My 2 Cents DSGVO

Im  Moment geistert ein Schreckgespenst durchs Internet oder zumindest bei allen die irgendwas mit dem Internet machen.

Die EU-Datenschutzgrundverordnung, kurz EU-DSGVO. Was sich anhört wie ein schreckliches Monster, ist im Grunde nur die Umsetzung des bisher für den deutschen Rechtsraum eh schon gültigen Bundesdatenschutzgesetzes (BDSG) auf EU-Ebene mit ein paar Extras. Trotzdem: große Panik!

Wichtig ist in dem Zusammenhang folgender Satz, der bei Wikipedia auch so steht

Viele Bereiche des Datenschutzes werden durch die DSGVO nicht neu geregelt

„Neu“ ist in dem Sinne auch falsch. Das Gesetz tritt zum 25. Mai, also in etwas mehr als drei Wochen, in Kraft weil die Übergangsfrist von zwei Jahren dann abgelaufen ist. Leider hat das nicht jeder mitbekommen bis ungefähr Oktober letzten Jahres als die Welle langsam das schwappen angefangen hat. Und auch seitdem hat es wohl noch nicht jeder mitbekommen, dass es a) Datenschutz gibt und b) „neuen“ Datenschutz gibt.

Warum also die Panik?

Ganz einfach: Weil’s jetzt ums Geld geht. Da stehen echt heftig Summen an Strafzahlungen im Raum. Anders hätte das wahrscheinlich keinen Menschen interessiert. So wie auch viele Blogger und Internetbetreiber das TMG oder das bisherige BDSG nicht interessiert. Ich sage nur: Achtet mal auf die Impressumspflicht wenn ihr euch auf privaten Blogs bewegt.

Warum überhaupt Datenschutz? Ich mach doch nix.

Ja, von wegen. Ich stell jetzt einfach mal zwei Worte als Beispiel in den Raum „Cambridge Analytica“.

Genau dort wurden personenbezogene Daten ausgewertet. Nun war das aber nicht der Auslöser und die EU-DSGVO ist nicht ein reaktionärer Schnellschuss sondern, wie schon erwähnt, hat sich gegenüber dem BDSG nicht viel geändert. Jeder der eine Seite im Netz hat, erhebt persönliche Daten, da eine IP-Adresse schon ein persönliches Datum ist. Sonst wäre sie ja auch nicht besonders schützens- bzw. vergessenswert und es hätte nicht so einen Bohei um die Voratsdatenspeicherung geben. Rufe ich eine Internetseite auf wird auf dem Server meine IP-Adresse gespeichert. Und das ist noch das harmlose Beispiel. Mail-Adressen zum kommentieren, Cookies zum Tracken, eindeutige IDs für’s Shopping. Die Liste ist lang.

Es geht also um mich als Nutzer. Nicht darum Internet-Menschen das Leben schwer zu machen. Das mag den 08/15-Klickischnelli-Blogger ärgern, aber ich würde mal wetten, dass die sich ungefähr so viel um die DSGVO kümmern wie sie Datenschutz bisher auf dem Schirm hatten.

Was ist also das Problem?

Kein Problem hat, wer bisher schon ein bisschen ein Auge drauf hatte, welche Daten wohin fließen. Tausche ich IP-Adressen immer voll auch oder werden diese anonymisiert? Wo steht eigentlich der Server der den Spam-Schutz bei mir macht? Mache ich den Nutzer darauf aufmerksam welche Daten ich erhebe? Habe ich beim Einsatz von Google Analytics einen Vertrag zur Datenverarbeitung im Auftrag geschlossen?

Oder habe ich von dem was da gerade aufgelistet war, keinen Plan aber ich hab das WordPress-Plugin mit den besten Bewertungen installiert und ich muss gar nix machen?

Wer zu letzteren Gruppe gehört, hat wahrscheinlich mehr Probleme als Gruppe 1. Und wieder die Frage: Ob die, die es bisher sehr bequem haben wollten jetzt ändern.

Und ja, selbst wer E-Mails über seine Seite bekommt, „verarbeitet und speichert“ maschinell Daten. So doof es klingt.

Gesetz der Verhältnismäßigkeit

Ohne ein rechtlicher Winkeladvokat zu sein finde ich § 24 Abs. 1 und 2 sehr sehr sehr wichtig, er kommt aber in vielen Beiträgen zu dem Thema nicht zur Sprache, da sich die meisten Fälle nicht auf den Blogger an sich sondern auf wirkliche Unternehmen beziehen. Dort heißt es in Absatz 1:

Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt.

