Schulverpflegung - Drittquellen bedenklich?

Für die Schulverpflegung müssen wir uns bei einem Anbieter registrieren der folgende Skripte/Drittquellen einbindet. Habe ein komische Gefühl dabei, da ich nicht sicher bin ob dabei Daten an google übermittelt werden. Ist das Bedenken berechtigt?
Daten sind Name, Anschrift, Kontodaten, Sepa Einzug.

Ohne die Scripte/Quellen ist ein Absenden des Formulars anscheinend nicht möglich.
Würde den Anbieter und die Stadt gerne diesbezüglich anschreiben und meinen Unmut ausdrücken.
Ohne die Registrierung, keine Betreuung :frowning:

grafik
Bildschirmfoto_url

1 „Gefällt mir“

Meist liegt es an Recaptcha.

Versuch es mal damit in den dynamischen Regeln:

und evtl. noch für hcaptcha:

Fonts Google kann man bei uMatrix uBlock meist folgenlos blocken, außer bei Bildercheck.
Probiere sicherer Addons Antitracking wie Privacy Badger oder Ghostery.
Aber diese Seite hat ihre Daten wohl sowieso komplett an Google Server übergeben …

Danke für die Rückmeldung. Die dynamischen Regeln werde ich heute Abend testen.

Muss ich mit denn Sorgen machen, dass Daten die ich in das Formular eingeben muss durch die Scripte an google gesendet werden?
Wenn ich das richtig verstanden habe, eher nicht. Da die Scripte aber von externen Servern geladen werden, würde die IP, also ein personenbezoigenes Datum an die Server übermittelt.
Ist meine Annahme so richtig?

(Seufz!)

Man müsste den Anbieter auffordern, „das Internet zu reparieren“.

Er kann wahrscheinlich nicht rechtfertigen, die IP-Adresse etc. seiner Besucher an die eingebundenen Dienste (Google, unpgk, bootstrapcdn) zu übermitteln. Auch wenn Google Fonts von Google reCaptcha o. ä. mitbebracht werden, füttert es Google mit Anbaben, wer, wann, was… und kann dort zur Profilbildung beitragen. Evtl. gibt es auch noch Cookies, die technisch nicht erforderlich, alse einwilligungspflichtig wären. Evtl. gibt es einen Einwilligungsdialog (der oft nicht in Ordnung ist) oder Datenschutzinformationen, die etwas davon beschreiben.

Anschreiben, sich die Rechtsgrundlagen für alles erklären lassen, bei „berechtigten Interessen“ widersprechen und Umsetzung auch bei den eingebundenen Diensten verlangen.

D., der dem Schulverpfliegungsdienst (besonders wenn er darauf angewiesen wäre) seine Standardkopfwäsche verpassen würde. Die erst mal als besorgte Frage beginnt.

Dafür gibt es keine Anspruchsgrundlage.

Informationsrecht: Zwecke (und Rechtsgrundlagen)
Auskunftsrecht: Zwecke und Rechtsgrundlagen

D., der nicht erwartet, mit mehr als der Datenschutzerklärung abgespeist zu werden.

Das ist ja das Tolle am Art. 15 DSGVO: Zwar ist nach den Artt. 13 und 14 DSGVO die verantwortliche Person verpflichtet, in ihren Datenschutzinformationen die Rechtsgrundlage für die beabsichtigte Datenverarbeitung anzugeben, jedoch nicht im Rahmen der Auskunftspflicht nach Art. 15 DSGVO.

Zwar bestreiten manche Geister, es sei nicht sachgerecht, dass nach der Datenerhebung kein Anspruch mehr besteht auf Mitteilung der Rechtsgrundlag der Verarbeitung.

Meines Erachtens bestehen dafür aber vernünftige Gründe dafür, dass die verantwortliche Person im Rahmen des Art. 15 DSGVO die Rechtsgrundlagen der Verarbeitung nicht mitteilen muss. Der Zweck des Auskunftsanspruchs nach Art. 15 DSGVO besteht darin, der betroffenen Person (a) Kenntnis davon zu verschaffen, welche Daten zu welchem Zweck verarbeitet werden, um (b) ihr zu ermöglichen, ihre Rechte wahrzunehmen. Welche Rechte die betroffene Person hat, muss die verantwortliche Person ebenfalls mitteilen, siehe Art. 15 Abs. 1 Buchstaben e) und f) DSGVO. Die verantwortliche Person muss sich aber in diesem Stadium nicht mehr durch Mitteilung der Rechtsgrundlagen dafür rechtfertigen, dass sie die Daten verarbeitet. Es darf unterstellt werden, dass sie die Daten rechtmäßig erlangt hat und verarbeitet und bei der Erlangung der Daten die betroffene Person ordnungsgemäß auch über die Rechtsgrundlagen der beabsichtigten Verarbeitung informiert hat. Es ist nun allein Sache der betroffenen Person, anhand der ihr im Rahmen von Art. 15 DSGVO mitgeteilten Tatsachen und Rechte zu prüfen, ob die Voraussetzungen vorliegen, unter denen sie die ihr zustehenden Rechte ausüben kann.

