,

DSGVO – häufig gestellte Fragen, häufig verbreitete Mythen

Vor allem: Keine Panik!

Version 2, 17.5.2018

Seit ein paar Wochen macht sich in Online-Foren, auf Twitter oder auch in Vereinen und kleinen Unternehmen eine steigende Unruhe breit, weil der Geltungsbeginn der EU-Datenschutz-Grundverordnung (DSGVO) am 25.5.2018 immer näher rückt. Wir bekommen selber vermehrt Anfragen und Beschwerden, auch aus der eigenen Partei. Befeuert wurde die Unsicherheit in jüngster Zeit leider noch durch Blogbeiträge u.a. von Sascha Lobo und Enno Park, die weite Verbreitung fanden. Beide Autoren schätzen wir ansonsten eigentlich sehr.

Daher sollen im Folgenden viele Fragen beantwortet werden, die wir immer wieder gestellt bekommen. Und anhand des Beitrags von Sascha Lobo soll beispielhaft gezeigt werden, welche verkehrten Annahmen oder Missverständnisse sich teilweise hinter der DSGVO-Panik verbergen. Weitere Hintergrundinformationen gibt es von uns auch hier.

Häufig gestellte Fragen (Frequently Asked Questions – FAQ)

  1. Für wen und was gilt die DSGVO?

Sie gilt für die behördliche und geschäftsmäßige Verarbeitung personenbezogener Daten in der EU. “Geschäftsmäßig“ bedeutet nicht nur mit Gewinnerzielungsabsicht, sondern auch bei Vereinen, Kirchen und anderen gemeinnützigen und nicht profitorientierten Einrichtungen. Die DSGVO gilt nicht für die rein persönliche oder familiäre Datenverarbeitung. Sie gilt auch nicht für Strafverfolger, für die es eine spezielle EU-Richtlinie gibt, sowie für EU-Institutionen, die ebenfalls eine spezielle Verordnung haben, die derzeit an die DSGVO angepasst wird. Hier hat sich insgesamt im Vergleich zum bestehenden Recht auch nichts geändert.

Neu ist: Die DSGVO gilt auch für Datenverarbeiter außerhalb der EU, sofern sie z.B. online Dienste auf dem EU-Binnenmarkt anbieten oder in der EU regelmäßig Personen beobachten, z.B. durch Online-Tracker. Diese Einführung des Marktortprinzips stellt sicher, dass endlich die europäischen Online-Unternehmen dieselben Regeln haben wie ihre Konkurrenten z.B. aus Silicon Valley.

  1. Als kleiner Blogger musste ich mich doch bisher um Datenschutz gar nicht kümmern. Was soll jetzt der ganze Aufwand mit der DSGVO?

Wenn es kein rein privates Blog war, sondern z.B. Anzeigen geschaltet wurden oder es die berufliche Tätigkeit beworben hat, galt das auch schon bisherige Datenschutzrecht, sofern persönliche Daten erhoben wurden. Wer hier z.B. Google Analytics einbindet oder die Besuche des Blogs mitprotokolliert, hat sich auch bisher schon mindestens im Graubereich des Datenschutzrechts bewegt. Es ist daher sinnvoll, die DSGVO zum Anlass zu nehmen und die Einstellungen, WordPress-Plugins und ähnliches mal durchzusehen, ob wirklich alle Daten, die erhoben werden, notwendig sind. Anstatt Like-Buttons von Facebook direkt zu laden und so jeden Besucher und jede Besucherin des Blogs automatisch an Facebook zu verpetzen, empfehlen wir die datenschutzfreundliche zwei-Klick-Lösung z.B. von heise.de. Als kleiner Blogger muss man aber auch nicht befürchten, dass einem sofort die Datenschutzbehörde den Server beschlagnahmt und hohe Bussgelder verhängt. Falls man überhaupt ins Visier der Behörden geraten sollte, müssen deren Maßnahmen immer verhältnismäßig sein, und in der Regel machen sie bei „kleinen Fischen“, die einfach aus Unkenntnis gehandelt haben, Beratung statt Bestrafung.

  1. Drohen allen kleinen Unternehmen, Blogs oder Vereinen jetzt Bußgelder in Millionenhöhe?

Die DSGVO sieht in der Tat hohe mögliche Bußgelder vor – bis zu 20 Millionen Euro oder bei Unternehmen bis zu 4% des Weltjahresumsatzes. Die Betonung ist aber hier auf „mögliche  Bußgelder“. Wie unter 2. Schon geschrieben: Falls man überhaupt ins Visier der Behörden geraten sollte, müssen deren Maßnahmen immer verhältnismäßig sein, und in der Regel machen sie bei „kleinen Fischen“, die einfach aus Unkenntnis gehandelt haben, Beratung statt Bestrafung. Artikel 83(2) gibt außerdem eine Liste von Kriterien für die Bußgelder, woraus klar wird, dass z.B. Wiederholungstäter, die mit Vorsatz und Gewinnerzielungsabsicht besonders viele Daten rechtswidrig verarbeiten, die hohen Strafen befürchten müssen – nicht aber der kleine Verein, der aus Unkenntnis gehandelt hat. Gegen den wird es in aller Regel bei einem Erstverstoß keine Strafe geben, sondern eine Ermahnung mit Hinweisen, wie das Problem abgestellt werden kann.

  1. Muss ich meinen Verein oder mein kleines oder mittleres Unternehmen (KMU) jetzt schließen, weil ich einen teuren Datenschutzbeauftragten bestellen muss, den ich mir nicht leisten kann?

Nein. Einen Datenschutzbeauftragten muss man nur bestellen, wenn mindestens zehn Mitarbeiter*innen (nicht Ehrenamtliche) als Kerntätigkeit, also quasi in Vollzeit, persönliche Daten verarbeiten. Das wäre etwa der Fall bei einem Lohnsteuerverein mit 20 Beschäftigten, nicht aber bei einem Sportverein, der ein paar Leute im Büro hat und darüber hinaus Trainer und Platzwarte bezahlt. Aber natürlich macht es auch im Verein oder kleinen Betrieb Sinn, dass nicht alle Mitarbeiter*innen oder Ehrenamtliche auf die Kunden- oder Mitgliederdaten zugreifen können. [Update v2: Genau genommen gibt es noch andere Umstände, unter denen ein Datenschutzbeauftragter Pflicht ist, z.B. wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden. Solche Unternehmen sind aber in der Regel mit dem Datenschutz schon bisher sehr vertraut gewesen und stellen jetzt nicht diese Fragen. Der Datenschutzbeauftragte muss aber ohnehin nicht Vollzeit beschäftigt sein und kann auch ein externer Dienstleister sein, der z.B. wenige Stunden pro Monat abrechnet. Es hängt halt vom der Art und dem Umfang der Datenverarbeitung ab. ] Aber spezielle Pflichten wie die Führung eines Verfahrensverzeichnisses etc. gelten erst ab 250 Mitarbeitern oder bei besonders sensiblen Daten (z.B. bei der AIDS-Hilfe oder einer Arztpraxis wäre das durchaus angebracht) [Update v2: Oder wenn die Verarbeitung häufig („nicht nur gelegentlich“) stattfindet oder „ein Risiko für die Rechte und Freiheiten der betroffenen Personen“ darstellt.]

