Datenschutzerklärung

Inhalt:

Teil 1 - Für Besucher dieser Webseite
 

Teil 2 - Allgemein zu personenbezogenen Daten

Teil 3 - Anschriften von Kunden

Teil 4 - Druckdaten

Teil 5 - Grundsätzliche Maßnahmen

Teil 1 - Besucher dieser Webseite betreffend

Da haben wir sicher des öftern als erstes folgende Frage:
Warum ist diese Seite nicht "sicher"?

Die Antwort ist zweigeteilt und trivial:

Zunächst mal ist seitens des Hosters (hier die Telekom) und unsererseits ein nicht unerheblicher Aufwand erforderlich. Das soll bei neueren Kunden problemloser sein, aber bei Altkunden ist ein neuer Vertrag erforderlich.
(So zumindest unser Informationsstand vom Frühjahr 2018)

Der zweite Teil der Antwort:
Sie wissen zwar nicht sicher, dass Sie wirklich auf unserer Webseite sind - aber das hat keinerlei Einfluss auf irgendwelche Geschäfte oder Verträge! Diese kommen über diese Webseite definitiv nicht zustande (und das mit Absicht).

Vertäge oder Geschäfte zwischen einem Kunden und neue PERSPEKTIVEN kommen ausschließlich über persönlichen/ telefonischen/ oder Mailkontakt zustande - das bestätigen dann alle Beteiligten prinzipbedingt mehrfach.
Sollten Sie dies hier auf einer "gefakten" Seite sehen, wird das vor jedem Vertragsabschluss deutlich zu erkennen sein.

Selbstverständlich ist eine Umstellung auf https in Planung.

Als nächstes ist es für einen Besucher dieser Webseite von Bedeutung, was hier gespeichert wird etc.

Die Antwort sehr einfach:
Gar nichts wird gespeichert oder personenbezogen ausgewertet!

Zur Erläuterung:

• Diese Webseite dient alleine der Information unserer Kunden
• Im Grunde würde die Webseite auch mit einfachstem html funktionieren - es sind ein paar Gimmiks und Funktionalitäten eingebaut, die sich über JavaScript sehr gut lösen lassen - Diese Scripte sind aber so offen, dass es jedem Besucher dieser Webseite freisteht, sich den Code über die Browserfunktion ''Quelltext anzeigen" anzusehen.
• In diesem Betrieb wird auf allen Rechnern, die Kontakt zur Außenwelt haben NoScript eingesetzt (wer nähere Informationen dazu haben möchte: Bitte die Suchmaschine der Wahl benutzen). Diese Webseiten funktionieren trotzdem mit den Standarteinstellungen von NoScript.
• zB auf der Seite "Copyshop" wird den Kunden eine Möglichkeit geboten sich Preise für ihre Druckprodukte zu errechnen - Diese Seite entstand um 2010. Es wurde schon zu der Zeit darauf hingewiesen, dass absichtlich nichts übertragen wird, sondern dass es notwendig ist, den über JavaScipt erzeugten Textblock (der alle notwendigen Informationen enthält) manuell mit den Standartfunktionen eines Browsers zu kopieren und in eine Email einzufügen.
  Dieses Vorgehen ist sicherlich nicht kompatibel mit der Ideologie von "buy by one click" - hat aber seine Gründe in einem hohem Anspruch an Datensicherheit: Sie sollen entscheiden, was Sie übermitteln!
• Nach diesem Prinzip funktioniert die gesamte Webseite, auch wenn das für mache Benutzer etwas ungewohnt ist, weil scheinbar nicht komfortabel genug.
• Die Frage nach Keksen im digitalem Sinn erübrigt sich: Nach zuvor geschriebenem sollte klar sein: Diese Webseite verwendet keine "Cookies".

