Hallo meine Lieben,

ab dem 25.05.2018 tritt eine neue, europäische "Datenschutz-Grundverordnung" (EU-DSGVO) in Kraft. Bis zu diesem Datum muss die Datenschutzerklärung einer datenverarbeitenden Internetseite den neuen Anforderungen entsprechen - und entsprechend muss auch das ASVZ seine Datenschutzerklärung umstellen. Tatsächlich ändert sich an unserem Umgang mit den Daten garnichts, es muss nur jetzt anders / detailierter niedergeschrieben sein. Die neue Datenschutzerklärung (gültig ab 25.5.2018) findet ihr hier: https://www.airsoft-verzeichnis.de/index.php?status=registrieren&sp=6

Die Idee der Verordnung ist, dass ein User (die Verordnung nennt ihn/sie "betroffene Person"^^) eine bessere Transparenz hat, einen umfassenden Einblick darin erhält was mit seinen Daten passiert und welche Rechte er/sie bzgl. der Daten hat (z.B. Löschung). An sich ist das eine gute Sache, nur muss das alles so juristisch präzise und letztlich sehr allgemein formuliert sein, dass die enorme Länge des Textes jeden User erschlägt. Unsere bisherige Datenschutzerklärung war gut eine A4-Seite lang - die neue Erklärung ist stolze 17 A4-Seiten lang. Das liest sich definitiv niemand mehr durch - und selbst wenn, ist es schwer zu verstehen. Also den guten Ansatz dieser Verordnung halte ich für klar verfehlt. Aus diesem Grund habe ich zu der rechtlich verbindlichen Erklärung noch eine kleine (rechtlich nicht verbindliche) Zusammenfassung geschrieben, mit den wichtigsten Punkten die man wissen sollte und die auf das ASVZ zutreffen.

Ein weiterer Punkt der DSGVO, der mir recht viel Arbeit macht und euch auch zumindest kurz betreffen wird, ist die Altersgrenze. Gemäß Art. 8 der Verordnung dürfen Jugendliche erst ab dem 16. Lebensjahr ihr Einverständnis für die Datenschutzerklärung selbst geben - ist der User noch nicht 16 Jahre alt, müssen die Eltern / Erziehungsberechtigten zustimmen.
Das bedeutet dass wir für alle User nicht nur das Einverständnis zur neuen Datenschutzerklärung abfragen müssen, sondern auch das Geburtsdatum. Und wer jünger als 16 Jahre ist, der muss die Emailadresse der Eltern angeben, wir schicken eine Mail, die Eltern bestätigen es - und erst dann kann der User ins ASVZ.

Ich vermute es dürfte jedem klar sein, dass dies mitnichten einen Jugendlichen ohne elterliche Zustimmung von irgendwas abhalten wird. Aber so will es der Gesetzgeber nun mal - und daher müssen wir es so machen.

Folgendes wird also passieren: irgendwann (wahrscheinlich schon vor dem 25.5.) bekommt jeder von euch nach dem Einloggen eine Maske in der dein Geburtsdatum abgefragt wird, wer das Geburtsdatum sehen darf und auch die Zustimmung zur neuen Datenschutzerklärung. Lesen, abklicken, fertig. Bei den Unter-Sechszehnjährigen kommt dann anschließend die Abfrage der Email der Eltern und der ganze Prozess dahinter.

Ich hoffe es macht keine allzu großen Umstände (oder Probleme mit den Eltern^^) für euch. Falls ihr Fragen habt, lasst es uns hier im Thread wissen.

Liebe Grüße aus Armenien,
euer papa-bear

Gib bitte die Option auf den 01.01.1900 mit vor. Mein alter hat hier nicht verloren, genauso wenig wie andere Private Daten.

Ps: ich hoffe das uns das zukünftig vor Amoktaten und Terror schützen wird, wenn Mutti zukünftig genau Bescheid weiß.

Nachtrag:

Keine Ahnung was du meinst. Aber Thomas setz nur um, wozu er gezwungen wird. Da ist auch nichts schlimmes dran. Die Regeln und der Zwang sind schlimm.

Bitte gib in der Seite wo man das Alter angeben muss an das man bei u16 eine Mamaerlaubnis braucht.

Und das das man das später ändern kann, jeder kann sich ma um 1 Jahr vertippen oder 3 oder 10 oder 30.

"Und das das man das später ändern kann" - ich glaub so dumm ist selbst der Gesetzgeber nicht dass er uns das durchgehen lassen würde^^

Es wird wahrscheinlich so einen Kalender geben, der ausklappt, dann kann man sich auch nicht vertippen.

