Und dann kam plötzlich eine Datenschutzgrundverordnung

Nach einer Vor­lauf­zeit von nur zwei Jah­ren tritt nun die euro­päi­sche Daten­schutz­grund­ver­ord­nung (DSGVO) in Kraft. Klingt büro­kra­tisch, ist es auch, aber letzt­lich geht es schlicht dar­um, dass die (auto­ma­ti­sier­te) Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten euro­pa­weit nun nach ein­heit­li­chen Stan­dards regu­liert wer­den soll. Das meis­te davon ent­spricht den deut­schen Daten­schutz­ge­set­zen, die in vie­len Fäl­len bis­her nicht berück­sich­tigt wur­den – man­che Reak­tio­nen wir­ken jetzt wie eine Über­kom­pen­sa­ti­on, wenn getreu dem Buch­sta­ben der DSGVO für alles und jedes Ein­wil­li­gun­gen ver­langt wer­den etc. Viel­leicht hat das etwas damit zu tun, dass die Mög­lich­keit der Daten­schutz­be­hör­den, Buß­gel­der zu erhe­ben, inzwi­schen pro­mi­nen­ter sicht­bar sind (und das Abmahn­pro­blem wird wohl über­schätzt). Ich gehe davon aus, dass sich der sinn­vol­le Teil der DSGVO in weni­gen Mona­ten „nor­mal“ anfüh­len wird, und die juris­tisch über­vor­sich­ti­ge Inter­pre­ta­ti­on, die es eben der­zeit zu Hauf‘ gibt, an Bedeu­tung ver­lo­ren haben wird.

War­um über­haupt Daten­schutz? Letzt­lich geht es, wie es Arti­kel 1 der DSGVO erklärt, dar­um, dass Recht von natür­li­chen Per­so­nen umzu­set­zen, ihre per­so­nen­be­zo­ge­nen Daten zu schüt­zen. Gere­gelt wird

„die ganz oder teil­wei­se auto­ma­ti­sier­te Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten sowie […] die nicht­au­to­ma­ti­sier­te Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, die in einem Datei­sys­tem gespei­chert sind oder gespei­chert wer­den sol­len“ (Art. 2 (1) DSGVO) 

Letzt­lich geht es also um die per­so­nen­be­zo­ge­ne Daten, die in irgend einer Wei­se digi­tal ver­ar­bei­tet oder gespei­chert wer­den. Streng genom­men sind das bei­spiels­wei­se auch die Adres­sen, die Out­look im Adress­buch ablegt, wenn eine Mail ankommt, oder (ana­log über­reich­te) Visi­ten­kar­ten, wenn die­se in einem digi­ta­len Sys­tem gespei­chert wer­den. Noch stren­ger genom­men, weil jede IP (also die tem­po­rä­re Adres­se eines Com­pu­ters im Netz) Rück­schlüs­se auf eine Per­son zulässt, ist auch jede IP ein per­so­nen­be­zo­ge­nes Datum, das bei jedem Auf­ruf einer Web­site ver­ar­bei­tet und zumin­dest kurz­fris­tig gespei­chert wird. 

Die DSGVO gilt aller­dings expli­zit dann nicht, wenn natür­li­che Per­so­nen für per­sön­li­che oder fami­liä­re Zwe­cke Daten aus­tau­schen (Art. 2 (2) DSGVO). Pri­va­te Mail­ac­counts, per­sön­li­che Han­dy-Tele­fon­bü­cher etc. sind damit erst ein­mal außen vor. Wobei, und das ist eine der Bruch­li­ni­en des digi­ta­len Zeit­al­ters, die durch die DSGVO plötz­lich grell aus­ge­leuch­tet wer­den, nicht immer so ganz leicht zu unter­schei­den ist, was denn nun eigent­lich pri­vat-per­sön­lich ist und was öffent­lich bzw. kom­mer­zi­ell ist. Die­ses Blog hier ver­wen­det bei­spiels­wei­se Zähl­pi­xel der VG Wort, die dazu füh­ren, dass ich, wenn Blog­tex­te häu­fig abge­ru­fen wer­den, Geld von der Ver­wer­tungs­ge­sell­schaft Wort erhal­te, ähn­lich wie dies auch Autor*innen von Zei­tungs­ar­ti­keln, Auf­sät­zen oder Büchern erhal­ten. (Das Geld, das die VG Wort aus­chüt­tet, stammt von Abga­ben zum Bei­spiel auf Kopiergeräte). 

