DGSVO – Der große Wurf?

Kaum ein Thema hat die Netzgemeinde in den letzten Wochen so in Atem gehalten wie die neue Datenschutz Grundverordnung der Europäischen Union. In der Folge ihres Inkrafttretens haben viele kleine Blogger in schierer Panik ihre Blogs geschlossen, Accounts gelöscht und dies medienwirksam mitgeteilt.

Manche Anwälte wittern das große Geschäft mit Beratungsleistungen, und die Abmahnindustrie reibt sich auch schon die Hände.

Die Befürworter der DGSVO dagegen behaupten, es gäbe überhaupt kein Problem.

Beides stimmt so sicher nicht. Fest steht, viele Menschen sind verunsichert, und die derzeit geführte Debatte über die DSGVO oft eher auf diffusen Gefühlen aufbaut, als auf tatsächlichen Fakten.

Auf der anderen Seite ist die DSGVO tatsächlich ein ziemliches Bürokratiemonster geworden, dass oft mehr Unsicherheit schafft, als es löst.

Nur an die Großen gedacht

Die Schöpfer der DSGVO hatten vor allem die großen Datenkonzerne im Auge, als sie die Verordnung geschrieben haben. Natürlich ging es auch um Unternehmen, die mit persönlichen Daten hantieren, was speziell im Dienstleistungssektor nicht wenige sind.

Grundsätzlich ist das richtig, auch kleine und mittlere Unternehmen sollten mit den Daten ihrer Kunden vorsichtig umgehen, und sich an die gesetzlichen Regelungen halten.

Um sich nicht an bestimmten Diensten abzuarbeiten, wirkt die DSGVO aber sehr breit, und -im vernetzten Zeitalter noch mehr als davor- betreffen die Regeln eben nicht nur Unternehmen, sondern auch die privaten Bürger. Es gibt in der DSGVO aber keine Ausnahmeregelungen, und eine Unterscheidung der Datenerhebung zu kommerziellen oder nicht kommerziellen Zwecken ist nicht vorgesehen.

Nur im ganz engen privaten Rahmen (Familie und ganz enge Freunde) greifen die Regelungen nicht.

Das beginnt mit Kleinigkeiten: Ich bin Übungleiter im Sportverein. Natürlich habe ich eine Liste mit Telefonnummern und E-Mail-Adressen der Mitglieder meiner Gruppe. Unter anderem damit ich den Mitgliedern der Gruppe mitteilen kann, wenn z.B. weil ich krank bin, das Training ausfällt. Zunächst einmal muss ich, damit ich diese Liste führen darf, mit eine erneute Zustimmung aller Mitglieder einholen. Und dies schriftlich, damit ich diese Zustimmung auch belegen kann.

Ich muss ein Protokoll darüber führen, wann ich wen von der Liste angerufen habe, und warum, damit ich die bestimmungsgemäße Verwendung der Daten bei Bedarf nachweisen kann.

Außerdem, und jetzt wird es kompliziert, darf ich die Telefonnummern nicht im gleichen Handy speichern wie meine privaten Kontakte. Ich muss also für Vereinsangelegenheiten ein Diensthandy anschaffen, dass dann auch nur für Vereinsangelegenheiten benutzt werden darf, und entsprechend die Kosten dafür tragen. Wenn ich mit einigen der Gruppenmitglieder auch privat Kontakt habe, wird es schwierig: In welchem Handy speichere ich die Nummer? Kann ich sie in beiden speichern? Rausgefunden habe ich das bisher nicht. Gut, in der Praxis hat das wenig Relevanz, weil meine privaten Handygespräche wohl kaum von der Datenschutzbehörde überwacht werden. Das sieht bei einer privaten Webseite schon anderes aus.

Wann ist eine Webseite privat?

Laut der DSGVO sind nur “ausschliesslich private” Webseiten von der Umsetzung der DSGVO ausgenommen. Das betrifft vielleicht meine private NextCloud Seite. Aber schon die Fotos von den Blumen im Garten könnten sich an ein größeres Publikum richten.

Ein privates Blog wie dieses ist ohne Zweifel im Sinne der DSGVO “gewerblich”, obwohl diese Seite keine Gewinnerzielungsabsicht hegt. Damit trifft die DSGVO praktisch jeden Betreiber eine Webseite, und die Liste der Dinge, die man tun muss, um diese Umzusetzen, ist lang.

• In einer Datenschutzerklärung müssen in “verständlicher Sprache” alle Daten aufgelistet werden, die die Seite erhebt.
• Es muss -bereits nach der E-Privacy Richtline eine Information über die Verwendung von Cookies angegeben werden
• Der Benuzter muss die Möglichkeit haben, alle über ihn gespeicherten Daten einzusehen, und deren Löschung oder Anonymisierung zu verlangen.
• Immer wenn persönliche Daten, dazu zählen auch Kommentare, abgefragt werden, muss das explizite Einverständnis eingeholt werden.
• Mit allen Organisationen, mit denen der Seitenbetreiber Daten austauscht, muss ein Vertrag über eine Auftragsdatenverarbeitung abgeschlossen werden.
• Webseiten, die persönliche Daten verwenden, müssen Transportverschlüsselung (SSL/TLS) einsetzen.

