Wie meine Abonnenten bestimmt bemerkt haben, liegt meine letzte Newsletter-E-Mail schon geraume Zeit zurück. Einer der Hauptgründe: Die Datenschutz-Grundverordnung, auch kurz DSGVO oder EU-DSGVO genannt, die mich den vergangenen Monat auf Trab gehalten hat. Und mich in den kommenden Wochen weiterhin beschäftigen wird.
Da ich mir vorstellen kann, dass viele Menschen da draußen mit ähnlichen Problemen zu kämpfen haben oder manch einer die ganze Aufregung nicht nachvollziehen kann, möchte ich euch einen Einblick in meinen Erfahrungsschatz gewähren, den ich mir in den vergangenen Wochen erarbeitet habe – inklusive persönlicher Einschätzungen.
Übersicht
1. Die Datenschutz-Grundverordnung (DSGVO) stellt sich vor
2. Reise in die Vergangenheit – oder die Frage, warum die DSGVO so viel Panik verursacht
3. Warum die DSGVO die Rechtsprechung zunächst unsicherer machen wird
4. Die IP-Adresse: Das K.O.-Kriterium schlechthin
5. Die Konsequenz: Die Rückbesinnung auf das Wesentliche
6. Anpassungen, die ich an meiner Webseite vorgenommen habe
7. Auf was läuft es bei der DSGVO hinaus? Eine Prognose
9. Weiterführende Links zum Thema
Die Datenschutz-Grundverordnung (DSGVO) stellt sich vor
Die Datenschutz-Grundverordnung umfasst 99 Gesetzesartikel, trägt den offiziellen Titel „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“ und trat bereits am 24. Mai 2016 in Kraft. Allerdings blieb für einen Übergangszeitraum weiterhin die nationale Gesetzgebung maßgeblich – in Deutschland somit das Bundesdatenschutzgesetz (BDSG).
Mit dieser Schonfrist ist es aber demnächst vorbei. Ab dem 25. Mai 2018 gilt alleinig die DSGVO in Deutschland sowie in allen Mitgliedsländern der Europäischen Union.
Ziel und Zweck der DSGVO ist es, den Schutz von personenbezogenen Daten sicherzustellen und den freien Datenverkehr innerhalb des europäischen Binnenmarktes zu gewährleisten. Zukünftig muss der Datenschutz schon bei der Entwicklung von Produkten und Verfahren zwingend berücksichtigt werden (Privacy by Design). Zudem muss standardmäßig die höchste Datenschutzstufe voreingestellt sein (Privacy by Default), die von jeder Person individuell gelockert werden kann. Außerdem greift das Kopplungsverbot, wenn eine Vertragsleistung von einer Einwilligung in eine Datenverarbeitung abhängig gemacht wird, die hierfür nicht erforderlich ist.
Das alles hört sich zunächst einmal positiv an. Ich persönlich halte den Schutz meiner Daten für eine wichtige Angelegenheit, die bislang kaum Beachtung fand. Doch weshalb eigentlich? Schließlich galt ja schon vor der DSGVO in Deutschland das Bundesdatenschutzgesetz (BDSG). Und die entsprechenden Aufsichtsbehörden gibt es auch bereits. Was ändert sich also mit der DSGVO überhaupt?
Reise in die Vergangenheit – oder die Frage, warum die DSGVO so viel Panik verursacht
Es ist pure Ironie, dass ausgerechnet das BDSG als Blaupause für die DSGVO-Gesetzgebung herangezogen wurde. So gesehen ändert sich für Unternehmen und Webseitenbetreiber eigentlich gar nicht so viel. Trotzdem wird ein unglaubliches Theater darum gemacht. Das hat folgenden Grund:
Bislang haben die Aufsichtsbehörden in Deutschland überaus geduldig reagiert, wenn es zu datenschutzrechtlichen Verstößen kam. Im Grunde konnten sich die Unternehmen darauf verlassen, dass die Aufsichtsbehörden in den meisten Fällen zu ihren Gunsten entschieden oder nur geringe Bußgelder verhängten. Insofern gab es keine wirkliche Notwendigkeit, sich an die Gesetzgebung zu halten. Wo kein Richter, da kein Henker.