Und falls doch, musst du wohl Mama und Papa anrufen und um Erlaubnis fragen. Die freuen sich vielleicht sogar über einen Anruf.

Am besten so einen Quatsch wie bei Facebook, wenn die meinen, bei deinen Angaben stimmt was nicht, weil du zum Beispiel nicht deinen echten Namen nutzen möchtest, darfste denen eine Kopie vom Perso schicken, damit dein Account wieder freigegeben wird.

O Gott, hoffentlich hab ich die Admins jetzt nicht auf dumme Ideen gebracht. XD XD XD

Und was ist mit "Bestandsschutz"? Werden die jetzt alle ausgeklammert wenn sie nicht ja sagen oder dürfen?

Personalausweiskopien anfordern und abspeichern eröffnet eine neue Büchse der Pandora, das wollt weder ihr, noch wir. Das wird datenschutzmäßig katastrophaler Aufwand, den wir nicht handhaben wollen, denn Persokopien als Diensteanbieter abzuspeichern unterliegt sehr strengen Richtlinien. 

Bestandsschutz? Wer das ASVZ nicht (mehr) aktiv nutzt muss auch der neuen Datenschutzbereinbarung nicht zustimmen. Wer es wieder/weiter nutzen will muss zustimmen, ganz einfach. Es handelt sich hier im Grunde ja um eine Änderung der AGB, der ihr eben zustimmen müsst. 

Guten Morgen Ihr Lieben,
was denke ich bei manch einem nicht angekommen ist, dass es hier nicht von uns ausgeht.
Wir vom ASVZ könnten selber da sehr sehr gut drauf verzichten.
Geht nur eben nicht.

Desweiteren wäre es mein Wunsch, wenn alle das Datum auch korrekt angeben. Man kann es ja nicht anzeigen lassen sodass niemand es sieht.
Der Vorteil hierbei ist, dass jedem es richtig vorgelebt wird und wenn dann Tatsächlich mal was vorkommen sollte und wir haben hier Hunderte Leute mit falschen Geburtsdaten...

Einfach das richtige Datum angeben und fertig. Am Alter kann man nicht ergoogelt werden.

Wie erfüllt Ihr weitere Anforderungen der EU-DSGVO?

• Recht auf Löschung und „Vergessen werden“ (Art. 17 DS-GVO)
• §Recht auf Einschränkung der Verarbeitung (Art. 18 DS-GVO)
• Datenschutz durch entsprechende Technik und datenschutzfreundliche Voreinstellungen (Privacy by design & by default (Art. 25 DS-GVO))
• Datenschutz-Folgenabschätzung bei Datenverarbeitungen mit besonderen Risiken für den Schutz von personenbezogenen Daten vor der Verarbeitung einzuholen (Art. 35 DS-GVO)
• Datenschutzbeauftragter  (Art. 37 - 39 DS-GVO) Kontaktdaten des DSB sind zu veröffentlichen (z. B. auf Internetseite) und der DSB ist der Datenschutzbehörde zu benennen
• Alle Mitarbeiter des Unternehmens müssen eine Verpflichtungserklärung (DSGVO Artikel 32) unterschrieben haben; für die Speicherung und weitere Verarbeitung personenbezogener Daten sollte grundsätzlich eine Einwilligungserklärung (DSGVO Artikel 7) eines jeden Betroffenen vorliegen.
• Werden Systeme mit personenbezogenen Daten außerhalb des eigenen Hauses betrieben, muss dies mit einem Vertrag zur Auftragsdatenverarbeitung (DSGVO Artikel 28) unterlegt werden.
• Technisch muss es klar dokumentierte und angewandte Verfahren zu den Themen Zutrittskontrolle, Zugangskontrolle und Zugriffskontrolle (DSGVO Artikel 32) geben. Besonders wichtig hierbei ist die lückenlose Protokollierung aller Zutritte, Zugänge und Zugriffe.

• Der Transfer von personenbezogenen Daten in Staaten außerhalb der EU/des EWA (sogenannten Drittstaaten) ist problematisch. Dies ist im Rahmen der Richtlinie 95/46/EG (Datenschutz-Richtlinie) der Fall und wird auch mit Inkrafttreten der Datenschutz-Grundverordnung so bleiben. Grund hierfür ist die Annahme, dass in Drittstaaten generell kein angemessenes Datenschutzniveau herrscht. Eine Ausnahme besteht dann, wenn die EU-Kommission für den betreffenden Staat ein solches festgestellt hat. Wo ist das Rechenzentrum, in dem das Forum betrieben wird? wo werden Daten gespiegelt?

