Netz - Rettung - Recht (Artikel mit Tag dsgvo)

Anonyme Klingelschilder - ein Schildbürgerstreich?

nospam@example.com (Thomas Hochstein) — Sat, 13 Oct 2018 09:06:00 +0000

Am Freitag berichtete der Heise-Newsticker unter der Überschrift “Anonymer Wohnen mit DSGVO: Wiener Mieter kriegen Klingelschilder ohne Namen” darüber, dass die kommunale Hausverwaltung in Wien bei allen von ihnen vermieteten Wohnungen die Namen vom Klingelschild entferne, weil sich ein Mieter wegen des Datenschutzes beschwert habe.

Auf den ersten Blick ein Schildbürgerstreich, geradezu typisch für den Umgang mit und die Folgen der DSGVO.

Auf den zweiten Blick sieht die Sache doch etwas anders aus, finde ich.

Anwendbarkeit der DSGVO

Zunächst einmal: ist die DSGVO überhaupt anwendbar?

Teilweise wurde das mit der Begründung bezweifelt, dass Klingelschilder kein “Dateisystem” im Sinne von Art. 2 Abs. 1 DSGVO darstellen würden und die DSGVO daher gar nicht anwendbar sei. Das allerdings erscheint mir unvertretbar. Nicht nur, dass ein Klingeltableau an einer größeren Wohnanlage, auf dem sich die Nummern aller Wohnungen finden, verbunden jeweils mit dem Namen des Mieters oder Bewohners, durchaus ein Dateisystem sein können, nämlich eine nach den Wohnungsnummern geordnete Liste der Mieter: es kommt doch ersichtlich gar nicht darauf an, ob die Klingelschilder selbst eine Datei darstellen, sondern ob die Datenverarbeitung durch die Vermietungsgesellschaft der DSGVO unterliegt. Und das tut sie ganz sicherlich, weil eine Vermietungsgesellschaft, die rund 2.000 Wohnanlagen mit rund 220.000 Wohnungen verwaltet, dies vermittels eines IT-Systems tun wird. In diesem System wird sie - neben vielen anderen Daten - auch die Zuordnung der Namen der Mieter zu den Wohnungen erfasst haben, und unter Zuhilfenahme dieses Systems wird sie für die Herstellung und die Anbringung der Klingelschilder sorgen. Diese Datenverarbeitung unterliegt ohne Zweifel der DSGVO, und die Herstellung und Anbringung der Schilder stellt dann eine Verarbeitung der dort gespeicherten Daten im Sinne von Art. 4 Nr. 2 DSGVO dar. Jedes andere Ergebnis muss letztlich auch skurril erscheinen. Man stelle sich vor, die Meldebehörde würde losziehen und an jede Haustür einen Ausdruck mit den Namen aller dort gemeldeten Personen aufhängen. Das wäre dann (der Ausdruck selbst ist ja ersichtlich kein Dateisystem) keine der DSGVO unterliegende Datenverarbeitung? Wohl kaum.

Man wird sich also durchaus - und zu Recht - mit dem Regelungswerk der DSGVO auseinandersetzen müssen.

Einwilligung oder Wahrnehmung berechtigter Interessen?

Die zweite Frage ist dann, ob nicht ein Erlaubnistatbestand vorliegt; man könnten an die Wahrnehmung berechtigter Interessen nach Art. 6 Abs. 1 lit. f) DSGVO denken:

die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Allerdings muss man sich dann fragen, welches berechtigte Interesse der Vermieter haben sollte, den Namen seines Mieters an der Klingel zu vermerken. In Frage kommen daher am ehesten die berechtigten Interessen Dritter in Form der Öffentlichkeit, der Postzustellunternehmen usw. Auch hier muss man sich aber m.E. nicht nur fragen, ob für Postzusteller nicht ein Namensschild am Briefkasten genügt (das offenbar nicht im Streit steht), sondern auch, weshalb diese ein berechtigtes Interesse haben sollten, den Mieter einer Wohnung namentlich zu kennen, ohne dass dieser zugestimmt hat oder gar gegen seinen Willen - denn das (die fehlende Zustimmung im Sinne einer Einwilligung durch den Mieter) ist ja gerade die Kennzeichnung des Rückgriffs auf berechtigte Interessen.

Ich halte es daher für ausgesprochen naheliegend, in diesem Fall eine Einwilligung des Mieters zu verlangen. Die Einholung einer solchen Einwilligung ist problemlos - bei Abschluss des Mietvertrages - möglich, und es gibt wenig Anlass, einem Mieter, der seinen Namen eben nicht an der Klingel sehen will, auf die Möglichkeit eines begründeten Opt-Outs zu verweisen. Das erhält der Mehrzahl der Mieter die bequeme Möglichkeit, sich nicht um Klingel- und Briefkastenschilder kümmern zu müssen; es sorgt auch weiterhin für ein einheitliches optisches Bild, wenn die Beschilderung zentral hergestellt wird; und es ermöglicht dem Mieter, eine bewusste Entscheidung zu treffen, ob er öffentlich machen möchte, dass er dort wohnt (und zudem in welcher Wohnung, denn es scheint nach der Berichterstattung nicht bloß um Namensschilder zu gehen, sondern um Namensschilder neben der ohnehin vorhandenen Wohnungsnummer).

Und ist das nicht genau das, was die DSGVO erreichen will: die Möglichkeit des Mieters, des Verbrauchers, des Bürgers, selbst zu entscheiden, was mit seinen Daten geschehen soll, insbesondere dann, wenn es keine nachvollziehbaren Interessen Dritter gibt, die er im Regelfall hinnehmen müsste?

Die DSGVO tut genau das, was sie soll.

Auf den zweiten Blick halte ich es daher für richtig und wichtig, dem Mieter die Entscheidung darüber zu überlassen, ob sein Name an der Klingel stehen soll, und ggf. - wenn ja - welche(r) Namen. Die Mehrheit wird diesen Service wollen, aber Anlass zu einer “Zwangsbeglückung” gibt es m.E. nicht. Es handelt sich daher aus meiner Sicht um ein gutes Beispiel für die Erreichung richtiger und wichtiger Ziele durch die DSGVO.

