Von europäischer DSGVO, echtem Datenschutz und deutschem Abmahnwesen
Die europäische Internet-Landschaft nach dem DSGVO Einschlag
Und es kam wie es kommen musste
Mit der EU-verordneten DSGVO setzte die deutsche Regierung erneut das digitale Land unter Wasser und warf ein paar Fleischhappen unter die nach festem Halt schwimmenden Bürger/innen, welche das Ganze im wahrsten Sinne des Wortes ausbaden mussten. Die Rechtsgrenzen waren wie so oft so vage gesteckt, dass niemand vermochte den Rand zu erreichen. Und sofort waren auch schon die Haie der abmahnenden Anklagevertretung angelockt.
In keinem anderen Land wäre das durch die geltende Rechtsprechung zum Abmahnwesen wohl so möglich gewesen. Unsere südländischen EU Nachbarn nahmen das Ganze wie immer relativ entspannt. International agierende Konzerne beschäftigen genug Anwaltschaft, um alle Rechtsverdreh-Wahrscheinlichkeiten abdecken zu können. Das nahm zum Teil so obskure Formen an, dass Gaming-Plattform-Anbieter ihre Angebote für Europäer sperrten oder App-Riesen ihre Angebote einfach auf Server im nichteuropäischen Ausland auslagerten. Somit landete das Ganze wie immer vor den Füßen kleiner Organisationen und des Mittelstandes.
Aufgrund der Unsicherheit gegenüber dem aktuellen Wasserstand wurden etliche Blogs geschlossen, kritische Inhalte von Seiten entfernt, ja traten sogar Vorstände kleiner Vereine zurück. Das war natürlich absolut abzusehen (auch und obwohl das Ganze 2 Jahre Vorlauf hatte) und weder Volksvertreter auf Bundes- bis Kommunalebene noch beratende Organisationen der Hauptzielgruppe wie IHK oder HWK schien es zu interessieren. Jeder blieb auf sich gestellt, um die Zeichen zu deuten die da am grauen Horizont Konturen annahmen.
Die Rechtslage ist auch Wochen nach Deadline der DSGVO noch unklar
Wer heutzutage eine Webseite betreibt hat meist eine lange Liste, die konform gehen muss. Angefangen von allen Formen von Newslettern, Shops, Kontaktformularen, Social Media Kanälen, Videoplattformen bis hin zu externen Datenquellen von Plugins.
Jeder der eine Webseite nutzt sollte sich eigentlich im Klaren sein, dass zumindest seine IP übermittelt und verwertet wird. Sollte der Nutzer das nicht sein, weiß er inzwischen zumindest dass es so etwas wie Cookies gibt oder blättert sich vor Verwendung sicherlich durch den längsten Text der Webseite – der hoffentlich vorhanden Datenschutzerklärung.
Es gibt im Netz einige gute Vorschläge und Generatoren für Datenschutzhinweise welche wohl einen Großteil abdecken. Am Ende bleibt jedoch die individuelle Unsicherheit. Eine von Rechtsberatern erstellte angepasste Datenschutzerklärung zu den genutzten Datenquellen oder der ab 10 Personen für Unternehmen vorgeschriebene Datenschutzbeauftragte (am besten externe Experten) können teuer werden. Deshalb verzichten viele kleinere Organisationen und Unternehmen darauf – haben dann jedoch auch keinen Ansprechpartner im Abmahnfall.
Unsere Empfehlung hierzu ist der Generator der DSGVO und eine anschließende Überprüfung durch die eigene Rechtsberatung: https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de/
Wir tauchen tiefer unter
Allein an der Frage, wie s.g. Cookie Hinweise denn nun korrekt eingebunden werden sollten, scheiden sich die Geister. Muss der Besucher den Hinweis bestätigen, um generell die Seite weiterverwenden zu können, genügt es vom Einverständnis auszugehen oder gibt man gleich mehrere Optionen. Im Falle unserer Bundesregierung(.de) kann man ominöser-weise auf eine vorab sichtbare Einblendung scheinbar auch konsequent verzichten, was wir aber nicht empfehlen.
