Der praktische Weg zur DSGVO
Das deutsche Datenschutzrecht gilt ja schon lange, zumindest ich habe mich daran gewöhnt. Mit der europäischen Vereinheitlichung zur DSGVO ist vor allem in den letzten Monaten viel Panik entstanden. Wir geht man praktisch als Blogger damit um?
Was soll das?
Die DSGVO ist kein Teufelszeug, sondern folgt einigen klaren Prinzipen:
- Personenbezogene Daten sollen möglichst gar nicht erhoben werden. Wo nichts anfällt, kann auch nichts missbraucht werden.
- Wenn man schon personenbezogene Daten verarbeitet, dann sollte der Betroffene wissen, welche Daten wozu erhoben werden und was damit bis zur Löschung passiert. Dadurch kann er informiert entscheiden, ob er einen Dienst in Anspruch nimmt oder nicht.
- Ist diese Verarbeitung von Daten nicht zwingend für das eigentliche Angebot notwendig, muss diese Verarbeitung optional gestaltet werden.
- Wenn man schon anderen die Verarbeitung von persönlichen Daten (implizit oder explizit) gestattet, dann muss man nachträglich über seine Daten bestimmen können. Das kann der Wunsch nach Änderung, Löschung oder Übergabe (Export) sein. Ob jedem Wunsch auch immer entsprochen werden muss, ist aber nicht zwingend.
- Wenn man sich ungerecht behandelt fühlt, muss man wissen, an wen man sich wenden kann.
Im Endeffekt handelt es sich also um ein Verbraucherschutzrecht. Dies impliziert eine gesetzliche Trennung zwischen Anbieter und Konsument. Im Internet ist diese Trennung aber nicht ganz so einfach.
Dreh- und Angelpunkt der gesamten DSGVO für den Anbieter ist die Dokumentationspflicht. Er muss erklären, warum er welche Daten erhebt.
Dabei hat er abzuwägen zwischen den Interessen des Konsumenten, seinen eigenen Interessen und evtl. den Interessen Dritter. Kann er erklären, warum diese Datenerhebung notwendig ist, benötigt er für diese Datenerhebung keine Einwilligung.
Eine Einwilligung ist nur dann notwendig, wenn die auch verweigert werden kann. Ist also die Diensterbringung in vergleichbarer Weise auch möglich, ohne diese Daten zu haben, dann liegt eine einwilligungspflichtige Datenerhebung vor. Natürlich muss diese Einwilligung dokumentiert werden und ist damit selbst dokumentationspflichtig.
Wie der Konsument den Wunsch nach Änderung und Löschung artikulieren kann, muss man dokumentieren. Es ist ebenfalls zu dokumentieren, unter welchen Bedingungen der Wunsch ausgeführt bzw. verweigert werden kann. Insbesondere bei komplexeren Systemen ist es nachträglich oft gar nicht möglich einen Teil zu entfernen. Eine Diskussion zwischen verschiedenen Nutzern kann ihren Sinn verlieren, wenn ein Teilnehmer nachträglich seine Beträge löschen oder sinnentstellend ändern lassen will. In diesem Fall überwiegt das Interesse an der Konsistenz über dem Interesse des Einzelnen. Das Recht auf Vergessen hat also Schranken in der archivarischen Dokumentation, auch wenn der Zugriff erschwert werden kann (Sperre in der Suche).
Für Widersprüche benötigt der Konsument einen Ansprechpartner, i.d.R. den zuständigen Datenschutzbeauftragten. Logischerweise darf dieser Ansprechpartner nicht mit der Person identisch sein, über die Beschwerde geführt werden soll. Es ist also grundsätzlich unzulässig gleichzeitig Verantwortlicher und Datenschutzbeauftragter des gleichen Angebots zu sein. Ein Datenschutzbeauftragter ist für kleine Angebote unnötig, in dem Fall übernehmen übergeordneten Stellen, also die Landes- oder Bundesdatenschutzbeauftragten.
Und wie mache ich das?
Man nehme sich seine Webseite her, und schau im Entwickler-Modus des Browsers erst einmal nach, welche Datenquellen die Webseite so alles einbindet. Dabei findet sich typischerweise:
- Ressourcen (Javascript, CSS, Bilder, Fonts, ...) des eigenen Webservers
- Cookies
- Ressourcen (Javascript, CSS, Bilder, Fonts, ...) fremder Webseiten
- Aktive Einbindungen anderer Dienste, wie Zählpixel, Webanalyse, Soziale Netze (Like-Count), (Facebook/Disqus)-Kommentare, Videos, etc.
- interne Kontaktformulare
- interne Kommentare, Bewertungen, Querverlinkungen für Artikel
Für jeden dieser Punkte muss man nun prüfen:
- Wird der Zugriff in dieser Form gebraucht?
- Wenn ja, dann dokumentiere ich die Zugriffsart und begründe deren Zweck. Damit ist der DSGVO hinsichtlich Abwägung und Dokumentation Genüge getan und die Datenerhebung ist ohne Einwilligung zulässig.
- Wenn nein, dann kann ich den Zugriff entweder entfernen oder ich verlange eine Einwilligung vom Webseitenbesucher.
- Wird die Einwilligung erteilt, dann kann ich diesen Zugriff benutzen.
- Wird die Einwilligung nicht erteilt (oder später zurück gezogen), dann muss ich dafür sorgen dass diese Funktion auch nicht aktiviert ist.
Mir ist wichtig an dieser Stelle fest zu halten, dass die DSGVO nicht pauschal irgendetwas verbietet, sondern im Gegenteil all das erlaubt, was begründbar ist. Die DSGVO führt also dazu, dass der Webseiten-Betreiber sich über die Implikationen seines Angebot für den Konsumenten Gedanken macht!
