Inzwischen dürfte jeder Internet-Nutzer mal was von der neuen EU-Datenschutzgrundverordnung gehört oder gelesen haben. Ganz nach Sichtweise bedeutet diese Verordnung irgendwas zwischen „passiert gar nichts“ und „wir schließen das Internet“. Die Wahrheit liegt irgendwo dazwischen.
Was sicher sein dürfte: Menschen, die wahrscheinlich daheim keine Spiegel haben, feilen schon jetzt an Konzepten für diverse Abmahnungen. Ist ja auch toll gelöst von der Bundesregierung: Die EU sagt, dass die jeweiligen nationalen Gesetzgeber entsprechende Regelungen treffen sollen, um die genaue Ausgestaltung und vor allem Ausnahmen der DSGVO zu definieren und was macht die Bundesregierung? Genau, das was sie am besten kann: Nichts. Sollen das mal die Gerichte entscheiden, ob zum Beispiel das Kunsturhebergesetz nun quasi automatisch zu so einer Sonderregelung wird oder ob die DSGVO nicht doch das KUG schlägt und viele Bereiche der Fotografie damit tot sind. Irgendjemand wird schon dafür bezahlen…
Dass Frau Merkel jetzt plötzlich doch noch etwas tun will, ist da dann eher lachhaft, schließlich dauert das mit Gesetzen in Deutschland gerne mal ein paar Tage. Aber was schnell geht: Das Heimatmuseum Innenministerium haut mal schnell eine Webseite online, auf der dann steht, was die Bundesregierung so über das Thema denkt und wie manche Dinge zu interpretieren wären.
Beim Kunsturhebergesetz meint man dort zum Beispiel, dass es sich auf Artikel 85 Abs 1 der DSGVO stützen würde (das ist der Artikel, in dem es um nationale Gestaltungsspielräume geht) – ohne, dass man das explizit in das Kunsturhebergesetz schreiben müsste. Dieser Meinung kann man sein, es gibt aber auch Anwälte, die das anders sehen. Und nach meiner Kenntnis sind Anwälte allesamt Juristen, kennen sich also auch ein wenig aus. Man glaubt dort sogar, dass speziellere Regelungen, wie sie andere Länder der EU getroffen haben, gar nicht zu mehr Rechtssicherheit führen würden.
Und das alles nur, um am Ende – wenn auch ein wenig umständlich formuliert – zu sagen, dass eigentlich gar nichts sicher ist (Hervorhebung von mir):
Die grundrechtlich geschützte Meinungs- und Informationsfreiheit fließt zudem unmittelbar in die Auslegung und Anwendung der DS-GVO ein, insbesondere stellen sie berechtigte Interessen der verantwortlichen Stellen nach Art. 6 Abs. 1 lit. f) DS-GVO dar. Die DS-GVO betont, dass der Schutz personenbezogener Daten kein uneingeschränktes Recht ist , sondern im Hinblick auf seine gesellschaftliche Funktion und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden (Erwägungsgrund 4). Zu den von der DS-GVO in diesem Zusammenhang genannten Grundrechten zählt ausdrücklich auch die Freiheit der Meinungsäußerung und Informationsfreiheit.
Was glaubt Ihr denn, wer Gesetze auslegt? Eben. Gerichte. Und die machen es dann, wenn jemand klagt und das muss dann im Normalfall auch jemand bezahlen. Und so eine unabhängige Justiz bedeutet eben auch, dass sich Richter im Zweifelsfall auf ihre eigene Auslegung der Gesetze stützen und eben nicht auf das, was das Innenministerium auf eine Webseite schreibt.
Das alles hätte natürlich vermieden werden können, wenn man einfach mal die letzten zwei Jahre genutzt hätte, entsprechende, minimale Gesetzesänderungen auf den Weg zu bringen, die einfach klar sagen, welche Gesetze in Zukunft in welchen Fällen in Anwendung zu bringen sind. Einfach den Interpretationsspielraum ein klein bisschen verkleinern.