Gute Hinweise für KMUs und Vereine gibt es zum Beispiel auf der Webseite der Bayerischen Landesdatenschutzbehörde. Für Sportvereine gibt es weitere Hinweise hier.

Generell hat die DSGVO den „risiko-basierten Ansatz“ eingeführt, der klarstellt, dass sich der Aufwand für den Datenschutz im Verhältnis zum bestehenden Risiko der Datenverarbeitung für die Betroffenen bewegen muss. Wer also viele und auch noch sensible Daten verarbeitet, hat natürlich höhere Pflichten etwa bei der IT-Sicherheit oder den Zugangskontrollen als der Bäcker um die Ecke, der nur auf einem iPad notiert, wer für nächsten Samstag wie viele Brötchen bestellt hat. Eine gute Handreichung zur Abschätzung des Risikos gibt es z.B. auf der Webseite der Bayerischen Datenschutzbehörde. [Update v2: Diese Handreichungen (wie auch die im vorigen Absatz erwähnte) wurden von den Datenschutzbehörden gemeinsam erstellt und sind auch anderswo verfügbar.]

  1. Muss ich für meinen Newsletter jetzt von allen Abonnent*innen eine neue Einwilligung einholen?

Das kommt drauf an. Wenn die Leute den Newsletter aktiv abonniert haben, ist das nicht nötig. Auch wenn ich die Adressen anderswo, z.B. auf Veranstaltungen, gesammelt habe, kann ein Newsletterversand mit meinem „berechtigten Interesse“ als Datenverarbeiter begründet werden, sofern ich nicht wahllos Leute zu-spamme. Bei Vereinen ist der Newsletter in der Regel Teil der Mitgliedschafts-Dienstleistungen und damit zur Erfüllung eines Vertrages nötig und erlaubt. Wichtiger ist, dass im Newsletter auf eine einfache Möglichkeit hingewiesen wird, ihn abzubestellen. Und in diesen Fällen sollten auch die Daten dann wirklich gelöscht werden, sofern sie nicht noch für andere Zwecke (etwa Mitgliederverwaltung) benötigt werden.

  1. Darf ich jetzt keine Fotos mehr machen oder veröffentlichen, ohne die Einwilligung der abgebildeten Personen zu haben?

Vielfach besteht die Angst, dass digitale Fotografien persönliche Daten sind und nur noch mit der Einwilligung aller abgebildeten Personen möglich sind. Fotos und auch deren Veröffentlichung – genau wie Äußerungen über andere Personen – fallen aber unter die Kunst- Presse- oder Meinungsfreiheit. Hier sieht die DSGVO in Artikel 85 vor, dass die EU-Mitgliedstaaten diese Grundrechte mit dem Datenschutz in Einklang bringen sollen, weil es hier vielfach noch unterschiedliche Rechtstraditionen gibt und die EU auch nicht wirklich für Regeln zur Meinungsfreiheit zuständig ist.

Durch die Paragraphen 22 und 23 des Kunsturhebergesetzes (KUG) hat der bundesdeutsche Gesetzgeber bereits seit Jahren (jedenfalls was Fotografie betrifft) seine Pflicht aus Artikel 85 der Datenschutz-Grundverordnung erfüllt. Es bedarf dazu keiner expliziten Referenzierung der DSGVO. Es gab ja bisher auch schon ein deutsches und europäisches Datenschutzrecht, und das KUG  hat auch keine expliziten Vorränge oder Ausnahmen ggü. dem Bundesdatenschutzgesetz gehabt. Es galt aber dennoch. So sieht das auch das zuständige Bundesinnenministerium. Eine etwas andere Lesart haben manche Datenschutzbehörden (z.B. die Hamburgische), die aber über eine Auslegung der DSGVO zum selben Ergebnis kommen: Bei Aufnahmen von Menschenmengen (z.B. auf Demonstrationen oder Sportereignissen) muss man weder alle Personen auf dem Bild vorher fragen, noch sie über irgendwelche Datenschutzrechte informieren. Hier auch ein lesenswerter Blogpost eines Fachanwaltes.

Warum es sogar bei Veranstaltungen mit bekannten (z.B. angemeldeten) Teilnehmer*innen ebenfalls nicht sinnvoll und nötig ist, für Fotos eine Einwilligung zu holen, wird hier erklärt.

  1. Was ist mit journalistischen Beiträgen oder Meinungsäußerungen?

Für die Presse ist der Ausgleich zwischen Datenschutz und Pressefreiheit nach Artikel 85 DSGVO im Staatsvertrag für Rundfunk und Telemedien (kurz Rundfunkstaatsvertrag) bereits geregelt. Diese werden derzeit an die DSGVO angepasst. Hier gilt fast immer: Wenn die Datenverarbeitung zu journalistischen Zwecken stattfindet, muss man sich an so gut wie keine Regeln – außer zur Datensicherheit – halten. In der DSGVO ist darüber hinaus klargestellt worden, dass im Zweifel auch Blogger und andere von diesem journalistischen Privileg geschützt sind: „Um der Bedeutung des Rechts auf freie Meinungsäußerung in einer demokratischen Gesellschaft Rechnung zu tragen, müssen Begriffe wie Journalismus, die sich auf diese Freiheit beziehen, weit ausgelegt werden.“ (Erwägungsgrund 153)

 

Häufig verbreitete Mythen

Anhand des Beitrages von Sascha Lobo auf Spiegel Online wollen wir beispielhaft nun die verbreitetsten Mythen und Missverständnisse angehen. Dazu werden wir ihn recht ausführlich zitieren. [Update v2: Sascha hat in den Kommentaren ausführlich geantwortet.]

Rückblick auf „ein herausragendes Jahr für den Datenschutz“. So feierte der europäische Datenschutzbeauftragte 2009, dass endlich zwei der wichtigsten Leitlinien des Datenschutzes, der „Einwilligung“ und der „Transparenz“, genüge getan werde. Gemeint war ein Teil der EU-Richtlinie 2009/136/EG, bekannt als „Cookie-Richtlinie„. Die heutige Konsequenz davon ist die Abfrage auf vielen Websites, ob man mit der Cookie-Speicherung einverstanden sei. Darauf folgen meist zwei oder drei von vier verschiedenen Reaktionsmöglichkeiten: Ja. Nein. Pop-up schließen. Nähere Informationen.

Im Alltag wirken die ersten drei Möglichkeiten auf Nutzer exakt gleich: Man klickt drauf, das Pop-up verschwindet, sonst gibt es keine Konsequenzen. Die konträren Wahlmöglichkeiten Ja und Nein erscheinen in ihrer Wirkung identisch, wie bei einem kaputten Lichtschalter.

Es gibt aber Konsequenzen – das ist doch genau der Punkt. Wer nicht „ok“ klickt, wird nicht per Cookies überwacht – so jedenfalls die Rechtslage. Und dass man in Deutschland oft nur auf „ok“ klicken konnte ohne die Möglichkeit, „nein“ zu sagen, lag daran, dass die Bundesregierung das Telemediengesetz nie an die e-Privacy-Richtlinie von 2009 angepasst hat. Dass sowas natürlich Frust erzeugt, ist klar, aber gerade nicht Schuld des EU-Gesetzgebers oder jetzt der DSGVO.