Wenn jen­seits des Anwen­dungs­falls persönliche/familiäre Nut­zung per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet und gespei­chert wer­den, dann legt die DSGVO in Art. 5 eine Rei­he von Bedin­gun­gen fest, unter denen eine sol­che Ver­ar­bei­tung über­haupt erst erlaubt ist. Dazu gehört bei­spiels­wei­se der Grund­satz der Daten­spar­sam­keit, der Zweck­bin­dung und der Sicher­heit (des­we­gen: https statt http, sobald per­so­nen­be­zo­ge­ne Daten über­mit­telt wer­den). In Art. 6 (1) DSGVO wird nun die Recht­mä­ßig­keit der Daten­ver­ar­bei­tung näher erläu­tert, genau­er gesagt: es gibt eine abschlie­ßen­de Auf­zäh­lung, wann die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten recht­mä­ßig ist. Dazu zäh­len eine spe­zi­fi­sche Ein­wil­li­gung, die Erfül­lung eines Ver­trags sowie die Not­wen­dig­keit der Ver­ar­bei­tung im berech­tig­ten Inter­es­se des Ver­ant­wort­li­chen oder eines Drit­ten in Abwä­gung mit den Rech­ten der betrof­fe­nen Per­son. Ich gehe davon aus, dass bei­spiels­wei­se die Über­mitt­lung und tem­po­rä­re Spei­che­rung der IP-Adres­se unter die­sen Fall des „berech­tig­ten Inter­es­ses“ fällt, da anders ein Dar­stel­len einer auf­ge­ru­fe­nen Web­site nicht mög­lich wäre. Wich­tig ist hier schon ein­mal, dass nicht jede Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten eine Ein­wil­li­gung vor­aus setzt, son­dern dass es eben auch ande­re Grün­de für deren recht­mä­ßi­ge Ver­ar­bei­tung gibt.

Die DSGVO ist nun vor allem eine Ver­ord­nung, um die Rech­te von Ver­brau­che­rin­nen und Ver­brau­chern zu schüt­zen. Dies wird in Art. 12 fol­gen­de deut­lich. Hier wer­den näm­lich aus­führ­lich die Rech­te der Betrof­fe­nen dar­ge­legt. Das reicht von trans­pa­ren­ter Infor­ma­ti­on über Ansprech­part­ner (da kom­men dann auch die Daten­schutz­be­auf­trag­ten für Fir­men ab 10 mit Daten­ver­ar­bei­tung befass­ten Mitarbeiter*innen ins Spiel) bis hin zu Aus­kunfts- und Berich­ti­gungs- sowie Lösch­rech­ten. Zudem (und hier könn­te dann kri­ti­siert wer­den, dass die DSGVO sehr weit geht) wird recht detail­liert dar­ge­legt, wie die Umset­zung im Arbeits­ab­lauf eines „Ver­ant­wort­li­chen“ aus­zu­se­hen hat; ins­be­son­de­re gehö­ren dazu Doku­men­ta­ti­ons­pflich­ten über Ein­wil­li­gun­gen und ein umfang­rei­ches Ver­fah­rens­ver­zeich­nis (Art. 24 ff.). 

Grob zusam­men­ge­fasst: die DSGVO schafft euro­pa­wei­te Stan­dards für Verbraucher*innen hin­sicht­lich des Umgangs mit per­so­nen­be­zo­ge­nen Daten. Alle, die nicht im per­sön­lich-fami­liä­ren Bereich Daten ver­ar­bei­ten, müs­sen dazu bei­tra­gen, dass die­se Stan­dards ein­ge­hal­ten wer­den. Dazu gehö­ren Grund­sät­ze wie der der Daten­spar­sam­keit, dazu gehö­ren Infor­ma­ti­ons- und Aus­kunfts­pflich­ten, und dazu gehört, wenn die Ver­ar­bei­tung von Daten nicht auf berech­tig­ten Inter­es­sen basiert, auch die Ein­wil­li­gung. Als juris­ti­scher Laie wür­de ich sagen: das Ziel ist es, dass ich als Ver­brau­cher die Mög­lich­keit erhal­te, zu wis­sen, was mit mei­nen per­so­nen­be­zo­ge­nen Daten pas­siert, und die­ses Wis­sen als Grund­la­ge für bewuss­te Ent­schei­dun­gen dar­über zu neh­men, wel­che Diens­te ich nut­ze und wel­che Daten­ver­ar­bei­tun­gen ich ggf. zulas­se. Um das als „Ver­ant­wort­li­cher“ – also z.B. als Blog­be­trei­ber – sicher­zu­stel­len, muss ich öffent­lich dar­le­gen, was für Daten ver­ar­bei­tet wer­den, an wen Aus­kunfts­an­sprü­che zu rich­ten sind und so wei­ter, und intern doku­men­tie­ren, auf wel­chen Grund­la­gen wel­che Daten­ver­ar­bei­tungs­ver­fah­ren basieren. 

