Der praktische Weg zur DSGVO

Das deutsche Datenschutzrecht gilt ja schon lange, zumindest ich habe mich daran gewöhnt. Mit der europäischen Vereinheitlichung zur DSGVO ist vor allem in den letzten Monaten viel Panik entstanden. Wir geht man praktisch als Blogger damit um?

Was soll das?

Die DSGVO ist kein Teufelszeug, sondern folgt einigen klaren Prinzipen:

  • Personenbezogene Daten sollen möglichst gar nicht erhoben werden. Wo nichts anfällt, kann auch nichts missbraucht werden.
  • Wenn man schon personenbezogene Daten verarbeitet, dann sollte der Betroffene wissen, welche Daten wozu erhoben werden und was damit bis zur Löschung passiert. Dadurch kann er informiert entscheiden, ob er einen Dienst in Anspruch nimmt oder nicht.
  • Ist diese Verarbeitung von Daten nicht zwingend für das eigentliche Angebot notwendig, muss diese Verarbeitung optional gestaltet werden.
  • Wenn man schon anderen die Verarbeitung von persönlichen Daten (implizit oder explizit) gestattet, dann muss man nachträglich über seine Daten bestimmen können. Das kann der Wunsch nach Änderung, Löschung oder Übergabe (Export) sein. Ob jedem Wunsch auch immer entsprochen werden muss, ist aber nicht zwingend.
  • Wenn man sich ungerecht behandelt fühlt, muss man wissen, an wen man sich wenden kann.

Im Endeffekt handelt es sich also um ein Verbraucherschutzrecht. Dies impliziert eine gesetzliche Trennung zwischen Anbieter und Konsument. Im Internet ist diese Trennung aber nicht ganz so einfach.

Dreh- und Angelpunkt der gesamten DSGVO für den Anbieter ist die Dokumentationspflicht. Er muss erklären, warum er welche Daten erhebt.

Dabei hat er abzuwägen zwischen den Interessen des Konsumenten, seinen eigenen Interessen und evtl. den Interessen Dritter. Kann er erklären, warum diese Datenerhebung notwendig ist, benötigt er für diese Datenerhebung keine Einwilligung.

Eine Einwilligung ist nur dann notwendig, wenn die auch verweigert werden kann. Ist also die Diensterbringung in vergleichbarer Weise auch möglich, ohne diese Daten zu haben, dann liegt eine einwilligungspflichtige Datenerhebung vor. Natürlich muss diese Einwilligung dokumentiert werden und ist damit selbst dokumentationspflichtig.

Wie der Konsument den Wunsch nach Änderung und Löschung artikulieren kann, muss man dokumentieren. Es ist ebenfalls zu dokumentieren, unter welchen Bedingungen der Wunsch ausgeführt bzw. verweigert werden kann. Insbesondere bei komplexeren Systemen ist es nachträglich oft gar nicht möglich einen Teil zu entfernen. Eine Diskussion zwischen verschiedenen Nutzern kann ihren Sinn verlieren, wenn ein Teilnehmer nachträglich seine Beträge löschen oder sinnentstellend ändern lassen will. In diesem Fall überwiegt das Interesse an der Konsistenz über dem Interesse des Einzelnen. Das Recht auf Vergessen hat also Schranken in der archivarischen Dokumentation, auch wenn der Zugriff erschwert werden kann (Sperre in der Suche).

Für Widersprüche benötigt der Konsument einen Ansprechpartner, i.d.R. den zuständigen Datenschutzbeauftragten. Logischerweise darf dieser Ansprechpartner nicht mit der Person identisch sein, über die Beschwerde geführt werden soll. Es ist also grundsätzlich unzulässig gleichzeitig Verantwortlicher und Datenschutzbeauftragter des gleichen Angebots zu sein. Ein Datenschutzbeauftragter ist für kleine Angebote unnötig, in dem Fall übernehmen übergeordneten Stellen, also die Landes- oder Bundesdatenschutzbeauftragten.

Und wie mache ich das?

Man nehme sich seine Webseite her, und schau im Entwickler-Modus des Browsers erst einmal nach, welche Datenquellen die Webseite so alles einbindet. Dabei findet sich typischerweise:

  • Ressourcen (Javascript, CSS, Bilder, Fonts, ...) des eigenen Webservers
  • Cookies
  • Ressourcen (Javascript, CSS, Bilder, Fonts, ...) fremder Webseiten
  • Aktive Einbindungen anderer Dienste, wie Zählpixel, Webanalyse, Soziale Netze (Like-Count), (Facebook/Disqus)-Kommentare, Videos, etc.
  • interne Kontaktformulare
  • interne Kommentare, Bewertungen, Querverlinkungen für Artikel

