Nach einer Vorlaufzeit von nur zwei Jahren tritt nun die europäische Datenschutzgrundverordnung (DSGVO) in Kraft. Klingt bürokratisch, ist es auch, aber letztlich geht es schlicht darum, dass die (automatisierte) Verarbeitung personenbezogener Daten europaweit nun nach einheitlichen Standards reguliert werden soll. Das meiste davon entspricht den deutschen Datenschutzgesetzen, die in vielen Fällen bisher nicht berücksichtigt wurden – manche Reaktionen wirken jetzt wie eine Überkompensation, wenn getreu dem Buchstaben der DSGVO für alles und jedes Einwilligungen verlangt werden etc. Vielleicht hat das etwas damit zu tun, dass die Möglichkeit der Datenschutzbehörden, Bußgelder zu erheben, inzwischen prominenter sichtbar sind (und das Abmahnproblem wird wohl überschätzt). Ich gehe davon aus, dass sich der sinnvolle Teil der DSGVO in wenigen Monaten „normal“ anfühlen wird, und die juristisch übervorsichtige Interpretation, die es eben derzeit zu Hauf‘ gibt, an Bedeutung verloren haben wird.
Warum überhaupt Datenschutz? Letztlich geht es, wie es Artikel 1 der DSGVO erklärt, darum, dass Recht von natürlichen Personen umzusetzen, ihre personenbezogenen Daten zu schützen. Geregelt wird
„die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie […] die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“ (Art. 2 (1) DSGVO)
Letztlich geht es also um die personenbezogene Daten, die in irgend einer Weise digital verarbeitet oder gespeichert werden. Streng genommen sind das beispielsweise auch die Adressen, die Outlook im Adressbuch ablegt, wenn eine Mail ankommt, oder (analog überreichte) Visitenkarten, wenn diese in einem digitalen System gespeichert werden. Noch strenger genommen, weil jede IP (also die temporäre Adresse eines Computers im Netz) Rückschlüsse auf eine Person zulässt, ist auch jede IP ein personenbezogenes Datum, das bei jedem Aufruf einer Website verarbeitet und zumindest kurzfristig gespeichert wird.
Die DSGVO gilt allerdings explizit dann nicht, wenn natürliche Personen für persönliche oder familiäre Zwecke Daten austauschen (Art. 2 (2) DSGVO). Private Mailaccounts, persönliche Handy-Telefonbücher etc. sind damit erst einmal außen vor. Wobei, und das ist eine der Bruchlinien des digitalen Zeitalters, die durch die DSGVO plötzlich grell ausgeleuchtet werden, nicht immer so ganz leicht zu unterscheiden ist, was denn nun eigentlich privat-persönlich ist und was öffentlich bzw. kommerziell ist. Dieses Blog hier verwendet beispielsweise Zählpixel der VG Wort, die dazu führen, dass ich, wenn Blogtexte häufig abgerufen werden, Geld von der Verwertungsgesellschaft Wort erhalte, ähnlich wie dies auch Autor*innen von Zeitungsartikeln, Aufsätzen oder Büchern erhalten. (Das Geld, das die VG Wort auschüttet, stammt von Abgaben zum Beispiel auf Kopiergeräte).
Wenn jenseits des Anwendungsfalls persönliche/familiäre Nutzung personenbezogene Daten verarbeitet und gespeichert werden, dann legt die DSGVO in Art. 5 eine Reihe von Bedingungen fest, unter denen eine solche Verarbeitung überhaupt erst erlaubt ist. Dazu gehört beispielsweise der Grundsatz der Datensparsamkeit, der Zweckbindung und der Sicherheit (deswegen: https statt http, sobald personenbezogene Daten übermittelt werden). In Art. 6 (1) DSGVO wird nun die Rechtmäßigkeit der Datenverarbeitung näher erläutert, genauer gesagt: es gibt eine abschließende Aufzählung, wann die Verarbeitung personenbezogener Daten rechtmäßig ist. Dazu zählen eine spezifische Einwilligung, die Erfüllung eines Vertrags sowie die Notwendigkeit der Verarbeitung im berechtigten Interesse des Verantwortlichen oder eines Dritten in Abwägung mit den Rechten der betroffenen Person. Ich gehe davon aus, dass beispielsweise die Übermittlung und temporäre Speicherung der IP-Adresse unter diesen Fall des „berechtigten Interesses“ fällt, da anders ein Darstellen einer aufgerufenen Website nicht möglich wäre. Wichtig ist hier schon einmal, dass nicht jede Verarbeitung personenbezogener Daten eine Einwilligung voraus setzt, sondern dass es eben auch andere Gründe für deren rechtmäßige Verarbeitung gibt.
