Blogwatch 13/18 – Big Data Special

Ein Gespenst geht um – ein Gespenst mit Namen DSGVO. Ehrlich gesagt, die Datenschutzgrundverordnung hat viel von einem Gespenst: Sie ist für mich nicht greifbar und auch wenn ihr näher rücken mich nicht ängstigt, so stellt sich doch eine Beklommenheit ein. Verstößt mein Blog nach dem 25. Mai gegen geltendes Recht? Wenn ich nichts ändere, bin ich dann kriminell? Oder vielleicht Freiheitskämpfer? Eine Art Che? Das würde mir gefallen, bis ich mir bewusst werde, welches Ende ihn erwartete. Worum geht es eigentlich bei der Verordnung (EU) 2016/679? Ist sie überhaupt ein Eingriff in meine Freiheiten oder nicht? Und wo fange ich an mich darüber zu informieren?

Die DSGVO

Das Elend nahm vor Tagen seinen Lauf. Auf Twitter wurden hin und wieder Tweets in meine Timeline gespült, die ein katastrophales Bild zeichneten: Einige Blogger wollten sich in eine einsame Berghütte zurückziehen andere suchten Selbsthilfegruppen. Und dann tauchte auch ein Post im RSP-Forum auf. Bis dahin hielt ich die VO eigentlich für etwas Gutes. Privatsphäre, Schutz meiner Daten gegenüber Konzernen und Drittstaaten. Aus Yeah wurde Bäh, denn auch ich bzw. mein Blog sammelt Daten. Damit gehöre ich zu den gleichen Datenkraken wie Facebook, Google und Co. Oder? Die allgemeine Unruhe schwappte auf mich über und ich musste erst einmal ein Beruhigungstee (Fenchel/Ingwer) aufgießen. Ich erinnerte mich an zahlreiche Filme über Journalisten: Geh zurück an die Quelle! heißt es dort immer.

Gesetze liest man meist nie von vorne bis hinten durch. Es gibt nur wenige Gesetze, die so spannend sind, dass sich das lohnt. Allerdings ist der Anfang aufschlussreich. Warum gibt es ein Gesetz? Wo und für wen gilt das Gesetz? Das steht immer am Anfang. Ziel der Verordnung ist meiner Lesart nach der Schutz persönlicher Daten bzw. exakter: das Recht auf Schutz dieser Daten von natürlichen Personen. In der DSGVO heißt es:

Artikel 1

Gegenstand und Ziele

(1)  Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.

(2)  Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.

(3)  Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.

Es geht also hier um meine Rechte und auch die von Hans-Peter und Ines-Sophie, soweit so gut.

Artikel 2

Sachlicher Anwendungsbereich

(1)  Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

(2)  Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten

a) im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,
b) durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen,
c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten,
d) durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.
(3)  Für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union gilt die Verordnung (EG) Nr. 45/2001. Die Verordnung (EG) Nr. 45/2001 und sonstige Rechtsakte der Union, die diese Verarbeitung personenbezogener Daten regeln, werden im Einklang mit Artikel 98 an die Grundsätze und Vorschriften der vorliegenden Verordnung angepasst.

(4)  Die vorliegende Verordnung lässt die Anwendung der Richtlinie 2000/31/EG und speziell die Vorschriften der Artikel 12 bis 15 dieser Richtlinie zur Verantwortlichkeit der Vermittler unberührt.
(Hervorhebungen von mir)

Abs. 1 macht klar: Mein Blog fällt darunter. Oh noooo. Wie eine Achterbahn der Gefühle geht es mit Abs. 2 (c) weiter: persönliche oder familiäre Tätigkeiten sind ausgenommen. Yeah, oder? Und jetzt fängt das alte Lied wieder an: Ist mein Blog eine persönliche Tätigkeit, ein Hobby sozusagen? Oder ist mit der Formulierung persönliche Tätigkeit vielleicht nur das Anlegen einer Geburtstagsliste in einer Tabellenkalkulation mit Serienbrieffunktion gemeint?

Falle ich unter die Verordnung?

Und das Gespenst kommt immer näher. Für einen Moment halte ich inne und versuche den Geist der Verordnung in mich aufzunehmen, ich atme ihn tief ein. Ich rieche Kapital, Behörden, Macht, Big Data. Und wie zum Beweis lese ich auf Wikipedia:

Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt, andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden.
(Hervorhebungen von mir)

Von Unternehmen und Binnenmarkt ist die Rede. Begriffe, die ich mit wirtschaftlichem Handeln aber nicht mit meinem Blog in Verbindung bringe. Trotzdem Obacht, denn:
1. Eine Quelle ist keine Quelle
2. Wikipedia ist gut, aber ich werde mich schwerlich darauf berufen können, wenn ich vor dem Richter stehe und
3. diese Begriffe unterliegen hier einer Interpretation, meine Ansicht ist unwichtig.
Allerdings auch der Leitfaden zu den Bestimmungen, der von der EU-Kommission herausgegeben wurde, vermittelt den Eindruck, dass damit eher wirtschaftliche Unternehmen als private Rollenspielblogs gemeint sind.

