DSGVO: So viel Panik für nichts Neues – und warum es trotzdem ein grundlegendes Problem gibt

Je näher der 25.05.2018 kommt, desto aufgeregter wird die DSGVO, also die neue EU-Datenschutz-Grundverordnung, diskutiert. Die Punkte darin, welche normale Website-Betreiber betreffen, sind jedoch altbekannt: sie sind schon lange deutsche Gesetzgebung; das wurde nur bislang weitestgehend ignoriert. Ein einfaches „weiter so“ wäre aber aus meiner Sicht nicht sinnvoll, da es ja tatsächlich diverse Probleme gibt.

Ich möchte vor allem also einen kleinen Praxisleitfaden erstellen, wie man aus technischer Sicht die vermeintlich neuen Regeln der DSGVO interpretieren muss und wie man Probleme auf seiner Seite finden und lösen kann. [UPDATE]Ganz unten beleuchte ich nun noch einen Punkt, der sehr abseits der großen Diskussionen in der der Blogger- / Webworker-Szene liegt.[/UPDATE]

Disclaimer: ich bin kein Jurist, so dass die angesprochenen Punkte und Einschätzungen vor allem technischer Natur sein werden. Dies ist insbesondere damit keine Rechtsberatung.

DSGVO: Alter Wein in neuen Schläuchen

Wenn man sich die Regeln der DSGVO anschaut und Internetrecht schon länger beobachtet, dann drängt sich vor allem der Gedanke auf, dass man das doch alles schon kennt. Im Einzelnen:

  • SSL-Verschlüsselung für Websites: das ist schon sehr, sehr lange Pflicht, da man einen wirksamen Schutz personenbezogener Daten garantieren muss, und eine Transportverschlüsselung ist dafür nun einmal die absolute Grundlage. 2015 wurden daher auch eine Hand voll Shops abgemahnt, da man da nun wirklich nicht mehr mit der Ausrede kommen kann, man wüsste nicht, dass das ja personenbezogene Daten seien. Allerdings gilt die Pflicht zur Verschlüsselung auch für Kontaktformulare, da darüber oft personenbezogene Daten versendet werden – schon jetzt.
  • Den Auftrag zur Datenverarbeitung gibt es auch schon seit 1990 (BDSG), Google bietet diesen für Analytics ebenfalls schon seit vielen Jahren an, wie man in jeder Anleitung zu „Google Analytics rechtsicher einsetzen“ nachlesen kann. Ohne diesen Vertrag ist es nicht legal, Daten an Drittdienste weiterzugeben. Jetzt schon nicht. Ausdruck der jetzt gültigen Gesetzgebung sind zum Beispiel die Datenschutzfreundlichen Share-Buttons und das viel diskutierte Düsseldorfer Urteil zum Like-Button.  Dass man nicht einfach wahllos Daten weiterreichen kann widerspricht diametral der Art, wie Website-Betreiber Dienste auf ihre Seite einbringen und so Daten ohne Vertrag weitergeben. Deswegen wird dieser Punkt auch weiter unten elementarer Teil der Praxis-Analyse sein.
  • Dass die Datenübermittlung aus dem vorherigen Punkt insbesondere dann ein Problem ist, wenn diese in Gebiete außerhalb der EU stattfindet, ist spätestens seit dem Crash von Safe Harbor (beschädigt seit 2013, Untergang 2015) mehr als deutlich geworden. Mittlerweile gibt es ein Nachfolgeabkommen namens Privacy Shield, welches gerade aus Deutschland stark kritisiert wird, da die Fehler von Safe Harbor nicht wirklich beseitigt wurden. Es hat trotz eines Beschlusses der EU-Komission einen informellen Charakter und wird zur Zeit umfangreich geprüft.
  • Datenschutzbeauftragte in Firmen bestimmter Größen (abhängig davon wie Daten verarbeitet werden): auch das ist nichts neues, auch das war Teil des BDSG aus dem Jahre 1990. Es ist ein bisschen ironisch, dass jetzt plötzlich die Kurse dafür auf Monate hinweg ausgebucht zu sein scheinen. Was haben die Firmen denn früher gemacht? Das Gesetz einfach so ignoriert?
  • Dokumentationspflicht: gab es auch schon früher, gehört zum Datenschutz-Beauftragten.
  • Cookies werden mit der DSGVO gar nicht behandelt, das wurde auf später (voraussichtlich 2019) verschoben. Klar ist aber die Richtung: Tracking-Cookies, welche auch nach Schließen des Browsers da bleiben, sind böse, funktionale Cookies wie das eines Logins ok.

Kurzum: sorry, Leute, aber das ist alles nichts Neues. Der Punkt ist viel eher: die Gesetze wurden im Netz weitestgehend ignoriert. Oder um es auf den Punkt zu bringen: bis auf wenige Ausnahmen sind fast alle Seiten illegal. Jetzt. In diesem Augenblick. Das hat nichts mit der DSGVO zu tun. Sondern mit rein deutscher Gesetzgebung. Die DSGVO bringt das Ganze nur auf EU-Level, und die deutsche Datenschutzgesetzgebung (v.a. das BDSG) war dabei nicht unwesentliche Vorlage. Und im Übrigen ist die DSGVO nur der erste, grundlegende Schritt – richtig spannend wird es mit der ePrivacy-Richtlinie, weil das die Umsetzung betrifft (siehe FAQ: Einfluss nehmen).

Die Tatsache, dass jetzt zum Teil helle Panik ausbricht, rührt im Endeffekt also vor allem daher, dass man sich viele Seitenbetreiber nie mit den Gesetzen beschäftigt haben, und das jetzt panisch nachholen. Warum ausgerechnet die DSGVO jetzt zum Anlass wird, dies zu tun, und nicht die vielen vorherigen Einschläge: faszinierendes Detail, an dem Sozialwissenschaftler vermutlich große Freude bei der nachträglichen Untersuchung haben werden.

Übrigens möchte ich nicht damit sagen, dass die DSGVO keine Neuerungen bringt, im Gegenteil: der etwas schwammige Begriff des „berechtigten Interesses„, personenbezogene Daten speichern und verarbeiten zu dürfen, ist zum Beispiel so eine Neuerung. Solche Details werden über die Jahre präzisiert werden müssen. Ebenso müssen noch Konflikte mit der deutschen Rechtsprechung geklärt werden, da gibt es Grauzonen, wie das immer so ist, wenn Recht vereinheitlicht wird. Der Punkt ist aber: das, was vielfach unter der DSGVO diskutiert wird, das hat mit der DSGVO einfach nichts zu tun. Das ist gute, alte, deutsche BDSG-Gesetzgebung. Und die Grauzonen sind auf einem ganz, ganz anderen Level, mit dem die allermeisten Menschen nie in Berührung kommen werden.

Eine weiterer neuer Aspekt ist das sogenannte Kopplungsverbot, was besagt, dass man nicht einfach Dienste koppeln darf. Bislang ist es Gang und Gebe, dass man mit einem Bestätigen sich als Anbieter quasi alles bestätigen darf – Zwangs-Newsletter, Zwangs-Tracking, … etc. Diese Kopplung ist nun nicht mehr pauschal erlaubt. Da mit diesem „Datenschutz-Häkchen und Anbieter darf alles“ viel Missbrauch betrieben wurde, empfinde ich das als eine sehr positive Entwicklung. Auch dort müssen die Details aber noch definiert werden, z.B. was das oben angesprochene berechtigte Interesse ist, um dann doch eine Kopplung zu erlauben (und in welcher Dimension).

Probleme auf der eigenen Seite erkennen

Werden wir konkret: wie erkennt man denn nun praktische Probleme auf der eigenen Seite?

TLS-Verschlüsselung (vulgo: SSL)

Wer noch immer kein SSL einsetzt und in irgendeiner Form Formulare anbietet, der sollte schnellstens auf SSL wechseln. Formulare, das können Kontaktformulare, das können Kommentarfelder sein, und natürlich ist ein Shop mit seinen ganzen Eingabemasken auch SSL-pflichtig.

Auftrag zur Datenverarbeitung

Das ist ein seit Jahren gängiger Vertrag, wo man etliche Vorlagen zu findet: im Datenschutz-Wiki zum Beispiel. Altverträge dürfen wohl übernommen werden, z.B. activeMind bietet auch neue Vorlagen und einen Vergleich zwischen den Verträgen an.

Externe Ressourcen

Viele Seiten binden sehr viele Ressourcen ein, und das meist völlig bedenkenlos. Denn vielen Webmastern ist nicht klar, was sie damit tun. Jede Seite, von der man Daten lädt, bekommt zwangsweise Infos über eure Nutzer. Um mehr herauszufinden, öffnen wir die Entwicklertools von Chrome (geht analog aber auch in jedem anderen modernen Browser) und gehen dort auf den Tab „Sources“. Auf einer Datenschutz-optimierten Seite wie meiner eigenen ist die Liste links ziemlich kurz:

Die Quellen meiner eigenen Seite.

Nur von zwei Domains werden überhaupt Daten geladen: von binary-butterfly.de und von piwik.binary-butterfly.de. Lies: ich gebe an niemanden Daten weiter, sondern Lade alles von meinem eigenen Server.

Zum Kontrast nehmen wir mal eine ganz andere Seite – nehmen wir spiegel.de:

Die Quellen von spiegel.de

Man sieht an dem Scrollbalken: da kommt so einiges. Spiegel Online hat ein eigenes CDN, was unter deren eigener Kontrolle ist. Da ist aber noch viel mehr: von Tracking-Scripten (z.B. ioam.de) über Werbeanbieter (doubleclick.net) finden sich da alle Grausamkeiten wieder, die das Web so zu bieten hat.