(Im Ergebnis wird es übrigens wenig Unterschied machen, ob man auf eine Einwilligung setzt oder die Wahrnehmung berechtigter Interessen annimmt. Auch im letzteren Fall muss man den Mieter nämlich informieren und ihm ein Widerspruchsrecht einräumen; da ist es sinnvoller, ihn stattdessen um seine Einwilligung zu bitten. Die Geltendmachung berechtigter Interessen scheint mir vor allem dann erforderlich zu sein, wenn Daten bereits verarbeitet werden, ohne dass vorher überhaupt eine Einwilligung eingeholt werden kann, oder wenn tatsächlich im Raum steht, dass die Datenverarbeitung auch gegen den ausdrücklichen Willen des Betroffenen erfolgen soll, also auch nach Prüfung eines Widerspruchs die Interessen des Verarbeiters oder eines Dritten den Interessen des Betroffenen vorgehen sollen. Und hier wird man kaum sagen können, dass ein Mieter es in der Regel dulden muss, dass sein Vermieter seinen Namen an der Klingel anbringt, auch wenn er das nicht will.)

Die praktische Umsetzung ist natürlich eine andere Frage. 220.000 Klingelschilder zu entfernen und die Mieter darauf zu verweisen, selbst wieder ein Schild anzubringen, wenn sie das möchten, ist unsinnig - weil es nicht im Sinne der weit überwiegenden Mehrzahl der Betroffenen sein wird, die dieses Schild gerade haben wollen werden, weil es unnötigen Aufwand für Vermietungsgesellschaft und Mieter nach sich zieht und weil Klingelschilder größerer Wohnananlagen, die jeder Mieter selbst beschriftet, üblicherweise ganz grauenhaft anzusehen sind.

Insofern gilt, wie so oft: Die DSGVO mag manchmal unnötig umständlich sein, aber sie führt zu richtigen Ergebnissen. Und ihre Umsetzung erfolgt - durch die Datenverarbeiter - furchtbar schlecht.

Datenschutzerklärungen für Website und Blog

nospam@example.com (Thomas Hochstein) — Mon, 04 Jun 2018 05:54:00 +0000

Viel habe ich in den letzten zwei Wochen über die DSGVO geschrieben, vergleichsweise wenig aber hat sich bisher hier getan … bis ich am vergangenen Wochenende die notwendige Zeit fand, meinen Worten auch Taten folgen zu lassen, zumindest für mein Blog und meine private Website.

Sowohl th-h.de als auch dieses Blog verfügen seit dem Wochenende über eine brandneue Datenschutzerklärung, die ich auf genau die von mir geschilderte Art und Weise erstellt habe. Hier im Blog findet sie sich auf derselben (statischen) Seite wie das Impressum, mit einem gesonderten Link direkt unter der Betreiberangabe, damit man nicht so viel scrollen muss. Verlinkt ist sie direkt von der Menüleiste am oberen Bildschirmrand. Auf meinen Webseiten habe ich ihr einen gesonderten Platz gegönnt; in der Hauptnavigation am oberen Rand der Seite ist sie dabei aus Platzgründen gemeinsam mit dem Link zum Impressum nun in den Menüblock “About” gerutscht. Dafür gibt es in der Fußzeile nun noch einmal einen gesonderten Link.

Es überrascht vermutlich wenig, dass die Datenschutzerklärung hier im Blog aufgrund der verwendeten Funktionalitäten etwas länger werden musste als auf meinen privaten Webseiten. In beiden Fällen habe ich dabei mit einem Muster aus dem “Datenschutz-Generator” von Rechtsanwalt Dr. Thomas Schwenke begonnen, das ich allerdings - insbesondere durch Verwendung des Singulars und durch Änderung der Reihenfolge - deutlich modifiziert habe. Mir erscheint meine Erklärung bei gleicher Wirksamkeit kürzer und leichter verständlich - andere mögen das anders sehen. Sie ist zudem jeweils auf meine konkreten Belange abgestellt.

Wer sich von dem Text inspirieren lassen möchte (und das zugrundeliegende Muster von RA Dr. Schwenke legal verwenden darf), mag das gerne tun.

Eine Bemerkung im Übrigen noch zur Nutzung von Zählmarken der VG Wort: wie sich dem entsprechenden Passus in der Datenschutzerklärung meiner Webseite entnehmen lässt, erfolgt dabei nur der Abruf des (unsichtbaren) Bildes und damit die “Übermittlung” der IP-Adresse an die VG Wort, die sie nach dortiger Mitteilung aber nur anonymisiert speichert. Auf Anfrage habe ich dazu von der VG Wort folgende Information erhalten:

Information für Verwender des METIS Zählsystems

Datenschutz

Das METIS Zählsystem erfasst anonym die Information darüber, ob ein Internettext die für die Feststellung einer Kopierwahrscheinlichkeit indiziellen Zugriffsschwellenwerte erreicht.

Bei dem von der VG WORT eingesetzten Zählsystems für die Erfassung von Internettextnutzungen (METIS Zählsystem) werden jedoch keine personenbezogenen Daten erhoben.

Daher ist die VG WORT im Hinblick auf den Einsatz des METIS Zählsystem auch kein Auftragsverarbeiter von Daten. Das METIS Zählsystem ist im Hinblick auf diese Aspekte vom Bayerischen Landesamt für Datenschutzaufsicht geprüft worden. Das Amt hat nach Prüfung festgestellt, dass die bei der Anwendung des METIS Zählsystems mittels Zählpixel und Session-Cookie übertragenen Informationen keine datenschutzrechtlich relevante Datenerhebung darstellen.

Das nach dem Gesetzeswortlaut relevante “Erheben” von Daten ist das Beschaffen von Daten über einen Betroffenen und besteht in einer Aktivität, durch die die erhebende Stelle Kenntnis von den betreffenden Daten erhält oder Verfügung über diese begründet.

Beides verhindert die VG WORT technisch durch den Einsatz qualifizierter Verschlüsselungsverfahren und die unverzügliche und automatische Kürzung der IP-Adressen der Nutzer. Dieses Verfahren verhindert jede Rückführbarkeit auf einen konkreten Nutzer eines Internettextes bereits im Moment der Erfassung unwiderruflich, so dass eine Information darüber, wer welchen Artikel auf welcher Seite aufgerufen oder kopiert hat, nicht erfasst wird.

Der entsprechende Textbaustein aus dem “Datenschutz-Generator” entspricht daher nicht den tatsächlichen Verhältnissen.

[Dieser Eintrag wurde nachträglich im August 2018 veröffentlicht.]

Serendipity und die DSGVO

nospam@example.com (Thomas Hochstein) — Wed, 30 May 2018 07:05:00 +0000

Nach meiner Empfehlung, auf welchem Weg man sein Blog am besten für die DSGVO “fit” machen kann, will ich heute aufzeigen, wie Sie Serendipity dabei unterstützt.

Die Entwickler haben dafür nämlich extra ein neues Plugin DSGVO / GDPR: General Data Protection Regulation (serendipity_event_dsgvo_gdpr) geschaffen. Dieses sollten Sie sich zunächst - über Spartacus - installieren.

