In letzter Zeit konnte ich leider nicht so viele Artikel schreiben wie ich eigentlich geplant hatte. Ein Grund dafür ist eine neue EU-Verordnung, die am 25. Mai 2018 wirksam geworden ist: die europäische Datenschutzgrundverordnung (DSGVO). Vielleicht hast du schon von der neuen Verordnung gehört und dass sie bei vielen Menschen (besonders bei Unternehmen) zu Frustration und sogar Panik geführt hat. Auch ich hatte eine ganze Menge zu tun und zu recherchieren um meinen Blog “DSGVO-konform” zu machen. Ja, es war manchmal frustierend und so manches Mal habe ich mich auch überfordert geführt. Aber: ich habe auch eine ganze Menge Neues gelernt und die Umstellung als Chance begriffen. In diesem Artikel möchte ich die DSGVO kurz vorstellen und was ich bei der Umstellung dazu gelernt habe, ich möchte dabei aber nicht ins Detail gehen ob die DSGVO jetzt gut gemacht ist oder nicht, dazu weiß ich nicht genug über die Einzelheiten der Verordnung und ihre Auswirkungen (bitte behalte dabei im Hinterkopf, dass ich keine Expertin für die DSGVO bin).
Lies den ganzen Artikel oder springe zu dem Kapitel, das dich interessiert:
Was ist die DSGVO?
Reaktionen auf die DSGVO
Meine Erfahrungen mit der Umsezung
Kontext: Der lange Weg zur DSGVO
Was ist die DSGVO?
In der DSGVO wird die Verarbeitung personenbezogener Daten (d.h. Angaben über eine bestimmte oder eine bestimmbare Person) durch private Unternehmen und öffentliche Stellen EU-weit geregelt. Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt, andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden. Die Verordnung ersetzt die aus dem Jahre 1995 stammende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Quelle: Wikipedia).
Die Rechte der Bürger*innen an ihren Daten werden durch die Verordnung gestärkt. So müssen sie für die Datenerhebung und Datenverarbeitung ihre Zustimmung geben, haben das Recht auf Auskunft (welche Daten erhoben werden und zu welchem Zweck) und das Recht auf Löschung der Daten. Sie sollen damit das Entscheidungsrecht (zurück)bekommen, wem sie ihre Daten geben möchten:
Gegenstand und Ziele der DSGVO
(1) Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
(2) Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
(3) Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.
Den genauen Gesetzestext der Verordnung kannst du hier nachlesen: dsgvo-gesetz.de
… und hier noch ein lustiges Video von DoktorFroid auf YouTube, das ich zu der Thematik gefunden habe:
Reaktionen auf die DSGVO
Über die Verordnung wurde schon lange vor ihrer Inkrafttretung hitzig diskutiert. Dabei ging es besonders darum, ob die neue Verordnung zu weit geht und somit eine unzumutbare Belastung für Unternehmen und Privatpersonen, die eine Website oder einen Blog betreiben, darstellt oder eben nicht weit genug geht um personenbezogene Daten zu schützen. Besonders Websitebetreiber*innen beklagten sich darüber, dass die Umsetzung der Verordnung sehr zeitaufwendig und kompliziert sei, da man nun bei jeder Datenerhebung nachvollziehen muss, wer welche Daten erhebt und was dann mit diesen Daten passiert. Vielen, besonders kleineren und mittleren Unternehmen und privaten Bloggern war bis dato nicht immer klar, welche personenbezogenen Daten zum Beispiel durch verwendete Plugins (Softwarekomponente, die eine Software erweitert, zum Beispiel ein Plugin zur Einbindung einer Newsletterfunktion auf der eigenen Website) erhoben werden und was mit diesen Daten dann geschieht. Viele Unternehmen haben sich seit Jahren anscheinend nicht ausreichend um den Datenschutz gekümmert und müssen nun nachholen, was sie in den letzten Jahren versäumt haben.
