MHSP Ventures GmbH
c/o Daniel Malik
Am Thyssenhaus 1-3
45128 Essen
E-Mail: [email protected]
Authored by CC 0, opr.vc
Im Folgenden möchten wir Sie aufklären, wie Ihre Daten von uns verarbeitet werden.
Betroffenenrechte
Sie haben als betroffene Person, das Recht auf Auskunft, das Recht auf Berichtigung oder Löschung, das Recht auf Einschränkung der Verarbeitung und das Recht auf Widerspruch gegen die Verarbeitung Ihrer Daten. Sofern Sie uns eine Einwilligung erteilt haben, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.
Bitte richten Sie Ihren Widerspruch [oder Widerruf] formlos an folgende Adresse:
[Adresse, E-Mail-Adresse (oder Verweis nach oben), ggf. Datenschutzbeauftragter]
Darüber hinaus haben Sie das Recht auf Datenübertragbarkeit. Sie haben weiter das Recht, sich bei einer Aufsichtsbehörde über die Verarbeitung zu beschweren. Eine Liste der entsprechenden Behörden finden Sie unter: https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html.
Sollte die Datenverarbeitung nicht auf Einwilligung des Betroffenen beruhen (siehe Kontaktformular), muss das Widerrufsrecht nicht angegeben werden (Art. 13 Abs. 2 lit. c DSGVO).
Hosting
Sofern Sie sich als Besucher weder registrieren noch einloggen, erheben wir in sog. Logfiles folgende Daten, die Ihr Browser übermittelt:
IP-Adresse, Datum und Uhrzeit der Anfrage, Zeitzonendifferenz zur Greenwich Mean Time, Inhalt der Anforderung, HTTP-Statuscode, übertragene Datenmenge, Website, von der die Anforderung kommt und Informationen zu Browser und Betriebssystem.
Das ist erforderlich, um unsere Website anzuzeigen und die Stabilität und Sicherheit zu gewährleisten. Dies entspricht unserem berechtigten Interesse im Sinne des Art. 6 Abs. 1 S. 1 lit. f DSGVO.
Wir setzen für die Zurverfügungstellung unserer Website folgenden Hoster ein.
[Name und Anschrift Hoster]
Dieser ist Empfänger Ihrer personenbezogenen Daten und als Auftragsverarbeiter für uns tätig. Dies entspricht unserem berechtigten Interesse im Sinne des Art. 6 Abs. 1 S. 1 lit. f DSGVO, selbst keinen Server in unseren Räumlichkeiten vorhalten zu müssen. Serverstandort ist [Deutschland].
Weitere Informationen zu Widerspruchs- und Beseitigungsmöglichkeiten gegenüber [Hoster] finden Sie unter: [Link]
Sie haben das Recht der Verarbeitung zu widersprechen. Ob der Widerspruch erfolgreich ist, ist im Rahmen einer Interessenabwägung zu ermitteln.
Die Daten werden nach Ablauf von [14 Tagen] gelöscht.
Die Verarbeitung der unter diesem Abschnitt angegebenen Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Die Funktionsfähigkeit der Website ist ohne die Verarbeitung nicht gewährleistet.
Neben den Server-Logfiles können auch von der verwendeten Applikation und deren Plugins personenbezogene Daten verarbeitet werden. Darunter fallen u.a. die Protokollierung fehlerhafter Anmeldeversuche, oder Zugriffe auf nicht existierende Seiten (404). Dies sollte überprüft und entsprechend ergänzt werden.
Im Falle eine Speicherung, sollte ebenfalls angegeben werden, wie lange diese erfolgt und ob und ab wann eine Anonymisierung der erhobenen Daten stattfindet.
Grundsätzlich ist ein Auftragsverarbeitungsvertrag mit dem Hoster abzuschließen. Das bayerische Landesamt für Datenschutzaufsicht hat für das Hosting rein statischer Websites eine Ausnahme gemacht. Für den Fall, dass die Webseite der Selbstdarstellung dient, z.B. von Vereinen oder Kleinunternehmen, keine personenbezogenen Daten an den Betreiber fließen und kein Tracking stattfindet, liegt keine Auftragsverarbeitung vor. Weiter heißt es: „Die Tatsache, dass auch beim Hosting von statischen Webseiten zwangsläufig IP-Adressen, d.h. personenbezogene Daten, verarbeitet werden müssen, führt nicht zur Annahme einer Auftragsverarbeitung. Das wäre nicht sachgerecht. Die (kurzfristige) IP-Adressenspeicherung ist vielmehr noch der TK-Zugangsvermittlung des Website-Hosters nach dem TKG zuzurechnen und dient in erster Linie Sicherheitszwecken des Hosters.“ (https://www.lda.bayern.de/media/veroeffentlichungen/FAQ_Hosting_keine_Auftragsverarbeitung.pdf) Es sollte deshalb überprüft werden, ob der Hoster Tracking und Auswertungstools zur Verfügung stellt und ob und wie lange Logfiles aufbewahrt werden.
Der häufig verwendete Hinweis, dass seitens des Nutzers keine Widerspruchsmöglichkeit bestehe, entspricht nicht der gesetzlichen Vorgabe. Wird die Verarbeitung auf das berechtigte Interesse des Verantwortlichen gestützt (Art. 6 Abs. 1 lit.f DSGVO), so ist das Recht auf Widerspruch nicht per se ausgeschlossen. Ob dieser jedoch Erfolg hat, ist im Rahmen einer Interessenabwägung zu ermitteln. Auch wenn in der Praxis das berechtigte Interesse des Websitebetreibers wohl überwiegen wird, folgt daraus kein Ausschluss des Widerspruchrechts. Eine solche Formulierung sollte korrigiert werden, da sie dazu führen kann, dass der Betroffene an der Ausübung seines Widerspruchrechts gehindert wird.
Gemäß Art. 13. Abs. 1 lit. e DSGVO, besteht die Pflicht „die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten“ anzugeben. Häufig wird vertreten, dass vorrangig Empfänger namentlich und mit Anschrift zu benennen sind und nur hilfsweise auf Kategorien zurückgegriffen werden darf. Eine andere Auffassung vertritt ein Wahlrecht zwischen der namentlichen Nennung und der Angabe von Kategorien. (Vgl. Daum: Pflichtangaben auf Webseiten MMR 2020 643 (646) m.w.N.) Demnach wäre es ausreichend als Kategorie „Hoster“ anzugeben. Für diese Auffassung spricht jedoch, wenn überhaupt, nur die Übersichtlichkeit. Dem Sinn und Zweck der Vorschrift entspricht es aber vielmehr den Namen und die Anschrift anzugeben, zumal dieser im Rahmen des Hostings bereits feststeht (Vgl. Lorenz: Datenschutzrechtliche Informationspflichten (VuR 2019, 213 (216)).
Für die Feststellung der Speicherdauer sollten die Server- und Applikationseinstellungen überprüft werden, auch um Widersprüche zwischen den angebenden Zwecken zu vermeiden. So kann es beispielsweise zu Unstimmigkeiten kommen, wenn angegeben wird, dass nach jeder Sitzung die Daten gelöscht werden, diese aber gleichzeitig der Stabilität und Sicherheit dienen sollen. Eine allgemeine Mitteilung, die Daten würden so lange gespeichert werden, wie es für die angegebenen Zwecke erforderlich ist, ist nicht ausreichend (Vgl. Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 13 Rn 15). Ausreichend ist aber gem. Art. 13 Abs. 2 lit a. DSGVO die Angabe von Kriterien für die Festlegung der Speicherdauer.