Datenschutzerklärung

Danch bietet das Plugin Ihnen als erstes die Möglichkeit, eine Datenschutzerklärung zu erstellen. Für diesen Zweck wird bereits eine Darstellung der von Serendipity verarbeiteten Daten mitgeliefert, einschließlich einer Schnittstelle, über die installierte Plugins über die wiederum von ihnen verarbeiteten Daten informieren können. Sie werden dennoch nicht umhin kommen, sich noch etwas näher mit der Materie zu beschäftigen - schon weil eine Datenschutzerklärung natürlich nicht nur aus einer Auflistung der verarbeiteten Daten bestehen kann, aber auch, weil noch nicht jedes Plugin diese Schnittstelle auch nutzt. Sie können aber die erstellte Liste immerhin automatisch in Ihre Datenschutzerklärung übernehmen und dann die notwendigen weiteren Informationen ergänzen.

[Ergänzung: Die Anzeige der von Plugins verarbeiteten Daten benötigt mindestens Serendipity 2.1.3.]

Wenn Sie bereits über eine Datenschutzerklärung verfügen oder eine eigene statische Seite dafür verwenden wollen, können Sie statt der Verwendung dieses Formulars auch einfach einen Link zu Ihrer eigenen Erklärung vorgeben.

serendipity_event_dsgvo_gdpr unterstützt jetzt das Einblenden einer Information über die Verwendung von Cookies, mit einem Link zu Ihrer Datenschutzerklärung und einem Button, um die Information wieder auszublenden. Verwendet wird dabei die Lösung von Cookie Consent.

Sie sollten den Text dabei vielleicht etwas anpassen, um Missverständnisse zu vermeiden - es handelt sich ja um einen Hinweis, nicht um die Einholung einer Einwilligung (denn die Cookies werden auch ohne Einwilligung gesetzt). Daher erscheint mir “Verstanden!” passender zu sein als “Akzeptiert!”, aber das ist Geschmackssache. (Nachtrag: Die von mir vorgeschlagene Einstellung ist seit August 2018 der neue Default.)

Kommentare

Schließlich können Sie - wichtig! - die bei der Abgabe von Kommentaren automatisch gespeicherte IP-Adresse der Kommentatoren anonymisieren. Dies gilt allerdings nicht rückwirkend; dafür müssten Sie von Hand auf die Datenbanktabellen zugreifen.

Auch ermöglicht das Plugin Ihnen, bei der Abgabe eines Kommentars die Einwilligung des Nutzers zur Speicherung und Veröffentlichung einzuholen und dabei auf die Datenschutzerklärung zu verweisen.

Last but not least können Sie in die Fußzeile Ihres Blogs einen Link zur Datenschutzerklärung aufnehmen lassen, wenn Sie dies nicht bereits anderweitig (bspw. über ein HTML Nugget in der Seitenleiste) gelöst haben.

[Bedauerlicherweise wurde dieser Beitrag erst nachträglich im August 2018 veröffentlicht.]

DSGVO für Blogger und Webseitenbetreiber

nospam@example.com (Thomas Hochstein) — Mon, 28 May 2018 05:34:00 +0000

Vergangene Woche hatte ich mich zur Datenschutzgrundverordnung geäußert, die am Freitag in Kraft getreten ist. Doch wie soll man als Blogger und Webseitenbetreiber nun damit umgehen? Wie macht man seine Webpräsenz “fit für die DSGVO”?

Damit hat sich Lutz Donnerhacke bereits beschäftigt und auch “seinen” Weg am Beispiel seines Blogs dargestellt. Das entspricht auch der Vorgehensweise, die ich für mich gewählt habe und die ich empfehlen würde. Dazu gehören mehrere Schritte - die sinnvollerweise mit einer Bestandsaufnahme und Bewertung beginnen und mit der Erstellung der Datenschutzerklärung schließen.

Der gerne gelesene umgekehrte Weg ist von vornherein zum Scheitern verurteilt: wie soll ich meine Nutzer darüber informieren, welche Daten ich wozu erhebe, wie verarbeite und wie lange speichere, wenn ich das (a) oft selbst nicht sicher und vollständig weiß und (b) noch nicht durchdacht habe? Das bloße Einkopieren unverstandener langer Texte ist dabei - wie beim Programmieren und der Erstellung eigener Webseiten - nicht der richtige Weg, schon deshalb, weil ja nicht über irgendwelche denkbaren Datenverarbeitungen zu informieren ist, sondern über diejenigen, die tatsächlich stattfinden, und zwar möglichst präzise.

Bestandsaufnahme

Der erste Schritt ist dabei auch der schwierigste und langwierigste: die Bestandsaufnahme, welche Daten ich erhebe, verarbeite, speichere, übertrage und veröffentliche. Je geringer meine technischen Kenntnisse, je mehr Funktionen und Plugins ich für meine Webseite, mein CMS, mein Blog installiert habe, je länger die Installation “organisch gewachsen” - vielleicht gar gewuchert ist -, desto schwerer wird dieser Schritt fallen. Es nützt ja aber nun alles nichts - irgendwann muss man sich damit beschäftigen (und auch einmal aufräumen); warum nicht jetzt?

In der Folge möchte ich dazu eine kleine Checkliste bringen, sicherlich nicht vollständig, teilweise auch mit sich überschneidenden Punkten, aber jedenfalls ein Ansatz, nach dem Sie vorgehen können:

Logfiles

Fangen wir vorne an: Webseiten werden in der Regel mit Browsern abgerufen. Dabei muss der Webserver technisch zwingend die IP-Adresse, die Internet-Adresse des Browsers (oder eines vorgeschalteten Proxys oder Gateways oder …) erfahren, damit er die abgerufene Webseite nach dort übermitteln kann. Daneben schickt ihm der Browser aber noch weitere Informationen mit, so zum Beispiel seine eigene Kennung und die Webseite, von der er “gekommen” ist. Diese Informationen werden üblicherweise in einem Logfile gespeichert und sind schon aufgrund der übermittelten IP-Adresse personenbezogen oder doch personenbeziehbar; das ist jedenfalls die Auslegung der Datenschutzaufsichtsbehörden und die naheliegende Lesart der DSGVO. Außerdem gibt es anderweitige Möglichkeiten, wie solche Einträge personenbeziehbar werden können, bspw. durch die Verwendung eines Kontakt- oder Kommentarformulars, das sich über den Zeitpunkt des Aufrufs dann mit der IP-Adresse verknüpfen lässt.

Wer seinen eigenen Webserver betreibt, ist fein raus - er kann nachschauen und konfigurieren, welche Daten erfasst und wie lange sie gespeichert werden. Wer seine Webseiten bei einem Webspace-Anbieter hostet oder gar nur ein fertiges CMS oder Blog benutzt, wird seinen Anbieter danach fragen müssen, denn es handelt sich dann entweder um einen Fall der Auftragsverarbeitung (für die dann noch ein Vertrag geschlossen werden muss) oder um eine gemeinsame Verantwortung für die Datenverarbeitung.