Wenn man nicht weiß, wem der Dienst gehört, dem man da Daten zuliefert, kann man versuchen, über ein Whois mehr Informationen zu bekommen. Schauen wir uns mal an, auf wen doubleclick.net registriert ist:

Die Ergebnisse einer Whois-Abfrage für doubleclick.net

 

Ach, hallo, Google, du bist es! Wenn da übrigens ein Unternehmen steht, von dem ihr absolut keine Ahnung habt, wer das sein soll, dann darf das gerne als Warnsignal betrachtet werden. Ihr liefern nämlich allerlei Daten eurer Nutzer genau diesem Unternehmen.

Wenn ihr nicht einmal wisst, was das für ein Unternehmen ist, wie könnt ihr dann euren Nutzern garantieren, dass das Unternehmen keinen Scheiß mit euren Daten macht? Ihr habt ja offensichtlich nicht mal ein ernst zunehmendes vertragliches Verhältnis miteinander (lies: einen Auftrag zur Datenverarbeitung), lies: ihr kennt das Unternehmen nicht einmal selbst.

Unterschiedliche Arten der externen Ressourcen

Es gibt durchaus einen Unterschied zwischen den Daten, die eingebunden werden. Rein rechtlich bräuchtet ihr für alles einen Auftrag zur Datenverarbeitung, rein praktisch besteht aber ein großer Unterschied, ob ihr lediglich die IP oder ein umfangreiches Nutzerprofil an das Dritt-Unternehmen weiterleitet.

Externe Assets

Schauen wir uns mal eine richtig harmlose Variante von berlin.foej.net an:

Externe Fonts auf einer FÖJ-Seite

Ob nun Google Font oder irgendwelche bekannten JavaScript-Libraries: sowas wird häufig auf CDNs bereitgestellt. Das sind auch fremde Server, und Nutzer senden da zwangsweise auch Daten hin, indem sie die Dateien abrufen. Doch so richtig umfangreich sind die Daten nicht. Dafür wechseln wir entweder mit „Reveal in Network Panel“ oder direkt auf den Network-Panel und schauen uns an, was dort mitgesendet wird:

Die HTTP-Header eines Font-Abrufes.

Interessant ist vor allem der Request Header, das sind die Daten, die mitgesendet werden. Das sieht alles extrem harmlos aus: keine Cookies, keine komischen Strings mit unbekannter Bedeutung – mit einer Ausnahme: X-Client-Data sieht komisch aus. Das entpuppt sich nach ein bisschen Googlen aber nur als ein Zustands-String von Chrome, also nichts Personenbezogenes.

Trotzdem beinhaltet diese Anfrage an das Google Font CDN personenbezogene Daten: nämlich die IP-Adresse. Ohne diese könnte euer Computer gar nicht kommunizieren. Im strengen Sinne müsstet ihr also mit dem Google CDN einen Auftrag zur Datenverarbeitung schließen, und wenn das CDN in den USA steht, ist das erst recht problematisch. Das ist allerdings schon jetzt der Fall, und ich glaube, ich muss mich nicht weit aus dem Fenster lehnen, um zu behaupten, dass das auch weiterhin niemanden interessieren wird. Der potentielle Schaden ist zu klein, der Grund für eine Klage zu wenig vorhanden.

Scripte, welche Daten sammeln

Ganz anders ist das mit Scripten, welche Daten in den Browsern eurer Nutzer sammeln und dann auf verschiedene Arten zurücksenden. Zunächst ist immer ein JavaScript:

Das Facebook Tracking Script

Wenn man sich jedoch im Network Tab genauer umschaut findet man dann üblicherweise eine ganze Menge von nachgeladenen Bildern, von AJAX Requests und vielem, vielem mehr. Ein Beispiel:

Massenweise Übertragung von Daten.

Wenn man auf den XHR-Tab gehen würde, würde man sehen, dass sich ein anderes Script auch regelmäßig noch bei anderen Servern meldet. Mit umfangreichen Tracking-Cookies, welche den Nutzer und sein komplettes Klickverhalten einwandfrei identifizieren und komplett durchleuchten. Beim Facebook Pixel und anderen weithin eingesetzten Trackern kommt noch dazu, dass dieser den Nutzer auch noch über Seiten hinweg erkennen kann. Diese Tracking-Scripte sind so weit verbreitet, dass der Betreiber – in dem Fall Facebook – ein sehr gutes Profil von einem Menschen erstellen kann, selbst dann, wenn dieser Mensch dem nie zugestimmt hat. Das ist ein ganz klassischer Fall, wo Datenschutz eine Rolle spielen sollte.

Like-Boxen und ähnliche Social-Media-Integrationen der Social-Media-Netzwerke sind übrigens ähnlich datenhungrig wie derartige Tracking-Scripte, weswegen es keine gute Idee ist, derartige Scripte einzusetzen. Mit Shariff gibt es in Deutschland aber eine gute, datenschutzfreundliche Alternative.

Cookies erkennen

Cookies erkennt man mit denselben Mechanismen. Schaut man sich den letzten Screenshot genauer an, sieht man dort den Begriff „Cookie“. Das bedeutet, dass der Browser den Inhalt eines Cookies an den Server sendet. Der Server kann damit den Nutzer eindeutig identifizieren.

Es gibt dabei zwei verschiedene Sorten an Cookies: welche, die nach dem Schließen des Browsers weg sind und welche, die bestehen bleiben. Dieses Verhalten kann man als Entwickler eines Plugins / einer Plattform steuern. Gefährlich sind vor allem die Cookies, die bestehen bleiben.

Meine eigene Seite ist hierfür ein gutes Beispiel. Mein WordPress setzt gar keine Cookies, Piwik tut es aber. Schauen wir uns also die Index-Seite an. Oben in den Response Headers werden die Cookies gesetzt, da ist nichts zu sehen, also setzt das WordPress selbst setzt also keine Cookies. Es werden aber Cookies mitgesendet, siehe Request Headers. Irgendein anderes Dokument hat also Cookies gesetzt, in diesem Fall die piwik.php:

Piwik setzt Cookies, wenn das erlaubt ist.

Wenn man durch einen Do-not-Track-Header oder einen Werbeblocker als Nutzer den Wunsch äußert, bitte nicht getrackt zu werden, gibt es gar keine Cookies.

Der Nutzer wünscht keine Cookies, der Nutzer bekommt keine Cookies.

Wenn man sich einloggt, brauchen wir ein Cookie, um den Nutzer zu identifizieren. Dieses wird aber nach einem Browser-Neustart wieder verschwinden und ist somit kein Tracking-Cookie. Übrig bleiben würden die Piwik Cookies wie im ersten Screenshot:

Ein Login benötigt weit mehr Cookies, diese überleben aber einen Browser-Restart nicht.

Was soll ich als Seitenbetreiber nun tun?

Zunächst einmal sei festgestellt: Es wird sich für die allermeisten Seitenbetreiber nichts ändern. Bereits jetzt dürfen Daten der Nutzer nicht einfach an Dritte weitergereicht werden.

Der zweite und aus meiner Sicht wichtigste Punkt ist: don’t panic. Wenn man aktuell Diskussionen verfolgt, machen Menschen hochgradig irrationale Dinge, und eine ganze Reihe an Artikeln von Marketing- und SEO-Firmen unterstützt das durch möglichst effekthascherische Artikel ohne technische oder juristische Substanz. Menschen in Panik treffen irrationale Entscheidungen, also: lasst das. Panik nutzt niemandem.

Man fährt sehr gut damit, die Unart, einfach massenweise irgendwelche Plugins oder Tracking-Lösungen zu installieren, einfach sein zu lassen. Vielfach gibt es datenschutzfreundliche Alternativen (z.B. Shariff statt Like-Box, Analytics mit Auftrag zur Datenverarbeitung oder Piwik statt Yandex, …), und manche Dinge sind schlicht überflüssig (dazu gehört aktuell das Facebook Pixel – das ist aus sehr gutem Grund nicht legal einsetzbar, weil dort umfangreiche Daten ohne Vertrag weitergereicht werden).

Der Weg sollte also sein: erst einmal wie oben beschrieben analysieren, und dann entscheiden, was zu tun ist. Um die CDNs würde ich mir nicht so den Kopf machen, aber dieses massenweise Übertragen von Daten an Drittanbietern über Tracking-Systeme – das sollte über kurz oder lang ein Ende haben. Nach jedem Deaktivieren oder Ersetzen von Software schaut nochmal in die Entwickler-Tools hinein und schaut euch an, was sich geändert hat.

Werbung mit ihren Tracking-Scripten wird dabei eine interessante Rolle spielen. Dies wird aber in weiten Teilen die Presse ausfechten, weil diese auf Werbung angewiesen ist und so dort Klagen provozieren wird, um Rechtsicherheit zu erlangen. Heute ist Werbung eigentlich fast durch die Bank weg illegal, da viele Werbedienstleister umfangreiche Profile erstellen und in den seltensten Fällen ein Vertrag zu diesen Daten existieren dürfte. In der DSGVO gibt es nun die Formulierung des „berechtigten Interesses“; meine Prognose wäre da, dass Finanzierung über Werbung ein berechtigtes Interesse ist und das damit sehr wohl erlaubt bleiben wird – allerdings nicht mehr jeder siffige Anbieter, der die Daten dann meistbietend verkauft (die sind heute aber auch schon nicht legal, es gibt aktuell nur einfach keine Kläger).

FAQ (Was so diskutiert wird)

Aber mein tolles Tracking funktioniert dann nicht mehr, wie soll ich so meine User überwachen?!