Reaktionen auf Twitter unter dem Hashtag #dsgvo
Artikel und Meinungen zum DSGVO aus unterschiedlichen Perspektiven
- GDPR Hall of Shame: Sammlung verrückter Auswirkungen der DSGVO bzw. wie verrückt Unternehmen darauf reagieren
- Datenschutzgrundverordnung: Wie sich Unternehmen eine Erlaubnis für alles holen (netzpolitik.org)
- Sascha Lobo – Der SPIEGEL ONLINE Debatten-Podcast: Albrecht, Lobo und die DSGVO (Soundcloud): Streitgeschpräch zwischen MdL Jan Philipp Albrecht (Mitgestalter DSGVO) und Sascha Lobo (SPON)
Der DSGVO wurde sogar ein Lied gewidmet: The G-D-P-R Song von Sarah Nade (Sarah Weiler)
Meine Erfahrungen mit der Umsetzung
Die DSGVO gilt für alle, die in der EU sitzen bzw. von EU-Bürger*innen persönliche Daten erheben und verarbeiten. Das sind eine ganze Menge! Nicht nur Unternehmen, sondern auch “kleine Blogger*innen” sind davon betroffen. Dementsprechend groß war das Stöhnen über die Umsetzung, da diese oftmals viel Zeit und Ressourcen in Anspruch nahm und in einigen Medien wurde Panikmache betrieben. Dennoch sollte man sich fragen: die DSGVO ist seit 2016 in Kraft, d.h. dass die Unternehmen eigentlich zwei Jahre Zeit gehabt haben, um sich mit der Umsetzung zu beschäftigen. Außerdem frage ich mich: Wenn die Unternehmen immer gut mit den Daten umgegangen sind, warum verfallen sie dann jetzt in Panik? Es scheint mir, als wäre der ganze Bereich Datenschutz in den letzten Jahren bei den meisten hintenüber gefallen, als hätte sich niemand wirklich darum geschert. “Wilder Westen” im Datenschutz quasi – jede*r konnte machen, was sie / er wollte bzw. für richtig hielt (was nicht ganz stimmt, da es auch schon vorher Richtlinien gab, die aber kaum durchgesetzt wurden sodass bei Verstößen keine wirkliche Gefahr im monetären Sinne bestand). Eigentlich ein unglaublicher Zustand, wenn man bedenkt, wie wichtig Daten für die Unternehmen sind, wie viel Macht sie damit ausüben können und wie viel diese Daten über uns Bürger*innen aussagen (Hallo Überwachungsindustrie!) … ich jedenfalls freue mich sehr, dass dieses Thema nun endlich auch breit in der Öffentlichkeit diskutiert wird und in den Köpfen der Menschen angekommen ist. Ich persönlich habe die neue Verordnung als Anlass genommen, mich näher mit der Datenerhebung über meine Website zu beschäftigen und habe dabei viel Neues gelernt.
Auch ich bin von der DSGVO betroffen, da ich über meine Website Daten über meine Nutzer*innen erhebe. Deshalb musste ich mich in den letzten Wochen intensiv mit dem Thema beschäftigen und eine Datenschutzerklärung formulieren um den Nutzer*innen meiner Website transparent darlegen zu können, welche Daten für welchen Zweck erhoben werden und was mit diesen passiert. Und da gefühlt gerade alle mit dem gleichen Problem zu kämpfen haben, habe ich mich auch nicht so allein mit der Frustration und Überforderung gefühlt. Es gibt auch glücklicherweise mittlerweile viele Websiten zum Thema, auf denen unterschiedliche Leute Informationen und Tipps zur DSGVO zusammengestellt haben. Ich habe die DSGVO als Anlass genommen, mich genauer mit der Datenerhebung über meine Website auseinander zu setzen. Bislang habe ich keinen Newsletter und auch Kommentare können meine Nutzer*innen nicht zu den einzelnen Artikeln schreiben, d.h. sie müssen nirgendwo ihre E-Mailadresse oder andere Kontaktdaten angeben. Das hat mir die Arbeit, meine Website DSGVO-konform zu gestalten, deutlich vereinfacht (gerade an diesen Punkten wird es für viele Unternehmen und Blogs kompliziert, da die personenbezogenen Daten oftmals von einem Drittanbieter (z.B. über ein Plugin), der nicht in der EU sitzt, verwertet werden). Meinen Blog habe ich ja erst so richtig im Mai 2018 aufbauen können, d.h. erst dann habe ich Schriftarten ausgewählt, geeignete Plugins gesucht, das Layout inklusive Farbgebung überarbeitet und mein Blog ist immer noch verglichen mit anderen klein und überschaubar. Dennoch habe ich festgestellt, dass einige Dienste Daten meiner Nutzer*innen über meine Website abgreifen ohne dass ich es wusste. Hier ein paar Beispiele:
Google Fonts
Am überraschendsten war für mich, dass Google über die benutzten Google Fonts (Schriftarten) Daten erhebt, wenn die Fonts nicht lokal eingebunden sind. Gut, die Fonts kann man kostenlos benutzen und es heißt natürlich “nichts auf der Welt ist umsonst”, d.h. irgendwie muss man auch dafür bezahlen. Meistens mit persönlichen Daten, die für die Unternehmen natürlich viel wert sind, da sie damit personenbezogene Werbung schalten können und damit ihr Geld verdienen. Naiverweise habe ich gar nicht darüber nachgedacht, dass Daten auch über die Fonts erhoben werden können (ja, ich war zunächst einmal damit beschäftigt, passende Schriftarten aus dem Überangebot heraus zu suchen). In diesem Bereich habe ich öfters gemerkt, dass ich mir keine großen Gedanken darüber gemacht habe, wo die Daten gespeichert bzw. verarbeitet werden. Im Fall von Google Fonts war ich davon ausgegangen, dass ich die Schriftarten automatisch auf mein Webspace heruntergeladen hatte, was aber nicht zutraf. Mittlerweile habe ich das geändert und die Schriftart lokal eingebunden, sodass Google keine Daten mehr abgreift.