Die DSGVO zieht jetzt aber andere Saiten auf: Zukünftig sind die Aufsichtsbehörden dazu verpflichtet, bei Verstößen Bußgelder mit abschreckender Wirkung zu verhängen. Das spiegelt sich schon in den neuen Höchstsätzen wieder:
- Verfahrensrechtliche Bußgelder: 50.000 Euro (Telemediengesetz – TMG) vs. 10.000.000 Euro oder 2 % des gesamten Vorjahresumsatzes (DSGVO)
- Materiellrechtliche Bußgelder: 300.000 Euro (BDSG) vs. 20.000.000 Euro oder 4 % des gesamten Vorjahresumsatzes (DSGVO)
Für gestandene Unternehmen mögen diese Zahlen ja vielleicht angemessen sein. Aber bei einem kleinen Buch-Blogger? Oder einem kleinen Unternehmen, das lediglich im Internet präsent sein will und sich auf diesem Weg weitere Kommunikationskanäle erschließen möchte?
Auf jeden Fall zeigen die genannten Punkte auf, dass es ab dem 25. Mai 2018 wirklich ans Eingemachte gehen kann, wenn den Datenschutzgesetzen keine Rechnung getragen wird.
Warum die DSGVO die Rechtsprechung zunächst unsicherer machen wird
Überall, wo es um die DSGVO geht, findet sich stets ein Hinweis oder ein Disclaimer, der in etwa wie folgt lautet:
»Die nachfolgenden Hinweise sind ausdrücklich nicht als rechtliche Beratung zu verstehen. Wir empfehlen Ihnen nachdrücklich, eine datenschutzrechtliche Rechtsberatung in Anspruch zu nehmen. Es wird keinerlei Haftung für die Richtigkeit und Vollständigkeit der dargelegten Informationen übernommen (…)«
Dabei ist es egal, ob es sich um einen praktizierenden Anwalt handelt, der Tipps und Handlungsanweisungen gibt, oder eine normale Person, die sich in ihrer Freizeit mit dieser Thematik auseinandergesetzt hat.
Warum diese Vorsicht?
Grundsätzlich halte ich es für richtig, wenn der Ansatz „Gleiches Recht für alle“ verfolgt wird. Doch gibt es im juristischen Umfeld bekanntlich kein Gesetz ohne entsprechende Ausnahmeregelungen oder Interpretationsspielräume. Dieses ungeschriebene Gesetz trifft leider auch auf die DSGVO zu. Zwei Beispiele sollen dies belegen:
- Öffnungsklauseln: In der DSGVO sind teilweise sogenannte Öffnungsklauseln (siehe Wikipedia) enthalten, die es den nationalen Gesetzgebern erlauben, eigene Schwerpunkte zu setzen oder Interpretationsspielräume in den Formulierungen zu spezifizieren. Es läuft also darauf hinaus, dass trotz einer Datenschutz-Grundverordnung, die für alle EU-Mitgliedsländer maßgeblich ist, doch wieder Unterschiede auf nationaler Ebene die Folge sein werden. Wer sich also nicht mit den DSGVO-eigenen Klauseln verschiedener EU-Länder auseinandersetzen möchte, tut gut daran, sämtliche Dienstleister bzw. „Auftragsverarbeiter“, die auch nur im entferntesten mit datenschutzrechtlichen Aspekten zu tun haben (und wer hat das nicht?), mit Sitz im eigenen Land zu wählen. Damit ist ein wesentlicher Vorteil der DSGVO, wie ich meine, bereits verspielt.
- Begrifflichkeiten: Nehmen wir uns den Begriff „personenbezogene Daten“ zur Brust, der schon im Text genannt wurde:
»Im Sinne dieser Verordnung bezeichnet der Ausdruck „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (…) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;«
Das hört sich zunächst einmal eingängig und ziemlich unscheinbar an. Leider täuscht der Eindruck, und zwar gewaltig. Bereits diese Phrasen sind mit reichlich Komplexität ausgestattet, wie sich bei genauerer Betrachtung zeigt.