Man könnte weitere Absurditäten nennen. Etwa dass der britische Datenschutzbeauftragte 2013 aufhörte, sich danach zu richten.

Ja, auch die irische und die luxemburgische Datenschutzbehörde waren in den letzten Jahren bekannt dafür, notorisch lax zu sein und Datenschutzverstöße nicht ernsthaft zu verfolgen. Das Verfahren von Max Schrems vor dem Europäischen Gerichtshof, das zum Ende der „Safe-Harbour“-Vereinbarung mit den USA führte, war ja keine Klage gegen Facebook Irland, sondern gegen die irische Datenschutzbehörde wegen Untätigkeit. Genau aus diesem Grund gibt es in der DSGVO jetzt einen Konsistenzmechanismus, der sicherstellt, dass nicht einzelne Länder als Schlupflöcher für Datenschutzverletzungen genutzt werden können. Im Konfliktfall könne sie sogar mehrheitlich überstimmt werden und müssen sich an die Beschlüsse des neuen EU-Datenschutzausschusses halten.

Auch die Verengung auf Facebook und Google zeigt die Dysfunktionalität der deutschen Datenschutzdebatte. Die Schufa hat konkret viel mehr Einfluss auf das Leben als Internetwerbung, Facebook kann nicht verhindern, dass man eine Wohnung bekommt oder einen Handyvertrag. Das Datengebaren vieler Verlage ist ähnlich problematisch und wird in den Presseorganen eben dieser Verlage selten thematisiert.

Die DSGVO ist nicht auf Facebook und Google verengt, und im Laufe des Gesetzgebungsprozesses war sie es auch nie. Wir haben mit Betroffenen aus allen Bereichen der Wirtschaft und Verbraucher*innen und Datenschutzaktivist*innen aus allen Teilen Europas geredet. Gerade zur Schufa gibt es z.B. den Artikel 22 zu Profiling. Wir haben jetzt „das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt“, und wir können eine menschliche Intervention verlangen und die Entscheidung anfechten.

Datenschutztheorie und digitale Praxis haben sich lange auseinanderentwickelt. Diesen Umstand berücksichtigt die DSGVO, aber auf unangenehme Weise. Die meisten DSGVO-Regeln galten schon lange, es hat sich bloß niemand drum gekümmert. Jetzt bekommt Datenschutz Zähne aus Geld, also Geldstrafen. Dadurch setzt sich in der Öffentlichkeit der Eindruck fest: Hohe Strafen drohen für bisher toleriertes Verhalten.

Alle Umfragen zum Datenschutz der letzten Jahre zeigen, dass die Bürger*innen das Verhalten – vor allem, sie ohne zu fragen im ganzen Netz zu überwachen und die Daten an unbekannte und zwielichtige Dritte weiterzugeben – eben nicht mehr tolerieren wollen. Was wäre denn die Alternative? Datenschutz ganz abschaffen? Das kann es ja wohl nicht sein.

Der Datenschutz bricht – zuvor folgenlos onkelig mahnend – massiv in den digitalen Alltag ein. Auch bei gewöhnlichen, digital aktiven Bürgern.

Bei gewöhnlichen, digital aktiven Bürgern gilt der Datenschutz nur, wenn es keine private Tätigkeit ist. Und ja, wer gewerblich bloggt oder andere Dienste anbietet, muss sich an die Regeln halten. Das war aber vorher auch schon so, und es ist gut, dass jetzt an vielen Orten ein Datenschutz-Frühjahrsputz stattfindet und auch kleine Unternehmen, Vereine oder Blogger sich endlich mal Gedanken machen, welche Daten sie eigentlich erheben, warum, und ob das wirklich so nötig ist. Und ob es den Betroffenen gegenüber fair ist. Datenschutz ist eben auch ein Gebot der Höflichkeit: Bevor ich jemanden in eine Datenbank kippe oder überwache, sollte ich vielleicht mal vorher fragen. Die Datenschutzbehörden haben aber schon deutlich gemacht, dass sie nicht vorhaben, jetzt sofort bei den kleinen Bloggern die Türen einzutreten und hohe Bußgelder zu verhängen. Dafür haben sie nicht die Mittel und auch nicht das Interesse.

Abmahnanwälte werden Verstöße massenhaft kostenpflichtig abmahnen, das Muster ist bekannt, das haben die DSGVO-Schöpfer zu wenig bedacht. Deshalb werden große Mengen digitaler Nebenbei-Projekte aus Furcht abgeschaltet werden: Archive, halbprivate Fachforen, historisch interessante Websites.

Wenn das so wäre, hätten die Abmahnanwälte bisher auch Datenschutzverstöße durch kleine Blogs ausnutzen können. Das war aber nicht der Fall. Solche Prognosen ohne substanzielle Evidenz führen leider genau dazu, dass sich unnötige Panik verbreitet und als Reaktion die Leute ihre Projekte abschalten.

Oder wie Enno Park schreibt:

Panikmache betreiben nicht diejenigen, die angesichts der DSGVO ihr Blog schließen. Sie haben schlicht keine Zeit, sich mit den Details der DSGVO auseinander zu setzen, weil sie wegen Berufstätigkeit, Kindererziehung und sozialem Engagement besseres zu tun haben. Deren Blogs verschwinden einfach.

Sie sind dann leider Opfer einer Panik, die auch solche „Rants“, wie Enno Park seinen Text selber bezeichnet, verbreiten und damit Teil des Problems sind.

Weiter bei Sascha Lobo:

Die halbprivate Seite wird riskanter als die Nutzung einer Plattform, das ist keine gute Nachricht für das freie Web. Es stärkt die großen Plattformen. (…) Google und Facebook haben schon alle denkbaren Daten, und durch ihre Marktmacht fällt es ihnen leichter als kleinen Konkurrenten, Zustimmung einzuholen. „Hier klicken, sonst können Sie Google nicht weiterverwenden “ – das ist fast eine Drohung.

Gerade die großen Plattformen wir Google, Youtube, Facebook und Co. werden sich ordentlich umstellen müssen, denn ihr Geschäftsmodell basiert weitgehend auf Werbung, die auch auf Überwachung der Nutzer und Besucher basiert, und eben keine Wahl lässt. Mit dem Koppelungsverbot der DSGVO (Artikel 7(4)) ist klar, dass eine Einwilligung in die eigene Vollüberwachung eben nicht mehr zur Bedingung dafür gemacht werden kann, die Plattformen zu nutzen. Die „angepassten“ Datenschutzerklärungen von Facebook und Google, die seit einiger Zeit angezeigt werden, sind jedenfalls offensichtlich DSGVO-widrig. Der Mythos, man bräuchte nur eine teure Rechtsabteilung, um davon zu kommen, wird sich schnell legen, wenn hier die ersten großen Verfahren laufen und klar wird: Es geht ans Eingemachte, also ans Geschäftsmodell.

