Der praktische Weg zur DSGVO

Das deutsche Datenschutzrecht gilt ja schon lange, zumindest ich habe mich daran gewöhnt. Mit der europäischen Vereinheitlichung zur DSGVO ist vor allem in den letzten Monaten viel Panik entstanden. Wir geht man praktisch als Blogger damit um?

Was soll das?

Die DSGVO ist kein Teufelszeug, sondern folgt einigen klaren Prinzipen:

  • Personenbezogene Daten sollen möglichst gar nicht erhoben werden. Wo nichts anfällt, kann auch nichts missbraucht werden.
  • Wenn man schon personenbezogene Daten verarbeitet, dann sollte der Betroffene wissen, welche Daten wozu erhoben werden und was damit bis zur Löschung passiert. Dadurch kann er informiert entscheiden, ob er einen Dienst in Anspruch nimmt oder nicht.
  • Ist diese Verarbeitung von Daten nicht zwingend für das eigentliche Angebot notwendig, muss diese Verarbeitung optional gestaltet werden.
  • Wenn man schon anderen die Verarbeitung von persönlichen Daten (implizit oder explizit) gestattet, dann muss man nachträglich über seine Daten bestimmen können. Das kann der Wunsch nach Änderung, Löschung oder Übergabe (Export) sein. Ob jedem Wunsch auch immer entsprochen werden muss, ist aber nicht zwingend.
  • Wenn man sich ungerecht behandelt fühlt, muss man wissen, an wen man sich wenden kann.

Im Endeffekt handelt es sich also um ein Verbraucherschutzrecht. Dies impliziert eine gesetzliche Trennung zwischen Anbieter und Konsument. Im Internet ist diese Trennung aber nicht ganz so einfach.

Dreh- und Angelpunkt der gesamten DSGVO für den Anbieter ist die Dokumentationspflicht. Er muss erklären, warum er welche Daten erhebt.

Dabei hat er abzuwägen zwischen den Interessen des Konsumenten, seinen eigenen Interessen und evtl. den Interessen Dritter. Kann er erklären, warum diese Datenerhebung notwendig ist, benötigt er für diese Datenerhebung keine Einwilligung.

Eine Einwilligung ist nur dann notwendig, wenn die auch verweigert werden kann. Ist also die Diensterbringung in vergleichbarer Weise auch möglich, ohne diese Daten zu haben, dann liegt eine einwilligungspflichtige Datenerhebung vor. Natürlich muss diese Einwilligung dokumentiert werden und ist damit selbst dokumentationspflichtig.

Wie der Konsument den Wunsch nach Änderung und Löschung artikulieren kann, muss man dokumentieren. Es ist ebenfalls zu dokumentieren, unter welchen Bedingungen der Wunsch ausgeführt bzw. verweigert werden kann. Insbesondere bei komplexeren Systemen ist es nachträglich oft gar nicht möglich einen Teil zu entfernen. Eine Diskussion zwischen verschiedenen Nutzern kann ihren Sinn verlieren, wenn ein Teilnehmer nachträglich seine Beträge löschen oder sinnentstellend ändern lassen will. In diesem Fall überwiegt das Interesse an der Konsistenz über dem Interesse des Einzelnen. Das Recht auf Vergessen hat also Schranken in der archivarischen Dokumentation, auch wenn der Zugriff erschwert werden kann (Sperre in der Suche).

Für Widersprüche benötigt der Konsument einen Ansprechpartner, i.d.R. den zuständigen Datenschutzbeauftragten. Logischerweise darf dieser Ansprechpartner nicht mit der Person identisch sein, über die Beschwerde geführt werden soll. Es ist also grundsätzlich unzulässig gleichzeitig Verantwortlicher und Datenschutzbeauftragter des gleichen Angebots zu sein. Ein Datenschutzbeauftragter ist für kleine Angebote unnötig, in dem Fall übernehmen übergeordneten Stellen, also die Landes- oder Bundesdatenschutzbeauftragten.

Und wie mache ich das?

