\n\n\n
Jeder, der sich schon im Detail mit dem sog. “Access Log” auf einem (Linux)Server besch\u00e4ftigt hat, kennt im Prinzip die Eintr\u00e4ge. Jeder kennt auch seine eigene IP-Adresse -> dazu gibt es ja gen\u00fcgend Tools im Internet, womit man das herausfinden kann. <\/p>\n\n\n\n
Gesagt – getan -> eigene IP-Adresse ermittelt und mal in den Access-Log hineingeschaut. Et voil\u00e0 -> da finden wir dann tats\u00e4chlich unsere eigene Adresse. Genau – wird nun der Richter in Sachen DSGVO sagen – da haben wir’s doch. Na dann mal anders herum: wir nehmen also die IP-Adresse und befragen eines der vielen Tools im Internet (WhoIs IP) und was sehen wir dann: ah, wir sehen einen Provider. Also weit davon entfernt, dass wir eine private Adresse eines Internet-Teilnehmers sehen w\u00fcrden.<\/p>\n\n\n\n
Nun frage ich mich: wieso kommt jemand – wohlgemerkt (siehe oben) keine staatliche Institution (welche wir privaten Personen ja alle nicht sind) – auf die Idee, dass die IP-Adresse ein pers\u00f6nliche Merkmal sind? Denn liest man die Pr\u00e4ambel der DSGVO, dann findet man dort den Hinweis, dass es ja um die Rechte einer nat\u00fcrlichen Person geht. Wie soll man aber die nat\u00fcrlich Person identifizieren? Mit einer IP geht es auf jeden Fall nicht. <\/p>\n\n\n\n
Ich pers\u00f6nlich kann \u00fcber die Rechtsprechung und deren Auslegung in diesem Fall nur den Kopf sch\u00fctteln. Das Vorhalten eines Access-Logs auf Grund einer amtlichen Anordnung ist hier nat\u00fcrlich nicht ausgeschlossen. Aber da sind wir dann weit von den Inhalten der DSGVO entfernt. <\/p>\n","protected":false},"excerpt":{"rendered":"
Ein ungeliebtes Thema bei jeder Organisation – ganz besonders f\u00fcr ehrenamtliche Organisationen. Es scheint zwar so, dass das Thema DSGVO sich in der Zwischenzeit etwas beruhigt hat. Aber man soll das schlafende B\u00fcrokratiemonster auch nicht untersch\u00e4tzen. Die Frage f\u00fcr jede Organisation – egal nun ob nicht-profit-orientiert oder doch – ist, wie und was muss ich notwendigerweise dokumentieren, um den Vorschriften gerecht zu werden. Grunds\u00e4tzlich: sobald Daten von nat\u00fcrlichen Personen gespeichert werden, ist man in der Pflicht, diesen nat\u00fcrlichen Personen Auskunft \u00fcber den Umfang der gespeicherten Daten sowie deren Nutzung Auskunft geben zu k\u00f6nnen. Die Frage ist halt: ab wann speichert man denn nun Daten? Einfaches Beispiel: der Verein und die Mitgliederverwaltung samt Beitragseinzug, usw. usw.. Und auch egal, ob nun Daten digital oder analog (z.B. manuelle Beitrittserkl\u00e4rungen) erfasst sind und archiviert sind. Hier gilt es nun zu dokumentieren: Ist also kein Hexenwerk und man sollte nach dem Motto “wer schreibt, der f\u00fchrt” vorgehen. Man soll also zeigen, dass man sich organisatorisch Gedanken zu diesem Thema gemacht hat und man auch eine dokumentierte Vorgehensweise einschlie\u00dflich den verantwortlichen Personen an der Hand hat, welche mit dem Thema DSGVO vertraut sind bzw. vertraut gemacht worden sind. Die uns\u00e4glichen Diskussionen Nat\u00fcrlich gibt es in diesem Zusammenhang auch “unendliche” Diskussion, im Besonderen beim F\u00fchren von Web-Seiten wie hier. Das “unendliche” Thema dabei: die von den Web-Servern vorgenommene Registrierung des Zugriffes auf eine Web-Seite (z.B. Web-Server Apache -> Access Log). Einige Richter sind der Meinung, dass hiermit pers\u00f6nliche Daten gespeichert werden. Diese Richter haben sich aber in der Praxis noch nie angesehen, wie denn die Speicherung dieser Daten zur Identifizierung einer nat\u00fcrlichen Person f\u00fchren soll – wohlgemerkt: f\u00fcr den normalen Betreiber einer Homepage. Wir reden hier nicht \u00fcber staatliche Organe, welche ggf. andere M\u00f6glichkeiten der Identifizierung via IP-Adresse haben. Der Access-Log auf einem Server Jeder, der sich schon im Detail mit dem sog. “Access Log” auf einem (Linux)Server besch\u00e4ftigt hat, kennt im Prinzip die Eintr\u00e4ge. Jeder kennt auch seine eigene IP-Adresse -> dazu gibt es ja gen\u00fcgend Tools im Internet, womit man das herausfinden kann. Gesagt – getan -> eigene IP-Adresse ermittelt und mal in den Access-Log hineingeschaut. Et voil\u00e0 -> da finden wir dann tats\u00e4chlich unsere eigene Adresse. Genau – wird nun der Richter in Sachen DSGVO sagen – da haben wir’s doch. Na dann mal anders herum: wir nehmen also die IP-Adresse und befragen eines der vielen Tools im Internet (WhoIs IP) und was sehen wir dann: ah, wir sehen einen Provider. Also weit davon entfernt, dass wir eine private Adresse eines Internet-Teilnehmers sehen w\u00fcrden. Nun frage ich mich: wieso kommt jemand – wohlgemerkt (siehe oben) keine staatliche Institution (welche wir privaten Personen ja alle nicht sind) – auf die Idee, dass die IP-Adresse ein pers\u00f6nliche Merkmal sind? Denn liest man die Pr\u00e4ambel der DSGVO, dann findet man dort den Hinweis, dass es ja um die Rechte einer nat\u00fcrlichen Person geht. Wie soll man aber die nat\u00fcrlich Person identifizieren? Mit einer IP geht es auf jeden Fall nicht. Ich pers\u00f6nlich kann \u00fcber die Rechtsprechung und deren Auslegung in diesem Fall nur den Kopf sch\u00fctteln. Das Vorhalten eines Access-Logs auf Grund einer amtlichen Anordnung ist hier nat\u00fcrlich nicht ausgeschlossen. Aber da sind wir dann weit von den Inhalten der DSGVO entfernt.<\/p>\n","protected":false},"author":1,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"footnotes":""},"class_list":["post-86","page","type-page","status-publish","hentry"],"_links":{"self":[{"href":"https:\/\/www.npoitsupport.de\/index.php\/wp-json\/wp\/v2\/pages\/86","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.npoitsupport.de\/index.php\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/www.npoitsupport.de\/index.php\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/www.npoitsupport.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.npoitsupport.de\/index.php\/wp-json\/wp\/v2\/comments?post=86"}],"version-history":[{"count":2,"href":"https:\/\/www.npoitsupport.de\/index.php\/wp-json\/wp\/v2\/pages\/86\/revisions"}],"predecessor-version":[{"id":161,"href":"https:\/\/www.npoitsupport.de\/index.php\/wp-json\/wp\/v2\/pages\/86\/revisions\/161"}],"wp:attachment":[{"href":"https:\/\/www.npoitsupport.de\/index.php\/wp-json\/wp\/v2\/media?parent=86"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}