Service-Provider
Meine Website ist bei 1&1 gehostet, einem deutschen Internetdienstanbieter, der somit mein Service-Provider ist. Das Unternehmen stellt mir gegen einen festgelegten Betrag einen Server-Platz für meine Website zur Verfügung. Da 1&1 einer der größten Service-Provider weltweit ist, arbeiten sie sehr professionell und konnten mir gleich alle notwendigen Informationen zur Datenerhebung geben, die ich brauchte um nachvollziehen zu können, welche Daten über meinen Service-Provider von meinen Nutzer*innen erhoben werden, damit die Website funktionert. Mit 1&1 habe ich einen Vertrag zur Auftragsverarbeitung geschlossen, da sie quasi in meinem Namen Daten meiner Nutzer*innen verarbeiten, damit die Website funktioniert. Welche Daten von meinem Service-Provider 1&1 erhoben werden, kannst du in meiner Datenschutzerklärung nachlesen.
YouTube
Auf der von Google betriebenen Plattform YouTube gibt es viele tolle Videos, die ich gerne auf meinem Blog einbaue um das Angebot ansprechender zu gestalten und meinen Nutzer*innen weitere Informationen zur Verfügung stellen zu können. Besonders Videos von Dokumentationen der öffentlich-rechtlichen Sender wie ZDF, ARD oder arte sind meistens nur eine begrenzte Zeit in den jeweiligen Mediatheken abrufbar, sodass die gesetzten Links nach einer gewissen Zeit nicht mehr funktionieren; bei YouTube sind sie jedoch viel länger oder unbegrenzt abrufbar. Deshalb verlinke ich diese Dokus meistens als YouTube Videos und nicht direkt über die Mediatheken (nur falls du dich das mal gefragt hast …). Das Problem bei YouTube ist jedoch, dass bei einer “normalen” Einbindung von YouTube Videos schon dann Daten von YouTube abgegriffen werden, bevor die Nutzerin bzw. der Nutzer das Video überhaupt anschaut, sodass sie / er keine Möglichkeit hat, dieser Datenübermittlung zuzustimmen bzw. sie abzulehnen. Ich möchte meine Website jedoch so gestalten, dass die Nutzer*innen die Möglichkeit haben, meine Website zu nutzen ohne dass übermäßig viele personenbezogene Daten von ihnen gesammelt werden. Also machte ich mich daran, nach Lösungen zu suchen. Glücklicherweise fand ich ziemlich schnell den Blog blogmojo.de, auf dem die Blogger*innen Nele und Finn viele wertvolle Tipps für Blogger*innen bereitstellen und habe dort auch einen Artikel über das DSGVO-konforme Einbetten von Videos mit YouTube gefunden. Ich habe einige dort genannte Möglichkeiten ausprobiert: Das Einbetten von YouTube Vidos mit erweitertem Datenschutzmodus hat zwar funktioniert, ging mir aber nicht weit genug, da immer noch Verbindungen zu den Servern von YouTube (bzw. Google) aufgebaut werden. Auch die WordPress Plugins YouTube Lyte und Embed Videos and Respect Privacy von Michael Zangl habe ich ausprobiert. Sie funktionieren auch gut, aber leider haben beide Plugins mein Layout zerschossen. Nun musste ich also überlegen, was wichtiger ist: Ein schönes, ansprechendes Layout oder ein hoher Datenschutzstandard für meine Nutzer*innen. Natürlich wollte ich beides! Also recherchierte ich weiter und plötzlich war eine neue Funktion meines Themes AVADA verfügbar: Das Einbinden von YouTube Videos mit der Funktion, dass die Nutzer*innen vor Anschauen der Videos darauf hingewiesen werden, dass durch Anschauen des Videos Daten an YouTube (bzw. Google) übertragen werden. Vorteil ist, dass erst nach Klick auf das Videos die Daten übertragen werden und nicht schon beim Öffnen des Artikels. Dadurch kann jede*r selbst entscheiden, ob sie / er es möchte oder nicht. Durch die neue Verordnung haben viele professionelle Softwareanbieter (aber auch Privatpersonen, die Plugins programmieren) ihr Angebot vergrößert und speziell Software entwickelt, die Websitebetreiber*innen hilft, ihr Angebot an die (neuen) Datenschutzbestimmungen anzupassen – allein dafür bin ich den Machern der DSGVO sehr dankbar!!! (Auch wenn man sonst sicherlich einiges daran kritisieren kann).