Alle diese Erkenntnisse müssen dann dokumentiert werden: Was wird gespeichert? Von wem? Wie lange?

Nachgeladene Ressourcen

Eine Webseite besteht nicht nur aus Text - sie enthält in der Regel auch nähere Anweisungen zur Darstellung ihrer Inhalte durch Stylesheets (CSS), Bilder oder Grafiken oder Logos, heutzutage oft auch Javascript für verschiedene Funktionalitäten, vielleicht auch Webfonts, also nachgeladene Schriften, oder sie bindet gar externe Ressourcen wie Videos (samt Abspielfunktion), ein Kommentarsystem, Interaktionsmöglichkeiten sozialer Netzwerke usw. ein.

Diese Ressourcen werden nicht selten von externen Quellen nachgeladen. Dabei erhält die externe Quelle (zumindest!) die IP-Adresse des Nutzers, denn dessen Browser muss die Ressource ja laden. Man kann sich nun auf den Standpunkt stellen, damit habe man als Webseitenbetreiber nichts zu tun, es handele sich quasi nur um eine Art Link, dem der Browser des Benutzers folge, und wer das nicht wolle, müsse das eben unterbinden (was technisch möglich ist) - das geht dann aber doch etwas an der Realität und den Kenntnissen des durchschnittlichen Nutzers vorbei. Datenschutzrechtlich jedenfalls wird das Einbinden solcher Ressourcen, die der Browser des Nutzers in der Regel ohne Nachfrage nachlädt, regelmäßig als Datenübertragung an den Bereitsteller der Ressource aufgefasst.

Man sollte jetzt annehmen, als Webseitenbetreiber wisse man, was man so an externen Ressourcen nachlädt … erfahrungsgemäß ist das aber spätestens bei der Nutzung fertiger Softwarepakete wie eines Blogsystems oder eines CMS nicht immer der Fall. Dann wird man nicht umhin kommen, selbst nachzuspüren und zu dokumentieren, was die verwendete Software so treibt. Lutz Donnerhacke beschreibt, wie das geht; dabei darf man aber nicht übersehen, dass bestimmte Seiten des eigenen Blogs oder der Webpräsenz ggf. noch zusätzliche Ressourcen nachladen, bspw. das Kontaktformular oder Seiten, auf denen Videos o.ä. eingebunden werden.

Auch hier sind alle Ressourcen zu notieren: Was wird von wo geladen? Wer ist der Anbieter? Wo befindet der Anbieter sich - in Deutschland, innerhalb der EU, im EU-Ausland? Hat er eine eigene Datenschutzerklärung?

Eingebundene Inhalte

Oft werden nicht nur Ressourcen nachgeladen, sondern komplette Funktionen eingebunden: Kommentarsysteme (wie von Disqus), Spamfilter (wie von Akismet), CAPTCHAs (wie ReCaptcha), aber auch Youtube- oder Vimeo-Videos, Karten von Google Maps oder Buttons oder Plugins von sozialen Netzwerken. Dabei ist dann zu berücksichtigen, dass in der Regel nicht nur die IP-Adresse des Besuchers “übermittelt” wird, sondern die eingebundenen Funktionen teilweise umfangreiche weitere Daten erheben und übermitteln. Hier ist besondere Sorgfalt bei der Recherche geboten, zumal die Datenübermittlung nicht selten ins EU-Ausland erfolgen wird.

Cookies

Cookies sind kleine, von Ihrer Webseite oder Ihrem Blog auf dem lokalen Rechner des Besuchers gespeicherte Dateien, die der Browser automatisch beim Aufruf der Webseite oder des Blogs wieder an den Webserver übermittelt. Das kann technisch zwingend sein, wenn man sich zum Beispiel irgendwo eingeloggt hat. Es kann ein Komfortmerkmal sein, wenn man bspw. seine bevorzugten Einstellungen für Kommentare oder das Aussehen der Webseite für den nächsten Besuch speichern kann. Und mit Cookies lassen sich Benutzer natürlich auch - über verschiedene Webseiten hinweg - verfolgen, also tracken, was die Werbeindustrie - einschließlich Google und (anderer) sozialer Netzwerke - weidlich ausnutzt.

Hier gilt deshalb noch mehr als bei den eingebundenen Ressourcen: Sie werden schauen müssen, was Ihre Webseite, Ihr CMS, Ihr Blog und die installierten Plugins so tun. Manchmal kann das einigermaßen augenöffnend sein … Auch hier hat Lutz Donnerhacke dankenswerterweise die Vorgehensweise beschrieben.

Statistik, Tracking und Werbung

Nutzen Sie statistische Auswertungen Ihrer Logfiles oder Statistikdienste wie Google Analytics? Binden Sie gar Werbung ein?

Dann sollten Sie das ebenfalls dokumentieren.

Kommentare und Kontaktformulare

Wenn Sie Kommentare Ihrer Nutzer und ein Kontaktformular anbieten, werden Sie die entsprechenden Daten vermutlich speichern und/oder sich (bspw. per Mail) übermitteln lassen. Gerade in Blogs sind hiermit oft auch weitere Funktionalitäten verbunden: es wird die IP-Adresse zusammen mit dem Kommentar gespeichert, es werden Avatare von Drittanbietern eingebunden, oder es werden Dienste wie Akismet oder ReCaptcha genutzt, die weitergehende Daten erheben und übermitteln.

Hier ist also besondere Sorgfalt geboten, weil zur Datenerhebung und -speicherung auch oft umfangreiche Datenübermittlungen und eine Veröffentlichung der Daten (Kommentare!) treten.

Denken Sie in diesem Zusammenhang auch daran, dass auch eine an Sie übermittelte E-Mail ja vermutlich in ihrem E-Mail-Client gespeichert wird. Auch dabei gehen Sie mit personenbezogenen Daten um. Die DSGVO gilt keineswegs nur für Webseiten!

Weitergehende Anwendungen

Wenn Sie nicht nur eine Webseiten oder ein Blog betreiben, sondern darüber hinaus weitere Dienste wie ein Webforum, einen Newsletter oder eine Mailingliste (mit Webarchiv?), eine Teilnehmerdatenbank oder gar einen Onlineshop anbieten, werden Sie auch insoweit erfassen müssen, mit welchen personenbezogenen Daten Sie umgehen.