Was heißt das nun konkret für ein Blog wie dieses?

Ich bin in meh­re­ren Schrit­ten vorgegangen.

Ers­tens habe ich das Blog auf die neus­te Word­Press-Ver­si­on upge­da­tet, die unter ande­rem auch Daten­schutz­tools mit sich bringt. Ins­be­son­de­re ermög­licht sie unter „Werk­zeu­ge“ jetzt den Export und die Lösung per­so­nen­be­zo­ge­ner Daten (um ggf. ent­spre­chen­den Anfra­gen nach­kom­men zu kön­nen) und bie­tet unter „Ein­stel­lun­gen“ die Mög­lich­keit, eine Daten­schutz­er­klä­rung zu erstel­len und die­se an den rele­van­ten Stel­len im Blog zu ver­lin­ken. Dazu gibt es einen Leit­fa­den, der bei der Bear­bei­tung die­ser Erklä­rung hilft. Mus­ter für sol­che Daten­schutz­er­klä­run­gen fin­den sich bei­spiels­wei­se auch hier (Law-blog.de) und hier (Dr. Schwenke).

Zwei­tens habe ich mir mei­ne Plug­ins ange­schaut und eini­ge raus­ge­wor­fen. Flattr bei­spiels­wei­se nut­ze ich schon seit gerau­mer Zeit nicht mehr. Raus­ge­wor­fen habe ich Pixel­stats. Für die Twit­ter und Face­book-Ver­lin­kung nut­ze ich schon seit gerau­mer Zeit „2 Clicks Social Media But­tons“, die die­se erst nach expli­zi­ter Ein­wil­li­gung frei­schal­ten. An „pro­ble­ma­ti­schen“ Plug­ins ver­blei­ben Akis­met (der Word­Press-eige­ne Spam­schutz, bringt in der neus­ten Fas­sung sei­ne eige­ne „pri­va­cy poli­cy“ mit) und das „Word­press-Jet­pack light“, das bei­spiels­wei­se Zugriffs­sta­tis­ti­ken erfasst. Zudem läuft ein Anti­vi­rus-Plug­in. Bei ande­ren Plug­ins wie „Inty­po“ (für schö­ne­re Anfüh­rungs­zei­chen) gehe ich davon aus, dass die­se kei­nen Anlass haben, per­so­nen­be­zo­ge­ne Daten zu ver­ar­bei­ten. Goog­le Ana­ly­tics nut­ze ich nicht. Außer­halb der Plug­ins gibt es noch eine Ver­knüp­fung zu Grava­tar, das ist ein Dienst, der bei Kom­men­ta­ren ein Foto oder ein aus der E‑Mail-Adres­se anony­mi­siert erzeug­tes Sym­bol­bild anzeigt (das betrifft aller­dings nur die­je­ni­gen, die auf dem Blog kommentieren). 

Apro­pos: Benut­zer­kon­ten ver­wen­de ich in die­sem Blog nur für mich selbst, inso­fern spie­len die­se kei­ne Rolle. 

Bei den Kom­men­ta­ren aller­dings fällt mir im Zuge die­ser Daten­schutz­über­prü­fung auf, das Word­Press hier „schon immer“ die voll­stän­di­ge IP-Adres­se mit spei­chert, was nicht gut ist. Dazu habe ich jetzt neu das Plug­in Remo­ve Com­ment IPs“ instal­liert. Ich neh­me an, das Word­Press sich in einer zukünf­ti­gen Ver­si­on selbst dar­um küm­mert, aber damit kön­nen alle bis­her gespei­cher­ten Kom­men­tar-IP-Adres­sen auf ein­mal gelöscht wer­den. Das Plug­in löscht IP-Adres­sen nach 60 Tagen – etwas lang, aber bes­ser als die bis­he­ri­ge Speicherung.