Andererseits wären uns dann auch viele spassige Debatten im Netz erspart geblieben, zum Beispiel über die Frage, ob man denn die Webfonts von Google einbinden dürfe. Da sagen viele, dass das gar nicht ginge, man würde dann abgemahnt und auf ewig in der Datschutzverletzerhölle schmoren und 20 Millionen Euro Strafe unter härtesten Bedingungen abarbeiten müssen (oder so ähnlich). Andere argumentieren mit einem berechtigten Interesse. Ob natürlich das Interesse, dass die Website ein bisschen individueller sein soll als alle anderen (ein sehr kleines bisschen), wirklich ein berechtigtes Interesse ist?
Andererseits schreibt die DSGVO ja auch ordentliche Maßnahmen IT-Sicherheit vor und was ist gefährlicher für die IT-Sicherheit als veraltete Software? Also jetzt mal abgesehen von den Menschen, die damit arbeiten? Genau. Jetzt sind Webfonts letztlich auch nur eine Art Software (eine Sammlung von Kommandos, die interpretiert werden, um Zeichen auf einen Bildschirm zu malen). Und es gab ja schon Bugs in der Software, um diese Zeichen zu malen unter Windows, mit der man Systeme abschiessen konnte. Nun könnte also ein weiterer Bug irgendwo bestehen, der bei der Verwendung bestimmter Fonts oder bestimmter Zeichenfolge aus bestimmten Fonts das Kapern eines Rechners erlaubt und damit den unberechtigten Zugriff auf persönliche Daten… ich mache es mal kurz: Wer die Google Webfonts auf den eigenen Server holt, der sollte auch darauf achten, die entsprechenden Updates immer schön nachzuziehen, sonst könnte womöglich jemand auf die Idee kommen, einen wegen Gefährdung der IT-Sicherheit seiner Nutzer abzumahnen oder zu verklagen. Oder aber man beruft sich auf die IT-Sicherheit als „berechtigtes Interesse“ und bindet dann doch die – immer aktuellen – Google Webfonts ein.
Es gibt noch mehr so lustige Interpretationsspielchen, die an verschiedenen Stellen gespielt werden: Müssen auf Admin-Login-Seiten zu CMS-Systemen wie WordPress tatsächlich Links zu Impressum und Datenschutz untergebracht werden? Die einen sagen „Ja, auf jeden Fall“, die anderen halten das für Quatsch.
Kurzer Einwurf: Hier gibt es einen Schnipsel für die functions.php im eigenen Child-Theme, um die Links im WordPress-Login einzubauen – wobei das kommende WordPress-Update diese Funktion angeblich auch haben soll. Aber das ist dann eher ein Thema für meine inoffizielle Artikel-Serie drüben in meinem Weblog.
Auch beliebt ist das Thema Checkboxen in Kontaktformularen: Muss man sich per Checkbox eine Einwilligung zur Datenspeicherung beim Nutzer holen, wenn dieser ein Kontaktformular benutzt oder nicht? Die einen sagen „Ja, auf jeden Fall“, die anderen halten es für Bullshit und sogar gefährlich. Man sollte ja annehmen, dass jedem Internetnutzer klar ist, dass Daten, die man in ein Kontaktformular tippert, irgendwie vom Seitenbetreiber gespeichert und verarbeitet werden müssen, sonst kann der die Anfrage ja nicht beantworten. Aber das wäre ja dann die Nutzung dessen, was man gerne als „gesunden Menschenverstand“ bezeichnet und den sollte man bei der Interpretation von Gesetzen doch bitte erstmal außen vor lassen.
Ich fürchte, dass es noch eine ganze Weile dauern wird, bis sich in dem Bereich alles eingespielt hat und endlich Rechtssicherheit darüber besteht, was man unter welchen Bedingungen wann darf und was eben nicht.
Positive Seiten
Aber die DSGVO hat auch positive Seiten, ja doch. Wenn man nämlich anfängt, ein WordPress so zu konfigurieren, dass es möglichst keine externen Daten mehr (direkt) einbindet, dann neigt so ein System dazu verdammt schnell zu reagieren. Und sind wir doch mal ehrlich: Den Unterschied zwischen einer – ich komme noch einmal zu den Webfonts – Open Sans, einer Arial und einer Helvetica erkennt wahrscheinlich nur ein Bruchteil der Internetnutzer ohne die Developer-Tools ihres Browsers zu fragen.