• Meldepflichten bei Datenschutz-verstößen: 

  • §zeitliche Überschreitungen müssen begründet werden (Art 33 DS-GVO)

  • §Auftragsverarbeiter meldet unverzüglich an Verantwortlichen (Art. 33 DS-GVO)

  • §unverzüglich auch an die betroffene Person (Art. 34 DS-GVO)

  • §an Aufsichtsbehörden unverzüglich oder binnen 72 Stunden

Hi,

für das ASVZ (Admin)

es sollte unbedingt Art. 21 DSGVO beachtet werden. Besonders Absatz 4.

"Die betroffene Person muss spätestens zum Zeitpunkt der ersten Kommunikation mit ihr ausdrücklich auf das in den Absätzen 1 und 2 genannte Recht hingewiesen werden; dieser Hinweis hat in einer verständlichen und von anderen Informationen getrennten Form zu erfolgen."

Artikel 5 DSGVO "Grundsätze für die Verarbeitung personenbezogener Daten.

Personenbezogene Daten müssen

Schießstand hat ja sonst sehr gute Arbeit geleistet.

Für Benutzer

Für Leute die keine Angaben machen möchten, sollten berechtigt sein "nur lesen".

Auszug aus Datenschutzerklärung gemäß DS-GVO - gültig ab 25.05.2018
Stand: 27.04.2018:
"Eine Nutzung der Internetseiten des Airsoft-Verzeichnis ist in eingeschränktem Maße ohne jede Angabe personenbezogener Daten möglich. Sofern eine betroffene Person die aktiven Bereiche der Plattform in Anspruch nehmen möchte (u.a. Schreiben von Forumseinträgen, Verlinken von Videos, Hochladen von Bildern), ist eine Verarbeitung personenbezogener Daten erforderlich."

Wer die korrektheit bei Vertragsschluss nicht wahrt, kommt Strafgesetzbuch "besonderer Teil" §§90 -358 mit dem 23 Abschnitt - Urkundenfälschung §§ 267 - 282 zur geltung.

§269
Fälschung beweiserheblicher Daten

(1) Wer zur Täuschung im Rechtsverkehr beweiserhebliche Daten so speichert oder verändert, daß bei ihrer Wahrnehmung eine unechte oder verfälschte Urkunde vorliegen würde, oder derart gespeicherte oder veränderte Daten gebraucht, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.

(2) Der Versuch ist strafbar.
(3) § 267 Abs. 3 und 4 gilt entsprechend.

Wer nun meint eine dritte Person hätte das abgeschlossen, würde das DSGV Artikel 18- Recht auf Einschränkung der Verarbeitung greifen.

Die betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:

Ich hoffe das ist leicht Verständlich

Grüße

Robert

Jungs, vergesst bitte nicht dass ich mich nachwievor auf Weltreise befinde, derzeit in Armenien. Ich programmiere seit einigen Tagen in meinem Wohnmobil auf Hochtouren um diese Geburtstags- und Mutti-Zettel-Geschichte umgesetzt zu bekommen - sie ist wesentlich komplexer als man es sich vorstellt, da unglaublich viele Ausnahmen und Fehlerquellen behandelt werden müssen. Wie geil die mobile Internetverbindung in Armenien ist kann man sich auch vorstellen. Ich möchte eigentlich gern in den Iran weiter, vermute aber dass es keine gute Idee ist von dort aus aufs ASVZ zuzugreifen, daher muss ich es vorher fertig bekommen.

@Schiesstand: Weißt du wie toll das ist, wenn mir in dieser Situation, wo ich alles daran setze die Umstellung gescheit hinzubekommen, dann jemand eine ganze Menge Fragen an den Kopf schmeißt, von denen ich irgendwie den Eindruck gewinne dass er nichtmal die neue Datenschutzerklärung gelesen hat? Es fehlt mir eigentlich die Zeit auf deine Fragen zu antworten und ich würde stattdessen lieber das Notwendige fertig programmieren. Es hat sich an unserer Verarbeitung der Daten auch mit der neuen Erklärung rein garnix geändert (naja, außer dass wir jetzt gezwungen sind das Geburtsdatum zu speichern) und vorher hat das auch niemanden interessiert. Ich würde mir wünschen dass hier versucht wird die Aufgaben die hier ans ASVZ (und damit an uns alle) durch den Gesetzgeber gestellt werden gemeinsam und konstruktiv zu lösen, anstatt das ASVZ als den Bösen hinzustellen der ja sowieso alles falsch macht. Jedenfalls haben die Art und Weise deines Posts diesen Eindruck bei mir hinterlassen, bitte korrigiere mich wenn ich da falsch liege.