Man nehme sich seine Webseite her, und schau im Entwickler-Modus des Browsers erst einmal nach, welche Datenquellen die Webseite so alles einbindet. Dabei findet sich typischerweise:

  • Ressourcen (Javascript, CSS, Bilder, Fonts, ...) des eigenen Webservers
  • Cookies
  • Ressourcen (Javascript, CSS, Bilder, Fonts, ...) fremder Webseiten
  • Aktive Einbindungen anderer Dienste, wie Zählpixel, Webanalyse, Soziale Netze (Like-Count), (Facebook/Disqus)-Kommentare, Videos, etc.
  • interne Kontaktformulare
  • interne Kommentare, Bewertungen, Querverlinkungen für Artikel

Für jeden dieser Punkte muss man nun prüfen:

  • Wird der Zugriff in dieser Form gebraucht?
  • Wenn ja, dann dokumentiere ich die Zugriffsart und begründe deren Zweck. Damit ist der DSGVO hinsichtlich Abwägung und Dokumentation Genüge getan und die Datenerhebung ist ohne Einwilligung zulässig.
  • Wenn nein, dann kann ich den Zugriff entweder entfernen oder ich verlange eine Einwilligung vom Webseitenbesucher.
  • Wird die Einwilligung erteilt, dann kann ich diesen Zugriff benutzen.
  • Wird die Einwilligung nicht erteilt (oder später zurück gezogen), dann muss ich dafür sorgen dass diese Funktion auch nicht aktiviert ist.

Mir ist wichtig an dieser Stelle fest zu halten, dass die DSGVO nicht pauschal irgendetwas verbietet, sondern im Gegenteil all das erlaubt, was begründbar ist. Die DSGVO führt also dazu, dass der Webseiten-Betreiber sich über die Implikationen seines Angebot für den Konsumenten Gedanken macht!

Bei all diesen Dokumentationen sind die drei Punkte aufzuschreiben:

  • Um welche Daten handelt es sich? Wie und wo entstehen sie?
  • Warum werden diese Daten erfasst? Was ist Sinn der Aktion?
  • Wie lange werden die Daten benötigt? Wann werden sie (automatisch) gelöscht? Wie kann man sie nachträglich ändern?

Hält man sich an diese Grundsätze hat man schon fast alles richtig gemacht.

Bei Übergabe von Daten an Dritte oder die Verarbeitung von Daten durch Dritte (Webhoster, Forumsanbieter, Webanalyst, ...) ist es empfehlenswert, eine vertragliche Fixierung mittels einer Auftragsdatenverarbeitung vorzunehmen. Das wird nicht immer individuell möglich sein, jedoch gestattet die DSGVO (im Gegensatz zur bisherigen deutschen Recht) auch den Vertragsvorschlag des Anbieters zu akzeptieren. Nachfragen lohnt sich!

Wem das zu theoretisch war, der kann sich das auch ganz konkret anschauen.

Aber die Juristen!

Richtig, das ist ihr Job. Das Feld des Datenschutzes ist aktuell stark im Umbruch. Juristen neigen leider dazu, keine klare Aussage zu formulieren, stattdessen zeigen sie gern Schwachstellen in der bisherigen Lagebeurteilung auf. Das Ergebnis ist unseriöse Panikmache und massive Verunsicherung.

Dazu trägt bei, dass die zuständigen Landes- und Bundesdatenschutzbeauftragten selbst keine Erfahrungen mit dem neuen Recht haben, geschweige denn den konkreten Fall eines Webauftritts beurteilen können. Deswegen geben auch sie nur allgemeine, meist scharf formulierte Aussagen von sich, wie die folgende: Personenbezogene Daten sind gar nicht erfassen, wenn doch umgehend zu löschen, also spätestens nach 10 Jahren, wenn das Finanzamt nicht mehr auf der Dokumentation besteht.

Kurz und gut: Wenn man einen Rechtsanwalt beauftragt, dann haftet der mit seiner Versicherung für eine Fehlberatung. Sein Interesse besteht also in der Vermeidung eines Versicherungsfalls, nicht in der praktischen Umsetzung seiner Empfehlungen vor Ort. Hat man dagegen den Rechtsanwalt nicht einmal selbst beauftragt, dann …

Natürlich soll man die verschiedenen Aussagen der Juristen nicht komplett verwerfen, jedoch schadet es nicht, sie mit einer gehörigen Portion Skepsis zu betrachten. Ob die betreffenden Vorschläge überhaupt auf den eigenen Sachverhalt anwendbar sind, ist meist gar nicht so klar.

Fazit

Ich bin durch mein eigenes Blog, meine eigenen Projekte auf diesem Webserver durch gegangen und habe meine eigene Datenschutzformulierung geschrieben. Dabei sind mir einige Einsprengsel sozialer Netze aufgefallen, die ich bisher nur ausgeblendet, aber nie richtig abgeschaltet hatte. Jetzt sind sie komplett weg.