Bei all diesen Dokumentationen sind die drei Punkte aufzuschreiben:
- Um welche Daten handelt es sich? Wie und wo entstehen sie?
- Warum werden diese Daten erfasst? Was ist Sinn der Aktion?
- Wie lange werden die Daten benötigt? Wann werden sie (automatisch) gelöscht? Wie kann man sie nachträglich ändern?
Hält man sich an diese Grundsätze hat man schon fast alles richtig gemacht.
Bei Übergabe von Daten an Dritte oder die Verarbeitung von Daten durch Dritte (Webhoster, Forumsanbieter, Webanalyst, ...) ist es empfehlenswert, eine vertragliche Fixierung mittels einer Auftragsdatenverarbeitung vorzunehmen. Das wird nicht immer individuell möglich sein, jedoch gestattet die DSGVO (im Gegensatz zur bisherigen deutschen Recht) auch den Vertragsvorschlag des Anbieters zu akzeptieren. Nachfragen lohnt sich!
Wem das zu theoretisch war, der kann sich das auch ganz konkret anschauen.
Aber die Juristen!
Richtig, das ist ihr Job. Das Feld des Datenschutzes ist aktuell stark im Umbruch. Juristen neigen leider dazu, keine klare Aussage zu formulieren, stattdessen zeigen sie gern Schwachstellen in der bisherigen Lagebeurteilung auf. Das Ergebnis ist unseriöse Panikmache und massive Verunsicherung.
Dazu trägt bei, dass die zuständigen Landes- und Bundesdatenschutzbeauftragten selbst keine Erfahrungen mit dem neuen Recht haben, geschweige denn den konkreten Fall eines Webauftritts beurteilen können. Deswegen geben auch sie nur allgemeine, meist scharf formulierte Aussagen von sich, wie die folgende: Personenbezogene Daten sind gar nicht erfassen, wenn doch umgehend zu löschen, also spätestens nach 10 Jahren, wenn das Finanzamt nicht mehr auf der Dokumentation besteht.
Kurz und gut: Wenn man einen Rechtsanwalt beauftragt, dann haftet der mit seiner Versicherung für eine Fehlberatung. Sein Interesse besteht also in der Vermeidung eines Versicherungsfalls, nicht in der praktischen Umsetzung seiner Empfehlungen vor Ort. Hat man dagegen den Rechtsanwalt nicht einmal selbst beauftragt, dann …
Natürlich soll man die verschiedenen Aussagen der Juristen nicht komplett verwerfen, jedoch schadet es nicht, sie mit einer gehörigen Portion Skepsis zu betrachten. Ob die betreffenden Vorschläge überhaupt auf den eigenen Sachverhalt anwendbar sind, ist meist gar nicht so klar.
Fazit
Ich bin durch mein eigenes Blog, meine eigenen Projekte auf diesem Webserver durch gegangen und habe meine eigene Datenschutzformulierung geschrieben. Dabei sind mir einige Einsprengsel sozialer Netze aufgefallen, die ich bisher nur ausgeblendet, aber nie richtig abgeschaltet hatte. Jetzt sind sie komplett weg.
Dann habe ich die restlichen Dinge angeschaut und beschlossen, dass ich die weiter haben will. Kommentare unter Artikeln sind mir wichtig, also erkläre ich wie sie funktionieren und was ich als erhaltenswert ansehe. Eine Änderung zur vorherigen Lage stellte das nicht da, ich hab's halt nur mal aufgeschrieben.
Bei Cookies bin ich in der glücklichen Lage, auf sie weitestgehend verzichten zu können. Es gibt aber z.T. lange Cookies, die dokumentiert werden mussten. Dabei habe ich gleich noch den Default-Wert zum Setzen des Cookies ausgeschaltet. Man muss ihn aktiv auswählen. Auch keine schlechte Idee.
Richtig problematisch schienen mir anfangs die Einbindungen externer Inhalte wie Youtube-Videos und CSS/Fonts. Also habe ich versucht, diese Dinge auf meinem Server allein zu erledigen und bin krachend gescheitert. Da mich der Teil technisch weit überfordert, habe ich einen validen Grund die externen Inhalte einzubinden, wie sie halt gebraucht werden. Die DSGVO hat da entsprechende Abwägungsklauseln. Dokumentiert und fertig.
Was man aber nie machen sollte ist: Einfach alles hinschmeißen. Das Internet ist groß und interessant geworden, weil wir nie aufgegeben haben. Lassen wir uns nicht von einer unbegründeten Angst ins Bockshorn jagen.
Nach lesen deiner Datenschutzerklärung frage ich mich ob es ausreicht zu schreiben, dass du eine externe Quelle (googlefont) einbindest ohne darauf hinzuweisen ob und was dort verarbeitet wird oder fehlt nicht zumindest einen Hinweis auf die dortige Datenschutzerklärung?
Aufgrund solcher Unklarheiten habe ich noch keine Datenmschutzerklärung formulieren können.
Ich finde nicht, dass diese Regel einen Schutz darstellt. Da wir hier und bei vielen Millionen kleiner Anbieter nicht über Datenmissbrauch und deren Folgen reden. Diese Fallen aber alle unter die gleichen Regeln die Google, FB oder Amazon beachten sollen. Was meines erachtens für den interessierten "Verbaucher" abschreckend wirkt.
Fast alle die unmittelbar davon betroffen sind, empfinde es als Gängelei und nicht als "Schutz".
Alle 30 Kommentare anzeigen