Kontrollüberlegung: Als Rechtsgrundlagen kommen in Betracht

  • die Einwilligung der betroffenen Person; die betroffene Person weiß selbst, ob sie der verantwortlichen Person eine Einwilligung erteilte oder nicht oder widerrief;
  • die Durchführung eines Vertrags mit der betroffenen Person; die verantwortliche Person weiß selbst, ob zwischen ihr und der verantwortlichen Person ein Vertrag besteht;
  • die Erfüllung einer Rechtspflicht, der die verantwortliche Person unterliegt; wenn diese Rechtspflicht entfallen sein sollte, wäre auch der Zweck der Verarbeitung entfallen, und über den Zweck muss ohnehin Auskunft erteilt werden;
  • der Schutz lebenswichtiger Interessen; das ist ebenfalls in erster Linie die Frage nach dem Zweck;
  • die Wahrnehmung einer öffentlicher Aufgabe; ebenfalls Zweckfrage;
  • die Wahrung berechtigter überwiegender Interessen der verantwortlichen Person; über die Interessen hat die verantwortliche Person die betroffene Person bereits bei der Datenerhebung informiert; die betroffene Person kennt ihre eigenen Interessen, also muss sie jetzt prüfen, ob sich ihre eigenen Interessen geändert haben.

All das zeigt: Die nachträgliche nochmaligen Mitteilung der Rechtsgrundlagen verschüfe der betroffenen Person keinen Erkenntnisgewinn. Alles, was sie zu den Rechtsgrundlagen wissen muss, weiß sie bereits. Es ist Sache der betroffenen Person zu prüfen, ob sich durch Umstände aus ihrer Sphäre etwas an der Tragfähigkeit der Rechtsgrundlagen geändert hat. Wenn ja, kann sie ihre Rechte gegenüber der verantwortlichen Person geltend machen.

Zurück zu den Drittquellen des Ausgangsbeitrags: Wahrscheinlich macht der Schulspeisunganbieter bzw. der Portalbetreiber geltend, die Verarbeitung von personenbezogenen Daten durch die eingebundenen Drittunternehmen und Technologien sei für die Durchführung des Schulspeisungsvertrags erforderlich.

Dann darfst Du nun fein säuberlich prüfen, welches „erforderlich“ hier gemeint ist: „erforderlich“ im Sinne von DSGVO oder „erforderlich“ im Sinne von TDDDG.

Viel Vergnügen!

Danke für die Antworten.
Ich finde es einfach nur noch frustrierend.
Ohne Registrierung keine Betreuung. Caterer macht die Abrechnung, da nicht genügend Personal bei der Stadt.
Es ist für mich nicht begründbar z.B. google fonts extern einzubinden, geht nach meinen recherchen auch über den eigenen Server. Gleiches wohl auch für einige der frameworks. Für google analytics gibt es auch alternativen. Datenschutzbeauftrager is eine Steuerberater/Rechtskanzlei.
Ich denke die berechtigten Interessen wurden einfach rechtlich weit ausgelegt und es technisch Datenschutzfreundlciuh auzulegen ist nicht gewollt.

Finanzdienstleister zur Abrechnung ist auch nicht ersichtlich und ich habe bedenken, das dort mit ähnlicher Sorgfalt ausgewählt wurde wie beim Bau der Webseite/registrierungsportals.

Aktuell muss ich die Seite nutzen, da Betreung benötigt im frühen Nachmittag.
Stadt und Dienstleister werden angeschrieben auch wenn sich vermutlich nichts ändern wird.
Keine Rückmeldung zu geben ist für mich aber auch keine Lösung.

Wenn ich es richtig sehe bekommen die Anbieter der eingebundenen Ressourcen meine IP. Da ich ansonsten versuche scripte, google und Werbenetzwerke zu blocken sollten ansonsten eher weniger Daten vorliegen die verknüpft werden können.
Habe bisher auch keine Hinweise geufnden, das die Formualrdaten wie Name, Anschrift, Bankdaten an diese Drittanbieter ressourcen übermittelt werden. (Hoffe ich jedenfalls).

Logisch. Machst Du mit Deinen widerstreitenden Interessen schließlich genauso. Und bitte nicht vergessen: Art. 1 der Datenschutz-Grundverordnung hat auch einen Absatz 3.

Wenn die Rechtsgrundlage nicht nochmal angegeben werden muss, wird sie praktisch fehlen, weil sie aus den meisten Art. 13-Informationen nicht hervorgeht.