Dann habe ich die restlichen Dinge angeschaut und beschlossen, dass ich die weiter haben will. Kommentare unter Artikeln sind mir wichtig, also erkläre ich wie sie funktionieren und was ich als erhaltenswert ansehe. Eine Änderung zur vorherigen Lage stellte das nicht da, ich hab's halt nur mal aufgeschrieben.

Bei Cookies bin ich in der glücklichen Lage, auf sie weitestgehend verzichten zu können. Es gibt aber z.T. lange Cookies, die dokumentiert werden mussten. Dabei habe ich gleich noch den Default-Wert zum Setzen des Cookies ausgeschaltet. Man muss ihn aktiv auswählen. Auch keine schlechte Idee.

Richtig problematisch schienen mir anfangs die Einbindungen externer Inhalte wie Youtube-Videos und CSS/Fonts. Also habe ich versucht, diese Dinge auf meinem Server allein zu erledigen und bin krachend gescheitert. Da mich der Teil technisch weit überfordert, habe ich einen validen Grund die externen Inhalte einzubinden, wie sie halt gebraucht werden. Die DSGVO hat da entsprechende Abwägungsklauseln. Dokumentiert und fertig.

Was man aber nie machen sollte ist: Einfach alles hinschmeißen. Das Internet ist groß und interessant geworden, weil wir nie aufgegeben haben. Lassen wir uns nicht von einer unbegründeten Angst ins Bockshorn jagen.

Avatar
Struppi 30.06.2018 09:43
(diese Nachricht musste ich jetzt zwei Mal schreiben, da ich erst nach abschicken darauf hingwiesen wurde, dass ein Feld "jsrunning" fehlt)

Nach lesen deiner Datenschutzerklärung frage ich mich ob es ausreicht zu schreiben, dass du eine externe Quelle (googlefont) einbindest ohne darauf hinzuweisen ob und was dort verarbeitet wird oder fehlt nicht zumindest einen Hinweis auf die dortige Datenschutzerklärung?

Aufgrund solcher Unklarheiten habe ich noch keine Datenmschutzerklärung formulieren können.

Ich finde nicht, dass diese Regel einen Schutz darstellt. Da wir hier und bei vielen Millionen kleiner Anbieter nicht über Datenmissbrauch und deren Folgen reden. Diese Fallen aber alle unter die gleichen Regeln die Google, FB oder Amazon beachten sollen. Was meines erachtens für den interessierten "Verbaucher" abschreckend wirkt.

Fast alle die unmittelbar davon betroffen sind, empfinde es als Gängelei und nicht als "Schutz".
Avatar
nk 28.06.2018 18:06
Bleiben die Fragen nach der Einbindung der externen Ressourcen Google Fonts, Yahoo und der Aufruf Deines check-IP Javascripts; Wozu werden diese eingebunden, welche Daten werden übertragen etc.
Avatar
Lutz Donnerhacke 28.06.2018 09:43
@nk

Die Rechte stehen dem Nutzer aus gesetzlichen Gründen zu. Die nochmal aufzuzählen, ist widersinnig. Dazu gibt es tonnenweise Grundsatzurteile bzgl. AGBs, die die Rechtslage (oft fehlerhaft) wiederholen.

Bzgl. der Scans/etc. hast Du falsche Vorstellungen. Es sind *meine* Programme auf *meiner* Webseite. Was sie tun steht an der jeweiligen Stelle. So kann man z.B. nach ungesicherten NTP Servern scannen oder eine DNS Anfrage quer durchs Netz unter Berücksichtigung von DNSSEC nachverfolgen. Das so etwas existiert, gebe ich an. Was es im Detail macht, gehört an die betreffende Stelle und nicht generisch wiederholt.
Avatar
nk 27.06.2018 21:32
"Einzelne aktive Inhalts können auch selbst Zugriffe auf andere externe Ressourcen durchführen, z.B. einen Sicherheitsscan über vom Nutzer definierte Netzbereiche."