Die Einschränkung Nr1:

• Natürlich erhebt die Telekom als Hoster dieser Webseite Daten und stellt diese auch dem Betreiber der Webseite (Uns) zur Verfügung.
• Auch wenn wir uns nur gelegentlich diese Daten ansehen: Diese sind dennoch vorhanden. Zu einer vernünftigen und für die Benutzer nachvollziehbaren Datenschutzerklärung gehört es demzufolge auch, dass die Vorgehensweise des Providers transparent gemacht wird.

Die Telekom erklärt dazu

Für alle Homepage-Produkte gilt:

Jeder Besucher Ihrer Homepage wird in einem Logfile erfasst. Anhand dieser Logfiles wird die Statistik im Homepagecenter generiert. Um datenschutzkonform zu handeln, werden die IP-Adressen der Besucher auf unserem Server pseudonymisiert und Ihnen auch nur so angeboten. Es findet keine personenbezogene Speicherung von Daten durch die Telekom statt. 

Die Einschränkung Nr2:

• Selbstverständlich ist es rein technisch so, dass Sie, wenn Sie freiwillig oder über einen versehendlichen Klick (den Sie dann zumindest noch im Mailclient bestätigen müssen) auf den "mailto" Bereich dieser Webseite eine Email an uns senden, diese nicht von alleine im Nirvana verschwindet.
• Zu der Frage was nun mit diesen (Ihrerseits) freiwillig und bewusst (Sie haben eine weitere Software, die auf Ihrem Rechner installiert ist bemüht) zugesendeten Daten passiert:
  Kurz gesagt haben Sie folgende Rechte, falls doch personenbezogene Daten von Ihnen unbeabsichtigt bei uns landen:

1. Auskunft

2. Löschung

3. Berichtigung

4. Widerspruch

• Selbstverständlich kann jederman*frau (so schreibt man das heute wie ich glaube - die Regeln sind da ja nicht so eindeutig), der Kontakt zu uns hatte, Informationen über die gespeicherten Daten erfragen.
  Diese werden erteilt und auf Anforderung auch umgehend gelöscht oder geändert:
• Ausnahme1:
  Die gesetzlich vorgeschriebene Aufbewahrungsfrist für Rechnungen steht dem entgegen.
• Ausnahme2:
  Es ist nicht direkt ersichtlich, dass es überhaupt einen Kontakt gegeben hat. Derjenige, der auf die Löschung seiner personenbezogenen Daten besteht, sollte schon einen Termin/Grund für einen Kontakt -wie auch immer geartet- angeben können.
   

Nicht ganz konventionell ... Aber meine Kollegen und ich haben uns in den letzten Wochen etliche Datenschutzerklärungen angesehen.

Da steht oft soviel drin, dass die wesendlichen Punkte ganz sicher untergehen. Es mag sein, dass Juristen das anders sehen, aber am Ende geht es bis hier nur darum, dass Sie als Besucher dieser Webseite wissen woran Sie sind. Sollte einem Juristen ein gravierender Fehler auffallen bitten wir um Mitteilung (auf welchen Wege auch immer - siehe Impressum)

Kommen wir nun zu Teil 2

Personenbezogene Daten von Kunden bzw anfragenden potentiellen Kunden, die innerbetrieblich gespeichert werden.

Dazu sollten wir uns die verschiedenen Wege ansehen, wie hier überhaupt Daten landen können:

• Der persönliche Kontakt
  Da wird zunächst mal gar nichts gespeichert und auch nicht nach dem Namen gefragt.
• Der telefonische Kontakt
  In diesem Fall wird von der Telefonanlage die Nummer des Anrufers gespeichert, was an die angeschlossenen Telefone weitergereicht wird. Alle Geräte speichern ca 100 Nummern, bis diese nach hinten rausfallen. Ausnahme: Die Telefonanlage selbst. Diese hat aber technisch keinerlei Zugang zu Namen oder anderen Daten um die Telefonnummer bestimmten Personen oder Ereignissen zuzuordnen
  Telefonnummern werden nur nach Absprache mit Ihnen einem bestimmtem Kontakt (sei es Ihr Privatname oder Ihr Firmenname) zugeordnet. Selbst wenn Ihre Firma hier Kunde ist und diverse Verbindungsdaten vorhanden sind, wird ihre zb ausnahmsweise genutzte Mobilnummer nicht diesem Kontakt zugeordnet. Keine Telefonnummer wird ohne Rücksprache dauerhaft gespeichert geschweige denn einem Namen/Nick/ .. zugeordnet.
  Erklären Sie Ihr Einverständnis, wird Die Telefonnummer entsprechend zugeordnet (Adressbuch für Telefonie und Emails)
• Der Kontakt per Email
  Alle eingehenden Emails werden beim Provider gespeichert. Hier im Betrieb greifen verschiedene Geräte auf diese Daten zu. Die Geräte kann man wie folgt unterscheiden:
  Klasse 1 wie Mobiltelefone speichern nicht bzw nur kurzzeitig lokal. Nach max 200 Einträgen verschwinden die Emails wieder von diesen Geräten.
  Klasse 2 sind einige Mailclients auf verschiedenen Rechnern. Zwei davon spiegeln den Imap Server lokal und vollständig. Diese beiden Clients verknüpfen die Emails auch mit im syncronisiertem Adressbuch gespeicherten Kontakten. Im Adressbuch werden also Namen/ Telefonkontakte und Emails zusammengeführt gespeichert.
  Auch dies geschieht nicht ohne Ihr ausdrückliches Einverständnis.
  
  Der Weg in das Adressbuch hängt also immer an Ihrem ausdrücklichem Einverständnis.
  
• Von letztgenannten Clients speichert einer im Abstand von ungefähr 2 Jahren die gesamte Emailkorrespondenz in ein Backup.
  Der Zeitabstand kommt durch die Mitteilung des Providers zustande, dass nun bald kein Platz mehr im Postfach ist ... ;-))
  Zu diesem Anlass fallen nun alle Emails raus, die älter als ca 1 Jahre sind und deren Absender nicht in das Adressbuch übernommen wurde.
  
  Hatten Sie also vor 4 Jahren mal ein einzelnes Angebot angefordert und möchten sich jetzt wieder darauf beziehen, wird das schwierig werden, was den Emailverkehr angeht.
  Die Backups der Korrespondenz mit langjährigen (auch ehemaligen) Kunden reichen ca 10 Jahre zurück, was im Falle einer nachträglichen Prüfung zB des Finanzamtes erforderlich ist, falls es zu erweiterten Fragen kommt.
  Von einem Privatkunden, der irgendwann mal eine Einladungskarte hat drucken lassen, wird sich allerdings nichts mehr finden.

Soweit zum Umgang mit den absichtlich oder nebenbei eingehenden Kontaktdaten. Wichtig ist bis hier:

• Es gibt keine Verbindung zu vollständigen Namen oder Anschriften. Es war zwar vor etlichen Jahren mal so, dass wir versucht haben von Kunden einen vollständigen Datensatz anzulegen (also Name, Vorname, .... alles dabei halt - wie "man" das halt wohl so macht und was auch auf den Kontaktformularen diverser Anbieter regelmäßig abgefragt wird) - Das hat sich jedoch als recht unsinnig erwiesen, weil im Alltag völlig irrelevant und die Pflege zu fehleranfällig. Alle geschäftlichen Vorgänge lassen sich problemlos zumeist sogar nur mit Hilfe von dem Mobiltelefon abwickeln (welches ebenfalls auf das oben genannte Adressbuch zugreift) Fehlt irgendwann mal zB eine Adresse oder Telefonnummer, so ist diese entweder über Internet oder über die Signaturen der Emails verfügbar.
  Die damals angelegte Datenbank ist mittlerweile bereinigt und enthält nur noch Lieferantendaten.