Dass der Name einer Person zu den personenbezogenen Daten gehört, leuchtet ein. Bei der E-Mail-Adresse wird es schon schwieriger: Handelt es sich um eine allgemeine (Beispiel: info@beispielunternehmen.de) oder eine personifizierte (Beispiel: max.mustermann@beispielunternehmen.de) E-Mail-Adresse? Nur bei Letzterer handelt es sich um ein personenbezogenes Datum. Bei der Sozialversicherungsnummer oder anderen behördlichen Kennungen ist der Fall hingegen wieder klar. Aber was ist eigentlich mit der IP-Adresse, jener Adresse, die zur Kommunikation im Internet zwingend erforderlich ist? Spätestens mit dieser Frage wird es äußerst unbequem …
Wir merken also: Solange die genaue Bedeutung mancher Begrifflichkeit oder Formulierung nicht durch gerichtliche Präzedenzfälle geklärt wurde, wird die DSGVO zunächst vor allem eines mit sich bringen: Unsicherheit.
Die IP-Adresse: Das K.O.-Kriterium schlechthin
Um meine zuvor aufgeworfene Frage zu beantworten: Ja, die IP-Adresse ist ein personenbezogenes Datum. Und damit fällt die gesamte Internet-Kommunikation per se unter die DSGVO! Die Konsequenzen, die mit dieser Feststellung verbunden sind, erschlossen sich mir erst nach und nach. Und stellten mich vor nahezu unlösbare Probleme. Weshalb ich in vielen Fällen zu drastischen Maßnahmen griff (hierzu später mehr).
Beispielsweise ist es (bisher!) anerkannte Praxis, dass Schriftarten (Fonts) für die eigene Webseite nicht lokal verwaltet, sondern von einer externen Quelle im Internet bezogen werden. Hierzu kann eine Server-Anfrage (Request) z.B. an eine Google-Fonts-Bibliothek gestellt werden, die die Antwort (Response) in Form von Datenpaketen, die die benötigten Schriftarten beinhalten, an den Client zurückliefert. Der Clou bei der Sache: Bei Bedarf kann ich einfach eine andere Schriftart auswählen bzw. angeben, um das Schriftbild meiner Webseite zu verändern, ohne dass ich hierzu irgendwelche Fonts-Dateien auf dem Server hinterlegen müsste. Eine komfortable Lösung – wäre da nicht der Umstand, dass im Zuge der Schriftarten-Beschaffung auch die IP-Adresse des Webseitenbesuchers an den Google-Server gesendet wird.
Natürlich könnten wir nun argumentieren: Google braucht die IP-Adresse eben, um die Schriftarten zurückzuliefern. Das stimmt auch. Aber was wir nicht wissen, ist, was Google sonst noch mit dieser IP-Adresse anstellt. Wird dieses personenbezogene Datum im Hintergrund gespeichert und vielleicht für irgendwelche Analysen und Auswertungen verarbeitet? Wer weiß? Wer kann das schon wissen? Trotzdem liegt es nun in der Verantwortung des Webseitenbetreibers, sich mit genau diesen Fragen auseinanderzusetzen. Bereits bei diesem einfachen Beispiel bewegt man sich nämlich in einer rechtlichen Grauzone.
Die Konsequenz: Die Rückbesinnung auf das Wesentliche
Vorbei sind die Zeiten, in denen ich bedenkenlos ein YouTube-Video oder eine Google-Maps-Karte auf meiner Webseite einbinden konnte. Oder Social Media-Buttons, um Inhalte zu teilen. Oder nach Lust und Laune Embeds und Widgets in meine Webseite eingebaut habe. Denn in all diesen Fällen werden personenbezogene Daten an Drittanbieter weitergegeben – und hierbei sprechen wir nicht nur von der IP-Adresse!