Verengen Sie dabei Ihren Fokus nicht nur auf Webseiten! Wenn Sie bspw. im Vorstand eines Vereins tätig sind, dann sind Ihre Webseiten aller Voraussicht nach Ihr geringstes Problem - schließlich haben Sie vermutlich eine Mitgliederdatenbank und eine Buchführung, machen, sammeln und veröffentlichen Fotos, berichten über Vereinsereignisse unter Namensnennung … Da eröffnet sich ein weites Feld.

Bewertung

Sie wissen nun hoffentlich, welche Daten Sie erheben, speichern, verarbeiten, übermitteln und veröffentlichen. Nun ist die Zeit gekommen, sich für jede einzelne Datenverarbeitung zu vergegenwärtigen, warum Sie diese Daten verarbeiten: zu welchem Zweck werden sie erhoben, warum und wie lange gespeichert, warum und an wen übermittelt? All das werden Sie nämlich in Ihrer Datenschutzerklärung darlegen und unter Heranziehung datenschutzrechtlicher Erlaubnistatbestände begründen müssen. Außerdem müssen Sie zwingend eine Liste der Datenverarbeitungstätigkeiten führen (Art. 30 DSGVO). Diese Liste müssen Sie zwar nicht veröffentlichen, aber auf Aufforderung vorlegen können. Schon das erfordert die genannte Bestandsaufnahme.

In einem ersten Schritt sollte sie daher Ihre Liste, die Sie im Rahmen der Bestandsaufnahme erstellt haben, kritisch durchgehen und sich dabei jeweils fragen, ob die jeweilige Datenverarbeitung wirklich notwendig ist. Je weniger Daten Sie erheben und speichern und vor allem je weniger Daten Sie an Dritte übermitteln oder veröffentlichen, desto kürzer werden Ihre Liste über Verarbeitungstätigkeiten und Ihre Datenschutzerklärung, und desto weniger Hirnschmalz müssen Sie in die Suche nach Erlaubnistatbeständen investieren.

Auf zum Frühjahrsputz!

Brauchen Sie wirklich Logfiles? Wie lange? Kann man sie anonymisieren?
Brauchen Sie alle diese Ressourcen und Funktionen, die Sie nachladen? Kann man Ressourcen - Schriften, CSS, Javascript - nicht auch selbst ausliefern, statt sie von Drittanbietern nachzuladen?
Welche Plugins in Ihrem Blog benötigen Sie wirklich? Lassen sich unnötige oder aus Datenschutzsicht kritische Funktionen deaktivieren?
Muss es Google Analytics sein? Müssen oder wollen Sie umfangreiche statistische Auswertungen vornehmen?
Gibt es für eingebundene Funktionen datenschutzfreundlichere Alternativen, wie bspw. das Shariff-Projekt zum “Teilen” von Inhalten in sozialen Netzwerken statt der Einbindung von Buttons der sozialen Netzwerke?

Erlaubnistatbestände suchen

Alle Datenverarbeitungen, die jetzt noch übrig sind, müssen Sie begründen und rechtfertigen können. Denn jede (!) Erhebung, Speicherung, Verarbeitung, Übermittlung oder Veröffentlichung personenbezogener Daten erfordert die Heranziehung eines der in Art. 6 Abs. 1 DSGVO aufgezählten Erlaubnistatbestände. Sie müssen nun also für jede verbleibende Datenverarbeitung darstellen, auf welcher Rechtsgrundlage sie diese Verarbeitung vornehmen. Dabei sollten Sie nach Möglichkeit die jeweilige Rechtsgrundlage durch Nennung der konkreten Erlaubnisnorm aus Art. 6 Abs. 1 DSGVO klar bezeichnen.

Der scheinbare Joker ist dabei die Einwilligung des Betroffenen (Art. 7 DSGVO), weil sie zunächst jede Datenverarbeitung ohne weitere Abwägung rechtfertigt - sie ist jedoch mit großen praktischen und rechtlichen Nachteilen verbunden. Ein praktischer Nachteil ist, dass die Einwilligung nunmehr in der Regel ausdrücklich erklärt werden muss - und natürlich eine vorherige Information darüber erfordert, worin eingewilligt wird. Formulierungen der Art wie “mit dem Aufruf meiner Webseiten stimmen Sie … zu” oder “mit dem Absenden eines Kommentares willigen Sie in die Speicherung und Veröffentlichung ein” genügen den Anforderungen der DSGVO nicht. Der rechtliche Nachteil der Einwilligung ist, dass sie jederzeit widerrufen werden kann - und wenn Sie dann keine andere Rechtsgrundlage für die Datenverarbeitung haben, müssen Sie die Daten löschen! Was wird das für ein Spaß, nachträglich (!) in Ihren Logfiles oder Ihrer Statistikanwendung einzelne Datensätze zu löschen oder all denen, denen die Daten übermittelt wurden - Akismet, ReCaptcha, Google Analytics … - mitzuteilen, dass die Daten nunmehr auch dort zu löschen sind (Art. 19 DSGVO). Außerdem gilt für aufgrund einer Einwilligung vom Nutzer übermittelte Daten das Übertragungsrecht aus Art. 20 DSGVO: Sie müssen die Daten nicht nur ggf. löschen, sondern auch an den Nutzer herausgeben. Hinzu kommt das Koppelungsverbot (Art. 7 Abs. 4 DSGVO): Sie dürfen die Zustimmung zu einer über das zur Erbringung Ihres Angebots notwendige Maß hinausgehenden Datenverarbeitung nicht dadurch erzwingen, dass Sie - “friss oder stirb!” - die Zustimmung verlangen und sonst ihr Angebot nicht zugänglich machen.

Richtigerweise sollte man sich daher nur dann auf die Einwilligung eines Nutzers stützen, wenn sich kein anderer Erlaubnistatbestand findet. Das wird im Bereich privater Webseiten und Blogs vor allem die Veröffentlichung von Kommentaren betreffen.

Davon abgesehen wird in der Regel die Wahrung der berechtigten Interessen nach Art. 6 Abs. 1 lit. f) DSGVO die geeignete Rechtsgrundlage der Datenverarbeitung sein. In diesem Fall müssen Sie sich dann allerdings zusätzlich überlegen, welches Interesse Sie für die Datenverarbeitung geltend machen können, und warum diese Interessen Ihrerseits ein entgegenstehendes Interesse des Nutzers überwiegen. Das erfordert ein wenig Gehirnschmalz - aber Sie haben ja bereits darüber nachgedacht, warum Sie die Daten wirklich brauchen, nicht wahr? Beachten Sie dabei, dass sich natürlich nicht jede Datenverarbeitung mit der Wahrnehmung berechtigter Interessen rechtfertigen lässt, und dass Ihre Interessen gegen die Interessen der Betroffenen abgewogen werden müssen. Im Zweifel werfen Sie einen Blick auf die Verarbeitungsgrundsätze in Art. 5 DSGVO und denken insbesondere an den Grundsatz der Datenminimierung! So wird wenig gegen die kurzfristige Speicherung von Logfiles sprechen - vieles aber gegen deren langfristige oder gar dauerhafte Aufbewahrung.