Auch das Impressum ist von der DSGVO betroffen. Hier ist ein entsprechender Hinweis und Link zur Streitbeilegung notwendig (Achtung: Ein echter Hyperlink ist Pflicht, da laut einem Urteil Nicht-Verlinkung bereits sträflich sein kann). Zusätzlich kann / sollte die Allgemeine Verbraucherschlichtungsstelle mit Adresse und Link (www.verbraucher-schlichter.de) angegeben werden.
Empfehlungtext: “Die Europäische Kommission stellt eine Plattform zur Online-Streitbeilegung (OS) bereit, die Sie hier finden https://ec.europa.eu/consumers/odr/. Wir sind bereit, an einem außergerichtlichen Schlichtungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen.”
Was geschieht mit Fotos, welche von öffentlichen Veranstaltungen wie Festivals gemacht und online gestellt werden? Müssen alle fremden Gesichter verpixelt werden oder muss man sich vor Ort bereits Einverständniserklärungen unterzeichnet lassen? Wir warten die ersten Urteile ab, nehmen aber an, dass private Aufnahmen und journalistische Berichte davon nicht betroffen sind. Für professionell-kommerzielle Webseiten sollten jedoch auch professionelle Fotos verwendet werden, welche nicht Rechte Dritter verletzen könnten. Bei Events mit Publikum am besten wirklich eine Erklärung zur Bildnutzung unterzeichnen lassen.
Hier ein Beispiel, wie dies aussehen könnte.: http://wiki.llz.uni-halle.de/images/f/fa/Einverst%C3%A4ndniserkl%C3%A4rung_Blanko.pdf
Jeder Datenverkehr zwischen dem Browsers des Benutzers und einem Server geschieht im Normalfall unverschlüsselt. Sollten explizit personenbezogene Daten übermittelt werden, was eigentlich bereits die immer übermittelte IP Adresse ist aber spätestens ein Kontaktformular darstellt, ist eine s.g. SSL Verschlüsselung im Prinzip unumgänglich. Bei Onlineshops sollte das bereits länger selbstverständlich sein.
Was bei Kontaktformularen nach aktuellem Stand allerdings nicht zusätzlich nötig ist, ist ein Haken, dass man der Datenübermittlung zustimmt, da dies ja den eigentlichen Zweck des Formulars darstellt. Sollt so etwas bereits integriert worden sein, schadet aber natürlich auch nichts.
Unsere Empfehlung: Registrieren Sie ein SSL-Zertifikat. Über letsencrypt.com ist das inzwischen sogar kostenlos möglich. Die Einbindung kostet mit Anleitung lediglich etwas Zeit und bringt beiden Seiten der Leitung echte Sicherheit.
Newsletter sollten nur noch über s.g. Double-Opt-Ins mit Adressen gefüttert werden. Bedeutet der Benutzer muss seine Eintragung noch einmal (durch eine E-Mail oder sonstige direkte Benachrichtigung) bestätigen, bevor er oder sie im Verteiler landet.
Social Plugins wie bspw. der Facebook Like-Button stehen schon berechtigt länger in der Kritik, da der Konzern darüber jederzeit nachverfolgen kann, auf welchen Seiten ein (eingeloggter) Benutzer sich bewegt. Wir empfehlen solche „aktive“ Plugins zu entfernen und durch reine Lesezugriff-Plugins zu ersetzen.
Richtig heikel wird es, wenn externe Ressourcen eingebunden werden, welche die Webseite benötigt, um Inhalte korrekt darzustellen. Um beispielweise Anfahrtsbeschreibungen per Karte anzuzeigen, verwendet inzwischen fast jede Webseite bspw. „Google Maps“, was Benutzerdaten an das Unternehmen sendet.
Oder um bei Google zu bleiben, verwenden sehr viele Webseiten systemabhängig „Google Fonts“, um spezielle Schriftarten einzubinden. Auch dadurch wird u.a. die Ip-Adresse des Benutzers an den Drittanbieter übermittelt. Ob die DSGVO das untersagt, ist ebenso unklar. Klar ist jedoch, dass einige suspekte Vertreter der Anwaltschaft bereits Abmahnungen dazu versenden.
