Ich wollte Dich auch keineswegs kritisieren – ich war nur erstaunt, was für unterschiedliche Dinge die Juristen produzieren.
Absolut. Das Wichtigste scheint mir (nach Lektüre div. Artikel und einem Blick in div. Datenschutzerklärungen) auch zu sein, dass man überhaupt eine Datenschutzerklärung hat, die halbwegs vernünftig aussieht und die wichtigsten Daten nennt, die beim „Gebrauch“ einer Website erhoben werden …
Ganz besonders lustig finde ich die Verpflichtung, jedem Nutzer jederzeit Auskunft über die von ihm gespeicherten personenbezogenen Daten zu geben. „Hallo, ich bin Hans Eimer und war vor zwei oder drei Wochen mal auf Ihrer Website. Können Sie mir bitte vollständig ausgedruckt zusenden, was Sie alles über mich gespeichert haben?“ Jo, alles klar
Hat diese Frage nicht giggls in Post #12 für openstreetmap.de beantwortet → Die IP (bei der es ja auch noch streitig ist ob sie personenbezogen ist …) wird 10 Wochen gespeichert und sie wird nur für Sicherheitsfragen gespeichert?
OpenStreetMap
Wir binden die Landkarten des Dienstes “OpenStreetMap” ein (https://www.openstreetmap.de), die auf Grundlage der Open Data Commons Open Database Lizenz (ODbL) durch die OpenStreetMap Foundation (OSMF) angeboten werden. Datenschutzerklärung: https://wiki.openstreetmap.org/wiki/Privacy_Policy —). Nach unserer Kenntnis werden die Daten der Nutzer durch OpenStreetMap ausschließlich zu Zwecken der Darstellung der Kartenfunktionen und Zwischenspeicherung der gewählten Einstellungen verwendet. Zu diesen Daten können insbesondere IP-Adressen und Standortdaten der Nutzer gehören, die jedoch nicht ohne deren Einwilligung (im Regelfall im Rahmen der Einstellungen ihrer Mobilgeräte vollzogen), erhoben werden. Die Daten können in den USA verarbeitet werden. Weitere Informationen können Sie der Datenschutzerklärung von OpenStreetMap entnehmen: https://wiki.openstreetmap.org/wiki/Privacy_Policy.
Erstellt mit Datenschutz-Generator.de von RA Dr Thomas Schwenke
Schon ich mit meinem Halbwissen lese hier Falsches heraus. Es beginnt damit, dass DE und ORG als das Gleiche behandelt werden. Wahrscheinlich wird hier auch wieder Datenbank und Kartenanbieter vermischt.
Liege ich richtig, ist auch der Text falsch? Liegen die DE Kacheln alle in Deutschland bei Strato.de (Auf https://www.openstreetmap.de/server.html steht das Strato.de Server genutzt werden. Ich habe Strato angefragt, ob die DE Server alle in Deutschland oder Europa stehen - ich habe allerdings noch keine Antwort …).
Falls ich richtig liege, sollte man Herrn Schwenke einmal auf diesen Forums-Zweig hinweisen?
Auf jeden Fall. Wie ich schon weiter oben angedeutet habe, arbeitet er derzeit an der Datenschutzerklärung und da ist wohl ein OSM-Passus hinzugekommen.
Allerdings kann sich Herr Schwenke nun wirklich nicht mit den Feinheiten - und Gemeinheiten - von OSM auskennen.
Als rechtlich ziemlich Unbedarfter kann ich ihm sicher nicht weiterhelfen.
OpenStreetMap beendet die Abhängigkeit von den Anbietern proprietärer Daten und setzt dem reinen Konsumieren kreative Aktivität entgegen. Durch die Zusammenarbeit der Projektmitglieder entsteht eine freie Geodatenbank, die weltweit allen Menschen zur Verfügung steht.
Ich glaube hier geht es das Wort Zusammenarbeit. OpenStreetMap möchte zusammen etwas Aufbauen, das zusammen genutzt werden kann. Du kannst hier also mitmachen und mitgestalten. OpenStreetMap macht kein Geld damit. Nur Kartenanbieter die einen Mehrwert bieten, verlangen Geld für Ihre Leistung.
Google Maps bietet mehr Komfort, weil Google Geld mit den Daten die es sammelt verdient. Google hat ein starkes Interesse daran, dass seine Services genutzt werden. Bei Google musst du allerdings Vorgegebenes nutzen und kannst nicht selbst gestalten. Wenn du etwas auf der Karte Google Maps korrigiert, entscheidet Google ob es in Google Maps aufgenommen wird und es gehört Google.
Mir ist noch nicht klar, wo die Server stehen, die die Openstreetmap.DE Karten ausliefern. Wenn ich bisher alles richtig verstanden haben, ist es ein großer Unterschied, ob die Daten in einem Mitgliedstaat der Europäischen Union verarbeitet werden - oder nicht.