Schon dort steht häufig „Hier sind alle Erlaubnistatbestände. Such dir was aus!“"

D., der schon gern nachvollziehen möchte, dass alle Teilverarbeitungen jeweils zulässig sind. Das geht nur, wenn sich sagen lässt, welche worauf beruht. (Kann passieren, dass im Workflow Einwilligung vorgesehen und angegeben ist, und in diesem einen Fall wurde das Formular nie unterschrieben. Verarbeitet wird trotzdem, ohne Erlaubnis.)

Bevor wir weiter im luftleeren Raum schwadronieren: Was steht konkret in den Datenschutzinformationen der Website, um die‘s hier geht?

Du versuchst verkehrt herum, das Pferd aufzuzäumen.

Du darfst und musst davon ausgehen, dass der Betreiber der Website die Daten rechtmäßig verarbeitet, sofern Du nicht konkrete Anhaltspunkte – also Tatsachen – kennst, die das Gegenteil nahelegen.

Wie gesagt: Das steht in der Artikel-13-Information. Wenn Du diese Information nicht bekommen hast oder trotz Deiner Meinung nach ungenügender Informationen übermittelt hast: Selbst schuld. Du gehst doch auch nicht ins Kino, wenn Du nicht weißt, was läuft, und beschwerst Dich hinterher, dass nicht genau der Film lief, den Du sehen wolltest.

Ich bin mir gerade nicht sicher ob ich vielleicht ungünstig erklärt habe.
Das der Dienstleister Daten zur Abrechnung erheben muss ist klar und nicht das Problem.

Ich stoße mich daran und finde es nicht vertrauens-fördernd, wenn sensible Daten verarbeitet werden müssen und sorglos scripte und Schriftarten von Servern abgerufen werden müssen die zu anbietern gehören, deren Geschäftsmodell in meinen augen fragwürdig ist. warum müssen Dritte erfahren wann ich mit welcher Ip was aufgerufen habe. Das macht die Webseite des Caterer ja nicht besser.

Tut mir leid das ich mir hier meinen Frust weg schreibe. Ich verstehe einfach die Einstellung nicht, das sorglos google und sonstigen Dienste eingebunden werden weil es vermutlich bequem ist.

Mein Standpunkt ist, das Google fonts, google analytics, sind nicht zur eigentlichen Erbringung der Lesitung (Abrechnung)/Registrierung erforderlich.
Re-captcha ist nach meinen recherchen der letzten Abende auch umstritten bzgl. Datenschutz.

Skripte und Schriften können datenschutzfreunlicher auf dem Server direkt gespeichert und eingebunden werden.

Ich finde ich es bedauerlich, das die Stadt nicht auf solche Dinge achtet. Es hat was von friss oder stirb. Benötigst du Betreung, na dann registrieren, sonst kein Betreuungsvertrag mehr.

Es ist ein Kosten Nutzen Faktor.

Die wenigsten die solche System anschaffen müssen, sind Spezialisten darin.
Da wird nach dem einfachsten und günstigsten System geschaut.

Und da bieten die größten nun mal das beste Preis Leistungsverhältnis.

Es funktioniert einfach.

Nur um mal Verständnis für die meisten Nutzer zu erzeugen.

Ich bin auch hier im Forum weil ich es teilweise besser machen möchte.

Hoffe das die EU hier irgendwann Abhilfe schaffen kann.

1 „Gefällt mir“

„Günstig“ ist kein Argument, nicht mehr auf die Zulässigkeit achten zu müssen.

Bei selbst ausgesluchten Lösungen liegt es wohl mehr ihrer Auffindbarkeit (große Verbreitung muss gut sein), und dass man den Namen des Anbieters schon gehört hat (Google = Suchmaschine, kostenlose Dienste).

Bzw. an Agenturen, die allen ihren Kunden dieselben Lösungen aus ihrem Bauchladen aufs Auge drücken, inklusive der Verantwortung.

D., der noch nie erlebt hat, dass auf deren mögliche (eigentlich sehr wahrscheinliche) Unzulässigkeit hingewiesen wurde. Ebenso kopiert wie die integrierten Dienste sind die Datenschutzinformationen dazu.

Schreib doch eine Brief und bestelle das Essen.

Das geht nicht, da es Teil der Betreuung ist. Es geht bei der Anmeldung um die Abrechnung.
Ich habe jetzt Kontakt zum Unternehmen und warte auf Rückmeldung.

Warum sollte die EU hier Abhilfe schaffen, wenn es doch – gefühlt – 98 Prozent der Menschen überhaupt nicht interessiert?

Hört sich so an als ob Politik immer das macht, was alle wollen? :smiley:

Ich möchte nur zurück melden, das die Drittquellen etc. beim Registrierungsformular nach Kontakt mit dem Unternehmen entfernt wurden.