Zum Börsengang des Netzwerks 2012 warnte Weichert etwa, das Geschäftsmodell von Facebook breche zusammen, wenn sich der europäische Datenschutz durchsetze. Wenn diese Einschätzung gestimmt haben sollte, dann hat sich der europäische Datenschutz mit der DSGVO nicht durchgesetzt.

Das ist eine etwas sportliche These zu einem Zeitpunkt, wo die DSGVO noch nicht einmal gilt.

Meiner Ansicht nach wird der Übergriffigkeit der Digitalkonzerne ein Paternalismus der Datenschützer entgegengesetzt. Das ist mein grundsätzliches Problem: Ein Kampf tobt darum, wer mir geilere Vorschriften machen darf.

Die Idee der informierten Einwilligung als Kern des Datenschutzes ist genau kein Paternalismus. Nur wenn ich diese Möglichkeit überhaupt habe, mich also frei zu entscheiden, ob meine Daten erhoben werden dürfen (über den technisch notwendigen Umfang zur Bereitstellung eines Dienstes natürlich – Amazon und die Post brauchen meine Adresse, um mir Päckchen zu schicken) oder eben nicht, ist die informationelle Selbstbestimmung überhaupt möglich. Wenn ich mich überwachen lassen will, ist das völlig in Ordnung, und kein Datenschutzbeauftragter dieser Welt wird  dagegen vorgehen können oder wollen. Aber wer das nicht will, und das sind eben große Teile der Bevölkerung, muss die Wahlmöglichkeit bekommen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

  1. aus meiner Sicht ist das Problem der DSGVO zum einen, dass es so viele andere Geschäftsbereiche trifft die wenig mit Konsumentendaten oder deren Missbrauch zu tun haben, z.B. Outsourcing von IT oder Remote-Support (man sieht Logfiles) und das erzeugt ein Aufwand wo es eigentlich gar nicht um Sensible Daten im Sinne der ursprünglichen Gesetztesintention geht.

    Das zweite noch viel schlimmere Hauptproblem ist, dass sämtliche datengetriebenen Geschäftsmodelle in der Debatte als böse und schlecht dargestellt werden. D.h. dass Detenorientiertes, digitales Unternehmertum eher in den USA funktioniert und die Firmen dort so groß werden, bis sie sich hier eine gesetzteskonforme Arbeitsweise leisten können.
    Wir bleiben im Internetzeitalter zurück.

  2. Hallo Jan!

    Kannst Du das etwas ausführen? „…aber spezielle Pflichten wie die Führung eines Verfahrensverzeichnisses etc. gelten erst ab 250 Mitarbeitern…“

    Du hast mal wieder, wie leider viele, nur einen Teil der Regelung aufgegriffen, vermutlich, um die Leute zu beruhigen.

    Vollständig heißt es in Art 30 DSGVO:

    „Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.“

    „…es sei denn … nicht nur gelegentlich…“

    In Bezug auf Einzelhändler/Onlinehändler heißt das doch, jede/r ist betroffen, wer ein Warenwirtschaftssystem nutzt, in dem Adressdaten verarbeitet werden, unabhängig von der Mitarbeiterzahl. Stimmt das?

    Solche Ausnahmen von der Ausnahme sind ein Teil der derzeitigen Panik, vor allem, wenn man sich eben nicht eine gut bezahlte Rechtsabteilung leisten kann. Auch wenn man sich seit einem Jahr gelegentlich und in den letzten Monaten intensiv mit dem Thema beschäftigt, wird der Irrgarten von Regelungen, Einschränkungen, Relativierungen und Ausnahmen nicht überschaubarer. Das hier war nur ein Beispiel von vielen :/

    1. Exakt, genauso sehen es alle, die 250 Mitarbeiter wurden mir mehrfach von Mitarbeitern der Aufsichtsbehörden als Relikt der Trilog-Verhandlungen dargestellt. Steht halt noch drin, ist aber völlig belanglos, denn auch Mitgliederverwaltung etc. ist regelmäßig. Mir wurde gut nachvollziehbar erklärt, dass der Pflicht zum VVT nur entgehen kann, wer eh nichts mehr drin stehen hätte. Die Regelung würde hoffentlich bei der Evaluation (2021?) herausgenommen.

      Ebenso kommt es nach meiner Meinung und auch nach den Handreichungen der Aufsicht weder auf ein Entgelt noch auf die Kerntätigkeit, schon gar nicht in Vollzeit an, wenn die zehn Personen bestimmt werden, die in Deutschland die Pflicht zur Bestellung eines DSB auslösen. Das wäre auch m.E. nicht nachvollziehbar, denn ein ehrenamtlicher Schatzmeister kann genauso viel „anrichten“ wie ein bezahlter Mitarbeiter, unter Umständen ist das Risiko sogar höher … für den Einschub (nicht Ehrenamtliche) sehe ich keine Grundlage (und hielte diese auch nicht für angebracht). Diese Hinweise führen leider zu noch mehr Verwirrung m.E.

    2. Ich finde das wirklich recht fahrlässig, solch eine Äusserung so stehen zu lassen
      …Die Ausnahme in Art. 30 Abs. 5 DSGVO gilt dann nur für gelegentliche Verfahren und es gibt deshalb für alle Grundfunktionen eines Unternehmens keine Änderung bei der Pflicht zur Verzeichnisführung.

    3. Wir haben das im Text ergänzt. Das Verfahrensverzeichnis gab es übrigens bisher auch schon, und nach dem alten BDSG musste es sogar öffentlich sein.

    4. @ralf: Da stehen immer noch die 250 Mitarbeiter „schützend“, die praktisch völlig belanglos sind. Es ist so, dass JEDER ein VVT zu führen hat und das ist ja auch nicht schlimm, verweist auf die Muster des BayLDA und gut ist. Aber tut nicht so, als könnte man dem entgehen. Es steht auch weiterhin da, dass z.B. Ehrenamtliche nicht für die Bemessung des DSB zählen würden, und dass es auf Vollzeit und Kerntätigkeit ankäme, was alles falsch ist.

  3. Lieber Herr Albrecht,
    1) Datenschutz und Privacy sind extrem wichtig
    2) das sollte sich aber auf zentrale personen-bezogene Daten beschränken (Name, Adresse, Geburtsdatum, Kontodaten, Gesundheitsdaten), sowie mit Einschränkungen EMail Adress und Telefon (da diese für digitale Kommunikation bedeutend sind)
    3) IP Adressen, sowie Trackingverhalten, sofern diese nicht mit einer IDENTIFIZIERBAREN Person verknüpft sind, sollten da nicht inkludiert sein.
    4) Wenn Facebook und Google neue Geschäftsmodelle benötigen, weil sie die Trackingdaten nicht mehr verwerten dürfen, können das wohl nur Bezahlmodelle oder der Rückzug aus dem europäischen Markt sein. Ob das im Interesse der europäischen Konsumenten ist?
    5) Meine Befürchtung: Gerade Google wird der große Gewinner sein, das offene Web in Europa vor die Hunde gehen.