Kommen wir also zu Teil 3 personenbezogener Daten -
Die Rechnungsanschriften:

• Dies sind aktuell folgende Daten
  Firma oder Name - Zusatz - Straße/Hausnummer - PLZ - Ort - Land
• Diesen Datensatz erstellen wir, sobald ein Kunde ein Produkt auf Rechnung kauft - ist der Kunde Barzahler läuft er als eben solcher ohne irgendwelche Daten.
• Diese minimalen Datensätze müssen (technisch bedingt, weil digital gespeichert) für die gesetztllich vorgeschriebene Zeit von 10 Jahren aufbewahrt werden.
  
  Selbstverständlich können wir hier auch den Sie betreffenden Datensatz löschen.
  Nur die digitalen Rechnungskopien und seit einigen Jahren die digitalen Orginale dürfen wir nicht löschen.
  Es ist natürlich möglich das entsprechende Verzeichnis nach beliebigen Stichwörtern zu durchsuchen und es wird auch ein Ergebnis geben.
   
• Es ist zukünftig geplant auch die Emailadresse des Rechnungsempfängers in die hier vorliegende "Liste" zu integrieren. Wenn dies gemacht wird, werden wir zuvor um Ihr Einverständnis bitten.
  Sinn dieser Umstellung wird es sein auch die digitalen Rechnungsorginale für den Versand verwenden zu können und automatisierte Statusmeldungen zu Aufträgen zu versenden.
  
   
• Es geht hierbei um Rechnungsempfänger! Dieser Datensatz ist nicht automatisiert oder manuel mit dem oben genanntem Adressbuch verknüpft.
   
• Auch hier gilt, das Sie folgende Rechte haben:

1. Auskunft

2. Löschung

3. Berichtigung

4. Widerspruch 

Teil 4: Druckdaten

Hier zunächst eine Definition:

• Bis an diese Stelle geht es um personenbezogene Daten im klassischem Sinn: Name, Anschrift, ...
• Nun gibt es bei uns jede Menge Daten, die damit eigentlich nichts zu tun haben: Druckdateien für einen Folder ein Buch oder nur eine Einladungskarte. Im Folgenden heißt es also nicht mehr Daten, sondern "Dateien". Wir wissen oft nicht was in diesen Dateien enthalten ist (weil es letztlich nicht darum geht - lesen können wir schon)

Hier unterscheiden wir zwischen Institutionellen Kunden und Privatkunden

Privatkunden:

• Diese Dateien landen in einem Eingangsverzeichnis
• Diese Dateien werden frühestens nach Begleichung der Rechnung gelöscht (für den Fall von Reklamationen) - spätestens zum folgenden Jahreswechsel beim "groß reinemachen"
• Ausnahme: Sie bitten um Aufbewahrung oder Sie bitten aus persönlichen Gründen um eine sofortige Löschung
  
  Ergänzend hierzu: In diese Rubrik fallen auch institutionelle Kunden, die nur Kleinigkeiten drucken lassen
  
  Weitere Ergänzung:
  Es ist schon des Öfteren passiert, dass Kunden zB ein Hochzeitsbild haben drucken lassen, und fragten ob das denn nach Beendigung des Jobs sicher gelöscht wird ... selbstverständlich
  Wir möchten nicht dafür verantwortlich sein, dass irgendwann ein Bild der tollen Hochzeit im Internet auftaucht, wenn die Ehe schon längst in die Brüche gegangen ist ...
  Es können auch die privaten Fotos von ein paar Menschen sein die offensichtlich Spaß an eine Fotogeschichte hatten und nicht möchten, dass diese an unbefugte geht... selbstverständlich! Und zwar so, dass wirklich sicher gelöscht wird: Mit Überschreiben der Daten mit Nullen usw.