Selbst die allseits beliebte Kommentar-Funktion bei Blog-Beiträgen muss auf den Prüfstand gestellt werden, weil stets personenbezogene Daten auf dem lokalen Server gespeichert werden. Wie hole ich in diesem Fall eine rechtlich einwandfreie Einwilligung zur Speicherung von personenbezogenen Daten vom Webseitenbesucher ein, bevor dieser einen Kommentar erfassen darf? Wie stellt man als Webseitenbetreiber die Datensicherheit – auch zwecks Nachweispflicht – sicher? Ehe ich mich versah, fand ich mich in einem Hamsterrad wieder, aus dem es kein Entrinnen gab. Was also tun?
Der einzig brauchbare Lösungsansatz aus meiner Sicht: Verzicht. Eine Rückbesinnung oder (Selbst-)Beschränkung auf das Wesentliche.
Dabei kann ich von Glück sagen, dass ich von Anfang an ziemlich restriktiv mit der Einbindung fremder Inhalte verfahren bin. Trotzdem lief es am Ende darauf hinaus, eine weniger ansprechende Webseite mit eingeschränkten Interaktionsmöglichkeiten zu schaffen. Dies ist natürlich traurig und schade. Aber inzwischen fasse ich es als heilsamen Verschlankungsprozess auf.
Selbstverständlich gäbe es für viele Probleme, die mit der DSGVO ins Haus stehen, entsprechende Lösungen in Form von Plugins oder Erweiterungen. Aber je mehr Plugins und Erweiterungen installiert sind, desto höher ist die Wahrscheinlichkeit, dass
- … es zu unerwünschten Interferenzen (Seiteneffekten) kommt
- … Sicherheitslücken von Hackern ausgenutzt werden
- … sich die Ladezeiten der Webseite erhöhen.
Dasselbe gilt für Dienstleistungen und Web-Inhalte Dritter. In solchen Fällen müsste ich jedes Mal im Vorfeld einen Vertrag zur Auftragsverarbeitung abschließen, wenn ich auf der rechtlich sicheren Seite sein will.
Insofern nahm ich von all dem Abstand, fasste mir ein Herz und schlug den radikalen Weg ein.
Anpassungen, die ich an meiner Webseite vorgenommen habe
Im Zuge meines DSGVO-Marathons habe ich folgende Maßnahmen ergriffen:
- Die Kommentarfunktion habe ich deaktiviert, sämtliche bis dahin vorhandenen Kommentare schweren Herzens gelöscht.
- Ich habe den Newsletter-Anbieter gewechselt.
- Ich habe meine Webseite bzgl. der Nutzung externer Quellen überprüft und entsprechende Anpassungen vorgenommen.
- Eingebettete YouTube-Videos wurden durch einfache Text-Links ersetzt.
- Ich habe meine Datenschutzerklärung von Grund auf überarbeitet.
Weitere Anpassungen und Maßnahmen stehen in den kommenden Tagen an.
Auf was läuft es bei der DSGVO hinaus? Eine Prognose
Machen wir uns nichts vor: Die DSGVO spielt vor allem den ohnehin schon mächtigen Unternehmen wie Amazon, Facebook, Google und Co. in die Hände, auch wenn es zunächst einmal nicht danach aussieht. Zwar werden unsere personenbezogenen Daten unter Umständen besser geschützt sein (welche Aufsichtsbehörde ist schon in der Lage, das zu überprüfen?). Aber gerade diese Unternehmen können es sich leisten, eine Heerschar von Anwälten zu beschäftigen, die nichts anderes tun, als Schlupflöcher auszumachen und auszunützen, die sich in den Gesetzesartikeln finden lassen. Die bereits erwähnten Öffnungsklauseln halte ich ebenfalls für eine große Gefahr, öffnen sie der Lobbyarbeit Tür und Tor.