Es muss doch aber auch irgendwo etwas Konkretes stehen? Im Erwägungsgrund 18 zur DSGVO heißt es:

Erwägungsgrund 18
Keine Anwendung auf den persönlichen oder familiären Bereich*

1 Diese Verordnung gilt nicht für die Verarbeitung von personenbezogenen Daten, die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten und somit ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen wird. 2 Als persönliche oder familiäre Tätigkeiten könnte auch das Führen eines Schriftverkehrs oder von Anschriftenverzeichnissen oder die Nutzung sozialer Netze und Online-Tätigkeiten im Rahmen solcher Tätigkeiten gelten3 Diese Verordnung gilt jedoch für die Verantwortlichen oder Auftragsverarbeiter, die die Instrumente für die Verarbeitung personenbezogener Daten für solche persönlichen oder familiären Tätigkeiten bereitstellen.

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.(Hervorhebungen von mir)

Das könnte persönliche Blogs ohne Werbebanner, Affiliate-Links etc. beschreiben und somit auf meinen Blog zutreffen. Ich bin aber nach wie vor unsicher.

Was müsste ich machen?

Ich lese immer wieder Sätze wie: Im Zweifelsfalle… und Wenn sie auf Nummer sicher gehen wollen... (nicht selten mit den Hinweis auf kostenpflichtige EBooks und Webinare). Schön und gut. Ich werde ohne eine entsprechende Definition oder einem Urteil eh nicht 100%ig sicher sein können, ob mein Blog darunter fällt oder nicht. Also werfe ich erst einmal einen Blick auf die Dinge, die ich ändern müsste. Ich befürchtete schon, dass jetzt das letzte Stündlein geschlagen hat. Viele sind frustriert, alles scheint so dermaßen kompliziert zu sein. Ehrlich: No way… dann schreibe ich lieber wieder mein Moleskin voll. Goodbye, das wars.

Stichwort Datensparsamkeit. Abgesehen von den Anforderungen der Verordnung, ist die Speicherung der IP für Kommentare notwendig? Nein, eigentlich nicht. Auch für die Statistik reicht eine anonyme Auswertung. Die Frage ist also: Wo erhebe ich Daten? Und muss das sein? In vielen Fällen brauche ich keine Daten zu sammeln…

Stichwort Datenübermittlung. Gravatar ist cool, aber nicht wirklich wichtig. Auch Emojis sind eher schönes Beiwerk. Viele andere Dienste kann man auch vom Blog nehmen ohne das es in seiner Funktion eingeschränkt wird. Bloggen wie vor 25 Jahren, warum nicht?

Stichwort Auskunftsrecht/-pflicht. Dabei wird es jetzt kompliziert für mich. Nicht unbedingt von der technischen Umsetzung, sondern rechtlich. Eine Auskunft zu erteilen bedeutet nämlich auch, zu prüfen, ob der Anfragende berechtigt ist, eine Auskunft zu erhalten. Wie soll ich das leisten? Grundsätzlich könnte man das vermeiden, indem man überhaupt keine Daten erhebt, würde ich vermuten. Wie sieht es aber mit den Kommentaren aus? Die Angabe einer EMailadresse ist bei mir nicht notwendig und wenn ich auch keine IP habe? Zu diesem Punkt habe ich nichts gefunden. Und wie sieht es mit dem Löschen von Kommentaren aus? Sollte dies jemand verlangen und ich speichere nur noch einen Namen? Max Mustermanns und Barbara Beispiels gibt es viele. Gibt es dann ein Auskunftsrecht und ein Recht auf Löschung überhaupt?

Was lässt sich abschließend zum Thema sagen? Datenschutz ist immer gut und der sparsame und auf die Notwendigkeit reduzierte Umgang mit Daten anderer Nutzer sollte beherzigt werden. Allgemeinplätze, die auch ohne die DSGVO gelten. Blogs können unter die Verordnung fallen, wenn sie nicht rein persönlichen oder familiären Tätigkeiten dienen. Die Umsetzung ist nicht so kompliziert wie ich dachte (Ich verlinke entsprechende Artikel), Ausnahme sind Einzelheiten wie die beschriebene Kommentarfunktion.