Mit Verlaub, ich bezweifle dass solche Allgemeinplätze ausreichen. Da solltest DU schon Ross und Reiter nennen (z.B. Google (Fonts), yahoo apis und irgendein IPv6-referenzierter Server) und was diese Anbieter tun. Zum zweiten fehlen komplett die Rechte des Benutzers (z.B. Informationsrecht, Löschrecht) - kann mir nicht vorstellen, dass diese Angaben in allen von Kanzleien erstellten DSE, die ich bisher gesehe habe, aus Übervorsichtigkeit eingebaut wurden.
Avatar
Michael 01.06.2018 23:25
Can I share this article?
Avatar
Gast 31.05.2018 22:28
@Martin Vielleicht selber mal den Artikel 6 lesen. Die Wahrung der eigenen berechtigten Interessen gibt es dort nämlich nicht als Rechtsgrundlage. Es gibt nur die der überwiegenden berechtigten Interessen. Außerdem muss es eine Widerspruchsmöglichkeit geben, und wenn die genutzt wird, dann ist sogar ein zwingendes berechtigtes Interesse nötig, um die Daten weiter speichern zu dürfen. Im Zweifel ist immer erstmal bis zum Beweis des Gegenteils davon auszugehen, dass kein überwiegendes berechtigtes Interesse vorliegt, weil die DSGVO eine Generalklausel enthält, dass sie den Betroffenen schützen soll, nicht den Datenverarbeiter. Außerdem ist in den Erwägungsgründen ziemlich genau festgelegt, was überhaupt ein berechtigtes Interesse ist.

Auch die Begründung mit der Vertragsanbahnung und -durchführung trägt so nicht. Es muss eine Notwendigkeit dafür bestehen. Weder Vertragsnotwendigkeit, noch überwiegende berechtigte Interessen liegen bei Erhebung einer Email-Adresse bei einem Kommentarfeld vor. Dafür ist eine freiwillige Einwilligung nötig. Die mit einer ganzen Batterie von zusätzlichen Regularien kommt, die man dafür einhalten muss (Kopplungsverbot, Privacy by default). Die Begründung, dass jemand will, dass ein Kommentar erscheint, im Sinne des Prinzips "Daten gegen Leistung", ist mit der DSGVO verboten worden.

Eine rechtliche Pflicht für Webseitenbetreiber, die IP-Adresse zu erfassen, gibt es auch nicht, das wurde nichtmal von der Vorratsdatenspeicherung erfasst. Man kann hier höchstens mit überwiegendem berechtigten Interesse argumentieren, aber sicher nur, wenn nach wenigen Tagen zumindest anonymisiert wird (Maskierung der IP).
Avatar
Lula 31.05.2018 17:02
Nice text!
Avatar
Robert 25.05.2018 16:00
Hallo Lutz!

Meinen Glückwunsch zu deiner Seite, dass du die technischen Hintergründe siehst, verstehst und benennen kannst (z.B. in deiner Datenschutzerklärung). Ich versuche auch den Unterbau meiner Website zu verstehen, habe immer darauf geachtet möglichst wenige und seriös erscheinende Plugins für mein WordPress Blog zu verwenden, habe Tage damit verbracht alles DSGVO-konform zu bekommen. Statistik raus, Kommentare abgeschaltet, ein Facebook-Dingens gelöscht, etc. Eigentlich blieben nur noch Sicherheits-Helferlein übrig, keine Ahnung, wie ich die überprüfen, überwachen oder erwähnen muss. Ohne geht es aber nicht.

Und immer, wenn ich dachte: Jetzt habe ich es aber! – bin ich über etwas gestolpert, dass ich nicht bedacht hatte. Eben z.B. hier, dass ein eingebettetes YouTube-Video problematisch ist. Habe ich, wäre mir nicht im Traum eingefallen – aber stimmt, ist ja ein Code von YouTube den ich nicht verstehe. Das wäre wieder eine Abmahnfalle gewesen.

Nach wochenlangem rumgekrampfe habe ich meine Seite vom Netz genommen. Ist schlecht für die Meinungsfreiheit, aber ich habe einfach keinen Nerv mit der Aussicht auf eine Abmahnung weiter zu machen.

Jan Philipp Albrecht hat heute im Zeit Interview zugegeben: „Wir hätten die Menschen besser informieren können“. Haben sie aber nicht. Mir ist noch nicht einmal klar, ob die Ansicht des BMI, dass das KUG über der DSGVO steht, nur eine Meinung des Ministeriums darstellt, oder ob das ganz offiziell nach Brüssel gemeldet wurde und somit Rechtssicherheit beim Fotografieren schafft?

Immer nur Meinungen, Ansichten und Halbwahrheiten – mich selbst eingeschlossen! – wem darf ich glauben?

Post a comment

Verwandter Inhalt