Die DSGVO ist nun vor allem eine Verordnung, um die Rechte von Verbraucherinnen und Verbrauchern zu schützen. Dies wird in Art. 12 folgende deutlich. Hier werden nämlich ausführlich die Rechte der Betroffenen dargelegt. Das reicht von transparenter Information über Ansprechpartner (da kommen dann auch die Datenschutzbeauftragten für Firmen ab 10 mit Datenverarbeitung befassten Mitarbeiter*innen ins Spiel) bis hin zu Auskunfts- und Berichtigungs- sowie Löschrechten. Zudem (und hier könnte dann kritisiert werden, dass die DSGVO sehr weit geht) wird recht detailliert dargelegt, wie die Umsetzung im Arbeitsablauf eines „Verantwortlichen“ auszusehen hat; insbesondere gehören dazu Dokumentationspflichten über Einwilligungen und ein umfangreiches Verfahrensverzeichnis (Art. 24 ff.).
Grob zusammengefasst: die DSGVO schafft europaweite Standards für Verbraucher*innen hinsichtlich des Umgangs mit personenbezogenen Daten. Alle, die nicht im persönlich-familiären Bereich Daten verarbeiten, müssen dazu beitragen, dass diese Standards eingehalten werden. Dazu gehören Grundsätze wie der der Datensparsamkeit, dazu gehören Informations- und Auskunftspflichten, und dazu gehört, wenn die Verarbeitung von Daten nicht auf berechtigten Interessen basiert, auch die Einwilligung. Als juristischer Laie würde ich sagen: das Ziel ist es, dass ich als Verbraucher die Möglichkeit erhalte, zu wissen, was mit meinen personenbezogenen Daten passiert, und dieses Wissen als Grundlage für bewusste Entscheidungen darüber zu nehmen, welche Dienste ich nutze und welche Datenverarbeitungen ich ggf. zulasse. Um das als „Verantwortlicher“ – also z.B. als Blogbetreiber – sicherzustellen, muss ich öffentlich darlegen, was für Daten verarbeitet werden, an wen Auskunftsansprüche zu richten sind und so weiter, und intern dokumentieren, auf welchen Grundlagen welche Datenverarbeitungsverfahren basieren.
Was heißt das nun konkret für ein Blog wie dieses?
Ich bin in mehreren Schritten vorgegangen.
Erstens habe ich das Blog auf die neuste WordPress-Version upgedatet, die unter anderem auch Datenschutztools mit sich bringt. Insbesondere ermöglicht sie unter „Werkzeuge“ jetzt den Export und die Lösung personenbezogener Daten (um ggf. entsprechenden Anfragen nachkommen zu können) und bietet unter „Einstellungen“ die Möglichkeit, eine Datenschutzerklärung zu erstellen und diese an den relevanten Stellen im Blog zu verlinken. Dazu gibt es einen Leitfaden, der bei der Bearbeitung dieser Erklärung hilft. Muster für solche Datenschutzerklärungen finden sich beispielsweise auch hier (Law-blog.de) und hier (Dr. Schwenke).
Zweitens habe ich mir meine Plugins angeschaut und einige rausgeworfen. Flattr beispielsweise nutze ich schon seit geraumer Zeit nicht mehr. Rausgeworfen habe ich Pixelstats. Für die Twitter und Facebook-Verlinkung nutze ich schon seit geraumer Zeit „2 Clicks Social Media Buttons“, die diese erst nach expliziter Einwilligung freischalten. An „problematischen“ Plugins verbleiben Akismet (der WordPress-eigene Spamschutz, bringt in der neusten Fassung seine eigene „privacy policy“ mit) und das „Wordpress-Jetpack light“, das beispielsweise Zugriffsstatistiken erfasst. Zudem läuft ein Antivirus-Plugin. Bei anderen Plugins wie „Intypo“ (für schönere Anführungszeichen) gehe ich davon aus, dass diese keinen Anlass haben, personenbezogene Daten zu verarbeiten. Google Analytics nutze ich nicht. Außerhalb der Plugins gibt es noch eine Verknüpfung zu Gravatar, das ist ein Dienst, der bei Kommentaren ein Foto oder ein aus der E‑Mail-Adresse anonymisiert erzeugtes Symbolbild anzeigt (das betrifft allerdings nur diejenigen, die auf dem Blog kommentieren).