Dies sind nur drei Beispiele aus einer ganzen Reihe an Dingen, die ich gelernt habe. Damit dieser Artikel nicht noch ausufernder wird, belasse ich es hierbei. In meiner Datenschutzerklärung kannst du aber noch vieles Weitere finden. Ich habe jedenfalls versucht, alles so einzustellen, dass nur solche Daten erhoben werden, die für das Funktionieren meiner Website notwendig sind bzw. für die anonymisierte Statistik der Website.
Das Ausmaß des “Wilden Westens” war krass …
Im Laufe der Recherche wurde mir immer wieder aufs Neue bewusst, wie viele unterschiedliche Elemente, die das Funktionieren meiner Website erst möglich machen, eigentlich Daten erheben. Kaum dachte ich, ich hätte nun alles erfasst, schon machte sich ein neues Feld auf. Erst dann wurde mir wirklich bewusst (und das, obwohl ich mich schon seit langer Zeit für das Thema Datenschutz interessiere und immer wieder darüber lese), wie groß das Ausmaß dieses “Wilden Westens”, der quasi ungeregelten Erhebnung und Nutzung von persönlichen Daten, war. Denn meine Website ist eine kleine, gerade erst ins Leben gerufene Website, und wenn selbst über diese kleine Website mit nur wenigen Plugins so viele Daten erhoben werden (bzw. von Dritten wie Google oder YouTube), wie sieht es dann bei den großen, datenfressenden Websites wie Online-Händlern oder sozialen Netzwerken aus? Gruselig.
Kontext: Der lange Weg zur DSGVO
In der EU-Gesetzgebung gibt es zwei Arten von Gesetzen: Richtlinien und Verordnungen. Richtlinien sind Rahmengesetze der EU; sie stellen eine politische Forderung an die Gemeinschaft und müssen von den nationalen Parlamenten der Mitgliedstaaten innerhalb einer gesetzten Frist in nationales Recht umgesetzt werden. Verordnungen sind dagegen EU-Gesetze, die sofort und unmittelbar in allen Mitgliedstaaten gelten. Jedes Gesetz braucht wiederum Bestimmungen, an die sich die Verwaltung bei der Ausführung halten muss. Diese Durchführungsbestimmungen heißen in der EU ebenfalls Verordnungen (Quelle: europarl.europa.eu).
Im Bereich Datenschutz gibt es seit 1995 die gemeinsame EU-Datenschutzrichtlinie, die nicht nur für die Länder der EU sondern auch für den Europäischen Wirtschaftsraum gilt. Da es sich dabei jedoch um eine Richtlinie und nicht um eine Verordnung handelt, konnten die Mitgliedsländer diese Richtlinie unterschiedlich auslegen und dementsprechend in verschärfter oder abgeschwächter Form umsetzen. Eine wirkliche Einheitlichkeit innerhalb der EU war damit nicht gegeben. Das sollte sich durch eine neue EU-Datenschutzreform ändern, um sich für das neue digitale Zeitalter zu rüsten und den Schutz persönlicher Daten sicherzustellen. Wie das alles vonstatten ging, möchte ich kurz im Folgenden anhand der einzelnen Schritte beschreiben, damit man einen Einblick darin bekommt, wie solche Gesetzesvorhaben ablaufen.