  4. Hallo Jan,

    erst einmal tausend Dank für die wirklich überaus verständliche Wortwahl. Die meisten Texte zu diesem Thema liegen geradezu grotesk schwer im Magen …

    Auch ich betreibe ein Online-Magazin für Eltern und Familie. Wir sind natürlich – mitsamt anwaltlicher Hilfe – ebenfalls am Thema, und versuchen den vermeintlichen Dschungel zu verstehen, und ihm gerecht zu werden. Teilweise geht das ganz schön ins Budget, da viele Plugins (so kurz vor dem Zieldatum) bisher allenfalls nur Ankündigungen gemacht haben – aber noch keine sinnigen Updates folgten. Das verunsichert ungemein! 🙁

    Eine große Sorge, welche die meisten eher kleinen und mittelständigen Blogger und Magazine umtreibt, ist natürlich die mittelfristige Monetarisierung. Große Firmen werden es als Mischkalkulaion gut verkraften, wenn sie jetzt investieren müssen, um konform zu werden – und sich eine Weile gedulden müssen, bis sich auch die Online-Werbebranche an die neuem Begebenheiten herangetastet hat.

    Denn es scheint tatsächlich so zu sein, dass viele große Anbieter für Bannerwerbungen und Video-Ads selber nicht so genau wissen, was denn so auf sie zukommen wird. Man fürchtet um die Auslastung der Werbeflächen, wenn künftig ein aktives Opt-In für personalisierte Werbung gefordert ist. Da unsere Familie davon aktiv in den Kühlschrank lebt, bin ich zumindest (sagen wir einmal) etwas eingeschüchtert, wenn es um den 25. Mai geht.

    Dabei bin ich übrigens strikt für die DSGVO. Datenschutz ist ein unfassbar hohes Gut. Das liest sich auch in vielen mahnenden Texten (an Eltern) in unserem Magazin so. Die Sorge um mögliche Versäumnisse (oder Unbedachtheit) der Werbeindustrie gräbt sich allerdings trotzdem tief in vieler Menschen Magengruben …

    Mit ganz lieben Grüßen!
    Torsten

  5. Jan, ich freue mich, dass Du geantwortet hast. Und ebenso freue ich mich, dass anhand Deiner Antwort noch deutlicher wird, wo ein – nicht kleiner – Teil des Problems liegt.

    Du bist ein guter Verkäufer Deiner Politik – gegenüber Leuten, die mehr oder weniger Deine Haltung teilen. Du bist ein sehr schlechter Verkäufer Deiner Politik gegenüber Kritikern und auch gegenüber unsicheren oder eher skeptisch eingestellten Leuten.

    Woran mache ich das fest?

    Es beginnt damit, wie Du auf meinen nachdenklichen, ausgewogenen, zweifelnden Beitrag reagierst, der explizit mein Unbehagen trotz Kenntnis der Materie beschreibt. Du tust das unter der Überschrift „Mythen“. Mythos heißt etwa „Märchen“ auf altgriechisch, die heutige Bedeutung geht in eine ähnliche Richtung – aber die Essenz davon ist: Unwahrheit. Stimmt nicht. Ist sachlich nicht korrekt.

    Das ist eine Unverschämtheit, es entspricht der Behauptung, ich würde Fake News verbreiten. Das ist sogar eine Falschbehauptung, meine Fakten stimmen, ich interpretiere sie bloß anders als Du.

    Du tust das meiner Einschätzung nach nicht zwingend als Strategie, sondern aus einer Haltung heraus, die meiner Ansicht nach problematisch ist: nämlich die Ansicht, Deine Meinung sei richtig, alle anderen falsch. Dabei geht es eigentlich um Interpretationen, und auch Deine Einschätzungen sind genau das: Einschätzungen. Nicht endgültige Wahrheiten, die „häufig verbreiteten Mythen“ von allen anderen gegenüberstehen.

    Ich kenne mich in der Thematik gut aus, ich habe einen größeren Teil der politischen Volten verfolgt und ich bin tendenziell dem Datenschutz gegenüber positiv eingestellt. Wäre das nur ein Quäntchen weniger so – würdest Du mich mit Deiner Art, Deine Politik zu rechtfertigen, umgehend zum Gegner machen.

    Denn Du kämpfst hier den Kampf derjenigen, die sich im Besitz der einzigen Wahrheit wähnen, und das finde ich sehr problematisch. Ich hatte in den letzten Jahren mit einer größeren Zahl Datenschützer Kontakt, und er war selten angenehm, aus genau diesem Grund. Ich ahne, warum, wenn man den ganzen Tag zu tun hat mit höchst aggressiven Lobbyisten, darunter solche, wie ich schrieb, die ziemlich sicher verdeckt arbeiten – dann baut man Schutzwälle auf. Eine Hornhaut, gewissermaßen, die aber auch gegen sanfte Berührungen und sanfte Skepis unempfindlich macht.

    Ich möchte gern noch konkreter werden, was die Inhalte angeht.

    Mein Text:
    „Im Alltag wirken die ersten drei Möglichkeiten auf Nutzer exakt gleich: Man klickt drauf, das Pop-up verschwindet, sonst gibt es keine Konsequenzen.“
    Deine Antwort:
    „Es gibt aber Konsequenzen – das ist doch genau der Punkt.“

    Nein, ist es nicht. Du hast elegant mein Verb überlesen, nämlich „wirken“. Etwas wirkt auf das Publikum so, das ist etwas anderes als „etwas IST so“. Ich bin wirklich nicht der einzige, der diesen Punkt kritisiert hat, darunter auch Leute, die Dir sehr nahestehen. Die mangelnde Kommunikation des konkreten Sinns von Datenschutz gehört meiner Ansicht nach zu den Hauptgründen, warum sich immer mehr Leute abwenden.
    Du könnest das von mir als freundlichen Hinweis betrachten, dass Du Deine Kommunikation offener und weniger glühend von der eigenen, heiligen Sache überzeugt gestaltest. Aber ich habe gesehen, wie Du auf Twitter mit Skeptikern aller Art kommunizierst. So überzeugst Du nichteinmal jemanden, der Dir und Deiner Sache positiv gegenübersteht.

    Dein Text:
    „Wer nicht „ok“ klickt, wird nicht per Cookies überwacht“
    Cookies nur als „Überwachungsinstrument“ zu sehen, wird der Technologie schlicht nicht gerecht. Es zeugt aus meiner Sicht von einem problematischen Verständnis zentrale Funktionsweise der digitalen Sphäre (Identifikation per Cookie, Session-Abbildung per Cookie usw.) und zudem wirkt es als Verharmlosung der Überwachung, gegen die ich seit vielen Jahren kämpfe.

    Mein Text:
    „Auch die Verengung auf Facebook und Google zeigt die Dysfunktionalität der deutschen Datenschutzdebatte.“

    Deine Antwort:
    „Die DSGVO ist nicht auf Facebook und Google verengt, und im Laufe des Gesetzgebungsprozesses war sie es auch nie.“

    Das ist schon fast unredlich. Ich spreche von der „deutschen Datenschutzdebatte“, Du antwortest mit der DSGVO – dabei handelt mein ganzer Text ja eben davon, dass die DSGVO so große Auswirkungen hat auf diejenigen, die nicht Google und Facebook sind. Und die Debatte ist extrem verengt auf die großen Konzerne, nur so konnten sich ja die Unzulänglichkeiten im Detail überhaupt in die Gesetzgebung einschleichen.