(Instal­liert habe ich auch ein Plug­in („Coo­kie Noti­ce“), das einen Hin­weis auf die Ver­wen­dung von Coo­kies anzeigt. Not sure if necessary …)

Drit­tens wäre for­mal für die Daten­ver­ar­bei­tung bei Word­Press ver­mut­lich ein Auf­trag­da­ten­ver­ar­bei­tungs­ver­trag not­wen­dig, aller­dings scheint mir Art. 28 DSGVO auch ande­re Wege offen­zu­hal­ten. Inhalt­lich geht es vor allem dar­um, dass auch Word­Press etc. sich an die Stan­dards der DSGVO hal­ten. Glei­ches gilt für Stra­to, den Hos­ting­ser­vice, auf dem mei­ne Web­site läuft. Bei Stra­to lässt sich das im Kun­den­me­nü (Unter­punkt „Ver­trags­än­de­rung“) mit einem Knopf­druck abschlie­ßen, ergibt dann acht Sei­ten Vertrag …

Bei Word­Press ver­zich­te ich vor­erst auf expli­zi­te Auf­trags­da­ten­ver­ar­bei­tungs­ver­trä­ge, wer­de aber in der Daten­schutz­er­klä­rung auf die Daten­strö­me zu WordPress/Automattic hin­wei­sen. Hier wer­de ich erst ein­mal abwar­ten, wie sich das gan­ze The­ma wei­ter entwickelt.

Vier­tens habe ich mit dem oben genann­ten neu­en Menü­punkt eine Daten­schutz­er­klä­rung ange­legt. Das erzeugt erst ein­mal einen Wust an Text mit HTML-Codes dazwi­schen, der auf jeden Fall anhand des Leit­fa­dens über­ar­bei­tungs­be­dürf­tig ist. Par­al­lel habe ich mir mal ange­schaut, was raus­kommt, wenn ich mei­ne Anga­ben in den Daten­schutz-Gene­ra­tor (Dr. Schwen­ke) ein­ge­be, der für Pri­vat­per­so­nen und Kleinunternehmer*innen kos­ten­los nutz­bar ist. In dem einen Fall – Word­Press – ist das Ergeb­nis ver­ständ­lich, aber mög­li­cher­wei­se etwas arg dünn, im ande­ren Fall wer­den sämt­li­che juris­ti­schen Fein­hei­ten berück­sich­tigt, und es tritt der typi­sche AGB-Effekt ein. 

Ich habe mich letzt­lich dafür ent­schie­den, das Word­Press-Gerüst als Grund­la­ge zu neh­men und es an eini­gen Stel­len zu ergänzen/anzupassen. Das Ergeb­nis steht hier.

Fünf­tens habe ich die soeben erstell­te Daten­schutz­er­klä­rung in mein Menü ein­ge­bun­den und die Spiel­re­geln des Blogs aktua­li­siert und um einen Hin­weis auf die Daten­schutz­er­klä­rung ergänzt. 

Fazit

Das war jetzt doch eini­ges an Auf­wand, und das Ergeb­nis ist sicher­lich nicht zu hun­dert Pro­zent DSGVO-kom­pa­ti­bel. Ich habe eini­ge unnö­ti­ge Plug­ins raus­ge­wor­fen und mich um das seit Jah­ren bestehen­de Pro­blem der Spei­che­rung von IP-Adres­sen geküm­mert. Mit der neus­ten Word­Press-Ver­si­on habe ich die Mög­lich­kei­ten, der Daten­her­aus­ga­be und dem Recht auf Ver­ges­sen, wie es die DSGVO vor­sieht, ent­ge­gen­zu­kom­men. Eine gro­ße Bau­stel­le bleibt Word­Press selbst, das Daten – IP-Adres­se und bei Kom­men­ta­ren auch ande­re Daten – zur Spam­ver­mei­dung und zur sta­tis­ti­schen Aus­wer­tung in die USA schickt, und das dazu Coo­kies ver­wen­det. Hier könn­te ich auf Sta­tis­ti­ken und Kom­men­tar-Ava­tare ver­zich­ten und eine ande­re Lösung als Akis­met für das auto­ma­ti­sier­te Löschen von Spam ein­set­zen. Mal sehen.