Apropos: Benutzerkonten verwende ich in diesem Blog nur für mich selbst, insofern spielen diese keine Rolle.
Bei den Kommentaren allerdings fällt mir im Zuge dieser Datenschutzüberprüfung auf, das WordPress hier „schon immer“ die vollständige IP-Adresse mit speichert, was nicht gut ist. Dazu habe ich jetzt neu das Plugin Remove Comment IPs“ installiert. Ich nehme an, das WordPress sich in einer zukünftigen Version selbst darum kümmert, aber damit können alle bisher gespeicherten Kommentar-IP-Adressen auf einmal gelöscht werden. Das Plugin löscht IP-Adressen nach 60 Tagen – etwas lang, aber besser als die bisherige Speicherung.
(Installiert habe ich auch ein Plugin („Cookie Notice“), das einen Hinweis auf die Verwendung von Cookies anzeigt. Not sure if necessary …)
Drittens wäre formal für die Datenverarbeitung bei WordPress vermutlich ein Auftragdatenverarbeitungsvertrag notwendig, allerdings scheint mir Art. 28 DSGVO auch andere Wege offenzuhalten. Inhaltlich geht es vor allem darum, dass auch WordPress etc. sich an die Standards der DSGVO halten. Gleiches gilt für Strato, den Hostingservice, auf dem meine Website läuft. Bei Strato lässt sich das im Kundenmenü (Unterpunkt „Vertragsänderung“) mit einem Knopfdruck abschließen, ergibt dann acht Seiten Vertrag …
Bei WordPress verzichte ich vorerst auf explizite Auftragsdatenverarbeitungsverträge, werde aber in der Datenschutzerklärung auf die Datenströme zu WordPress/Automattic hinweisen. Hier werde ich erst einmal abwarten, wie sich das ganze Thema weiter entwickelt.
Viertens habe ich mit dem oben genannten neuen Menüpunkt eine Datenschutzerklärung angelegt. Das erzeugt erst einmal einen Wust an Text mit HTML-Codes dazwischen, der auf jeden Fall anhand des Leitfadens überarbeitungsbedürftig ist. Parallel habe ich mir mal angeschaut, was rauskommt, wenn ich meine Angaben in den Datenschutz-Generator (Dr. Schwenke) eingebe, der für Privatpersonen und Kleinunternehmer*innen kostenlos nutzbar ist. In dem einen Fall – WordPress – ist das Ergebnis verständlich, aber möglicherweise etwas arg dünn, im anderen Fall werden sämtliche juristischen Feinheiten berücksichtigt, und es tritt der typische AGB-Effekt ein.
Ich habe mich letztlich dafür entschieden, das WordPress-Gerüst als Grundlage zu nehmen und es an einigen Stellen zu ergänzen/anzupassen. Das Ergebnis steht hier.
Fünftens habe ich die soeben erstellte Datenschutzerklärung in mein Menü eingebunden und die Spielregeln des Blogs aktualisiert und um einen Hinweis auf die Datenschutzerklärung ergänzt.
Fazit
Das war jetzt doch einiges an Aufwand, und das Ergebnis ist sicherlich nicht zu hundert Prozent DSGVO-kompatibel. Ich habe einige unnötige Plugins rausgeworfen und mich um das seit Jahren bestehende Problem der Speicherung von IP-Adressen gekümmert. Mit der neusten WordPress-Version habe ich die Möglichkeiten, der Datenherausgabe und dem Recht auf Vergessen, wie es die DSGVO vorsieht, entgegenzukommen. Eine große Baustelle bleibt WordPress selbst, das Daten – IP-Adresse und bei Kommentaren auch andere Daten – zur Spamvermeidung und zur statistischen Auswertung in die USA schickt, und das dazu Cookies verwendet. Hier könnte ich auf Statistiken und Kommentar-Avatare verzichten und eine andere Lösung als Akismet für das automatisierte Löschen von Spam einsetzen. Mal sehen.