Ich werde dennoch einige Fragen beantworten, kann aber leider nicht ins Detail gehen, dazu fehlt mir die Zeit, bitte um Verständnis dafür:

• Recht auf Löschung: das steht - weil das tatsächlich wichtig ist - sogar in meiner Zusammenfassung oberhalb der Erklärung: du gehst auf "Profil ändern" und "Account löschen", bestätigst dort und dann ist dein Account samt personenbezogenen Daten gelöscht. Fertig. In der Erklärung steht es im Abschnitt 7d "Recht auf Löschung". Das Recht auf Vergessen hat in der Praxis im ASVZ kaum Bedeutung, einzig dass die gespeicherten IP-Adressen nach einer bestimmten Zeit erst nicht mehr verarbeitet werden und später gelöscht werden.
• Recht auf Einschränkung der Verarbeitung: steht auch in der Erklärung, Robert (Vorposter) hat es auch für einen Fall gut erklärt. Ich kann mir keinen weiteren Fall vorstellen wo dieses Recht in Bezug aufs ASVZ tatsächlich benötigt wird.
• Datenschutztechniken: SSL für alle Verbindungen (ist eh Standard), Hash+Salt für Passwörter (auch Standard), Token-System und die Privatsphäreeinstellungen findest du unter "Profil ändern" >> "Privatsphäre"
• Datenschutz-Folgenabschätzung: in dem Artikel geht es um Profiling, insbesondere anhand von religiöser, politischer oder sexueller Orientierung. Das ASVZ betreibt kein Profiling und fragt nirgendwo direkt deine Religion, politische Orientierung oder deine Vorlieben im Bett ab. Ich verstehe daher nicht so ganz warum du diese Frage stellst?
• Datenschutzbeauftragter: ist man nicht gezwungen zu benennen, somit ist es der Betreiber der Plattform (also ich) und das steht in der Erklärung unter dem Punkt "Name und Anschrift des für die Verarbeitung Verantwortlichen"
• Mitarbeiter: jeder Mitarbeiter der Zugriff auf personenbezogene Daten hat (also hauptsächlich Moderatoren, Server-Admins und Programmierer) muss eine entsprechende Erklärung unterschreiben, das wird schon seit Beginn des ASVZ so gehandhabt
• Server-Standort: unsere Server stehen in Deutschland (sowohl Daten als auch Backup/Spiegelung), kann man einfach nachprüfen indem man bei google "trace route" eingibt und bei einem Anbieter die Adresse des ASVZ eingibt - da zeigt er dir alle Server an über die deine Anfrage geht und der letzte ist der ASVZ-HauptServer. Gehostet sind die Server bei der Firma Hetzner, sieht man auch wenn man einen trace-route macht
• Protokollierung: nur die oben genannten Mitarbeiter des ASVZ haben nach dem Login entweder im ASVZ (Moderatoren) oder am Server/Datenbank (Server-Admins, Programmierer) technisch Zugriff. Geloggt wird alles, das ist ja ein Server, der loggt eh standardmäßig alles.

Du musst bedenken dass nicht jede Vorschrift der DSGVO fürs ASVZ zutrifft. Die Verordnung gilt allgemein für jegliche Datenverarbeitung - also auch wenn dein Frisör ein Buch hat wo die Namen und Telefonnummern aller Kunden drin stehen. Oder ein Verein, der die Daten seiner Mitglieder hat. Dort ist es schon interessant ob die Daten z.B. auf einem PC liegen oder in einem Schrank stehen wo jeder Zugriff hat. Im ASVZ ist der Zugriff ja technisch viel einfacher lösbar, daher stellt sich die Frage garnicht. Auch macht das ASVZ viele Sachen die datenschutzrechtlich erlaubt wären schlichtweg nicht - z.B. machen wir kein Profiling (wie facebook), wir selbst geben auch keine Daten an Dritte weiter und man kann das ASVZ auch nicht an seiner "Firmenadresse" besuchen, wodurch es nicht passieren kann dass sich ein Besucher verletzt und ich einem etwa benötigten Arzt personenbezogene Daten des Gastes geben müsste (ihr lacht, aber das steht allen Ernstes in der DSGVO drin^^)

@Robert: Danke für die Erläuterung bzgl. der Korrektheit des Geburtstags.
Man kann bestimmte Bereiche des ASVZ auch ohne die Speicherung von personenbezogenen Daten nutzen (hat z.B. Leserecht im Forum, Marktplatz, Videogalerie, Team-Karte, ...). Für andere Bereiche ist eine Registrierung und Angabe von personenbezogenen Daten notwendig. Macht man dies, muss man die Datenschutzerklärung akzeptieren (und wenn man unter 16 ist kommt die Elternbestätigung noch hinzu). Ohne die Akzeptanz der Erklärung (und damit den Hinweis auf alle rechtlichen Möglichkeiten) werden keine personenbezogenen Daten gespeichert, aber man kann eben auch nicht alle Teile des ASVZ benutzen.