Linkliste

Einen sehr schönen, weil verständlichen Artikel hat Dr. Katja Flinzner auf ihren Blog content-iq verfasst. Dort finden sich viele weiterführende Links. Gerade für WordPress Nutzer interessant: Zwei nützliche Plugins werden verlinkt. Eines für das Kontaktformular, ein anderes für die Kommentarfunktion ohne IP Übermittlung.
Was bedeutet die DSGVO für Einzelunternehmer und Freelancer? – content-iq

Ebenfalls verständlich schreibt Dr. Ronald Kandelhard in seinem Blog LetsSeeWhatWorks. Dort geht er u.a. auf das Kopplungsverbot und das Verarbeitungsverzeichnis ein. Ein Podcast zum Thema findet sich auch.
DSGVO – Wie du dein Business auf die neue Datenschutz Grundverordnung vorbereitest- LetsSeeWhatWorks

Youtube Videos einbinden ist eine schöne Sache, allerdings sollte man sie den neuen Anforderungen entsprechend einbetten. Dazu gibt es auf schieb.de eine Anleitung.
DSGVO: YouTube-Videos korrekt einbetten – schieb.de

Michael bietet auf seiner Seite jaegers.net einen Schnelltest an. Dieser ermittelt welche Verbindungen zu Drittservern von der eigenen Seite ausgehen.
DSGVO Test – jaegers.net

 

3 Kommentare

  1. Ein schöner Beitrag und eine tolle Recherche. Das Gespenst DSGVO wird damit vielleicht etwas gebannt.

    Was den „rein privaten und familiären Zweck“ betrifft, bin ich einmal gespannt auf die Juristerei, denn kritisch betrachtet ist ein öffentlich im Netz erreichbarer Weblog wohl kaum eine geschlossene Veranstaltung … Ketzerisch könnte ich ja auch einmal fragen, warum Du Deinen Blog nicht mit einem Kennwort schützt, das dann tatsächlich nur Deine Freunde und Familienangehörigen kennen 😉

    BTW: Dein Kontaktformular erfordert die Übermittlung einer E-Mail Adresse und damit wohl auch deren Speicherung. Immerhin sind Deine seiten schon mal SSL-Verschlüsselt und damit ist den Sicherheitsvorkehrungen schon einmal genüge getan. Lediglich die Zustimmung zur Speicherung fehlt …

    Was die verwendeten Google Fonts, Feedly und Twitter Scripte sowie JetPack Statistiken (die sich interessanterweise NICHT ausschalten lassen) betrifft … Nun ja, wie Du schon sagst, es hängt alles davon ab, für wie privat der Blog betrachtet wird und wie weit man die Regelung auslegt, bzw. -legen möchte. Und ja, man sollte keine Panik schüren, aber warum nicht – so wie Du das auch gemacht hast – einfach mal im Sinne der Datensparsamkeit überlegen, was muss und was nicht.

    1. Du sprichst viele gute Punkte an. Derzeit bin ich tatsächlich überhaupt noch nicht DSGVO-konform. Tatsächlich ist der Beitrag auch nur entstanden, weil ich mich über einige Dinge bei der Recherche zur Anpassung des Blogs geärgert habe. Es hieß immer: Das muss, jenes muss, dabei wurde außer Acht gelassen, dass es diese Ausnahme aus persönlichen Gründen gibt. Diese Ausnahme wäre für viele Blogger sicherlich sehr beruhigend, immerhin wäre dann eine Auskunftspflicht und das Führen eines Verarbeitungsverzeichnis definitiv vom Tisch. Persönliche Gründe sind ja nicht immer gleichzusetzen mit privat. Ein persönliches Bedürfnis auf Kommunikation und Meinungsäußerung besteht auch im Netz und kann durch einen Blog befriedigt werden. Prinzipiell ist es für mich auch nicht wirklich entscheidend, es geht nur darum, ob der Aufwand für reine Verwaltungstätigkeit bei einem Wald- und Wiesenblogger wie mir im Verhältnis steht. Und das betrifft nur die Liste und die entsprechende Prüfung einer Auskunft. Datensparsamkeit etc. halte ich für sinnvoll und werde ich auch umsetzen.

      Das Gute an der aktuellen Diskussion ist, dass man sich Gedanken macht, wohin Daten vom eigenen Blog überhaupt hingehen. Und ob nun Gesetz oder nicht, man kann da vieles unterbinden. DSAnews hat auch ganz unaufgeregt gehandelt. Fand ich klasse.

      Zu JetPack: Die Statistiken lassen sich nicht abschalten? Hab ich bislang nicht versucht, ist aber eher unschön…

Hinterlasse einen Kommentar.

Deine E-Mail-Adresse wird nicht veröffentlicht.

Scroll Up