Das ist genau der Sinn der deutschen und nun auch der europäischen Gesetzgebung: dass Nutzer nicht mehr ohne weiteres wahllos getrackt werden dürfen, sondern dass Seitenbetreiber ihrer Verantwortung gerecht werden. Natürlich kann man die Verantwortung auch völlig von sich weisen. Aber das ist dann eben genau das: verantwortungslos. Und außerdem illegal. Seit Jahren.

Aber die schießen voll über das Ziel hinaus!

Ja und nein. Einerseits ja, Gesetze neigen dazu, sehr stark durchdefiniert zu werden und gleichermaßen Definitionslücken zu lassen, die dann erst Gerichte in Präzedenzfällen klären müssen. Das wird auch nicht von heute auf morgen gehen, und solange wird es zwangsweise eine gewisse Unsicherheit geben. Aber gleichermaßen ist aus meiner Sicht auch sehr deutlich, dass diese völlig wahllose Weitergeben von Daten nicht ok ist, und dass einem sehr großen Teil der Bevölkerung geholfen wird, wenn das nicht mehr möglich ist.

Die Industrie hat versucht, die Probleme anzugehen, ist aber sehr deutlich an ihren eigenen Ansprüchen gescheitert – das Stichwort dazu wäre Do-Not-Track-Header. Also musste der Gesetzgeber dran. Die EU hat sich dabei recht offensichtlich von der deutschen Gesetzgebung inspirieren lassen, da diese (vielleicht mal abseits des Facebook-Headquarters) einen recht guten Ruf hat.

Dynamische IP-Adressen sind übrigens auch personenbezogene Daten. Das empfinde ich persönlich als ein bisschen schwierig, da eine IP alleine sehr wenig Aussagekraft hat, aber elementarer Bestandteil jedes Loggings und Debuggings ist. Das hat nichts mit der DSGVO zu tun, sondern ist vielmehr deutsche Rechtsprechung, sollte aus meiner Sicht aber angegangen werden (da wären wir bei dem Punkt weiter unten: Einfluss nehmen).

Immer auf die Kleinen, und die Großen dürfen alles!

Das ist eine ziemlich merkwürdige Argumentation bei Gesetzen, welches dafür sorgt, dass die Digital-Riesen am Ende entweder Datenschutzstandards einhalten müssen oder eben einfach weit weniger Daten bekommen, weil sie nicht eingesetzt werden dürfen. Das ist ebenfalls ein merkwürdiges Argument in Anbetracht der Tatsache, dass regionale Unternehmen dadurch gestärkt werden, weil sie viel eher datenschutzfreundliche Lösungen bereitstellen können. Auch die Klagen, die die Grauzonen klären, werden sicher nicht die kleinen Seitebetreiber treffen, sondern die, wo es Geld zu holen gibt. Wie immer bei Präzedenzklagen.

Die einzige Gruppe, bei der ich mir recht sicher bin, dass sie darunter leiden wird, ist die Gruppe der „Webdesigner“, die dem Kunden viel Kompetenz versprechen, aber selbst nicht einmal eine Browserkonsole aufbekommen. Aber … nun ja, irgendwie ist bei dieser Gruppe nicht die DSGVO das Problem, oder?

Wer übrigens tatsächlich mehr tun muss sind Infrastruktur-Anbieter. O-Ton Facebook-Diskussion: „Für SaaS Betreiber kommen eine Reihe von Änderungen dazu (Export von Daten, Protokollierung von Zugriffen, Löschen von Nutzerdaten, Ausnahme von der Verarbeitung, Dokumentation von Personenbezogenen Funktionen). Besonders den Export und die sich daraus ergebende Interopabilität halte ich allerdings für sehr begrüßenswert.“ Das hat aber so gar nichts mit kleinen Blogbetreibern und kleinen Dienstleistern zu tun, sondern dreht sich um Unternehmen, die im Alltagsgeschäft sehr regelmäßigen Kontakt mit ihrem Hausanwalt haben müssen. Also auch ganz sicher keine Grundlage für „die da oben“-Argumentationen.

Dann geh ich halt ins Ausland!

Dieser Spruch ist meist Teil einer langen Tirade, welches bei mir immer das Bild von Affen erzeugt, die lauthals schreiend auf ihre Brust hauen: klassisches Stammtisch-Geprolle. Die Grundidee mag vielleicht nicht schlecht sein, aber sowohl im deutschen Recht als auch in der DSGVO gilt das Marktortprinzip, das bedeutet, es ist irrelevant, wo die Seite gehostet wird oder wo er seinen Firmensitz hat – wichtig ist, wer die Kundengruppe ist. Wenn man sich also an ein deutsches Publikum richtet, muss man auch deutschen Datenschutz einhalten. Für die, die dann trotzdem noch ins Ausland gehen wollen: nehmt euch Steuerhinterzieher als Vorbild und macht es einfach, aber verschont mich bitte von euren Stammtischparolen und dem Geheule, wenn es schief geht. Danke.

Das macht mein Geschäftsmodell kaputt und verhindert Innovation!

Abgesehen davon, dass das nichts mit der DSGVO zu tun hat: Wenn das Geschäftsmodell nur dann zu realisieren ist, wenn wahllos Daten weitergegeben werden, dann ist sehr wahrscheinlich das Geschäftsmodell kaputt. Diesen Vorwurf liest man meist aber eh im Kontext von Beschwerden, wo deutlich wird, dass der- oder diejenige sich einfach wahllos bei „kostenlosen“ (lies: datenfinanzierten, und zwar nicht mal eure Daten, sondern die der Website-Besucher) Diensten bedienen will und nicht einsieht, dies zu ändern. Das hat aber wenig mit Innovation zu tun, sondern primär mit Faulheit.

Durch die DSGVO muss ich all meine Kunden informieren!

Nein. Wie so schön in einer Diskussion auf Facebook erwähnt: es lohnt sich, weniger über und mehr die DSGVO zu lesen, in diesem Fall konkret Artikel 13 Absatz 4. Das schützt einen nicht davor, dass ihr mit Dritten eigentlich ein Vertragsverhältnis haben müsst, wo klargestellt ist, wer mit welchen Daten arbeiten darf. Aber das ist wie oben erwähnt nichts Neues und hat nichts mit der DSGVO zu tun.

Wie kann ich darauf Einfluss nehmen?

Der Trilog für die ePrivacy-Richtlinie ist erst Ende 2018 beendet, und Landes- wie Bundesparlamente haben eine Menge Befugnisse. Statt also nur zu meckern, redet mit den Abgeordneten, erklärt konkret eure Situation, zeigt Fachkenntnisse, zeigt Sorgen, zeigt Vorschläge. Das lohnt sich, Politiker sind auch nur Menschen, und zum Beispiel der Punkt mit der dynamischen IP ist ja nun einmal ein sehr valider Punkt. Meckern dagegen erreicht halt wirklich gar nichts.

Und auch wenn Verordnungen (im Gegensatz zu Richtlinien) ab Stichtag gelten, so werden auch diese in die Gesetzgebung des jeweiligen Landes übernommen und dort dann entsprechend angepasst und präzisiert. Dazu finden sich hier ein paar klärende Worte. Und auch darauf lässt sich noch Einfluss nehmen.

Das Internet ist doch aber international! Was soll die kleine EU daran denn ändern?

Nun, die EU ist nicht so klein. Und damit wäre die Frage doch andersherum: Kann ein Digitalkonzern auf sämtliche Kunden in der EU verzichten? Ich glaube kaum. Und ich bin ebenfalls der Meinung, dass Politik und Gesellschaft nicht andauernd vor den Interessen von Konzernen kuschen muss. Das tut wir schon häufig genug und wird zu Recht häufig kritisiert.

Übrigens: hat jemand bemerkt, dass nur der letzte FAQ-Punkt einen reinen DSGVO-Bezug hat? 😉

Ich freue mich auf eine lebhafte Debatte!

[UPDATE] Auf Twitter wurde ich hingewiesen, dass sich sehr wohl etwas ganz substantielles ändern – und zwar in einem Bereich, der innerhalb der Blogger- / Webworker- / Techie-Szene bislang nahezu nicht beleuchtet wird. Da dieser rein juristischer Natur ist, kann ich den realen Umfang des Sachverhaltes nicht bewerten, führe es hier der Vollständigkeit halber auf. Hier ein recht umfangreicher Artikel dazu.

Konkret geht es um das Problem im Bereich Persönlichkeitsrecht insbesondere bei Abbildungen auf Photos, wenn der Nutzer des Photos kein Journalist ist. Das scheint auch kein Problem der DSGVO selbst zu sein, es wurde offensichtlich vielmehr bei der Überführung in deutsches Recht etwas übersehen, was hässliche Auswirkungen haben kann. Kritisch wird es dadurch, dass scheinbar nicht nur die Datenschutzbehörden agieren können, sondern auch die auf dem Bild abgebildeten Menschen.

Auch hier würde ich nicht zu Panik raten, wohl aber zu dem Punkt „Einfluss nehmen“ – so wie das für mich klingt, ist das sehr gut lösbar, man muss es aber machen. Und das geht nicht ohne Druck.[/UPDATE]

70 Antworten zu “DSGVO: So viel Panik für nichts Neues – und warum es trotzdem ein grundlegendes Problem gibt”

  1. Ein Super Artikel wie ich finde.
    Ja ich bin ehrlich auch bei mir wird es bestimmt waa zu tun geben und auch bei mir kam die erste Panik.
    Jesoch gerade bezugnehmend auf deinen Artikel ist meine Panik etwaa verschwunden.

    Mir war zudem nicht bewusst, dass die DSGVO auf daa deutsche Recht aufbaut, wenn ich das richtig verstanden habe.

    • Danke! Aufbaut wäre vielleicht zu viel gesagt. Aber wenn man sich die politische Debatte dazu anschaut, dann waren deutsche Politiker alles andere als unbeteiligt an der DSGVO, und man erkennt selbst als Nichtjurist diverse Parallelen zum BDSG.

