Neueste Blogbeiträge

Wiki

Aktuelles

<< >>
Mitmachen beim SAFER INTERNET DAY 2019
Bewerben für den Datenschutz Medienpreis 2018
Bild: Screenshot www.bvdnet.de
Förderung von Medienkompetenz-Projekte in Mecklenburg-Vorpommern
Screenshot www.medienanstalt-mv.de
OpenStreetMap nutzen
Screenshot www.openstreetmap.org
Screenshot www.openstreetmap.org
Alles neu auf kirche-entdecken.de
www.kirche-entdecken.de

Praxistipps

Hilfe bei Antragstellung

Gerade Kinderseiten sind oft auf Fördergelder angewiesen. Die bpb hat eine nützliche Checkliste für Antragstellungen zusammen gestellt.

"Checkliste für die Antragstellung"

Datenschutz

<< >>
Icon Datenschutz
Ab 25. Mai 2018 gelten die neuen Regelungen der EU-Datenschutzgrundverordnung (DSGVO). Mit der Verordnung werden viele Regelungen einfacher gefasst und präzisiert.
Eine Datenschutzerklärung bündelt im Idealfall alle relevanten Angaben zum Datenschutz und stellt sie in übersichtlicher Form dar.
Mit Funktionen zum Weiterempfehlen versuchen Webseitenbetreibende, die Reichweite ihres Angebots zu erhöhen, über Spendenfunktionen können sich Nutzerinnen und Nutzer an der Finanzierung des Angebots beteiligen.
Wer auf seiner Webseite Möglichkeiten der Kommunikation und Interaktion anbietet, muss zumeist nicht nur in seiner Datenschutzerklärung darauf hinweisen, sondern braucht eine wirksame Einwilligung der Personen, von denen Daten erhoben werden.
Wenn Webseitenbetreiber Dienstleister einsetzen, ergeben sich weitere Datenschutzfragen. Häufig werden mit ihnen sogenannte Verträge zur Auftragsdatenverarbeitung geschlossen.
Viele Webseiten bieten die Möglichkeit an, einen Newsletter zu bestellen. Nutzerinnen und Nutzer können sich so regelmäßig per E-Mail über Neuigkeiten informieren lassen.
Um zu wissen, wie Ihr Angebot angenommen wird, sind Webanalyse-Werkzeuge auch für Betreiber von Kinder-Webseiten zentral. Die Werkzeuge messen etwa, wie oft und wie die Seite besucht wird und stellen die Ergebnisse in aufbereiteter Form zur Verfügung.
Online-Umfragen lassen sich auf Webseiten vielfältig einsetzen. Je nach Art der Umfrage gibt es mal mehr, mal weniger zu beachten, um persönliche Daten dabei zu schützen.
Viele Webseiten bieten Möglichkeiten zum Austausch der Nutzer untereinander und zum Veröffentlichen eigener Beiträge an. Auch auf Kinderseiten sind diese interaktiven Tools sehr beliebt.
Einfaches, fiktives Impressum eines Vereins
Internetseiten haben meist ein Impressum und eine Datenschutzerklärung, außerdem gibt es oft Einwilligungserklärungen, Allgemeine Geschäftsbedingungen (AGB) und Nutzungsbedingungen. Welcher Baustein leistet was und empfiehlt sich für Regelungen zum Datenschutz?
Welche Grundgedanken stehen hinter den Anforderungen, die der Datenschutz an Seitenbetreiber stellt? Sieben goldene Regeln helfen beim Verständnis und bieten Orientierung.Datenschutzrecht gilt als kompliziert. In der Tat gibt es kaum ein Rechtsgebiet, das so stark in Bewegung ist wie das Datenschutzrecht. In unserer zunehmend digitalisierten Gesellschaft streiten alle Beteiligten, wie Datenschutz sich in Zukunft entwickeln soll. Datenschutz ist zu einem wichtigen politischen Konfliktfeld geworden, in den konkreten Regelungen scheint der Einfluss vieler unterschiedlicher Lobbyisten durch. Leichter zu verstehen wird das Recht dadurch leider nicht.Dennoch kann man sich mit ein paar einfachen Grundprinzipien auch im Datenschutzrecht gut zurechtfinden. Wenn man sich die im Folgenden dargestellten „sieben goldenen Regeln“ merkt, hat man zumeist schon eine gute Grundlage. Die sieben goldenen Regeln hat zuerst der Rechtswissenschaftler Johann Bizer ausformuliert, an dem sich diese vereinfachte Darstellung orientiert. Betreiber von Kinderseiten sollten sich in Bezug auf den Datenschutz besonders vorbildlich verhalten. Sie haben zudem die Chance, auch in diesem Bereich ihren Beitrag zur Bildung von Medienkompetenz