Für jeden dieser Punkte muss man nun prüfen:

  • Wird der Zugriff in dieser Form gebraucht?
  • Wenn ja, dann dokumentiere ich die Zugriffsart und begründe deren Zweck. Damit ist der DSGVO hinsichtlich Abwägung und Dokumentation Genüge getan und die Datenerhebung ist ohne Einwilligung zulässig.
  • Wenn nein, dann kann ich den Zugriff entweder entfernen oder ich verlange eine Einwilligung vom Webseitenbesucher.
  • Wird die Einwilligung erteilt, dann kann ich diesen Zugriff benutzen.
  • Wird die Einwilligung nicht erteilt (oder später zurück gezogen), dann muss ich dafür sorgen dass diese Funktion auch nicht aktiviert ist.

Mir ist wichtig an dieser Stelle fest zu halten, dass die DSGVO nicht pauschal irgendetwas verbietet, sondern im Gegenteil all das erlaubt, was begründbar ist. Die DSGVO führt also dazu, dass der Webseiten-Betreiber sich über die Implikationen seines Angebot für den Konsumenten Gedanken macht!

Bei all diesen Dokumentationen sind die drei Punkte aufzuschreiben:

  • Um welche Daten handelt es sich? Wie und wo entstehen sie?
  • Warum werden diese Daten erfasst? Was ist Sinn der Aktion?
  • Wie lange werden die Daten benötigt? Wann werden sie (automatisch) gelöscht? Wie kann man sie nachträglich ändern?

Hält man sich an diese Grundsätze hat man schon fast alles richtig gemacht.

Bei Übergabe von Daten an Dritte oder die Verarbeitung von Daten durch Dritte (Webhoster, Forumsanbieter, Webanalyst, ...) ist es empfehlenswert, eine vertragliche Fixierung mittels einer Auftragsdatenverarbeitung vorzunehmen. Das wird nicht immer individuell möglich sein, jedoch gestattet die DSGVO (im Gegensatz zur bisherigen deutschen Recht) auch den Vertragsvorschlag des Anbieters zu akzeptieren. Nachfragen lohnt sich!

Wem das zu theoretisch war, der kann sich das auch ganz konkret anschauen.

Aber die Juristen!

Richtig, das ist ihr Job. Das Feld des Datenschutzes ist aktuell stark im Umbruch. Juristen neigen leider dazu, keine klare Aussage zu formulieren, stattdessen zeigen sie gern Schwachstellen in der bisherigen Lagebeurteilung auf. Das Ergebnis ist unseriöse Panikmache und massive Verunsicherung.

Dazu trägt bei, dass die zuständigen Landes- und Bundesdatenschutzbeauftragten selbst keine Erfahrungen mit dem neuen Recht haben, geschweige denn den konkreten Fall eines Webauftritts beurteilen können. Deswegen geben auch sie nur allgemeine, meist scharf formulierte Aussagen von sich, wie die folgende: Personenbezogene Daten sind gar nicht erfassen, wenn doch umgehend zu löschen, also spätestens nach 10 Jahren, wenn das Finanzamt nicht mehr auf der Dokumentation besteht.

Kurz und gut: Wenn man einen Rechtsanwalt beauftragt, dann haftet der mit seiner Versicherung für eine Fehlberatung. Sein Interesse besteht also in der Vermeidung eines Versicherungsfalls, nicht in der praktischen Umsetzung seiner Empfehlungen vor Ort. Hat man dagegen den Rechtsanwalt nicht einmal selbst beauftragt, dann …

Natürlich soll man die verschiedenen Aussagen der Juristen nicht komplett verwerfen, jedoch schadet es nicht, sie mit einer gehörigen Portion Skepsis zu betrachten. Ob die betreffenden Vorschläge überhaupt auf den eigenen Sachverhalt anwendbar sind, ist meist gar nicht so klar.

Fazit

Ich bin durch mein eigenes Blog, meine eigenen Projekte auf diesem Webserver durch gegangen und habe meine eigene Datenschutzformulierung geschrieben. Dabei sind mir einige Einsprengsel sozialer Netze aufgefallen, die ich bisher nur ausgeblendet, aber nie richtig abgeschaltet hatte. Jetzt sind sie komplett weg.

Dann habe ich die restlichen Dinge angeschaut und beschlossen, dass ich die weiter haben will. Kommentare unter Artikeln sind mir wichtig, also erkläre ich wie sie funktionieren und was ich als erhaltenswert ansehe. Eine Änderung zur vorherigen Lage stellte das nicht da, ich hab's halt nur mal aufgeschrieben.