  2. Als Rant angekündigt. Das ist richtig. Ja gegenüber den Leuten, die seit Jahren aus Hobby eine Website betreiben und eigentlich keinen Plan vom Datenschutz haben. Gerade wenn Sie jetpack co. einsetzen. Rechtswidrig seit Jahren. Sowie das automatsiche „ON“ von Ryte in SEO Yoast. Das standardmäßig auf on geschaltet ist. Rechtswidrig. Zudem die ganzen Facebook Plugins, die Kommentare aus einem geschlossenen Netzwerk auf Blogs zu sehen sind. Auch wohl rechtswidrig.

    Zum Punkt: Externe Ressourcen
    Das stimmt nicht. Auf dieser Seite wird noch gravatar.com geladen. oh oh.

    • Auf den Einzelseiten der Artikel wird Gravatar geladen, ja. Das war eine Abwägung zwischen Funktionalität und Preisgabe der IP-Adresse. Da ich letztere für nur so mäßig schützenswert halte, ist die Abwägung zu Gunsten von Gravatar ausgegangen.
      Punkt ist: sowas sollte man sich eben überlegen und dann aktiv entscheiden (u.a. dass man ein minimales Rechtsrisiko eingeht).

  3. Eine gut lesbare Zusammenfassung. Danke dafür.

    Warum jetzt bei vielen Unternehmen mehr oder weniger Panik ausbricht ist aber auch klar: es gibt erstmals ernstzunehmende Strafen. Bisher gab es wenig Kontrollen und wenig Konsequenzen, wenn Verstösse gegen das BDSG entdeckt wurden. Die Landesämter für Datenschutz rüsten jetzt personell stark auf und werden mehr Kontrollen durchführen. Die neuen Stellen sind schnell refinanziert, denn Geldstrafen bei Verstössen werden obligatorisch. Unternehmen stellen oftmals nicht mehr in Frage ob sie Strafen zu entrichten haben. Sie arbeiten daran die Höhe dieser möglichen Strafen zu begrenzen. Jede Kontrolle wird Geld kosten.

    Gerade Juristen und Sicherheitsfachleute verdienen sich gerade dumm und dämlich. Ich gönne es ihnen, denn die große Mehrzahl der Firmen hat in der Vergangenheit geschlampt, weil es sich finanziell einfach gelohnt hat. Diese Zeiten sind vorbei. Datenschutz im Unternehmen darf jetzt Geld kosten.

  4. Hi Ernesto,
    auch von mir vielen Dank für diesen Artikel. Die ganzen Fehlinformationen die ständig auf Facebook verbreitet werden, haben mich stets etwas verunsichert. Glücklicherweise decken sich deine Einschätzungen mit meinen, was mir ein gutes Gefühl gibt.

    Anbei noch Anmerkung:
    Laut verschiedenen Quellen hält das BayLDA den Facebook Pixel für nicht unzulässig. Siehe hier:
    https://www.it-recht-kanzlei.de/facebook-custom-audience-datenschutz.html#abschnitt_55

    • Denk dran: das hier ist ein Rant, kein juristischer Artikel. Ich beleuchte das vor allem technisch und gesellschaftlich. Allerdings ist Panik aus meiner Sicht nie ein guter Berater, so dass ein ruhiges Angehen und keine Panik vor einer exakten Deadline sicherlich sinnvoll ist.

  5. Vielen Dank für den realistischen und pragmatsichen Blick auf das ganze Thema. Ich finde es dennoch schwer herauszufinden ob jetzt beispielsweise eine einfache Datenschutzerklärung aus dem Generator für den Friseur von nebenan reicht, oder ob ich jede Datenerhebnung z.B. in Kontaktformularen per aktiven zustimmen genehmigen lassen muss. Was ist mit Google Fonts, Maps und Recaptcha?

    Meines Wissen haften für sowas ja nicht nur die Website Betreiber sondern auch die Administratoren, also ich, oder?

    • Die konkreten Assets werden durchaus noch interessant. Google Fonts halte ich wie oben beschrieben für wenig risikoreich (immer beachten: Techie-Sicht, ich nix Jurist). Google Maps und ReCaptcha dagegen führen clientseitig JS aus. Da könnte man aber recht gut eine Art 2 Klicks für GMaps / ReCaptcha bauen.

  6. Zum Thema „Immer auf die Kleinen, und die Großen dürfen alles!“:

    Ich denke schon, dass das Thema die großen stärkt. Denn was zeichnet denn Google, Facebook und Amazon aus? Sie haben Nutzer, die die Services sehr häufig, meistens mehrmals täglich nutzen und daher meist aus Bequemlichkeit eingeloggt sind. Die „Großen“ haben daher sehr wohl weiterhin die Möglichkeit alles mögliche zu tracken.

    Auf der anderen Seite ist der kleine Onlineshop, bei dem – wenn vorhanden – vermutlich jeder die Gastbestellung nutzt. Das gleiche trifft aber auch auf das Thema Ad Tech zu. Ein reiner Ad Tech Anbieter hat keine Nutzer, die sich einloggen.

    • Das, was sich ggf. komplett ändert, ist, dass Facebook und Co auch die Besuche auf Dritten seiten tracken. Oder anders: ist auf einer Seite das Facebook Pixel eingebaut, sieht Facebook, dass du da warst. Wenn man dies unzulässig macht (oder zumindest erschwert), verschlechtert man zwangsweise die Datenlage derer, die sowas wie ein Facebook Pixel anbieten. Und das sind nun mal eher selten kleine Klitschen.

    • Was viele Menschen stört, ist sowieso nicht die kleine Klitsche, zum Beispiel der kleine Onlineshop, der trackt, mit welchem Suchbegriff ich auf seine Seite gestoßen bin oder welche Shops mich dann auch noch interessiert haben. Mal ganz abseits von der fachlichen Diskussion sagt mir mein natürliches Rechtsempfinden, dass das ein legitimes Interesse ist.
      Ohne meine Zustimmung mein vollständiges Surfverhalten aufzuzeichnen, es mit meinen Standorten, meinen Freunden und wie ich mit diesen interagiere zu verknüpfen, ist es hingegen nicht. Das erzeugt bei mir ein mulmiges Gefühl und nie und nimmer wird da irgend jemand einwilligen.
      Meines Erachtens hat der Gesetzgeber eher diese Dimensionen im Sinn und die sind es auch, wo es eine massive Diskrepanz zwischen Praxis und Rechtsempfinden gibt. Nur all die kleinen Liefern eben diesen Großen teilweise sogar unbeabsichtigt oder nur als Nebenwirkung die Daten. Der Aufruf von Googlefonts über eine bestimmte Webseite erzählt doch Google mindestens etwas über den Traffic auf dieser Webseite, auch wenn kein Analytics eingebunden ist und der Traffic nicht von Google selbst kommt. Für Google interessant… für den Webseitenbetreiber nur ein kostenloser, optimierter cdn. Gleiches gilt für den Facebookpixel. Der hilft dem Webseitenbetreiber auch nur halbsoviel, wie er Facebook selbst hilft, Daten zu sammeln.
      Facebook und Google leben davon, das Netz, den Traffic, die Nutzerströme zu analysieren und stellen dafür Services und Tools, damit man Ihnen die Daten liefert (Webseiten wie private Nutzer…). Alle diese „kostenlosen“ Services ohne nachzudenken zu nutzen, ist eben blauäugig. Mit dem Unterschied, dass ich beim Facebookaccount selbst entscheide, ob ich so blauäugig bin und den mache, beim Aufruf einer beliebigen Webseite, die alle diese Services einbindet, sammelt plötzlich Facebook Daten über mich, obwohl ich Facebook dazu nicht die Erlaubnis gegeben habe und nicht mal davon weiß.

      Und ja, Zeit und Geld in die Datenschutzkonforme Umsetzung zu investieren, das schmerzt erst mal die Kleinen. Das Geschäftsmodell „Stalker“

  7. Vielen Dank für deinen umfangreichen Artikel und deine hilfreichen Anleitungen.

    Panik ist nie ein guter Berater, allerdings sehe ich das ganze nicht ganz so harmlos.

    Was ist, wenn das Geschäftsmodell tatsächlich auf Adwords Facbook + Retargeting aufbaut? (meins nicht)

    Ich fürchte, da werden einige große und auch kleinere Onlinemarketer Probleme kriegen.

    Was ist mit dem Koppelungsverbot? Freebie gegen Emailadresse nicht legal?

    Ohne Freebie ist es kaum möglich eine vernünftige Emailliste aufzubauen, wer trägt sich heute noch einfach so in einen „Newsletter“ ein?

    Gibt es da schon Lösungsideen?

  8. Alles halb richtig.

    Für Betreiber von 0815-Webseiten ändert sich tatsächlich überschaubar viel. Die Datenschutzerklärung muss angepasst werden (und wird um einige Formalia reicher, wie die Belehrung über die Betroffenenrechte, die Offenlegung aller Auftragsverarbeiter [Hoster nicht vergessen!] und die Angabe der Aufsichtsbehörde).

    In der Sache sind die Änderungen dann in der Tat eher gering. Sogar noch geringer, als hier dargestellt, denn viele Tracking-Services werden paradoxerweise sogar noch einfacher nutzbar, als unter dem Telemediengesetz, weil nun auch personenbezogene Daten nach Interessenabwägung genutzt werden können und nicht nur pseudonyme Daten. Der Facebook Custom Audiences Pixel ist btw. auch nach geltendem Recht nach Ansicht des Bayerischen Landesbeauftragten für Datenschutz zulässig und wird es voraussichtlich auch bleiben.