Strato antwortet mir nicht auf die Frage, wo die Server stehen. Müssen sie ja auch nicht, ich bin keine Kundin. Eigentlich müsste Strato aber eine Vereinbarung über die Auftragsverarbeitung mit Openstreetmap.DE abgeschlossen haben. Aus dieser Vereinbarung müsste der Ort der Server hervorgehen.
Gibt es hier jemanden, der diese Vereinbarung einsehen kann?
Ich habe inzwischen auf tile.openstreetmap.de ein Apache Modul laufen, dass die IP-Adressen für die logfiles nach 24 Bit abschneidet. Der Personenbezug ist dadurch endgültig nicht mehr gegeben.
Und weil es noch Fragen zum Serverstandort gegeben hat:
Der Server steht beim Geoforschungszentrum in Potsdam und wird als colocation betrieben.
Dass man für colocation keine Auftragsdatenverarbeitungsverträge braucht scheint sogar bei Rechtsverdrehern unstrittig zu sein.
Laut Strato haben die “nur” Rechenzentren in Deutschland (Karlsruhe und Frankfurt/Main) und gehört zur deutschen Firma “United Internet”.
Trotzdem weiß ich jetzt immer noch nicht, was ich beim Einbinden einer Karte (Tiles-Server) von OpenStreetMap.org in die Datenschutzerklärung reinschreiben soll. Hier heißt es ungefähr übersetzt, dass der Tile-Server, die OSM API und die Nominatim-Suche einiges aufzeichnet u.a. web-logs. Zusätzlich wird hier und da, keiner weiß wo, Piwik eingesetzt. Dann wird über GEO-DNS noch festgestellt, von wo ich ungefähr meine Anfrage stelle. Dies wird dann an einem Server “in meiner Nähe” mitgeteilt, dass dieser mir möglichst flott die Tiles (Kartenpuzzleteile) ausliefert. Da steht aber nicht wie lange diese (nicht anonymisierten?) web-logs aufgehoben werden, sondern nur warum. Und wenn ich richtig übersetzt habe, dann werden auch meine Suchanfragen für Adressen über Nominatim gespeichert. Ob diese Anfragen auch mit IP-Adressen verknüpft sind und wie lange diese Anfragen aufgehoben werden, kann ich dort auch nicht rauslesen. Nur eines wird versprochen, dass die Daten nicht an Dritte weitergeben werden. Meines Erachtens in Gänze ziemlich belangloses und allgemeines Bla, blah. Ich würde mir etwas genauerer Angaben wünschen, vor allem darüber was von welchem OSMF-Dienst gespeichert wird und wie lange dies dann aufgehoben wird. In die persönlichen Daten reingucken dürfen ja angeblich nur die Systemadmins und bestimmte OSMF-Arbeitsgruppen?!? Eine feine Tabelle aufgeschlüsselt nach Diensten wäre vielleicht ein Anfang… . Verlange ich da zuviel bzw. ist das laut DSGVO gar nicht erfoderlich?
Hast Du eigentlich gelesen was ich geschrieben habe? Strato hat mit dem Tileserver nicht die Bohne zu tun!
Da der Tileserver gar keine persönlichen Daten erhebt brauchst Du gar nichts in die Datenschutzerklärung reinzuschreiben, wenn Du wirklich nur die Tiles enbindest und sonst nichts.
Du beziehst Dich doch auf tile.openstreetmap.DE, oder? Jede IP-basierte Kommunikation (Internet) basiert auf IP-Adressen, dies sind nach überwiegender Meinung (auch bei dynamischer Vergabe durch die Provider) persönliche Daten. Du anonymisierst die 32-bit langen IPv4?-Adressen durch Abschneiden auf 24-Bit, das ist sehr vorbildlich. Mit anderen Worten Dein Web-Log speichert überhaupt keine persönlichen Daten? Bei Hackerangriffen (z.B. DDoS) hast Du dann aber keinerlei Aufzeichnungen über die Quelle des Angriffs. Viele zeichnen und bewahren diese web.logs deshalb wenigstens 7 Tage lang auf, Grund bzw. Zweck i.S.v. Art. 6 Abs. 1 Buchstabe f DSGVO ist die Gefahrenabwehr.
Ich bezog mich aber auf die Tile-Server von ?.tile.openstreetmap.org und deren Datenschutzerklärung. Allerdings muss ich um Entschuldigung bitten, da es in dieser Diskussion reineweg nur um openstreetmap.DE geht (OT). Soll ich lieber einen neuen Diskussionsfaden starten?
Der Meinung bin ich zwar nicht, weil z.B. in den Mobilfunknetzen und Dual-stack lite setups nach außen oft nur noch eine Hand voll öffentlicher IP-Nummern für alle verwendet werden, aber mir ist klar, dass die Juristen behaupten IP-Nummern seien persönliche Daten.
Genau das habe ich doch geschrieben.
DDOS auf Tileserver sind ja eher in Form von Tilescrapern als irgend etwas anderes und da hilft mir die IP-Nummer ohnehin wenig.
Habe ich noch nicht drüber nachgedacht was da gespeichert wird. Das hat aber in diesem thread tatsächlich nichts verloren.