Für mich ist das, das Gesetz der Verhältnismäßigkeit. Mir als private Einzelpersonen sind bestimmte Dinge einfach nicht möglich, wie zum Beispiel das Access-Logs eines Webservers zu löschen, den ich mir mit vielen anderen teile. Aber ich bin sehr wohl dazu verpflichtet meinen Nutzer darauf hinzuweisen, dass ich seine IP-Adresse beim Aufruf der Seite speichere. So oder so sollte ich mir Gedanken machen. Nein, korrekt müsste es anders heißen:

Ich habe mir schon vor Jahren Gedanken gemacht und überprüfe diese in regelmäßigen Abständen.

Wie sah es bei mir aus?

Ich muss sagen, ich war da ein (wahrscheinlich) sehr einfacher Fall. Zum einen habe ich beruflich sehr viel mit Datenschutz zu tun. Die Materie ist mir also nicht unbekannt und deswegen war der Einstieg auch einfacher. Zum einen strotz diese Seite nicht gerade vor Plugins zur Optimierung und Verbesserung, was es um einiges einfacher macht. Google Analytics habe ich nicht und wenn man im Inkognito-Modus mal schaut was für Cookies gesetzt werden, dann wird das auch schon sehr dünn.

Ich habe also geschaut was noch übrig ist und wie da der aktuelle Stand ist. Jetpack war eigentlich das größte Problem. Abschalten ging nicht so einfach weil ein paar Features für die Oberfläche sehr massiv ins Aussehen der Seite eingreifen. Um genau zu sein das wechselnde Headerbild auf Jetpack-Funktionen basiert. Statistik bei WordPress und die Abwehr von Brute Force-Anmelde-Attacken kann ich mir sparen. Aber genau das abzuschalten war die größte Herausforderung. Die Funktionen kann man nämlich nur in den Tiefen Eingeweiden unter „Debug-Modus“ ausknipsen. Und noch einige mehr…

Dazu kamen dann noch ein paar Anpassungen in der Datenschutzerklärung und das Einfügen eines Hinweises beim Kommentarfeld und ein Verarbeitungsverzeichnis.

Die Seite Datenschmutz stellt, da schon eine recht gute Zusammenfassung zur Verfügung, an der man sich entlanghangeln kann.

Und wenn man das alles nicht macht?

Tja, nichts genaues weiß man noch nicht. Zum einen ist die ganze DSGVO sehr schwammig formuliert. Stoßrichtung ist eher die Unternehmensrichtung statt dem privaten Blogger. Aber wie man ja aus der Vergangenheit weiß, kann einem schon ein Affiliate-Link die „gewerbsmäßigkeit“ einbringen.  Aber mein allgemeiner Eindruck ist, dass selbst gestandene Juristen noch nicht so recht wissen was da kommt. In Österreich hat man sich sogar darauf verständigt, erstmal nur zu verwarnen als zu bestrafen.

Mein Eindruck ist, dass es zum Glück mal den einen oder anderen aufgerüttelt hat, dass er sich ein bisschen Gedanken um Datenschutz macht. Die Empörung ist groß wenn Cambridge Analytica massenweise Daten auswertet, aber man haut unter einem Aufreger-Blogpost freudig die Daten der Leser durch die ganze Welt. Dann kommt für mich aber auch gleich die Grauzone derer, die ein Weltuntergangsszenario entwerfen. Und damit meine ich nicht diejenigen, die einfach ihren Job machen und ihre Kunden auf eventuelle Problemfälle hinweisen. Spontan fällt mir in dem Zusammenhang auch der Patriot Act ein, bei dem US-Behörden auf Daten von Firmen mit US-Sitz in der ganzen Welt zugreifen darf. Verarbeitet also zum Beispiel ein deutsches Unternehmen seine Geschäftsdaten mit Amazon WebService, dann kann das FBI darauf zugreifen. Amazon sitzt ja in den USA.

Fazit

Erstmal: Datenschutz ist was Gutes!

Und dann ist es im Moment noch viel „Nichts genaues weiß man nicht“. Und wenn selbst die Rechtsgelehrten keine einheitliche Ahnung haben, wie soll man das dann als fachfremde Person wissen? Nur sollte ich das nicht als Ausreden nehmen einfach nichts zu tun.

Wie ich eingangs schon erwähnt habe, ist nicht viel neues dabei. Neu ist nur, dass es eventuell sehr teuer werden kann. Und das macht vielen Panik.