In Ausnahmefällen - insbesondere dann, wenn Sie über Ihre Webseiten weitere Dienste oder Dienstleistungen anbieten - werden auch die Erlaubnistatbestände der Verarbeitung zur Anbahnung oder Durchführung eines Vertrages (Art. 6 Abs. 1 lit. b) DSGVO) oder zur Erfüllung gesetzlicher Pflichten (Art. 6 Abs. 1 lit. c) DSGVO) in Betracht kommen.

Datenschutzerklärung erstellen

Nun wissen Sie, welche Daten Sie erheben, und Sie haben sich auch Gedanken darüber gemacht, warum Sie das tun und auf welche Erlaubnistatbestände Sie sich stützen können. Dann ist jetzt der Zeitpunkt gekommen, das alles aufzuschreiben - das ist zugleich Ihr Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO - und Ihre Datenschutzerklärung zu erstellen.

Aus Art. 13 DSGVO ergibt sich, was in einer Datenschutzerklärung enthalten sein muss:

Ihr Name und Ihre Kontaktdaten als für die Datenverarbeitung Verantwortlicher (Art. 13 Abs. 1 lit. a) DSGVO),
Informationen über die Rechte der Betroffenen (Art. 13 Abs. 2 lit. b)-d) DSGVO),

und für alle verarbeiteten (erhobenen, gespeicherten, übermittelten, veröffentlichten) Daten jeweils

welche Daten warum auf welcher Rechtsgrundlage erhoben werden (Art. 13 Abs. 1 lit. c) DSGVO),
im Falle der Wahrnehmung berechtigter Interessen diese Interessen (Art. 13 Abs. 1 lit. d) DSGVO),
bei der Speicherung von Daten die Speicherdauer (Art. 13 Abs. 2 lit. a) DSGVO), und
bei der Übermittlung von Daten deren Empfänger (Art. 13 Abs. 1 lit. e) DSGVO), insbesondere bei Übermittlung ins EU-Ausland (Art. 13 Abs. 1 lit. f) DSGVO).

Die Darstellung muss dabei “in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache” erfolgen (Art. 12 Abs. 1 DSGVO). Das erfordert eine sinnvolle Gliederung und Zusammenstellung der Daten nach passenden Kategorien.

Empfehlen kann ich für diesen Zweck den Datenschutz-Generator von Rechtsanwalt Dr. Thomas Schwenke. Hier können Sie sich - für Privatpersonen kostenlos - eine Datenschutzerklärung aus einer Vielzahl von Textbausteinen zusammenklicken. Gehen Sie das Ergebnis aber am besten noch einmal kritisch durch! Manches erfordert eine Anpassung an Ihre konkrete Situation, und manchmal erscheint mir die Darstellung unnötig lang und komplex zu sein …

Die Datenschutzerklärung sollten Sie - analog zu Ihrem Impressum - nach Möglichkeit von jeder Seite Ihrer Webpräsenz aus verlinken, am besten möglichst weit oben, und so, dass man das Ziel des Links auch erkennen kann; als Text empfiehlt sich - trotz der Länge - “Datenschutz(erklärung)”.

Abschlussarbeiten

Nun haben Sie es fast geschafft!

Vergessen Sie aber bitte nicht, dass zum Datenschutz auch die Datensicherheit gehört, also der “technische Datenschutz” oder - im Duktus der DSGVO - der “Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen” (Art. 25 DSGVO). So gehört die Verschlüsselung des Datenverkehrs bspw. per HTTPS heute zum Stand der Technik; Let’s Encrypt macht es (auch für Sie!) möglich. Auch müssen Sie installierte Webapplikationen - Ihr Wordpress, Ihr Serendipity, Ihr CMS - regelmäßig updaten und auch sonst auf den Stand der Sicherheit und Technik achtgeben. Das gilt auch für den Umgang mit Ihren Passwörtern.

Bedenken Sie auch Ihre Pflichten zur Erteilung von Auskunft oder zur Löschung von Daten. Machen Sie sich Gedanken, wie Sie diesen Pflichten im Zweifel nachkommen können.

Dann sind Sie wirklich “fit” für die DSGVO.

[Bedauerlicherweise wurde dieser Beitrag erst nachträglich im August 2018 veröffentlicht.]

Die Datenschutzgrundverordnung (DSGVO)

nospam@example.com (Thomas Hochstein) — Tue, 22 May 2018 06:02:00 +0000

Seit Monaten wirft die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, kurz Datenschutzgrundverordnung, insbesondere in der Berichterstattung immer dräuendere Schatten voraus. Vorwürfe werden erhoben - zu kompliziert, zu bürokratisch -, es heißt, man hänge wie üblich die Kleinen und lasse die Großen laufen, und das Ende von Blogs und privaten bzw. Vereinswebsites wird prophezeit.

Kurz vor dem Inkrafttreten der Verordnung - genauer: vor dem Beginn ihrer innerdeutschen Anwendbarkeit - am 25.05.2018 will auch ich noch ein paar Gedanken zu dem Thema loswerden.

Datenschutzrecht an und für sich

Dabei will ich mein gestörtes Verhältnis zum Datenschutzrecht an sich nicht verhehlen.

Die Wichtigkeit datenschutzrechtlicher Vorschriften zum Schutz der Grundrechte und der Bürger und Verbraucher, insbesondere in einer immer “digitaleren”, vernetzteren Welt, soll dabei keineswegs bestritten werden; und spezialgesetzliche Datenschutzregelungen - wo man sie denn findet - lassen sich nach meiner Erfahrung auch recht gut handhaben. Das (bisherige) Bundesdatenschutzgesetz (BDSG) und die Landesdatenschutzgesetze (LDSG) scheinen mir jedoch vor allem sehr breite, allgemeinplatzartige Generalklauseln zu enthalten, die auf der einen Seite Selbstverständliches normieren und andererseits in der Praxis nur schwer auf die völlig verschiedenartigen Bereiche anzuwenden sind, die sie regeln sollen. Durch die teilweise einigermaßen weltfremd wirkende Auslegung durch Datenschutzbehörden und das Potential des Datenschutzrechts für Kampagnen - d.h. als Vehikel, um damit letztlich andere Ziele zu erreichen - wird die Lage nach meinem Empfinden nicht besser.