Das Vorgehen in einem solchem Fall wird immer bei Auftragserteilung besprochen. Selbstverständlich haben Sie auch hier die Möglichkeit:

1. Auskunft

2. Löschung

3. Berichtigung (entfällt, weil schlicht Blödsinn)

4. Widerspruch (entfällt, weil schlicht Blödsinn) 

Geschäftskunden (Institutionen/Vereine/Firmen/...):

• Deren Datein werden in Absprache mit den Kunden dauerhaft gespeichert.
  Sei es um unproblematisch Nachdrucke zu erstellen oder um bei Daten- (bzw besser Dateien-) Verlust helfen zu können.
• Selbstverständlich haben auch Geschäftskunden die gleichen Rechte wie Privatkunden

 

Teil 5: Grundsätzliche Maßnahmen

• Niemand außer vertrauenswürdigen Mitarbeitern hat zu den "irgendwie" personenbezogenen Daten Zugang. Kennwortschutz, Userbasierte Zugriffsrechte (dH nicht jeder, der auf einen Rechner zugreifen kann, kann auch auf die angeschlossenen Recourcen zugreifen. In diesem Bereich werden keine Windowsrechner verwendet.
  Auf den Mobiltelefonen, die personenbezogene Daten speichern, ist eine Funktion installiert, die ein sofortiges Löschen bei einem Diebstahl erlaubt (was letztlich im eigenem Interesse ist).
• Alle technisch möglichen Vorkehrungen, die ein unbefugtes Lesen der Daten verhindern sind installiert (Unter sorgfältiger Abwägung zwischen maximaler Sicherheit und Praktikabilität)
  Dazu gehört auch der technische Aufwand die Rechner physikalisch vor Diebstahl und sonstiger Zweckentfremdung zu schützen.
  Es ist durchaus so, dass dies im Alltag gelegentlich Probleme verursacht, weil der Zugriff auf andere Dateien nicht wie gewünscht reibungslos für jeden User funktioniert.
• Es wird auf keinem der hier installierten Geräte bzw Rechner irgendetwas wie "Whatsapp", "Facebook", o.Ä. verwendet.
• Rechner, welche "nur" Maschinen steuern (deren einziger Job ist es, die Funktionen der Maschinen zu regeln) haben über die Firewall keinerlei Zugang zur Außenwelt. Diese Rechner können nicht auf das Netzwerk zugreifen, sondern können nur von außen schreibend erreicht werden.
• Diejenigen Kunden, für die wir Mailings versenden, werden in den nächsten Tagen bzw vor dem nächsten Auftrag angeschrieben werden, um einen passenden Vertrag zum Vorgehen bei der Verarbeitung von personenbezogenen Daten (Auftragsdatenverarbeitung) abzuschließen.
• Ab Mai 2018 werden alle Löschungen von Daten aus den Mailclients oder von Dateien von Privatkunden In einem Protokoll vermerkt (natürlich nur der Vorgang an sich :-))

Schlussbemerkung:

Es ist im Grunde nicht zu dulden, dass unsere Kunden freiwillig per Akzeptanz der AGBs von Firma xy einwilligen, unsere Kontaktdaten (nicht die unserer Kunden, sondern unsere eigenen) an eine Firma in den zB USA weiterzuleiten.
Dies machen wir nicht, und dies wollen wir auch von niemand Anderem.
Es ist schon erstaunlich, mit wem man sich alles über die unseres Erachtens illegale Weitergabe von personenbezogenen Daten unterhalten muss, nur weil die App xy ja so praktisch ist.
Von wenigen privaten Ausnahmen ist mir selbst auch keine Situation bekannt, in der es die Internetgrunddienste nicht auch täten - und letztlich genauso praktikabel.

Allen, die diese Schlussbemerkung nicht verstehen, empfehlen wir eine intensive Auseinandersetzung mit statistischen Methoden. Evtl könnte es hilfreich sein, sich mit dem Begriff "Rasterfahndung" auseinander zu setzen. Dies geht nicht gegen die Behörden unseres Staates! Es soll nur einen Anhalt dafür geben, ab wann Themen der Datensicherheit eigentlich relevant wurden. Relevant in einem Rahmen, der die von natürlichen Personen durchgeführte Überprüfung durch eine maschinelle ersetzte.

In der Hoffnug mit größtmöglicher Transparenz und Offenheit auch formal den aktuellen gesetzlichen Vorgaben genüge getan zu haben ..

mfg
Eku Rochla (Inhaber)

Bremen, 22.05.2018