    ABER:
    Für viele Geschäftsmodelle, die über eine einfache Webseite hinaus Daten verarbeiten, können die Änderungen schon recht gravierend sein und lösen einen enormen Prüfungsaufwand aus, den gerade kleine Unternehmen schwer stemmen können.

    Beispiel:
    Wie gehe ich als Anbieter einer Chat-App mit dem Recht auf Datenportabilität um. Klar, ich muss den Usern ihre Daten herausgeben. Aber was ist mit den Daten der anderen am Chat beteiligten User? Darüber hinaus muss ich eine Direktübertragung zu anderen Anbietern ermöglichen. Aber zu welchen? Mit welchem Umsetzungsaufwand ist es verbunden, wenn ich als kleiner Anbieter auf einmal Schnittstellen von WhatsApp unterstützen muss, damit User ihre Daten dorthin übertragen können? Und wie gehe ich dort mit den Daten anderer User um – dürfen die so einfach auf Knopfdruck eines Users an WhatsApp übertragen werden? Der Teufel steckt im Detail.

    Weiteres Beispiel:
    Ich habe ein Blog über Gesundheitsthemen. Was mache ich, wenn User in den Kommentaren ihre Krankheitsgeschichte schildern und ich auf einmal Gesundheitsdaten erhebe. Darf ich dann überhaupt noch Auftragsverarbeiter (z.B. einen externen Hoster, selbst wenn er in Deutschland sitzt) einsetzen? Und wie hole ich die zwingend erforderliche Einwilligung ein? Im Zweifel riskiere ich in jedem Fall ein Bußgeld von bis zu 20 Millionen EUR – das mag theoretisch sein, aber das Gesetz sieht hier keine Ausnahme vor.

    Viel schlimmer sieht es in analogen Geschäftsmodellen aus. Der Apotheker darf nicht mehr dein Rezept auf Wunsch kopieren. Im Kopierer werden die Kopien zumindest einige Zeit zwischengespeichert, das heißt, er benötigt deine widerrufbare Einwilligung, die er im Zweifel nachweisen muss und er muss dich vorher über den Katalog des Art. 13 DSGVO schriftlich informieren. Der Art. 13 Abs. 4 DSGVO hilft übrigens auch kein bisschen weiter, denn er betrifft nach Ansicht der Aufsichtsbehörden nur solche Daten, die von dem konkreten Verantwortlichen bereits in identischer Form bereits übergeben wurden – dass ich etwas ohnehin schon weiß zählt nicht. Der Apotheker muss mir die Informationen also nur ein Mal zur Verfügung stellen, beim nächsten Besuch nicht nochmal – vorausgesetzt, er weiß noch, dass er mir die Informationen beim letzten Mal gegeben hat und auch das müsste er beweisen können.

    Und die Krönung ist, dass es derzeit kein Medienprivileg gibt. Der investigative Journalist, der Daten über einen korrupten Politiker sammelt, darf die Daten nur nach Interessenabwägung erheben. Besteht nur ein vager Anfangsverdacht kann es durchaus passieren, dass er nicht weiter recherchieren darf. Wenn zudem Gesundheitsdaten des Politikers eine Rolle spielen (der Politiker hat im Rahmen ein Attest gefälscht), ist die Recherche erst gar nicht zulässig. Zudem muss der Journalist sowohl nach der DSGVO als auch nach dem neuen BDSG den korrupten Politiker spätestens innerhalb von einem Monat nach Erhebung der Daten hierüber informieren. Ob hier ggf. doch noch Ausnahmen greifen – z.B. inwiefern hier die Pressefreiheit der DSGVO vorgeht – wird sehr kontrovers disktuiert. Da die DSGVO Europarecht ist, gilt jedenfalls die deutsche Verfassung nicht(!). Bei 20 Millionen EUR Bußgeld (oder gar 4% des weltweiten Konzernumsatzes) werden sich viele Verlage drei Mal überlegen, ob sie ihre ohnehin teuren und wenig lukrativen Investigativteams noch beibehalten.

    Klar, wo schon heute wenige Daten benötigt wurden, wird der Umstellungsaufwand gering sein. Aber es gibt dutzende legitime Geschäftsmodelle, bei denen nun alles andere als klar ist, ob sie ab dem 25. Mai noch möglich sind und – viel wichtiger – was genau sie zu erfüllen haben, um rechtskonform weiter betrieben zu werden.

    Unterm Strich ist die DSGVO gut gemeint, aber an so vielen Stellen handwerklich schlecht gemacht und schlicht nicht zu Ende gedacht, dass wir uns noch umschauen werden, was das in der Praxis zur Folge haben wird.

    P.S: Warum ist meine E-Mail-Adresse eigentlich eine Pflichtangabe? #Datenminimierung

  9. Hi Ernesto,

    spannender Beitrag – und ich stimme dir zu, dass vieles bisher einfach ignoriert wurde. Aber es ändert sich definitiv einiges: Kleinigkeiten wie die Opt-In Checkbox zur Datenspeicherung, größere Brocken wie das Recht auf Datenauskunft/-löschung etc. Ich würd mich auch nicht 100%ig auf den bayrischen Datenschutzbeauftragten verlassen, was das FB Pixel angeht.

    @Datenschutzanwalt: Die Sache mit der E-Mail Adresse hab ich mir auch überlegt und beschlossen, sie drin zu lassen. Einerseits wegen der optionalen Notifications, aber vor allem wegen des Rechts auf Datenlöschung/Anonymisierung. Die E-Mail kann später als Primary Key für Löschanfragen verwendet werden – Das WP GDPR hat hier eine schlaue Implementierung vorgelegt.

  10. Hallo, wie ist das alles eigentlich als kleine PR Agentur die über die Jahre eine Datenbank an Email Addressen angesammelt hat (Professionelle aus dem Automotive Bereich) und regelmäßig Pressemitteilungen von Firmen an diese Business Leute verschickt? War über Jahre so und es kamen nie Beschwerden (die Leute können sich jederzeit abmelden. Tun sie aber nicht). Vor allem die Journalisten die wir anschreiben brauchen ja diese Infos. Können wir dies weiter machen, müssen wir eine AKTIVE (sprich ein explizites, ausgesprochenes „Ja“ zur weiteren Email Kommunikation) einholen oder reicht auch eine Nicht-Antwort auf eine Frage-Mail als passive Einwilligung? Wir sind verunsichert. Wir fragen auch einen Anwalt. Klar. Aber eine aktive Einwilligung würde uns zerstören denn kaum Leute schreiben zurück, das sie bereit sind weiter Pressemitteilungen zu bekommen. Wie seht ihr das?

    • Das wäre so der Punkt, wo ich als Techie endgültig raus bin, weil das ein rein juristisches Thema ist. 🙂 Fragt sinnvollerweise einen Juristen, der dir die Risiken erläutert. Meine Vermutung wäre: ganz sauber ist das nicht, aber ihr dürftet nur dann ein Risiko haben, wenn sich jemand beschwert. In welcher Dimension das Risiko ist: Anwalt fragen. Und vermutlich erstmal abwarten, bis es Präzedenzfälle gibt.

      • Im Ernstfall, also falls sich ein Empfänger doch mal beschwert, muss die Zustimmung zum Versand an die Adresse auch für Alt-Bestände vorgelegt werden können, muss also auch alles dokumentiert sein. Ich kann nur sagen, solche Adressbestände sind ein echter Horror, da man nun alle Empfänger explizit nochmals um konforme Zustimmung bitten muss.

  11. hallo, wenn ich mir die Datenschutzangaben hier auf der Seite binary-butterfly ansehe, dann sind diese sehr „bescheiden“. Muss man nicht angeben, wohin man sich wenden kann, um zu klären, welche Daten von mir dort gespeichert sind? Was ist mit dem Hinweis auf Facebook-Daten-Nutzung, auf der Startseite hier ist doch ein Link für Facebook? Kein Hinweis auf die Logfile-Daten und deren evtl. Nutzung?

    • Danke für den Hinweis. Ich halte so umfangreiche Datenschutzerklärungen zwar für weitestgehend sinnlos, weil niemand sie durchliest und es in dem Moment wo man sie durchliest eh zu spät ist, aber habe nun mal eine aktuelle Fassung eingefügt.

      Ein Link ist allerdings keine Gefahr. In den Datenschutzerklärungen wird recht umfangreich die Integration von Facebook-Scripten in die eigene Seite behandelt. Und das geschieht dank Shariff nicht.

      • Die DSGVO hält umfangreiche Datenschutzerklärungen leider für keineswegs sinnlos, sondern eher für zwingend erforderlich. Ich würde mich mal auf das Dreifache an Text gefasst machen.

        Ich darf die Pflichtangaben des Art. 13 DSGVO zitieren:

        – den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;

        – gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;

        – die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;

        – wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;

        – gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und

        – gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

        – die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

        – das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;

        – wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
        das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

        – ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte

        – das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

        Das Ganze muss dann bitte in präziser, aber zugleich verständlicher Form und – anders als der Gesetzeswortlaut – in einer klaren und einfachen Sprache zur Verfügung gestellt werden. Viel Erfolg dabei!

        • Für genau sowas gibt es Generatoren, und die werden über die Zeit an die rechtlichen Bedürfnisse angepasst.
          Und zudem: Ich bin Techie, das heißt, ich sehe Datenschutz auch aus einer technischen Sicht. Datenschutz-Texte, wo ich exakte Zahlen drüber habe, wie häufig die aufgerufen werden, sind für mich daher nicht wirklich sinnvoll – zumal man ja bereits vor dem Klick auf den Link Datenschutz den zu dem Zeitpunkt noch unbekannten Bedingungen ausgesetzt ist, was die ganze Idee der Datenschutzerklärung aus meiner Sicht ziemlich absurd macht. Die Verhinderung der Weitergabe von Nutzerdaten an Dritte halte ich dagegen für sehr sinnvoll, da da konkret auswertbare Daten weitergeleitet werden.