Auch eine wirklich positive Seite sind diese Verarbeitungsverzeichnisse. Ernsthaft, es ist natürlich ein Sack Bürokratie, aber andererseits ist so was doch eine gute Gelegenheit mal die eigenen Prozesse mal sauber zu dokumentieren und sich Gedanken darüber zu machen, wann man wo mit personenbezogenen Daten hantiert, warum man das tut, wer im Unternehmen das tut und ob das eigentlich wirklich optimal läuft und abgesichert ist. Und weil man sich dann doch eh so ziemlich alle Prozesse mal anschaut, kann man doch bei der Gelegenheit auch gleich die anderen Prozesse mit dokumentieren. Naja, konnte man – wer jetzt erst mit dem Dokumentieren anfängt, der kann natürlich froh sein, wenn er überhaupt alle für das Thema DSGVO relevanten Prozesse dabei erwischt.
Es sind nämlich am Ende doch einige Prozesse mehr, bei denen möglicherweise Zugriff auf personenbezogene Daten genommen werden könnte. Logge ich mich zum Beispiel per SSH auf einem Webserver mit mehreren Kunden ein und bin dort root, dann könnte ich ja die IP-Adressen aus allen Logfiles ebenso auslesen, wie die Daten der einzelnen Kunden auf dem Server. Wer hätte spontan daran gedacht, dass der regelmäßige Updatelauf auf dem Linux-Server aus Datenschutzsicht relevant sein könnte? Ah, ich sehe, ein paar wenige melden sich, die anderen schauen in die Luft und tun so, als hätten sie nix gelesen 😉
Und für uns als Nutzer – sind wir ja schließlich auch alle – hat die DSGVO sowieso reichlich Vorteile: Es ist nun klar definiert, welche Rechte wir haben. Und jeder hatte doch schon mal den Verdacht, dass ein Unternehmen Daten weitergegeben haben könnte und nur deswegen der dumme Idiot mit dem dummen Gewinnspiel regelmäßig anruft, weil man beim falschen Online-Shop etwas bestellt hat?
Bei der Gelegenheit möchte ich mal Throttle erwähnen, ein Dienst, der es einfach macht auf jeder Website eine eigene Mailadresse zu verwenden, dadurch die Inbox deutlich erleichtert und es sofort nachvollziehbar war, welcher Website es zu verdanken ist, dass da nun SPAM rein kommt. Und man kann die so erstellte Adresse nicht nur löschen, man kann das entsprechende Unternehmen damit auch konfrontieren und die Datenschutzaufsicht informieren, was mit der DSGVO eben auch tatsächlich schmerzhafte Konsequenzen haben könnte.
Aber trotzdem nervt es derzeit gewaltig
Aber allen positiven Seiten zum Trotz: Es nervt derzeit gewaltig. Es nerven die immer gleichen Diskussionen in Foren, die immer gleichen Gespräche mit Kunden, die von mir verbindliche Aussagen wollen, die ich ihnen nicht geben kann und obwohl es teilweise doch ganz amüsant ist, nerven die regelmäßigen Gespräche mit Juristen, die einem auch nur sagen, dass sie selbst nix genaues sagen können und man im Zweifel einfach die Entscheidungen von Gerichten abwarten müssen. Es nerven die Websitebetreiber, die aus Angst vor Abmahnungen ihre Angebote einstellen. Es nerven die Panik-, die Geschäfte- und die Mit-Panik-Geschäftemacher, die an allen Ecken lauern. Es nerven Veranstalter, die uns sagen, dass es ab dem 25. Mai keine Fotopässe für Konzerte mehr geben würde, weil die EU dann Konzertfotos verbieten würde. Und es nervt natürlich die gewaltige Rechtsunsicherheit derzeit. Das alles nervt einfach wie Hölle.
Hätte ich einfach mal einen Beruf gelernt, bei dem ich nix mit Menschen, mit Tieren oder Computern zu tun habe. Leichengräber zum Beispiel. Klar, da hat man auch mit Menschen zu tun, die meisten von denen sind aber schon tot. Und krisensicher scheint mir die Branche auch zu sein, denn gestorben wird immer, in Krisenzeiten wahrscheinlich sogar vermehrt…
Beitragsbild von TheDigitalArtist via Pixabay