    Dein Text:
    „Alle Umfragen zum Datenschutz der letzten Jahre zeigen, dass die Bürger*innen das Verhalten – vor allem, sie ohne zu fragen im ganzen Netz zu überwachen und die Daten an unbekannte und zwielichtige Dritte weiterzugeben – eben nicht mehr tolerieren wollen. Was wäre denn die Alternative? Datenschutz ganz abschaffen? Das kann es ja wohl nicht sein.“

    Es gibt unter Anwälten mehrere Tricks, wie man Situationen verbessern kann, die sehr ungünstig aussehen. Eine davon: Das Alles-oder-nichts-Spiel. Wenn man das nämlich einbringt, neigt das Publikum zur Polarisierung, sie möchten sich entscheiden für eine Seite. Ich sage also: „Datenschutztheorie und digitale Praxis haben sich lange auseinanderentwickelt“, was auch die meisten Experten so sehen dürften. Du antwortest: Alles oder nichts! Datenschutz ganz abschaffen! Das ist kein Argument in der Sache, sondern eine Totschlagantwort. Ihre Essenz ist: Es geht nur so, sonst geht alles kaputt. Da scheint wieder die problematische Überzeugung auf, dass Deine Deutung die einzige ist.

    Dein Text:
    „Bei gewöhnlichen, digital aktiven Bürgern gilt der Datenschutz nur, wenn es keine private Tätigkeit ist. Und ja, wer gewerblich bloggt oder andere Dienste anbietet, muss sich an die Regeln halten. Das war aber vorher auch schon so, und es ist gut, dass jetzt an vielen Orten ein Datenschutz-Frühjahrsputz stattfindet und auch kleine Unternehmen, Vereine oder Blogger sich endlich mal Gedanken machen, welche Daten sie eigentlich erheben, warum, und ob das wirklich so nötig ist.“

    Oh wow, was für eine Von-oben-Herab-Passage, die zeigt, dass Dich die Schwierigkeiten von kleinen Selbständigen wirklich nicht interessieren, warum auch immer. Du weißt so gut wie ich, dass eine „nicht-private“ Tätigkeit extrem schnell erreicht sein kann. Ein Buchempfehlungslink reicht, oder wenn man ein Blog führt, das zu einem im weiteren Sinn beruflichen Thema gehört. Dieses „die machen sich endlich mal Gedanken“, das ist so sagenhaft arschig, dass mir die Spucke wegbleibt. Als wäre das den Leuten vorher egal gewesen. Du verprellst hier sehr, sehr viele Menschen, die Dir vorher eher positiv gegenüberstanden, mich zum Beispiel.

    Und Du hast offensichtlich wenig Ahnung vom Alltag digitaler Selbständiger und Klein-Agenturen. Ich selbst werde ein halbes Dutzend Digitalprojekte abschalten, weil die Umrüstung zeit- und kostenaufwändig ist und die Honorare dafür schon vor vielen Jahren geflossen sind. Bisher waren das interessante Archive und Informationsquellen, bald gibt es sie nicht mehr, denn ein vorher kleines Risiko ist zu einem großen geworden.

    Das ignorierst Du alles, und schleuderst stattdessen den Leuten entgegen: Na denn beschäftigt Ihr Euch endlich mal damit! Du beschuldigst dann auch noch mich, unnötige Panik zu verbreiten, was wiederum eine Unverschämtheit ist, denn ich versuche in meinem Artikel ausgewogen zu formulieren und warne genau davor.

    Dein Text:
    „Gerade die großen Plattformen wir Google, Youtube, Facebook und Co. werden sich ordentlich umstellen müssen… Es geht ans Eingemachte, also ans Geschäftsmodell.“

    Es bestürzt mich etwas, dass Du offenbar nicht genau weisst, wie der Werbemarkt funktioniert und was genau die Vorteile der Plattformen sind. Ich komme aus dieser Sphäre, habe in der Werbung gearbeitet, habe einen Blogvermarkter gegründet und ein paar andere Sachen in dieser Hinsicht bearbeitet.

    Dein Gesetz wird zur Konzentration des Marktes führen und die Macht von Facebook und Google letztlich stärken. Die DSGVO geht den Plattformen nicht „ans Eingemachte“. Sie ändern ihr Geschäftsmodell dafür nicht, das wäre auch aus meiner Sicht eine Hybris, das erreichen zu wollen. Google und Facebook sind längst nicht nur ihrer Daten wegen Marktführer in der Werbung, sondern auch und vor allem wegen Plattform-Prinzipien. Dazu gehören Echtzeit-Märkte, dazu gehört die Rekombination von Daten, dazu gehört auch die Markengewissheit: Mache ich als Werbetreibender einen Fehler, wenn ich hier oder dort Werbung schalte? Da haben Google und Facebook sensationelle Vorteile, völlig unabhängig davon, ob sie jetzt noch bestimmte Detaildaten nutzen dürfen oder nicht.

    Mein Text:
    „Zum Börsengang des Netzwerks 2012 warnte Weichert etwa, das Geschäftsmodell von Facebook breche zusammen, wenn sich der europäische Datenschutz durchsetze. Wenn diese Einschätzung gestimmt haben sollte, dann hat sich der europäische Datenschutz mit der DSGVO nicht durchgesetzt.“

    Dein Text:
    „Das ist eine etwas sportliche These zu einem Zeitpunkt, wo die DSGVO noch nicht einmal gilt.“

    Die These ist ja von Thilo Weichert, ich beschreibe mögliche Ergebnisse im Konjunktiv und Du tust auf sehr verbogene Weise so, als wäre es meine persönliche Meinung, dass Facebook ein Rekordjahr hingelegt hat (der Satz danach, den Du ausgelassen hast beim Zitat). Die Dominanz von Google und Facebook wird durch die DSGVO in keiner Sekunde geändert.

    Dein Text:
    „Die Idee der informierten Einwilligung als Kern des Datenschutzes ist genau kein Paternalismus.“

    Es ist schon klar, dass Du das nicht als Paternalismus betrachten willst, es geht ja von Dir aus. Ich sehe das aber so, und ich begründe es auch. Deine Gegenargumente, WARUM das kein Paternalismus sei, sind keine Argumente, sondern wiederholen einfach die Definition von „informierte Einwilligung“. Das ist ein Instrument, aber ich glaube, Du hast Dich in diesem Kampf völlig verbissen. Einwilligung insgesamt ist nicht das magische Mittel, mit dem alles gut wird – weil die unterschiedlichen Marktteilnehmer völlig unterschiedlichen Druck aufbauen können.

    Diesen Teil meiner Kolumne hast Du einfach ignoriert. So wie Du große Teile der Kritik entweder ignorierst oder konterst mit „Panikmache“ oder implizit sagst „habt Euch nicht so“. Das ist – wie die Beschuldigung ich würde Mythen verbreiten – nicht nur eine Unverschämtheit, sondern extrem kontraproduktiv für Deine eigene Sache. Du schadest Dir mit solchen Argumentationen, und zwar hauptsächlich bei Leuten, die nicht ohnehin schon auf Deiner Seite sind.