Wer hier ganz auf Nummer sicher gehen möchte, lässt Bilder, Schriftarten und andere Ressourcen nur noch über den eigenen Webspace lokal einbinden. Das stellt jedoch einigen Aufwand dar und widerspricht irgendwo der Idee eines in sich vernetzten Word Wide Webs. Bei Karten und dergleichen kann man den Benutzer vorab erst zustimmen lassen, ob er die Karten einblenden möchte und lädt erst danach die externen Skripte. Das können bei Joomla, WordPress & Co Plugins für den Betreiber erledigen.
Vorübergehendes Fazit
Eine Datenschutzverordnung sollte als ehrbares Ziel eigentlich den Schutz von Grundrechten und Grundfreiheiten von natürlichen Personen haben. Allerdings öffnet sie in Form der DSGVO auch Türen für (Selbst-)Zensur durch die Hinterpforte. Viele Kleine können die hohen Hürden nicht nehmen, welche hier v.a. der deutsche Weg der DSGVO Umsetzung abverlangt. Ohne klare Rechtsprechung zu den genannten wichtigen Punkten gleicht das Ganze auch tatsächlich einem judikativen Hürdenlauf. So nehmen viele aus Angst vor Abmahnungen einfach ihre Portale aus dem Netz oder müssen spätestens im Falle eines Abmahnschreibens klein bei geben.
Die meisten rechtlichen Bedenken stehen und fallen eigentlich mit dem Paradigma, ob der Besucher initial durch Verwendung der Seite den Datenschutzbedingungen zustimmt. Sollte das nicht der Fall sein, dürften Daten eigentlich erst nach Zustimmung übertragen und externe Inhalte der Skripte geladen werden dürfen. Das würde die europäische Webseitenlandschaft samt dahinterstehender Technik (CMS etc.) noch einschneidender verändern – v.a. negativ in Punkto Bedien- und Nutzbarkeit und driftet somit absolut in die falsche Richtung ab. Der eigentlich zu schützende und vor all dem zu sensibilisierende Nutzer wird nur weiter in die Dialog-Abnick-Ecke gedrängt. Es geht mehr um die Verpackung von Informationen als um wirklichen Datenschutz. Und die Quasi-Monopolisten lachen lauter als zuvor, denn die Internet-Landschaft wird nur weiter homogenisiert und von unliebsamem Kleintier bereinigt.
Der deutsche Aktionismus und Perfektionismus steht hier im krassen Kontrast zur deutschen Gesetzgebung im Internet-Zeitalter und am Ende landet alles auf dem Rücken derjenigen die eigentlich geschützt werden sollten. Selbst die Kleinsten haben nach aktuellem Stand nämlich den selben erheblichen logistischen und technischen Aufwand zu stemmen, wie multinationale Großkonzerne.
Wie bereits einige Blogs scherzten, seien merkwürdige gelbe Bücher aufgetaucht, in welchen vollständige Anschriften und Nummern von Privatpersonen aufgelistet sind. Wie die analoge Welt sich hier an der digitalen orientieren wird, steht nämlich wieder auf einem ganz anderen Blatt. (Und dieses befindet sich selbstverständlich in einem abschließbaren Schrank sicher verwahrt.)
Wir sind für unsere Kunden jederzeit beratend da, nehmen ihre Bedenken ernst, setzen technisch um und am Ende müssen wir jedoch auf Eigenverantwortung hinweisen. Informieren Sie sich weiter über die Medien. Wir hoffen unsere Tipps haben ein wenig geholfen einen Überblick zu bekommen und bleiben natürlich für Sie weiterhin am Datenschutz-Ball.
Veröffentlicht: 05.06.2018
Autor: A. Fachtan – Unser Experte für Web.Code.Style
Links (zwischen Information, Sarkasmus und Verzweiflung)
https://www.it-recht-kanzlei.de/kontaktformular-datenschutzgrundverordnung-dsgvo.html
https://www.heise.de/newsticker/meldung/DSGVO-Die-Abmahn-Maschinerie-ist-angelaufen-4061044.html
https://t3n.de/news/dsgvo-whatsapp-kunden-firmen-smartphones-1082758/
https://www.polizei-praevention.de/aktuelles/dsgvo-vorsicht-bei-eingehenden-mails.html
https://www.wbs-law.de/internetrecht/erste-dsgvo-abmahnungen-im-umlauf-ra-solmecke-klaert-auf-77452/
https://t3n.de/news/so-lacht-das-netz-ueber-die-dsgvo-1081953/