          • In der Sache bin ich ja auch voll bei dir. Mein Punkt ist, dass die DSGVO das gänzlich anders sieht.

            Die Informationspflichten, die im Zweifelsfall in der Tat niemand liest, sind völlig ausufernd und extrem formalisiert. Jeder noch so kleine Verstoß ist aber mit einem potenziell ziemlich happigen Bußgeld bewährt. Außerdem können Behörden, Verbraucherschützer, Nutzer und Konkurrenten gegen dich vorgehen.

            Zugleich verhindert die DSGVO aber gerade NICHT die Weitergabe von Nutzerdaten an Dritte, die du ansprichst. An dieser Stelle hat sich ziemlich wenig getan – an einigen Stellen ergeben sich sogar noch mehr Spielräume als unter jetzigem Recht.

            Klar, Generatoren helfen, mit den Informationspflichten einigermaßen klarzukommen. Aber: Für kostenlose Generatoren haftest im Zweifel du als Nutzer für die völlig irrwitzigen Bußgeldandrohungen. Und die Generatoren können auch ziemlich gefährlich sein. Beispiel: Nur beim oberflächlichen Lesen habe ich allein zwei Fehler in der Datenschutzerklärung auf deiner Webseite gefunden. Ohne hier Rechtsberatung betreiben zu wollen und zu dürfen und nur zur Unterstreichung meines Arguments: Den Hostnamen des Rechners darfst du nicht anlasslos speichern (der ist nämlich genauso gut wie die IP-Adresse) und der Hinweis zu Matomo enthält keinen Opt-Out-Link.

  12. @Ritchie Pettauer: Das Argument, die E-Mail-Adresse als personenbezogenes Datum als Pflichtfeld(!) zu erheben, um optionale(!) Benachrichtigungen zu verschicken überzeugt mich nicht. Und erst recht nicht, personenbezogene Daten zu erheben, um die aus der Erhebung entstehenden Pflichten erfüllen zu können. Würde man die E-Mail-Adresse nicht erheben, bestünde auch kein Löschungsanspruch. Es sei denn, der Nutzer entscheidet sich, seinen richtigen Namen anzugeben. In dem Fall ist aber auch eine Identifizierung ohne E-Mail-Adresse möglich. Kann man bestimmt auch anders sehen, aber Sie sehen die Schwierigkeiten im Detail bei der DSGVO.

    Hinzu kommt: Können Sie mir sagen, auf welcher genauen Rechtsgrundlage aus der DSGVO Sie die E-Mail-Adresse erheben? Oder Piwik benutzen? Oder Ihren Newsletter anbieten? Genau das müssen Sie aber in Ihrer Datenschutzerklärung angeben.

    Ich behaupte nicht, dass das alles nicht lösbar ist. Aber selbst für Juristen ist es an einigen Stellen in der DSGVO unglaublich schwierig zu sagen, was genau wann gilt und wie es in der Praxis umgesetzt werden soll. Wie das die vielen kleinen Blogger, Startups, Entwickler, Handwerker oder teilweise sogar Privatpersonen schaffen sollen, ist mir noch ein absolutes Rätsel. Deshalb warne ich davor, die Änderungen der DSGVO zu unterschätzen!

  13. Das Problem fängt mit dem dem eigenen disclaimer an, dass der Autor die juristischen „Probleme“ ausklammert. Genau die sind aber ein großes Problem der DSGVO durch fehlende Bestimmtheit vieler Begriffe.
    Daher ist *Datenschutzanwalt* voll zuzustimmen.
    Das Problem liegt im Detail. Für das Kleinunternehmen ist der Aufwand nicht mehr zu stemmen. Sie müssen jeden Kunden nachweisbar belehren und alle bishin zur Putzfrau. Diese DSGVO ist eine sehr scharfe Waffe und wird zu einer Menge von Problemen führen. Die Überwachung der Daten vor jeder Art von Datenschutzverlusten halte ich ich für nicht realisierbar. Ab Juni steht jeder mit einem Bein vor dem „Kadi“.

  14. Warum bin ich auf diesen Artikel gekommen? Wo ich mich eigentlich zu den Jurahassern zähle, weil ich unter Juristen meist Geldschneider verstehe. Nun die Vermutung ist ganz einfach: ich habe gestern in Facebook einen Kommentar abgschickt auf einen bereits durch eine Kollegin kommentierten Beitrag, wonach es künftig illegal- sprich für mich hohe Geldstrafen, oder Knast- sein soll in E-Mails ein CC zu setzten. Finde ich mal total geil und typisch für diese EU unter dem Vorsitz eines luxemburger Opas, der wahrscheinlich noch nicht mal einen Taschenrechner besitzt. Ich versuche mir mal die vielen 100000 „Re“ Mails im Büro vorzustellen, da dann niemand mehr erkennt, wer bereits über ein Thema informiert wurde und wer nicht. Ähnlich, aber im FB Eintrag unbeleuchtet, blieb es, wie es sich um die „Verteiler“ verhält. Für mich genau das gleiche, auch hier kann jeder die anderen Adressen sehen. Also ich halte es bei lästigen Anmeldungen immer so, dass ich mir eine dumme E Mail Adresse temporär suche, dann kann überhaupt keiner verfolgen was ich weiter mache. Das Problem was mich aufregt ist der Anfang meiner Therorie. Ist Facebook jetzt dafür verantwortlich, dass ich am Tag danach über Firefox (mit dem ich auch FB geöffnet hatte) auf einer Startseite 3 „Artikel“ „vorgeschlagen“ bekomme? Darunter Euer? Mich nervt das sowas von, dass ich Tage vorher nach einer bestimmten Kamera gegoogelt habe und ich in Facebook dann genau diese in Tarnbeiträgen finde. Längst hat FB eine Abhilfe der so lästigen Werbeblocker darin gefunden! Und überhaupt, wie schaut es mit der Verfassung aus, die mir und allen Deutschen doch das Recht auf Selbstbestimmung gibt, wo ist die Selbstbestimmung, wenn mich tonnenweise Webanbieter erpressen doch meinen ach so unverschämten Werbeblocker zu deaktivieren? „Wir müssen damit Geld verdienen“ kommt als Entschuldigung…Ja muss ich auch! Aber ich ziehe nicht von Tür zu Tür meiner Nachbarschaft und entfalte Banner! Dann diese Cookies, bereits seit irgend einer Zeit kann man nichts mehr auf Seiten eingeben, da die Maus wegläuft, sich nachträglich oben der Browser verschiebt und eine Meldung erscheint, wonach ich dem Gebrauch von Cookies zustimmen MUSS!!! Was ist das für ein Recht was einem Vergewaltiger auferlegt seinem Opfer vorzulesen, dass es seiner Vergewaltigung zustimmen MUSS!!! damit der anschliessende Akt legal wird? Es ist nämlich bereits zu spät, der Cookie wurde bereits vor erscheinen des „OK“ Banners gesetzt, denn auch ohne mein OK funktioniert jede Seite einwandfrei, solange sich der Banner dann oben beruhigt hat und das Bild nicht mehr verschiebt und genau wegen diesem Cookie wurde ich in FB über eine in der elektronischen Bucht angeschwämmte Kamera informiert. Ob da allerdings ausgerechnet die EU hilft, wage ich mal zu bezweifeln. Zumindest werden bei der gewohnten Arbeitsgeschwindigkeit unserer Superbehörde so viele Jahrzehnte verstreichen, dass es dann in einer Zeit enden wird, in der das „Internet“ nur noch im Museum zu bestaunen ist. Auf die digitale Zukunft Frau Merkel!

  15. Ich denke, der Hype im Kreise der Content-Publisher / Web-Industrie ist ein einfacher Fall von Ansteckung. Denn es gibt (aus technischer Sicht) durchaus Kontexte und Technologien in Unternehmen, für welche die DSGVO unangenehm ist, und zwar vermutlich oft gerade in Bereichen, wo öffentliche Disclaimer in der Vergangenheit keine Rolle gespielt haben und eine Auseinandersetzung mit dem Datenschutz ebensowenig. Es geht nämlich auch um den ganzen Personendaten-Beifang, auch interner Mitarbeiter, der mit der DSGVO plötzlich problematisiert ist. Unternehmen stellen nun mit Erstaunen fest, dass und in welchem Umfang Personendaten an jedem zweiten unternehmensinternen Ablauf kleben, man will sie gar nicht, aber man hat sie am Hals und muss plötzlich jeden verd… Prozess daraufhin überprüfen. Und die Vergangenheit auch. Und als wäre das nicht genug, muss das Unternehmen auch noch Schnittstellen schaffen, über die es die so gefundenen – nein, Halt, die vollständigen – Daten an ihren Eigentümer bei Nachfrage übergeben kann, dieser muss sie mitnehmen können, am besten mit einem Henkelchen, wenn er sie fort und in die Hände eines anderen Dienstleisters tragen möchte.

    Im Falle des Newsletter-Versenders ist plausibel, es einfach darauf ankommen zu lassen und erstmal weiter zu machen. Aus Sicht eines bös meinenden Konsumenten ist dies allerdings zu kurz gedacht und die Wahrscheinlichkeit, damit anzuecken, sehr hoch. Besser ist, die Chance zu nutzen: Wahre Marketing-Künstler stecken ordentlich Schmalz hinein und wenden den Zwang zur willkommenen Gelegenheit, mit dem Kunden ins Gespräch zu kommen! Die bloße Menge versendeter Newsletter macht den Kohl schließlich auch nicht fett – zumindest nicht aus Sicht des Auftraggebers, wenn diese zur Hälfte an Karteileichen adressiert sind, die weg wären, wenn sie nur einmal darüber nachdächten. Mein Tipp wäre, ein Dienstleistungsangebot daraus zu generieren!