bei Kindern zu leisten. Die sieben goldenen Regeln helfen dabei.Vorfrage: Sind die Daten personenbezogen?Bevor es um die goldenen Regeln selbst geht, muss man sich die Frage stellen, ab wann Datenschutzrecht überhaupt relevant wird, ob dessen Regelungen also zur Anwendung kommen. Um es vorweg zu nehmen, immer dann, wenn man sich diese Frage stellt, lautet die Antwort zumeist: Ja, das kommen sie. Das Datenschutzrecht hat einen weiten Anwendungsbereich, man muss daher aufpassen, zu erkennen, wann es gilt.Das zentrale Kriterium dafür, dass man sich an das Datenschutzrecht halten muss, ist die Frage, ob man mit „personenbezogenen Daten“ hantiert. Was unter „personenbezogen“ zu verstehen ist, definiert das Bundesdatenschutzgesetz: „Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)“ (Paragraf 3 Absatz 1 BDSG)Eine solche Einzelangabe über eine bestimmte Person kann zum Beispiel sein: Hanna Musterkind wohnt in der Lindenallee 27. Wichtiger ist jedoch das Wort bestimmbar; über seine Interpretation wird unter Juristen gestritten. Wer auf der sicheren Seite sein will, muss sich die Frage stellen: Könnte man – auch wenn man sich mit anderen zusammen tut – herausbekommen, auf wen sich eine einzelne Information konkret bezieht? Etwa dann, wenn die Information lautet: Nutzer Nr. 1518 wohnt in der Lindenallee 27?Schon Betrieb einer Webseite ausreichendWendet man diesen Grundsatz konsequent an, verarbeitet jeder Betreiber einer Webseite personenbezogene Daten und ist an das Datenschutzrecht gebunden. Denn um die Seite abzurufen, muss ein Nutzer technischen Kontakt mit der Seite aufnehmen. Dabei muss er oder sie auch übermitteln, an wen die Informationen der Internetseite übertragen werden sollen. Zu diesem Zweck wird beim Aufruf einer Seite die IP-Adresse des Nutzers übermittelt, eine Ziffernfolge, die seinen Anschluss identifiziert.Der Seitenbetreiber verfügt nunmehr automatisch und unvermeidlich über die IP-Adresse. Damit verknüpft ist die Information, dass ein Nutzer mit dieser bestimmten IP-Adresse auf eine Seite seines Angebots zugreifen will. Internetanbieter - wie etwa die Telekom - kennen die Verknüpfung zwischen IP-Adresse und dem Anschlussinhaber, unter Umständen auch Onlinedienste wie Facebook oder Google, sofern man dort registriert ist. So entsteht mit jedem Seitenaufruf ein personenbeziehbares Datum, zum Beispiel die (fiktive) Einzelangabe, dass Lukas Musterkind auf www.kinderwebseite.ev zugreifen wollte.Umgekehrt gilt: Sicher zu stellen, dass Einzelangaben anonym bleiben oder nachträglich anonymisiert werden, kann ausgesprochen schwer sein.Die sieben goldenen Regeln im EinzelnenDer Umgang mit personenbezogenen Daten ist natürlich nicht verboten, sonst wäre ein sozialer Austausch in der Gesellschaft nahezu unmöglich. Aber jeder muss sich dabei an bestimmte Regeln halten. Der Webseitenbetreibende ist in diesem Fall die „für die Datenverarbeitung verantwortliche Stelle“ oder, sofern man die Daten für Dritte verarbeitet, ein „Auftragsdatenverarbeiter“.1. RechtmäßigkeitWerden personenbezogene Daten – etwa von einem Seitenbetreiber – verarbeitet, bedarf das nach dem Recht der Europäischen Union stets einer rechtlichen Grundlage. Hierfür gibt es viele verschiedene Möglichkeiten, manchmal auch mehrere gleichzeitig. Oft ergibt sie sich direkt aus dem Gesetz. So darf die IP-Adresse nach dem Telemediengesetz verarbeitet werden, um die Nutzung des Angebotes zu ermöglichen.Die meisten gesetzlichen Rechtsgrundlagen gelten für Behörden. Doch auch für Kinderseitenanbieter kann sich die Rechtmäßigkeit aus gesetzlichen Bestimmungen ergeben. So dürfen nach dem Bundesdatenschutzgesetz solche Daten verarbeitet werden, die der Erfüllung eines Vertrages dienen.Eine Kinderseite führt ein Gewinnspiel durch. Ist der Mitspielende mit der Teilnahme am Gewinnspiel einverstanden, kommt ein Vertrag zustande. Rechtsgrundlage für die Erhebung der Daten ist dann die Regelung des Bundesdatenschutzgesetzes unter Berücksichtigung dieses Vertrages. Wie das in der Praxis aussieht, zeigt etwa die Mitmach-Aktion „Frag nach!