Der von dir genannte Art 21 Abs. 4 trifft auf das ASVZ doch auch nicht zu, oder? Er bezieht sich auf Direktwerbung (das machen wir nicht) und, mal salopp formuliert, "Datenerhebung ohne explizite Zustimmung". Tun wir ja aber beides nicht, oder sehe ich das falsch?

Liebe Grüße aus Armenien,
papa-bear

@Schiesstand: Weißt du wie toll das ist, wenn mir in dieser Situation, wo ich alles daran setze die Umstellung gescheit hinzubekommen, dann jemand eine ganze Menge Fragen an den Kopf schmeißt, von denen ich irgendwie den Eindruck gewinne dass er nichtmal die neue Datenschutzerklärung gelesen hat? Es fehlt mir eigentlich die Zeit auf deine Fragen zu antworten und ich würde stattdessen lieber das Notwendige fertig programmieren. Es hat sich an unserer Verarbeitung der Daten auch mit der neuen Erklärung rein garnix geändert (naja, außer dass wir jetzt gezwungen sind das Geburtsdatum zu speichern) und vorher hat das auch niemanden interessiert. Ich würde mir wünschen dass hier versucht wird die Aufgaben die hier ans ASVZ (und damit an uns alle) durch den Gesetzgeber gestellt werden gemeinsam und konstruktiv zu lösen, anstatt das ASVZ als den Bösen hinzustellen der ja sowieso alles falsch macht. Jedenfalls haben die Art und Weise deines Posts diesen Eindruck bei mir hinterlassen, bitte korrigiere mich wenn ich da falsch liege.

Hallo papa-bear,

vielen Dank für Deine ausführliche Antwort, obwohl Du Dich nach wie vor auf Weltreise befindest. Das hatte ich in der Tat nicht mehr auf dem Radar - insofern wäre es auch ok gewesen, wenn Du geantwortet hättest, das Du im Moment einfach nicht die Zeit hast und die Umsetzung für Dich Priorität hat.

Warum Du zu dem Eindruck gekommen bist, dass ich ich das ASVZ als den Bösen hinstellen wollen würde, kann ich nicht nachvollziehen, aber ich versichere Dir, dass das in keinster Weise meine Absicht war. Ganz im Gegenteil, ich war positiv überrascht, dass das ASVZ das Thema aktiv angeht.

Die DSGVO habe ich schon 2016 gelesen und habe regelmäßig damit zu. Allerdings immer nur bei Konzernen, im Gespräch mit IT-Wirtschaftsprüfern, etc.  Meine Fragen waren reine Neugierde, wie gewisse Dinge in einem anderen Szenario betrachtet werden.

Wir könnten jetzt lange über gewisse Auslegungen und Interpretationen diskutieren, aber das sollten wir vertagen. Mach Du mal in Ruhe Deine Umsetzung und weiter viel Spaß auf Deiner Weltreise.

Und um es noch einmal zu unterstreichen, ich sehe das Forum, die Admins, die Mods und Dich nicht als die Bösen an! Und ich unterstelle auch in keinster Weise, das Ihr alles falsch macht.

Ich hoffe das damit nicht zwischen uns steht  ;-)

Beste Grüße

Schießstand

"Recht auf Löschung". Das Recht auf Vergessen hat in der Praxis im ASVZ kaum Bedeutung, einzig dass die gespeicherten IP-Adress...

Moment! Wenn ich ein Bild lösche, bleibt der direkte Bildlink auch weiterhin erhalten und das Bild auch nach vielen Monaten aufrufbar.

Lösche ich meinen Beitrag, kann es passieren das er trotz Löschung per Suchmaschine gefunden werden kann. Lustigerweise habe zwar keine Zugriffsberechtigung, aber finde ich ihn per Suchmaschine, kann ich ihn lesen.

Leider habe ich gerade keine Konkreten Fall dafür.

Was das darstellen als "das ASVZ ist böse" angeht, ich denke kein Mensch mit ausreichend Gehirn, wird hier die Schuld beim ASVZ suchen. Es sollte jedem klar sein das ihr nur den Hirnfurz von Personen die keine Ahnung haben ausbaden müßt.