    Für alle normalen Web-worker, die nicht technisch überfordert sind, ist es also aus Sicht des Konsumenten kaum mehr als eine willkommene Erinnerung, auf der „lichten“ Seite zu bleiben und den Voyeurismus in Schach zu halten. Bei facebook und Co wächst es sich vielleicht zur ebenso willkommenen Nagelprobe aus.

  16. Für einzelne Blogger und Ein-Mann-SEOs ändert sich in der Tat wenig. Für „richtige“ Firmen, Agenturen und die Werbeindustrie ändert sich aber extrem viel!
    Und mit etwas Weitsicht würde man auch sehenw as sich alles ändert.
    Nämlich viel mehr als im Artikel angesprochen wird. Der ganze Ökokosmos, der über Drittanbieter_Cookies geht wird verschwinden. Nicht unbedingt über die DSGVO aber über die E-Privacy Verordnung. D.h. Facebook und Google werden als dominante Marktplayer gestärkt. Das soltle einen schon kümmern. Und es wird eine haarstäubende Bürokratie aufgebaut. Es sind Millardern von Arbeitsstunden, die in der EU hier reinfließen.

    • Nun, wie man vielleicht aus meiner ersten FAQ-Frage erkennen kann, halte ich ein paar Geschäftsmodelle für in sich kaputt. Drittanbieter-Cookie-Modelle gehören da in den allermeisten Fällen dazu, ebenso wie Cookiedropping bei Affiliate-Seiten, beliebiges Tracking, gewisse Werbeformen u.v.m.. Allerdings vertraue ich auf die Innovationskraft der Branche, dass es sinnvollere Lösungen gibt als die Aktuellen. Nur bislang gab es wohl wenig Motivation, diese zu entwickeln. Ich hoffe, dass sich das nun ändern wird.

  17. Ernesto, ich danke dir für diesen Artikel. Vielleicht ist es einfach nur meine unglücklich platzierte Filterblase, jedenfalls herrschen in der tatsächlich heilloses Durcheinander und beginnende Panik. Dass daraus diverse juristisch vorbelastete Anbieter Kapital schlagen, sei ihnen verziehen. Von irgendetwas muss man schließlich leben.

    Es ist echt erfrischend, hier eine andere (Techie-)Sichtweise zu bekommen, die Ruhe und Übersicht in das Tohuwabohu bringt. Danke.

  18. Wie beurteilst Du denn Deine Einbindung von Gravatar? Immerhin wird dadurch ein Hash jeder E-Mail-Adresse in den Kommentaren (bei Dir ein Pflichtfeld) an Gravatar übermittelt.

    Die sehen dann (durch den Abgleich mit ihrer Datenbank) wer sich welche Websites anschaut.

  19. Ich hab in meinen Sources mal geguckt. So kurz wie deine ist meine Liste nun wahrlich nicht. Trotzdem war ich freudig überrascht, dass ich auch weit hinter der Liste von Spiegel liege. Was mir aber dabei aufgefallen ist: Bei mir ist darin u.a. ein Widget für Affiliates aufgelistet. Wenn ich das aber deaktivere, kann ich ja das komplette Affiliate-Programm inne Tonne kicken? Und auch WP-Stats scheint fleißig zu sammeln bei mir, wüsste nicht, wie ich die vom Daten sammeln abhalten könnte. Gleiches gilt für GA. Auch die tauchen in meiner Liste auf und auch die sammeln logischer Weise Daten. Das heißt doch, ich muss drauf „hoffen“, dass die Anbieter da selbst entsprechend Hand an ihre Tools anlegen oder wie?
    Entspannte Grüße von einer, die sich von Anfang an schon weigert, auf den Panikzug aufzuspringen. 😀

  20. Größtenteils stimmt der Artikel, aber besonders der Part „Das macht mein Geschäftsmodell kaputt und verhindert Innovation!“ ist mal völlig falsch… Genau an dieser Stelle ist es nicht mehr fachlich bewertet und man muss leider sagen – völliger Schwachsinn was hier geschrieben wurde!

    • Zunächst: Der FAQ-Teil enthält allerlei eigene Meinungen, und der Artikel ist als Rant angekündigt worden.

      Und ganz konkret: nein, das ist aus meiner Sicht kein Schwachsinn. Ich empfinde es als nicht erstrebenswert, dass man Daten einfach so weitergeben darf, ohne dass man eine Kontrolle darüber hat, was mit den Daten geschieht. Kontrolle, das bedeutet das Einhalten europäischer Datenschutzvorschriften. Wenn ein Geschäftsmodell darauf beruht, dass zwangsweise Daten an Dritte weitergegeben müssen, an Dritte, die nicht fähig sind, grundlegende Datenschutznormen einzuhalten, dann ist das Geschäftsmodell von Grund auf kaputt, und dann kann das Geschäftsmodell ganz einfach weg.

      Übrigens: Genau die Haltung, dass das Weitergeben von Daten nicht so schlimm ist, hat zu den recht drakonischen Maximalstrafen in der DSGVO geführt. Die kriegt ja nicht gerade der kleine Blogger ab. Aber wer im großen Umfang und mit voller Absicht Daten missbräuchlich verwendet, der kann nun ernstzunehmende Strafen abbekommen. Das war aus meiner Sicht überfällig.

  21. Also ich sehe da manches anders 😉

    Nutzen der DSGVO, ePrivacy, EU-Datenschutzrecht prinzipiell:
    Ich bin durchaus dafür, dass ein Nutzer selbst entscheiden kann, ob und welche Cookies bei ihm gespeichert werden. Das war aber auch noch nie ein Problem. Seit langem ist in jedem Browser einstellbar, ob man alle Cookies, nur Session Cookies oder keine Cookies aktzeptieren will, genauso wie man auf Wunsch bei jedem Cookie gefragt werden kann.
    Vor wenigen Jahren kamen dann die „schönen“, total funktionslosen Cookie Banner. Das Ergebnis? Wer Aufgrund dem Wunsch nach Datenschutz bisher nur Sessioncookies zugelassen hatte, wurde nun quasi gezwungen alle Cookies zuzulassen, um auf häufig besuchten Seiten nicht jedes Mal den Banner wegklicken zu müssen. Wenn man gar keine Cookies akzeptiert hat, war das Ergebnis gar noch schlimmer (, Cookie Banner bei jedem Seitenaufruf). Statt mehr für den Datenschutz zu tun, wurde dadurch eigentlich Datenschutz verhindert. (Ich gehe mal von dem weniger versierten User aus, der nicht die Cookie-Bestätigungshinweis Cookies herausfiltern kann.)
    Mit DSGVO und ePrivacy hat sich das etwas verbessert, weil der User nun auf der Seite auswählen kann, was er will und was nicht. Dennoch bleibt, er muss sich auf die Webseite verlassen. Wenn die Funktion nicht richtig integriert ist, kommen die Cookies doch. Bei Webseiten außerhalb Europas sowieso.
    Außerdem dürfte der durschnittliche User mit umfangreichen Abfragen, was nun an Cookies geladen werden darf, überfordert sein.
    Für Javascripte gilt das Gleiche. Eventuell braucht man dafür ein Plugin, aber dann kann man problemlos im Browser bestimmen, was erlaubt ist, und was nicht.

    Zu den Innovationen:
    Natürlich werden Innovationen dadurch nicht verhindert, aber ich meine, es war Deutschland, wo gesagt wurde, dass man das Internet und darauf basierende Innovationen fördern will (weiß die Aussage nicht mehr genau). Nur, warum sollte ein Unternehmer ein innovatives Produkt, wie z.B. Facebook in Deutschland / EU herausbringen, wenn es in Amerika sehr viel leichter ist? Wenn man derartige Innovationen im eigenen Land / Kontinent förder will, gehört halt etwas mehr dazu als nur ein bessere Breitbandausbau.

    Zum FB Trackingpixel:
    Ich kann verstehen, wenn man gegen den Aufbau von Schattenprofilen ist (Sammlen von Daten, obwohl der User nicht auf Facebook ist), aber wer auf Facebook eingeloggt ist und bleibt, dem sollte auch bewusst sein, dass er getrackt wird. Eine Anpassung, dass nur noch eingeloggte User getrackt werden, würde ich aber schon für richtig halten.
    Denn der Facebookpixel wird ja unter anderem eingesetzt, um Verkäufe zu tracken (für eine algorithmisch optimierte Aussendung der Werbung), sowie um Custom Audiences zu erstellen. Beides führt zu geringeren Werbekosten, und da Werbekosten auch in den Produktpreis einkalkuliert werden müssen, kann das auch zu geringeren Produktpreisen führen. Außerdem sehe ich persönlich lieber Werbung, die mich interessiert, als Werbung zu irgendwelchen Wunderpillen, Anti Aging Cremes oder Ähnlichem. Zudem trifft das auch nicht nur die großen Anbieter, es gibt durchaus auch kleine Shops / Seiten, die Remarketing und Ähnliches betreiben.

    Zu Geschäftsmodell kaputt:
    Die Frage ist doch, was wäre die Alternative? Ich denke, wir sind uns einig, dass Facebook ein beliebtes Produkt ist, zumindest bei einem großen Teil der Bevölkerung. Ohne personalisierte Werbung müsste sich Facebook anders finanzieren, z.B. durch Mitgliedsbeiträge. Aber wer würde ernsthaft 5 Euro im Monat bezahlen, um Facebook zu benutzen? Die Leute sind es gewohnt und verlangen es, dass im Internet alles kostenlos ist. Das endet dann halt darin, dass man mit seinen Daten zahlt.