“ der Seite http://www.wasistwas.de/frag-nach.html. Werden die dort verlinkten Teilnahmebedingungen akzeptiert, wird ein Vertrag geschlossen.BeispielDas Bundesdatenschutzgesetz gestattet die Datenverarbeitung auch dann, wenn sie den „berechtigten Interessen“ des Datenverarbeiters entspricht. Die Interessen desjenigen, dessen Daten verarbeitet werden, müssen hier mit denen des Verarbeiters abgewogen werden. Im Unterschied zum Vertrag und zur Einwilligung kann das auch ohne Mitwirkung des Betroffenen stattfinden. Das macht die Verarbeitung der Daten aber auch oft intransparent. Kinderseiten sollten daher nur im Ausnahmefall auf diese Rechtsgrundlage zurückgreifen.BeispielEin Beispiel für eine zulässige Speicherung von personenbezogenen Daten wegen eines berechtigten Interesses ist die Speicherung der IP-Adresse zum Zweck der IT-Sicherheit. Es ist weitgehend anerkannt, dass man für einen Zeitraum von sieben Tagen eine Speicherung dieser Adressen vornehmen darf, um den Datenbestand analysieren zu können, falls etwa ein Angriff auf die Seite stattfindet.2. EinwilligungGibt es keine gesetzliche Grundlage für die Datenverarbeitung, kann auch die ausdrückliche Einwilligung desjenigen, dessen Daten man verarbeiten will, eine Rechtsgrundlage darstellen. Die Datenverarbeitung hat also eine rechtliche Grundlage, wenn der davon Betroffene ihr zugestimmt hat.Die Einwilligung ist der Idee des Datenschutzrechts zufolge sogar der Normalfall der geforderten Rechtsgrundlage. In der Praxis wird allerdings oft auf das erwähnte „berechtigte Interesse“ oder die Vertragserfüllung zurückgegriffen. Die Einwilligung hat den großen Vorteil, dass sie für den Betroffenen meist die transparenteste Lösung ist.3. ZweckbindungHat man eine rechtliche Grundlage für die Datenverarbeitung gefunden, müssen weitere Prinzipien beachtet werden. Das Wichtigste dabei ist die Zweckbindung: Die Daten dürfen nur für den Zweck verarbeitet werden, für den man sie erhoben hat.Eine Kinderseite führt ein Gewinnspiel durch, die Angabe der E-Mail-Adresse dient der Vertragserfüllung (wie oben beschrieben). Die E-Mail-Adresse wird verwendet, um die Gewinnerin zu informieren, dass sie gewonnen hat. Sie darf nicht für andere Zwecke verwendet werden, etwa zum Versand eines Newsletters. Dafür müssten die Teilnehmer extra einwilligen.Beispiel4. ErforderlichkeitDas Gegenstück zur Zweckbindung ist die Erforderlichkeit: Die Daten dürfen nur verarbeitet werden, soweit die Verarbeitung für den jeweiligen Zweck erforderlich ist. Daher gilt auch: Sind alle Zwecke erreicht, sind die Daten zu löschen. Allerdings: Unabhängig vom Datenschutz können Aufbewahrungspflichten bestehen, zum Beispiel für das Finanzamt bei Vertragsunterlagen und Geschäftsbriefen.Im Fall des erwähnten Gewinnspiels sind die E-Mail-Adressen aller Teilnehmenden zu löschen, wenn die Gewinnerin ermittelt und informiert wurde. Danach ist die Speicherung nicht mehr erforderlich. Unzulässig wäre beispielsweise auch, beim Gewinnspiel nach der Schulbildung der Teilnehmer zu fragen – auch das ist nicht erforderlich.Ähnliches gilt bei den bereits erwähnten IP-Adressen: Ist ihre Speicherung nicht mehr erforderlich, sind sie zu löschen. Wer aus Gründen der IT-Sicherheit eine Speicherung von sieben Tagen vornehmen möchte, muss sie anschließend löschen – jedenfalls dann, wenn in diesen sieben Tagen kein Angriff auf die Internetseite erkannt wurde.Beispiel5. TransparenzWährend die ersten vier Prinzipien darstellen, wann man Daten erheben darf, was man mit ihnen tun darf, was nicht und wann man sie löschen muss, bestehen noch drei weitere, ergänzende Prinzipien. Das erste ist die Transparenz.Dem Datenschutzrecht liegt das Grundrecht auf informationelle Selbstbestimmung zugrunde. Es besagt: Ich soll wissen können, was über mich bekannt ist. Oder, mit den Worten des Bundesverfassungsgerichts im berühmten Volkszählungsurteil von 1983: „Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung […] nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß.“Das Transparenzprinzip wirkt sich an vielen Stellen im Datenschutzrecht aus. Im Rahmen der Einwilligung muss etwa deutlich dargestellt werden, welche Daten zu welchen Zwecken erhoben werden. Aber auch nach der Erhebung haben der Betroffene Auskunftsansprüche und der Datenverarbeiter Dokumentationspflichten. So muss Betroffenen auf Anfrage Auskunft über die gespeicherten Daten erteilt werden. Wurden Einwilligungserklärungen eingeholt, muss dem Betroffenen der Text der Erklärung zugänglich gemacht werden.Die Seite Jugend.support macht Einwilligungserklärungen für bestimmte Funktionen auf der Seite am Ende ihrer Datenschutzerklärung gesammelt zugänglich.Beispiel6. DatensicherheitDatenverarbeitung findet heutzutage hauptsächlich elektronisch statt. Die klassischen Papierakten sind zwar auch vom Datenschutzrecht erfasst, spielen aber nur noch eine untergeordnete Rolle. IT-Systeme sind aufgrund ihrer Komplexität stets anfällig für Fehler, über die zum Beispiel Unbefugte an Daten gelangen können. Daher entwickeln sich seit vielen Jahren immer genauere Anforderungen, um die Fehleranfälligkeit zu kompensieren und die Sicherheit der Systeme zu erhöhen.Gleichzeitig werden auch die Angriffe auf technische Systeme immer ausgefeilter. Es findet eine Art Wettrüsten statt. Als Kinderseitenbetreiber ist man leider auch Teil dieses Wettrüstens. Man muss daher sicherstellen, dass man sich angemessen um die Sicherheit seiner IT-Systeme kümmert. Um unbefugte Zugriffe zu verhindern, ist es unter anderem wichtig, Software stets auf dem aktuellen Stand zu halten.Wer als Kinderseitenbetreiber ein Content-Management-System einsetzt, muss durch Updates sicherstellen, dass stets die bekannten Sicherheitslücken geschlossen sind.BeispielAber auch Maßnahmen gegen Datenverlust und Datenverfälschung sind zu ergreifen. Zunehmende Bedeutung gewinnt zudem der Gedanke, technische Systeme von vornherein datenschutzfreundlich zu gestalten. Traditionell findet das Ausdruck in der Anforderung, von vornherein möglichst wenig personenbezogene Daten zu erfassen (Datensparsamkeit und Datenvermeidung).7. KontrolleWerden persönliche Daten weitergegeben, ist das für den Betroffenen stets mit einem Kontrollverlust verbunden. Denn letztlich hat er oder sie kaum eine Möglichkeit zu überprüfen, ob die datenverarbeitende Stelle sich auch an die Vorgaben hält. Um das zu kompensieren, sind im Gesetz Datenschutzbeauftragte und Aufsichtsbehörden vorgesehen.So müssen Unternehmen oder Organisationen ab einem bestimmten Punkt einen eigenen Datenschutzbeauftragten bestellen. Das gilt bei bestimmten Arten und Intensitäten der Datenverarbeitung oder wenn mehr als neun Mitarbeiter ständig mit der Datenverarbeitung befasst sind. Der Beauftragte muss nicht selber Mitarbeiter, sondern kann auch ein externer, fachkundiger Berater sein. Aber auch wenn keine gesetzliche Pflicht besteht, kann es sinnvoll sein, regelmäßigen Kontakt zu einem Experten für den Bereich aufzubauen und zu halten.Die Datenschutzaufsichtsbehörden haben umfangreiche Befugnisse. Sie dürfen auch ohne Anlass prüfen, ob die Datenverarbeitung rechtmäßig abläuft und Ordnungsgelder bei Verstößen verhängen. Droht eine Gefahr für die Betroffenen, können sie sogar die temporäre Schließung von Angeboten veranlassen.In kritischen Fällen kann es sich daher empfehlen, den direkten Kontakt zur zuständigen Aufsichtsbehörde zu suchen, um Problemen im Voraus aus dem Weg zu gehen. Eine Liste aller Datenschutzbehörden in Deutschland und von Ansprechpartnern findet sich auf den Seiten des Bundesdatenschutzbeauftragten.DSGVO-Update: Prinzipien