Im Ergebnis nehme ich Datenschutzrecht daher bisher vor allem als Verhinderungsrecht wahr, das sich der Umsetzung eigentlich ganz einfacher Prozesse (“das müsste doch ganz selbstverständlich möglich sein!”) als Hindernis in den Weg stellt, ohne dabei aber im Gegenzug tatsächlich wirksam Daten zu schützen oder auch nur vor unbefugten Zugriffen zu sichern. Ich hatte jedenfalls nicht den Eindruck, dass der Datenhunger großer Internetkonzerne wie Facebook oder Google durch datenschutzrechtliche Vorschriften gezähmt worden wäre oder es eine wirksame Handhabe gegeben hätte, festzustellen, wer wirklich welche Daten von mir und über mich erhebt, speichert, weitergibt und veröffentlicht - oder gar dagegen einzuschreiten. Zusendungen unerwünschter E-Mails (“Spam”) oder die unzulässige Veröffentlichung privater Informationen (“Doxing”) bekämpft man nach meinem Eindruck (wenn überhaupt) juristisch nicht mit dem Datenschutzrecht, sondern unmittelbar unter Berufung auf das allg. Persönlichkeitsrecht, als ob es das BDSG nicht gäbe. Und auch die technische Datensicherheit (letztlich fast noch wichtiger: dass Facebook, Google und Amazon vieles über mich wissen, ist das eine; alle diese Daten in den Händen Unbefugter oder veröffentlicht zu sehen, nochmals etwas ganz anderes) scheint mir durch die Datenschutzgesetzgebung bisher keinen Deut besser geworden zu sein. Weder habe ich den Eindruck, dass getroffene Maßnahmen und das tatsächliche Vorgehen im Alltag wirksam überprüft würden, noch sehe ich spürbare Sanktionen, die ein hohes Datenschutzniveau aus wirtschaftlicher erstrebenswert machen würden.

Insofern erscheinen mir die gefühlt geringen Erfolge durch den beträchtlichen Aufwand und die damit verbundenen Einschränkungen sehr (zu?) teuer bezahlt.

Was ändert sich durch die DSGVO?

Doch zurück zur Datenschutzgrundverordnung - einer europäischen Verordnung, die ohne Notwendigkeit einer Umsetzung in deutsches Recht unmittelbare Geltung entfaltet. Damit ist bereits eine Neuerung beschrieben: es gilt jetzt unmittelbar europäisches Recht, das nicht nur in der Formulierung, sondern auch in der Art und Weise der Rechtssetzung für den deutschen Rechtsanwender ungewohnt ist. So beginnt die DSGVO mit 173 (!) “Erwägungsgründen”, die wichtige Hintergründe und Auslegungshinweise für den eigentlichen Text der Verordnung geben - aber ohne jede unmittelbar erkennbare Untergliederung und daher einigermaßen schwer überschaubar.

Zudem galt das BDSG bisher nur nachrangig; spezialgesetzliche Regelungen in Fachgesetzen gingen seinen Vorschriften vor. Mit der DSGVO ändert sich das: sie gilt vorrangig und kann nur dort und nur insoweit ergänzt werden, wie sie den nationalen Gesetzgebern ausdrückliche Spielräume offenlässt. Das führt zum einen zu mehr Generalklauseln und weniger spezifischen Vorschriften für bestimmte Themenbereiche - was die Rechtsanwendung aus meiner Sicht nicht einfacher macht - und bedingt andererseits, dass das neue BDSG nur noch Zusatzregelungen enthält, also nur mit der DSGVO zusammen sinnvoll gelesen werden kann. Auch das scheint mir die Materie nicht übersichtlicher zu machen.

Natürlich bringt die DSGVO darüber hinaus auch inhaltlich einige wichtige Neuerungen:

Sie schreibt in Art. 13, 14 DSGVO umfangreiche Informationspflichten fest, die bei jeder Datenverarbeitung zu erfüllen sind. Hierin dürfte wohl die umfassendste und für die Praxis am schwierigsten umzusetzende Neuerung liegen.
In dieselbe Richtung gehen umfangreiche(re) Dokumentations- und Nachweispflichten.
Die Rechte der von der Datenverarbeitung Betroffenen sind weitgehender und umfangreicher geworden. Neu ist bspw. das Recht auf Erhalt einer Kopie der verarbeiteten Daten, das unter bestimmten Umständen bestehende Recht auf Übertragbarkeit bzw. Übertragung aller gespeicherten Daten oder die Pflicht zur Weitergabe von Löschungsaufforderungen an andere Datenverarbeiter.
Auch haben die Datenschutzbehörden (schärfere) Zähne bekommen: die möglichen Bußgelder wurden weit erhöht.

Dessen ungeachtet bringt die DSGVO für deutsche Anwender aber letztlich gar nicht so viel Neues: für den eigentlichen Umgang mit personenbezogenen Daten ändert sich nicht viel. Wer die - bereits hohen - Anforderungen des bisherigen deutschen Datenschutzrechts erfüllt hat, wird ein wenig nacharbeiten müssen, aber nichts von Grund auf neues schaffen müssen. Schwieriger wird es natürlich, wenn sich die Befassung mit dem Datenschutz bislang auf das Einkopieren eines vorgefertigten Disclaimers beschränkt hat.

DSGVO für alle?

Der mir am häufigsten begegnende Kritikpunkt gegen die DSGVO ist dabei der, dass insbesondere an den “kleinen Mann”, also bspw. an Blogger, Webseitenbetreiber, kleine Vereine und Einzelunternehmen, unverhältnismäßig hohe Ansprüche gestellt werden. Diese Kritik erscheint mir aber nicht wirklich schlüssig - denn die Gefahr für meine Daten, meine Persönlichkeitsrechte, ist ja nicht davon abhängig, wie “groß” die Institution ist, die meine Daten verarbeitet, oder ob sie dies kommerziell oder nicht-kommerziell tut.

Jeder, der meine Mailadresse oder meine Postanschrift erhält oder speichert, kann damit Schindluder treiben oder sie aufgrund unzureichender Schutzmaßnahmen an unbefugte Dritte oder die Öffentlichkeit gelangen lassen. Wenn jemand mich auf der Straße oder einer Veranstaltung fotografiert, dann mache ich mir über die weitere Verwendung dieser Fotos ganz unabhängig davon Gedanken, ob das eine Privatperson tut, ein professioneller Fotograf oder ein großes Unternehmen - im Zweifel mache ich mir bei der Privatperson sogar mehr Gedanken. Und ob Inhalte aus einem Forum, einem sozialen Netzwerk oder einer anderen Community gegen meinen Willen verwendet werden, ist völlig unabhängig davon, ob diese Community von einer Privatperson, einem Verein oder einem multinationalen Unternehmen betrieben wird.