    Dein Text:
    „Wenn ich mich überwachen lassen will, ist das völlig in Ordnung, und kein Datenschutzbeauftragter dieser Welt wird dagegen vorgehen können oder wollen.“

    Und so erklärt sich auch der Abschluss des Textes, der mit der Mythen-Unverschämtheit beginnt: Du kennst offenbar nur noch „Überwachung“ und „Nicht-Überwachung“. Du hast Dir, so meine Interpretation, in den Jahren des Kampfes gegen die ruppigen, mächtigen, manchmal arschlochhaften Digitalkonzerne etwas aufzwingen lassen: Schwarz-Weiss-Denken. Wir Guten gegen die Bösen. Du schaffst es nicht, Grauwerte zu akzeptieren, aber sie sind gerade in der Digitalen Gesellschaft eher die Regel als die Ausnahme. Ich habe bei keiner einzigen der vielen Kritiken – darunter welche von absoluten Experten, die außerhalb jeden Verdachts der Gekauftheit stehen – gesehen, dass Du auch nur Nachdenklichkeit gezeigt hättest. Geschweige denn, dass Du einen Fehler zugegeben hättest. Zeig mir gern per Link, wo es anders gewesen sein mag. Aber einen guten Teil Deiner Kommunikation – die zur Politik gehört wie Gesetze selbst – habe ich beobachtet und analysiert, meist sogar aus einer wohlwollenden Perspektive. Aber wer so kommuniziert – so wie hier in Deinem Artikel, dessen Tenor ist: Stimmt ja alles gar nicht! – der könnte mir auch Gold schenken, ich würde es nicht haben wollen.

    Und abschließend das einleitende Zitat von Dir, bezogen auf mich und Enno Park:
    „Beide Autoren schätzen wir ansonsten eigentlich sehr.“

    Holla. Ob Du Autoren schätzt, hängt davon ab, wie nah sie an Deiner Meinung entlang schreiben? Das ist krasses groupthink und damit das Gegenteil einer politischen Debatte.

    1. Ich möchte mich hier nur kurz der Kritik an der Oben-Herab-Aussage anschließen …

      … denn diese völlige Ignoranz gegenüber der Tatsache, wie schnell man vor dem Gesetz als „gewerblicher Blogger“ gilt, gepaart mit dieser sagenhaften Unverschämtheit dann auch noch etwas von „endlich mal Gedanken machen“ zu schreiben, ist so dermaßen aus dem Elfenbeinturm heraus, dass mir einfach die Spucke wegbleibt.

      Nur um das mal ins Verhältnis zu stellen: ich bin einer dieser Blogger und habe auf meinem Blogs ein paar Affliate-Links (Buchempfehlungen) sowie ein paar AdSense-Banner. Nun ist es so: jeden Monat zahle ich ein paar Euro für das Hosting der Website und ich investiere regelmäßig ein paar Stunden meiner Freizeit in den Content. Auch die Blogpflege selbst kostet Zeit. Einen müden Euro erhalten habe ich über diese Werbemaßnahmen nach anderthalb Jahren Blogbetrieb nicht. Das ist auch okay so: schließlich ist es ein Hobbyprojekt und ich mach es ja letztlich gern. Aber … ich bin jetzt einer dieser bösen, bösen Blogger die sich endlich mal mit Datenschutz auseinander zu setzen haben? Echt jetzt?

      Was verstehst du denn darunter? Ist es über Datenschutz nachdenken, dass ich mich für Piwik statt für Google Analytics entschieden habe? Oder dass ich die Seite über SSL anbiete? Dass ich regelmäßig Updates einspiele? Oder vielleicht, dass ich einen Hoster benutze, der standardmäßig seine Logfiles so speichert, dass keine Personenzugehörigkeit erkennbar ist?

      Oder bin ich nur der böse, böse Blogger weil ich bisher keinen dieser albernen Cookie-Hinweise eingebaut habe und mich erdreiste Social Share Links einzubauen und hin und wieder Tweets oder Youtube-Videos in meinen Artikeln embedde?

    2. Lieber Sascha,

      danke für Deinen Kommentar. Ich finde viele Deiner Kritikpunkte zu unserern Ausführungen sehr nachvollziehbar und gebe auch gerne zu, dass wir Dich offenbar hier und da falsch verstanden haben. Uns war daran gelegen, aus einer anderen Warte die aktuellen Ausführungen zur DSGVO in der deutschen Debatte zu bewerten. Und darunter befinden sich tatsächlich auch viele Fehlinformationen und Mythen. Das heißt aber nicht, dass wir Dir vorwerfen wollen, diese verbreiten zu wollen und auch nicht, dass wir in Anspruch nehmen, immer nur richtiges zu sagen. Auch uns unterlaufen Fehler – auch im obrigen Artikel, wie hier in den Kommentaren mit Blick auf die Mitarbeitergrenzen und die Frage der Ehrenamtlichkeit derer Tätigkeit dankenswerter Weise klargestellt wird.

      Daran siehst Du auch, dass es mir fern liegt, Kritik an der DSGVO und erst recht an mir selbst nicht annehmen oder als Unsinn verwerfen zu wollen. Ich habe sehr wohl verstanden, dass Du die Art und Weise unserer bzw. meiner Kommunikation nicht besonders hilfreich findest und ich bin sogar sehr dankbar dafür, dass Du dies so offen mitteilst. Ich werde versuchen, dies umgehend zu ändern und besonders darauf zu achten. Sicherlich hast Du wohl recht, dass die harten Auseinandersetzungen, die wir im harten Gesetzgebungsprozess zur DSGVO über Jahre geführt haben, die eigene Kommunikation sehr geprägt hat.

      Dass wir Deine Ausführungen zur deutschen Datenschutzdebatte mit der EU-weiten zur DSGVO zusammen geworden haben, tut mir leid. Ohnehin hatten wir nicht vor, Deinen Beitrag nun besonders zu kritisieren – im Gegenteil haben wir ihn eben sehr ernst genommen und wollten auf Grund der breiten Wahrnehmung, die Du mit Deinen Texten hast, gerne auf die Punkte eingehen, wo wir die Debatte derzeit etwas anders sehen. Das ist eben gerade die Wertschätzung einer anderen Meinung und Beleg dafür, dass wir Dich auch dann schätzen, wenn Du uns so offen widersprichst.

      Natürlich ist die DSGVO nicht perfekt. Das habe auch ich nie behauptet. Im Gegenteil, ich habe für viele Änderungen gestritten, die am Ende nicht Teil des Gesetzes geworden sind. Und viele Deiner Kritikpunkte und auch von anderen, die sich Aufregen und Sorge haben, kann ich sehr gut nachfühlen. Das liegt auch daran, weil ich weiß, wie viel davon schon unter der jetzt geltenden Rechtslage beim Datenschutz ein Problem ist. Die DSGVO ändert an vielen geäußerten Problemen des Datenschutz nichts. In manchen ist es uns gelungen, zumindest erste Wege einzuschlagen (Privacy by Design, Transparenzpflichten, Risiko-Orientierung bei den Pflichten, Vereinfachte Kommunikation zwischen Datenverarbeiter und Betroffenen, etwa durch technische Standards). Aber das ist sicher nicht perfekt. Trotzdem ist die DSGVO im Vergleich zur jetzigen Rechtslage ein absolut wichtiger Schritt für die bessere Durchsetzung des Datenschutzes im digitalen Markt.