Bei Cookies bin ich in der glücklichen Lage, auf sie weitestgehend verzichten zu können. Es gibt aber z.T. lange Cookies, die dokumentiert werden mussten. Dabei habe ich gleich noch den Default-Wert zum Setzen des Cookies ausgeschaltet. Man muss ihn aktiv auswählen. Auch keine schlechte Idee.

Richtig problematisch schienen mir anfangs die Einbindungen externer Inhalte wie Youtube-Videos und CSS/Fonts. Also habe ich versucht, diese Dinge auf meinem Server allein zu erledigen und bin krachend gescheitert. Da mich der Teil technisch weit überfordert, habe ich einen validen Grund die externen Inhalte einzubinden, wie sie halt gebraucht werden. Die DSGVO hat da entsprechende Abwägungsklauseln. Dokumentiert und fertig.

Was man aber nie machen sollte ist: Einfach alles hinschmeißen. Das Internet ist groß und interessant geworden, weil wir nie aufgegeben haben. Lassen wir uns nicht von einer unbegründeten Angst ins Bockshorn jagen.

Avatar
Michael 01.06.2018 23:25
Can I share this article?
Avatar
Gast 31.05.2018 22:28
@Martin Vielleicht selber mal den Artikel 6 lesen. Die Wahrung der eigenen berechtigten Interessen gibt es dort nämlich nicht als Rechtsgrundlage. Es gibt nur die der überwiegenden berechtigten Interessen. Außerdem muss es eine Widerspruchsmöglichkeit geben, und wenn die genutzt wird, dann ist sogar ein zwingendes berechtigtes Interesse nötig, um die Daten weiter speichern zu dürfen. Im Zweifel ist immer erstmal bis zum Beweis des Gegenteils davon auszugehen, dass kein überwiegendes berechtigtes Interesse vorliegt, weil die DSGVO eine Generalklausel enthält, dass sie den Betroffenen schützen soll, nicht den Datenverarbeiter. Außerdem ist in den Erwägungsgründen ziemlich genau festgelegt, was überhaupt ein berechtigtes Interesse ist.

Auch die Begründung mit der Vertragsanbahnung und -durchführung trägt so nicht. Es muss eine Notwendigkeit dafür bestehen. Weder Vertragsnotwendigkeit, noch überwiegende berechtigte Interessen liegen bei Erhebung einer Email-Adresse bei einem Kommentarfeld vor. Dafür ist eine freiwillige Einwilligung nötig. Die mit einer ganzen Batterie von zusätzlichen Regularien kommt, die man dafür einhalten muss (Kopplungsverbot, Privacy by default). Die Begründung, dass jemand will, dass ein Kommentar erscheint, im Sinne des Prinzips "Daten gegen Leistung", ist mit der DSGVO verboten worden.

Eine rechtliche Pflicht für Webseitenbetreiber, die IP-Adresse zu erfassen, gibt es auch nicht, das wurde nichtmal von der Vorratsdatenspeicherung erfasst. Man kann hier höchstens mit überwiegendem berechtigten Interesse argumentieren, aber sicher nur, wenn nach wenigen Tagen zumindest anonymisiert wird (Maskierung der IP).
Avatar
Lula 31.05.2018 17:02
Nice text!
Avatar
Robert 25.05.2018 16:00
Hallo Lutz!

Meinen Glückwunsch zu deiner Seite, dass du die technischen Hintergründe siehst, verstehst und benennen kannst (z.B. in deiner Datenschutzerklärung). Ich versuche auch den Unterbau meiner Website zu verstehen, habe immer darauf geachtet möglichst wenige und seriös erscheinende Plugins für mein WordPress Blog zu verwenden, habe Tage damit verbracht alles DSGVO-konform zu bekommen. Statistik raus, Kommentare abgeschaltet, ein Facebook-Dingens gelöscht, etc. Eigentlich blieben nur noch Sicherheits-Helferlein übrig, keine Ahnung, wie ich die überprüfen, überwachen oder erwähnen muss. Ohne geht es aber nicht.

Und immer, wenn ich dachte: Jetzt habe ich es aber! – bin ich über etwas gestolpert, dass ich nicht bedacht hatte. Eben z.B. hier, dass ein eingebettetes YouTube-Video problematisch ist. Habe ich, wäre mir nicht im Traum eingefallen – aber stimmt, ist ja ein Code von YouTube den ich nicht verstehe. Das wäre wieder eine Abmahnfalle gewesen.

Nach wochenlangem rumgekrampfe habe ich meine Seite vom Netz genommen. Ist schlecht für die Meinungsfreiheit, aber ich habe einfach keinen Nerv mit der Aussicht auf eine Abmahnung weiter zu machen.