1. Entwurf der EU-Kommission für eine Datenschutzreform
Im Jahr 2012 stellte Viviane Reding, die damalige Kommissarin für Justiz, Bürgerschaft und Grundrechte, den Entwurf der Kommission zur geplanten EU-Datenschutzreform vor. Wichtigste Neuerungen sollten sein, dass es gemeinsame Regeln für die ganze EU geben sollte und persönliche Daten der Person gehörten; Datenschutz sollte als Grundrecht gestärkt werden. Damit betrifft der neue Gesetzesvorschlag die gesamte Wirtschaft und alle Unternehmen, in denen Daten gesammelt, verwertet und ausgewertet werden.
2. EU-Parlament ernennt Berichterstatter zur Ausarbeitung des Gesetzestextes
Das EU-Parlament eröffnete daraufhin eine Debatte zum Gesetzesvorschlag der EU-Kommission. Letztendlich ernannte das Parlament Jan Phillip Albrecht von den Grünen zum Berichterstatter, der im Auftrag des Parlaments den Vorschlag der Kommission mit Vertreter*innen anderer Fraktionen prüft und dem Plenum dann einen im Detail überarbeiteten Gesetzestext vorlegt. Dabei analysieren Vertreter*innen aller Fraktionen des Parlaments den Gesetzesvorschlag in sogenannten “shadow meetings” (Schattentreffen). Lobbyisten aller colour versuchten in dieser Zeit massiv, Einfluss auf die Abgeordneten zu nehmen.
3. LIBE-Ausschuss: Vorstellung und Änderungsvorschläge
Der neue Gesetzestext wurde im März 2013 in einer Sitzung des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres (kurz: LIBE) des Europäischen Parlaments vorgestellt. Daraufhin konnten Änderungsanträge eingereicht werden, was auch fleißig getan wurde: Die Anzahl von knapp 4000 Änderungsanträgen ist neuer Rekord in der Geschichte der EU-Gesetzgebung. Diese ganzen Anträge mussten nun in shadow meetings besprochen und verhandelt werden. Der Gesetzesprozess geriet ins Stocken, die Abstimmungen in Parlament und Ministerrat mussten immer wieder verschoben werden.
Doch dann veröffentlichte Edward Snowden im Juni 2013 geheime Berichte, die Einblicke in das Ausmaß der weltweiten Überwachungs- und Spionagepraktiken von Geheimdiensten – überwiegend jenen der Vereinigten Staaten und Großbritanniens- gaben und die Wichtigkeit des Themas Datenschutz verdeutlichten. Plötzlich waren die Themen Datensicherheit, Datenschutz und Überwachung omnipräsent im öffentlichen Diskurs. Es war nun allen klar: Der Besitz von Daten bedeutet nicht nur Macht, sondern Daten können auch als Waffe benutzt werden.
Es geht bei Überwachung nicht um unsere intimsten Geheimnisse. Wie wir nackt aussehen oder mit wem wir unser Bett teilen, das ist völlig uninteressant. Bei Überwachung geht es darum, Menschen zu kontrollieren und zu lenken (Katarzyna Szymelewicz, Bürgerrechtsaktivistin)
4. Abstimmung im EU-Parlament
Am 12. März 2014 bestätigte die Vollversammlung des Parlaments den Datenschutzentwurf mit einer überwältigenden Mehrheit von 95% Ja-Stimmen.
5. Beratung im Ministerrat
Danach ging der Entwurf der Kommission an den Ministerrat der EU, der über ein Jahr brauchte, um sich auf einen gemeinsamen Standpunkt zu einigen.
6. Einigung von Parlament und Ministerrat
Die Verhandlungsparteien von Rat und Parlament einigten sich schlussendlich am 15. Dezember 2015 auf einen gemeinsamen Gesetzestext.
7. Neues Gesetz tritt in Kraft und wird wirksam
Das neue EU-Datenschutzgesetz ist seit dem 25. Mai 2016 in Kraft und seit dem 25. Mai 2018 wirksam.
Es war ein langer Weg vom Vorschlag der Kommissarin 2012 bis zur endgültigen Wirksamkeit der Verordnung 2018. In der Dokumentation “Democracy – im Rausch der Daten” (Link zu YouTube) von David Bernet (indifilm) wird Jan Philipp Albrecht in seiner Rolle als Berichterstatter begleitet und man bekommt einen guten Einblick in das zähe, mühsame Ringen um den Gesetzestext. Die Daten der oben beschriebenen Schritte entstammen der Dokumentation.
Link zur Website des Films mit vielen Hintergrundinformationen: www.democracy-film.de