WMK-Newsletter

Newsletter
Hier können Sie sich für unseren Newsletter von wir-machen-kinderseiten.de an- bzw. abmelden.

Praxistipps

Bildschirmlineal - Messen in Pixeln

Wie groß ist das Bild? Wie viele Pixel hat dieses Layout? Mit dem PixelRuler, einem praktischen Bildchirmlineal, lässt sich das problemlos herausbekommen.

Aktuelles

<< >>
Mitmachen beim SAFER INTERNET DAY 2019
Bewerben für den Datenschutz Medienpreis 2018
Bild: Screenshot www.bvdnet.de
Förderung von Medienkompetenz-Projekte in Mecklenburg-Vorpommern
Screenshot www.medienanstalt-mv.de
OpenStreetMap nutzen
Screenshot www.openstreetmap.org
Screenshot www.openstreetmap.org
Alles neu auf kirche-entdecken.de
www.kirche-entdecken.de

Partner

www.jugendschutz.net
(c) Logo Schau hin
Logo Berufsverband der Rechtsjournalisten e.V.
http://seitenstarkchat-eltern-lehrer.jimdo.com/die-macher/
klicksafe.de
www.vernetzte-kirche.de
erfurter-netcode.de
(c)Inititativbüro GAmM
Logo teachtoday
(c) Logo Hans-Bredow-Institut
www.irights-law.de
(c)Logo JFF