Jan Philipp Albrecht hat heute im Zeit Interview zugegeben: „Wir hätten die Menschen besser informieren können“. Haben sie aber nicht. Mir ist noch nicht einmal klar, ob die Ansicht des BMI, dass das KUG über der DSGVO steht, nur eine Meinung des Ministeriums darstellt, oder ob das ganz offiziell nach Brüssel gemeldet wurde und somit Rechtssicherheit beim Fotografieren schafft?

Immer nur Meinungen, Ansichten und Halbwahrheiten – mich selbst eingeschlossen! – wem darf ich glauben?
Avatar
Sabine 23.05.2018 20:08
Hallo Arne,

in dem Moment des Schreibens eines Kommentars wirst du doch selbst aktiv
und bekundest deine "Zustimmung", dass dein Geschriebenes auch veröffentlicht wird?

Und belehrt wurdest du doch (hoffentlich) durch den Artikel, zu dem du einen Kommentar schreibst.

Oben gibt es im Text auch einen Link zur Datenschutzformulierung des Autors!

Viel Erfolg + Mut
wünscht dir
Sabine
Avatar
Dieter 23.05.2018 11:02
@Arne: die Zustimmung ist nicht notwendig, da ein normaler Mensch bemerken könnte, das zu Vermeidung der Speicherung nur auf die Ausfüllung der Felder verzichtet werden muss. Diese Verarbeitung ist zu erwarten und banal. Steht auch so in Lutz' Datenschutzerklärung.

Sähe anders aus, wenn Lutz die Emails sammeln und dann an XY verkaufen wollte. Das wäre unerwartet.

@Ralf: Rechtsanwälte lieben Panik, da es Aufträge gibt und sie sich absichern müssen. Eine "allgemeine Rechtsauffassung" gibt es (noch) nicht, da noch nie vor Gericht verhandelt wurde und kein juristischer Kommentator irgendwas definitives dazu sagen kann.

Email ist nicht wirklich neu, da gelten die gleichen Regeln wie vorher (allerdings nur in D, deswegen melden sich jetzt alle nicht komplett in D ansässigen Anbieter!) - erinnert sich keiner mehr an die Newsletter-Abmahnungen vor Jahren?

Und die interne Verarbeitung (Kunden, Angestellt, Partner etc.) ist auch so wie vorher, nur bei unerwartetem Datenreichtum kommt die Firma nicht mehr mit "I'm so sorry" weg.
Avatar
Gunnar 23.05.2018 10:55
Guter Artikel. Leider macht Vorstellungen mancher Behörden dann doch das Leben schwer, was Jahrzehnte augenscheinlich verletzungsfrei möglich war. Textprobe des Datenschutzamts der Rheinland-Pfalz:

"Auch die Speicherung von Telefonnummern in einem Telefonendgerät unterfällt den Anforderung der Datenschutzgrundverordnung (DS-GVO). Die Nummern sind daher zu löschen sobald der Zweck der Datenspeicherung erreicht ist. Wenn dies z.B. direkt nach dem Telefonat der Fall ist, muss die Löschung der Nummer unverzüglich danach erfolgen. Sagt man hingegen, dass man innerhalb von 2 Tagen noch die Nummer zurückrufen möchte, die einen angerufen hat, sind die Nummern 2 Tage nach dem Anruf zu löschen. Eine gesetzliche Aufbewahrungspflicht für Telefonnummern besteht nicht."

Viel Spaß mit handelsüblichen Telefonen, deren Anrufliste nicht abschaltbar ist.
Avatar
mitch 22.05.2018 21:42
Schön geschrieben und vor allem: Es fasst das genau so zusammen, wie ich das auch schon andernorts gelesen habe und selbst umsetzen werde. So falsch kann das also gar nicht sein, was ich da mache :-) Aktuell liege ich in den letzten Zügen, die IT ist schon angepasst, ich muss nur noch fertig dokumentieren…

Das Thema Videos habe ich bei mir gelöst, indem ich die großartigen fünf(!) eingebetteten Youtube-Videos durch Links auf Youtube ersetzt habe. Dann habe ich zwar keine Vorschau mehr, aber das ist mir egal. Und dass man nach einem Klick auf einem Link zu einer anderen Webseite auf einer anderen Webseite landet, braucht man wohl glücklicherweise auch nicht gesondert zu dokumentieren.
Unabhängig davon bin ich kürzlich bei Netz-Rettung-Recht über diesen Link gestolpert:
Self-hosted videos with HLS: https://vincent.bernat.im/en/blog/2018-self-hosted-videos
Vielleicht ist das was für Dich.

PS: Wieso kann ich hier nur mit aktivem JavaScript kommentieren? Ohne gab’s die Fehlermeldung „jsRunning fehlt“.

Post a comment

Verwandter Inhalt