Wichtig ist daher m.E. nicht, wie “groß” oder “kommerziell” der Datenverarbeiter ist, sondern wie viele und welche Daten er erhebt und wie er sie verbinden und auswerten kann. Natürlich geht das eine oft mit dem anderen Hand in Hand. Dessen ungeachtet ist es mir persönlich jedoch tendenziell weniger wichtig, was Facebook oder Twitter vielleicht alles über mich wissen (aber nicht mit anderen teilen), als was mit meinen persönlichen Daten in meinem näheren Umfeld geschieht. Oder anders gewendet: ich mache mir mehr Gedanken über von Dritten auf WhatsApp hochgeladene Adressbücher und von ihnen bei Facebook oder Instagram geteilte Schnappschüsse von mir als über die vielfältigen Informationen, die Google über mich sammelt.

Insofern halte ich den Ansatz der DSGVO im Grundsatz für konsequent - was nicht bedeutet, dass nicht die eine oder andere Anforderung mir (weit) überzogen erscheint; dann aber eben nicht nur für den Privatanwender, sondern für alle.

Oder, in Marios Worten:

Und ja, inzwischen bin ich für mich selbst zu den Schluss gekommen, dass der Benutzer beim Besuch meiner privaten Seite die gleichen Rechte beim Schutz seiner personenbezogenen Daten hat, als wenn er zu Google, Facebook oder Twitter surft.

Reichweite der DSGVO

Doch halt - betrifft die DSGVO überhaupt private Blogs und Webseiten? Heißt es nicht in Art. 2 Abs. 2 lit. c) DSGVO:

Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.

Doch, schon - aber diese Ausnahmevorschrift (die auch bereits für das alte BDSG galt) ist eng auszulegen. Wer eine weltweit abrufbare Webseite publiziert und sich damit an die Allgemeinheit wendet, geht eben gerade keiner ausschließlich “persönlichen” oder “familiären” Tätigkeit nach. Diese Ausschlussklausel erfasst vielmehr in erster Linie Datensammlungen wie das private Adress- und Telefonbuch (das ansonsten auch in Papierform dem alten BDSG und der neuen DSGVO unterliegen würde, nämlich als “nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind”) oder das Familienalbum.

Webseitenbetreiber oder Blogger können sich darauf allenfalls dann berufen, wenn sie nur für sich alleine oder ihre Familie schreiben; möglicherweise erfordert das überdies eine entsprechende Zugangsbeschränkung.

So jedenfalls wird man die DSGVO im Regelfall nicht los.

Risiken für Webseitenbetreiber

Und nun? Droht ein Armageddon? Sollte ich mein Blog, meine Webseite rechtzeitig vor dem 25. Mai abschalten?

Wohl kaum.

Wer bislang seine Pflichten erfüllt hat, hat u.a. bereits eine Datenschutzerklärung und muss diese allenfalls überarbeiten - und am besten zuvor überdenken, welche Daten warum eigentlich erfasst werden. Der Aufwand ist dann einigermaßen überschaubar, und vor allem hat man sich dann ja auch schon einmal mit dem Thema beschäftigt und kann dies wieder tun.
Wer bislang seine Pflichten nicht erfüllt hat … hätte das schon tun sollen, und sollte es auch jetzt tun, muss aber kaum mit anderen Konsequenzen rechnen als bisher.

In beiden Fällen gibt es sehr wohl einen Grund, das Thema möglichst bald anzugehen - aber keinen, in Panik zu verfallen und alles abzuschalten. Denn was soll sich geändert haben, das nun plötzlich ein hektisches Agieren erforderlich wird, obwohl der möglicherweise rechtswidrige Zustand schon jahrelang bestand?

Richtig ist freilich, dass sich datenschutzrechtliche Verstöße im Zeitalter der DSGVO aufgrund der dort normierten Informationspflichten leichter “von außen” feststellen lassen - denn was der Webseitenbetreiber oder Blogger tatsächlich an Daten erfasst und was er mit ihnen tut, sieht man kaum, ob es aber eine Datenschutzerklärung gibt (und was ggf. in dieser drinsteht), das kann man schnell nachsehen.

Auch hier stellt sich aber die Frage nach den damit verbundenen Risiken.

Bußgelder drohen jetzt - drohten aber auch schon zuvor. Die massive Erhöhung der Bußgeldrahmen wird den privaten Nutzer wenig betreffen, denn weder die Schwere des Verstoßes noch seine persönlichen Verhältnisse haben sich ja wesentlich geändert. Außerdem haben die Aufsichtsbehörden bereits angekündigt, mit Augenmaß vorzugehen - und, offen gesagt, trotz aller Aufstockungen auch nicht annähernd das nötige Personal, sich jetzt hunderte, tausende oder zigtausende private Webseiten vorzuknöpfen.

Abmahnungen - und Unterlassungsklagen - waren ebenfalls bereits zuvor möglich. Vor allem aber sollte man einmal in Ruhe darüber nachdenken, ob und wer denn überhaupt abmahnen kann. Nicht nur, dass umstritten ist, ob die Vorschriften der DSGVO überhaupt Marktverhaltensregeln darstellen, die eine wettbewerbsrechtliche Abmahnung erlauben - es müsste auch erst einmal ein Wettbewerber vorhanden sein, der auf wettbewerbsrechtlicher Basis abmahnen kann. Die wenigstens privaten Blogger oder Webseitenbetreiber werden in einem Wettbewerbsverhältnis zu anderen stehen … Die Abmahnung durch einen entsprechenden (Verbraucherschutz-)Verband erscheint ebenso wenig wahrscheinlich, zumal diese Verbände ohne Gewinnerzielungsabsicht im öffentlichen Interesse handeln (müssen).

Es wirkt mithin recht unwahrscheinlich, dass der “kleine Mann” mit bedrohlichen Folgen rechnen muss, wenn er die Vorschriften der DSGVO für seine Webpräsenz oder sein Blog nicht ganz rechtzeitig oder nicht vollständig umgesetzt hat - was allerdings kein Argument dafür sein sollte, die Sache noch länger schleifen zu lassen. (Und dabei auch direkt an das Impressum denken, das jedenfalls nach § 55 Abs. 1 RStV nahezu immer erforderlich ist - und auch hier drohen für eine solche Unterlassung Bußgelder!)

Anders allerdings kann die Sache für kleine Vereine und Firmen oder Selbständige aussehen, und natürlich auch für diejenigen, die das Bloggen (neben-)beruflich betreiben und damit (teilweise nicht wenig) Geld verdienen. Dann aber sollte auch eine entsprechende rechtliche Beratung möglich und erschwinglich sein.

[Bedauerlicherweise wurde dieser Beitrag erst nachträglich im August 2018 veröffentlicht.]