Die kleinen Unternehmen und einfachen Webseitenbetreiber hingegen haben das Nachsehen. Die Hürden aus datenschutzrechtlicher Sicht fallen dermaßen hoch aus, dass dies gerade Start-ups oder Selbstständigen den Eintritt ins Geschäftsleben zusätzlich erschweren wird. Eine ausführliche Rechtsberatung dürfte gerade zu Beginn aus monetärer oder zeitlicher Sicht kaum drin sein. Da wird man eher von einer eigenen Webseite absehen und die geringere Sichtbarkeit in Kauf nehmen. Diese Aspekte spielen den etablierten Unternehmen und Konzernen in die Hände, werden doch die Markteintrittsbarrieren erhöht und somit die Entstehung neuer Konkurrenten eingedämmt.
Ein paar Worte zum Schluss
Der eigentlich untadelige Wunsch des Europäischen Parlaments, die personenbezogenen Daten der Menschen in der EU unter Schutz zu stellen, wird meiner Meinung nach auf lange Sicht zu weniger Vielfalt führen und die Konzentration in vielen wichtigen Internet-Bereichen wie z.B. Suchmaschinen-Portalen, E-Commerce- oder Social Media-Plattformen weiter vorantreiben.
Die Detailverliebtheit, mit der manche BloggerInnen die Herausforderungen der DSGVO angegangen sind, nötigt mir da Respekt ab. Mit Herzblut haben sie sich an die Umsetzung gemacht. Von den daraus hervorgegangenen Maßnahmenkatalogen habe auch ich profitiert. An dieser Stelle möchte ich diesen Personen meinen Dank und meine Hochachtung aussprechen.
Klar: Wo ein Wille ist, ist auch ein Weg. Aber warum mit Kanonen auf Spatzen schießen? Warum kann im Fall der DSGVO keine Differenzierung stattfinden? Umsatzstarke Konzerne mit kleinen Webseitenbetreibern gleichzusetzen, die sich in vielen Fällen mit ihrem Hobby nur ein Zubrot verdienen möchten, halte ich persönlich für weit hergeholt und reichlich unangemessen. Manchmal ist es eben doch besser, wenn nicht gleiches Recht für alle gilt. Schließlich können auch nicht alle aus denselben Ressourcen schöpfen.
Allerdings ist es der DSGVO zu verdanken, dass der Datenschutz endlich mehr in den Fokus des öffentlichen Interesses gerückt ist. Die EU-ePrivacy-Verordnung, die vermutlich 2019 ansteht, wird dafür sorgen, dass sich an diesem Umstand so schnell nichts ändern wird. Diese positive Entwicklung ist meiner Ansicht nach längst überfällig.
Machen wir also das Beste draus!
Weiterführende Links zum Thema:
Sämtliche Artikel der Datenschutz-Grundverordnung (EU-DSGVO) zum Nachlesen
Lesefreude.at: DSGVO – Leitfaden für Blogger
Datenschmutz.net: DSGVO Checkliste für Blogger: Ritchie Pettauer gibt einen umfassenden Überblick zu Problempunkten und möglichen Lösungsansätzen, die ständig aktualisiert wurden – der beste Artikel, den ich bis dato zu diesem Thema gefunden habe. Wer eine Vorstellung bekommen will, mit was sich die Blogger-Szene gerade herumschlagen muss, sollte hier mal einen Blick reinwerfen!
Nachtrag vom 16.04.2018:
Soeben bin ich auf den Artikel „Alles ganz logisch: Die DSGVO für Autorinnen und Autoren – und wie Sie das Gesetz umsetzen“ bei „Die Self-Publisher-Bibel“ aufmerksam geworden. Hier finden sich weitere hilfreiche Hinweise und Lösungsansätze zur Umsetzung der DSGVO.
Bei dieser Gelegenheit könnt ihr euch auch die dortige Datenschutzerklärung anschauen. Mal ehrlich: Welcher Internet-User liest sich – auf jeder Webseite, die aufgesucht wird – einen solchen Roman durch? Auch hier zeigt sich, dass die DSGVO zwar gut gemeint ist, aber über das eigentliche Ziel hinausschießt.