    Und für manche Nutzer gilt dann noch:
    Das gesamte Leben öffentlich (, also nicht nur für Freunde sichtbar) auf Facebook posten, dann aber meckern, dass Facebook Daten von einem hat, naja …

  22. Hallo, ich recherchiere mich – nicht nur beruflich bedingt sondern auch durch bislang zusätzliches privates Online-Engagement – seit zig Monaten durchs Web um mehr praktische Erleuchtung zu diesem Themenkomplex finden. Deshalb erst einmal ein Dank für mal einen weniger juristisch als vielmehr technisch ausgelegten Beitrag.

    Allerdings sieht mir einiges in dem Beitrag – wie auch schon einige Kommentatoren anmerkten – ein wenig zu rosig dargestellt aus. Dazu ein paar Beispiels aus meiner persönlichen Praxis, die man m.E. auch rein technisch nicht außer Acht lassen kann, die jedoch besonders dann juristisch in der Abmahn-verseuchten deutschen Rechtssphäre einigen Belang haben und mit der DSGVO noch mehr Bedeutung gewinnen dürften – insbesondere für Privatpersonen / Initiativen usw. ohne (primär) geschäftliches Online-Interesse: Denn anders, als viele Beiträge dazu suggerieren, zielt die EU DSGVO eben nicht nur auf Unternehmen, also kommerziell tätige ab, sondern betrifft erst einmal alles und jeden, der nur im entferntesten mit User-Daten zu tun hat – und das fängt (leider) doch schlicht schon auf der Ebene von IPs an, die automatisch ausgetauscht werden müssen, um online überhaupt einen Informationsaustausch zwischen zwei Geräten zu ermöglichen.

    Und es geht weiter, dass nahezu jeder, der sich online bewegt selbst auch wieder Software / Dienste Dritter nutzt, um damit mit anderen zu interagieren – und sei es das Adressbuch von Thunderbird (Gmail usw.), die etwa auch eine Option bieten automatisch E-Mails zu sammeln oder dies einfach tun und dann kommt etwa ein Tool wie Xing oder Linked-In usw. daher und schlägt mir vor zur Verbesserung meiner Vernetzung meine Adressbücher auch gleich einzubinden – und damit auch alle meine Kontakte ohne deren Einwilligung irgendwie in deren Plattform zu holen. – Wer begeht dann hier wohl mit der Zustimmung zum Zugriff einen (potentiell abmahnfähigen und sicherlich rechtlich relevanten) Datenschutzverstoß?

    Oder weiter: Ich betreibe (vermutlich nicht über den 25.5.2018 hinaus) privat mit ein paar Mitstreitern (Admins/Mods) ein Forum. Allein die Tatsache, dass der (übrigens deutsche) Hersteller der kostenpflichtigen Forensoftware sich einen Dreck um die DSGVO schert, reicht schon aus, dass wir dieses Forum mangels bislang tauglicher bzw. finanzierbarer Alternative schließen bzw. zumindest erst einmal offline nehmen werden, um zumindest schon einmal eine software-seitige Alternative zu finden, die entsprechend DSGVO-konform programmiert ist oder entsprechende Tools anbietet, damit man halbwegs sicher ist nicht in programmierte Abgründe zu stürzen, weil die Software z.B. ganz ohne unser bewusstes Zutun selbständig oder mittels Dritter Programmiertools (APIs, Plugins, Dienste, usw.) Daten unserer Mitglieder oder auch nur Besucher trackt oder gar weitergibt.

    Wendet man dann noch alle weiteren Forderungen aus der DSGVO konsequent auf ein Forum an, stellt man schnell fest, dass es (ähnlich dem von einem Kommentator genannten Chat-Tool-Beispiel) vermutlich unmöglich ist, ein Forum konform zur DSGVO zu betreiben. Denn allein wie sollte man technisch sicherstellen, dass User eines Forums ihre Beiträge jederzeit zu anderen Foren mitnehmen und dort einbinden können, wenn sie dies wünschten? Umgekehrt könnte ich als Forumsbetreiber wohl auch gezwungen sein, Beiträge aus anderen Foren aufzunehmen, wenn sich jemand bei mir anmeldet – da eine Mitgliedschaft unter Ablehnung der Integration mitgebrachter Inhalte ggf. gegen das Kopplungsverbot verstoßen könnte. Oder was passiert dann mit den Threads, aus denen ggf. Beiträge von gelöschten Mitgliedern herausgelöst werden müssen und so evtl. komplett jeder Debatten-Zusammenhang verloren geht – bislang konnte man das meist so lösen, dass der User namentlich (bzw. sein selbst gewähltes Pseudonym) einfach gelöscht wurde und seine Beiträge als die eines nicht mehr aktiven und benannten Users in der Threadfolge bestehen bleiben konnten – das geht so nun m.E. wohl nicht mehr oder nicht ohne erheblichen Aufwand. Oder was ist mit Inhalten, die User posten, die ihrerseits wiederum z.B. auf externe Dienstleister wie Bilderhoster oder auch nur Youtube-Kanäle verweisen – alles eigentlich streng genommen gar nicht mehr darstellbar, oder nur mit erheblichem Aufwand verbunden?

    Oder was ist mit der Vorgabe Benutzerdaten zu speichern, um ggf. Rechtsverstöße durch sie verfolgen zu können. Ein m.E. klares Rechtsdilemma: ich brauche für mein Forum so etwas eigentlich nicht, denn wer sich daneben benimmt, fliegt einfach raus. Ein Staatsanwalt usw. will aber ggf. von mir Zugriff auf Userdaten haben, die ich wg. der DSGVO eigentlich nicht speichern sollte/dürfte, was mir aber dann als Teledienstleister-Pflichtverletzung ausgelegt werden könnte. Und wenn ich doch zur Speicherung quasi verpflichtet bin, dann darf ich künftig in die Schulung meiner freiwillig Admins/Mods investieren und muss den entsprechenden Administrativen und technischen Aufwand finanzieren? Für eine private Initiative weder darstellbar noch wäre ich gewillt, diesen erheblichen Invest zusätzlich zu den übrigen Kosten zusätzlich zu schultern.

    Dazu kommt, dass man ohne entsprechend (teure) individuelle Rechtsberatung vermutlich nicht einmal eine halbwegs abmahnsichere Datenschutzerklärung aufstellen kann – an den diversen Generatoren habe ich mich schon versucht, aber diese sind meist auf kommerzielle Vorhaben ausgerichtet und hinsichtlich der spezifischen Anforderungen, die etwa Foren mit sich bringen, meist nur unzureichend geeignet.

    Und brauchen nicht vllt. sogar auch alle privaten Facebook-, Youtube oder Google+Seiten künftig entsprechende DSGVO-konforme Erklärungen und Mechanismen? Oder kann man etwa eine der in Steam integrierten Communities betreiben, wo man selbst gar keinen Einfluss darauf hat, was der Anbieter mit den Userdaten anstellt, ohne Gefahr zu laufen trotzdem abgemahnt oder rechtlich verfolgt zu werden – und sei es auch nur wegen vermeintlicher Verstöße gegen die DSGVO? Denn auch das eine teure Lehre, die ich in meiner Zeit als Forumsbetreiber lernen musste: Rechtlich muss man gar nichts falsch gemacht haben und man bleibt trotzdem meist auf den eigenen Kosten für eine Abwehr ungerechtfertigter Abmahnungen sitzen, da das Gesamt-Kostenrisiko eines Prozesses, um diese geltend zu machen, die schon entstandenen Kosten zur Abwehr bei ungewissem Ausgang noch erheblich erhöhen kann.

    Das alles wird meiner Meinung nach private Inititiativen – spätestens nach der ersten teuren Abmahnwelle hierzulande – wohl massenhaft aus dem Internet vertreiben. Was mich zu dem Schluss bringt, dass die DSGVO zwar vielleicht vordergründig einen besseren Datenschutz für alle im Sinn hat(te), aber letztlich nur den Big Playern dienen wird, die über entsprechende Finanzmittel verfügen, sich passende Tools zu stricken und die unklaren oder schwammig-formulierten Rechtsbegriffe notfalls in jahrelangen Rechtsstreitigkeiten auszufechten.

    Mich stürzt das alles nicht in Panik sondern steigert eher die persönliche Resignation und führt dazu mich online eben nicht mehr für und mit anderen zu engagieren.

  23. Hallo Ernesto,

    woran erkenne ich denn konkret, dass zum Beispiel beim Abruf der Google Webfonts die IP-Adresse übertragen wird?

    Gruß
    Wolfram

    • Die wird immer übertragen, denn anders ist gar keine Verbindung zum Google Server möglich. Die Verbindung läuft über TCP/IP, und wie der Name schon sagt, basiert dieser auf IPs.

  24. was ist mit Fotos, wo das Model eine Zusage zur Veröffentlichung gegeben hat und dann aus welchen Gründen immer , von Ihrem Recht der Löschung Gebrauch machen möchte..
    1. Muß ich dem als Betreiber und Veröffentlicher einer webseite folgen.
    2. wenn auch Fotos in einer Dia -Präsentation enthalten sind , wo andere Models mit zu sehen sind, ist technischerseites eine neue Dia Präsentation zu erstellen oder ganz zu löschen ,was wiederum den Geschäftsbetrieb empflindlich stören würde.

  25. Danke für den ausführlichen Bericht. Auch wenn schon etwas älter. Aber auch jetzt begegne ich immer noch Leuten die Panik wegen der DSGVO schieben und ich finde völlig zu unrecht. Mittlerweile sollte sich wirklich alles eingespielt haben und jeder sollte gemerkt haben, dass es so schlimm gar nicht ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.