Tatsächlich ist die Einhaltung dieser Richtlinen für eine kleine Webseite gar nicht so schwer umzusetzen wie es sich anhört. Für die Datenschutzerklärung gibt es Mustergeneratoren (hier die von der Rechtsanwaltskanzlei Dr. Schwenke). Die meisten Content-Management-Systeme bieten Plugins an, die die entsprechenden Einverständnis-Klickboxen an der richtigen Stelle einblenden.

Trotzdem ist die Verunsicherung so groß, dass nicht wenige Webseitenbetreiber aufgegeben haben. Das hängt zum einen natürlich mit einer gewissen Panikmache in den Medien zusammen, aber auch mit dem Problem der Definition bestimmter Begriffe.

Die Informationspolitik war schlecht

So stellt sich die Frage, wann der Forderung nach einer “verständlichen Sprache” genüge getan ist. Die eigene Datenschutzerklärung muss einerseits so formuliert sein, dass auch juristische Laien verstehen, was da gespeichert wird und warum, sie muss aber andererseits den strengen Ansprüchen formaljuristischer Korrektheit entsprechen. Selbst Anwälte tun sich derzeit schwer damit. Wie “Oma Erna’s Kochblog” das rechtssicher Umsetzen sollen, ist unklar.

Dagegen drohen neben horrenden Bußgeldern in Millionenhöhe auch noch teure Abmahnungen wegen Verstößen gegen die DSGVO. Die Datenschutzbehörden haben zwar angekündigt einen kleine Sportverein nicht mit Bußgeldern in Höhe von 200 Millionen Euro wegen eines falsch gesetzten Kommas zu kommen, aber das liegt im Ermessen des Sachbearbeiters. Beim deutschen Durchschnittsverdiener wäre die zu verbüßende Ersatzfreiheitsstrafe bei Zahlungsunfähigkeit schnell mal bei 60 oder 70 Jahren.

Ob man sich angesichts solch drakonischer Strafandrohungen für einen Formfehler darauf verlassen will, dass ein Gericht die Verhältnismäßigkeit in Frage stellt, muss jeder für sich entscheiden.

Die Bundesregierung hat indes gar nichts unternommen, um diesen Ängsten entgegenzuwirken. Weder wurden Anpassungen z.B. im Kunsturheberrecht vorgenommen, die klären, ob man noch Fotos mit zufällig durchs Bild laufenden Passanten noch anfertigen darf (die DSGVO sieht dafür eine Öffnungsklausel vor), noch hat sie die Bürger über die Folgen der Verordnung aufgeklärt.

Ein Statement des zuständigen Bundesjustizministeriums, wie strittige Punkte der DSGVO zu interpretieren sind, das auch Gerichten helfen könnte Entscheidungen zu treffen, ist bisher ausgeblieben.

Alles im Web

Gänzlich problematisch wird es, wenn es um Dienste geht, die nicht Webbasiert, oder dezentral organisiert sind. Während Facebook seinen Nutzern die Pistole auf die Brust setzt, und von seinen Benutzern die Einverständniserklärung für die umstrittene Gesichtserkennung verlangt, fragt man sich bei Diensten  wie Mastodon, wie sich die Verordnung überhaupt umsetzen lässt. Hier ist das Problem, dass die Löschpflichten sich auch auf die Daten erstrecken, die an Dritte übertragen wurden.

Bei Mastodon betrifft das also die Informationen, die ein Benutzer an Mastodonnutzer geschickt hat, die einen anderen Knoten verwenden. Da der Betreiber eines Knotens nicht weiß, mit welchen Knoten seine Nutzer kommunizieren, und dies auch gar nicht wissen darf, ist eine Rechtskonforme Nuztung von Diensten wie Mastodon oder auch Jabber schlicht nicht möglich.

Das liegt sicher nicht daran, dass der Gesetzgeber diese Dienste explizit verbieten wollte. Da sehe ich eher das Problem, dass das Prinzip des Internets hier nicht verstanden wurde, Im Endeffekt nutzt die Regelung aber vor allem den großen Playern mit ihren zentralistischen Diensten, also genau jene Plattformen, die man zu mehr Datenschutz zwingen wollte.

Dienste, die nicht webbasiert sind, kommen in der Regelung praktisch gar nicht vor: Die Informationspflichten sind vollkommen auf die Darstellung von Webinhalten ausgelegt, was den rechtskonformen Betrieb von anderen Diensten sehr erschwert.

Zusammenfassend lässt sich sagen, dass die DSGVO nicht der große Wurf ist, als der sie verkauft wird. Im Bereich des tatsächlichen Datenschutzes geht sie nur wenig über die bisherigen Standards in Deutschland hinaus. Zwar haben die Behörden nun bessere Sanktionsmöglichkeiten, aber gerade die fehlenden Ausnahmen und Vereinfachungen für private und kleine Anbieter erzeugen einen gigantischen Aufwand, und eine große Rechtsunsicherheit bewirkt.

• Abmahnwahn
• Datenschutz
• DSGVO