      Und da gebe ich Dir an einem Punkt eben nicht recht: Die DSGVO wird die Durchsetzungsfähigkeit des Rechts gegenüber den großen Playern im Digitalmarkt massiv verbessern. Sowohl die Aufsichtsbehörden, als auch die Verbrauchervertretungen haben nun deutlich bessere Möglichkeiten zur Durchsetzung. Und das wird sich auch zeigen (und zeigt sich m.E. jetzt schon). Was hingegen nicht eintreten wird, ist dass nun aus irgendwelchen Gründen heraus die Aufsichtsbehörden und irgendwelche Abmahnanwälte plötzlich eine ganz andere Gangart gegenüber all den kleinen Unternehmen, Einzelunternehmern, Vereinen und Bloggern einlegen werden. Dazu gibt es keinen Anlass: Denn das Recht gilt in nahezu selbem Umfang auch schon heute und die Möglichkeiten für Aufsichtsbehörden und Abmahnanwälte auch, dennoch wird da niemand gegängelt. Und ist für beide auch nicht einfach so möglich.

      Ich würde mich freuen, über all das weiter zu diskutieren und gemeinsam auch nach Lösungen für die Probleme und Sorgen derer zu suchen, die sich von den Gesetzen zum Datenschutz – und auch von der DSGVO – überfordert oder unfair behandelt fühlen. Kein Gesetz ist ein Selbstzweck und kein Gesetzgeber perfekt. Es ist aber auch wichtig zu erkennen: Die DSGVO wurde von allen im Bundestag vertretenen Parteien sowohl im Europäischen Parlament als auch im Ministerrat über die Bundesregierung beschlossen. Ein Teil des Problems der mangelnden Kommunikation und Information mag auch sein, dass ich hier derzeit einer der ganz wenigen Politiker bin, der auch bei der Vermittlung einer Zumutung (die ich trotz des wohl passenden Begriffes für richtig und notwendig halte) weiterhin offen und ehrlich in diese Auseinandersetzung geht.

  6. Hallo Jan, hier kommt sehr viel persönliche Einschätzung von Dir rein, die ich gerne teilen würde. Jedoch wäre es unverantwortlich, dies zu tun. Darauf verlassen, dass Behörden beraten statt bestrafen, Abmahnanwälte keine Lust haben und Richter milde urteilen werden, sollte man sich erfahrungsgemäß nicht, wenn die unternehmerische oder persönliche wirtschaftliche Existenz gefährdet ist. Auch machst Du es Dir zu einfach, privat und professionell voneinander zu trennen. Unzählige Webprojekt sind irgendwo dazwischen einzuordnen. Obendrein stimmt es de facto nicht, dass sich kaum etwas ändert. Das Gegenteil ist der Fall (sehr lesenswert etwa: https://www.cr-online.de/blog/2018/05/16/ds-gvo-es-aendert-sich-doch-gar-nicht-so-viel/). Die DSGVO ist ein Papiermonster mit all ihren Dokumentationspflichten. Das sind nur drei Punkte. Dass Du all das hier einfach verschweigst, finde ich, ehrlich gesagt, nicht in Ordnung und gibt Deinem Artikel einen politischen Spin. Es ist ja nicht so, dass Du nicht informiert wärest über die unzähligen Details, die es fortan auszuführen, umzusetzen und zu beachten gilt. Und genau diese sind es doch, die Freiberufler und kleine Unternehmen in die Knie zwingen. Die Risiken, die entstehen, vielleicht auch schon mit dem BDSG bestehen, herunterzureden, halte ich für gefährlich. Und die Panik, die zur Zeit (sicher auch künstlich, da gebe ich Dir recht) im Vorfeld ensteht, wird nichts sein im Vergleich zur Panik, die noch aufkommen wird, wenn die ersten Betroffenen bei kleinen Website-Betreibern ihre Rechte geltend machen werden. Viele Grüße, Thorsten

  7. > Es gibt aber Konsequenzen – das ist doch genau der Punkt. Wer nicht „ok“ klickt, wird nicht per Cookies überwacht – so jedenfalls die Rechtslage. Und dass man in Deutschland oft nur auf „ok“ klicken konnte ohne die Möglichkeit, „nein“ zu sagen, lag daran, dass die Bundesregierung das Telemediengesetz nie an die e-Privacy-Richtlinie von 2009 angepasst hat.

    Ich halte nicht viel von dieser Cookie-Regelung.
    Es sollte Aufgabe des Browsers sein, Cookies zu blockieren bis eine Zustimmung erfolgt. So ähnlich wie es jetzt schon bei der Location-Abfrage funktioniert.
    Ansonsten müsste man jedes Plugin oder Modul in einem CMS darauf überprüfen ob es irgendwo einen Cookie setzt. Das würde einen immensen Mehraufwand für Betreiber kleiner Websites bedeuten.
    Und als Besucher kann man nie sicher sein, ob eine Website sich tatsächlich daran hält.

    Eine technische Umsetzung im Browser wäre für alle Beteiligten verlässlich und würde verhindern dass sich Leute unwissend in eine rechtliche Grauzone bewegen.

    1. Wir haben in der DSGVO verankert, dass ein Do-Not-Track-Signal als rechtswirksamer Widerspruch gilt, siehe Artikel 21(5). Die Pflicht für Browserhersteller, das auch anzubieten sowie datenschutzfreundliche Default-Einstellungen auszuliefern, ist die Position des Europäischen Parlaments in der laufenden Reform der e-Privacy-Richtlinie. Die steckt leider seit einer Weile im Ministerrat fest. Wäre schön, wenn sich die Bundesregierung hier mal für den Datenschutz einsetzen würde.

    2. @ralf Der Sinn einer Cookie-Sperre im Browser wäre ja dass man im Gegenzug die Webseitenbetreiber aus der Haftung entlassen könnte. Es ist besser einen Zaun um ein Grundstück zu errichten, als Leute zu bestrafen die versehentlich ein nicht eingezäuntes Grundstück betreten.
      Eine rechtliche Zone in der sich Menschen oder Unternehmen strafbar machen können, oder Angst haben sich möglicherweise strafbar machen zu können, geht immer zu Lasten derer die sich keine Rechtsberatung und umfangreiche Maßnahmen leisten können.
      Die Versicherung „Die Behörden sind bestimmt lieb zu dir“ würde ebenso gut als Argument für das Bayerische Polizeigesetz funktionieren.

  8. Es ist doch völlig unwichtig was einer der Befürworter des „Datenschutzes“ sagt. Am Ende muss es der einzelne ausbaden, wenn ihn die Abmahnvereine und Abmahnanwälte über den Tisch ziehen . Das ist so als wenn der Polizeipräsident sagt das PAG ist gut und hilft. Wenn trifft es wieder? Genau den kleinen der sich eben nicht dagegen wehren kann. Mag einer von Euch meine Rechnungen übernehmen? Zuerst die Rechnung der Kosten die eine DSGVO sichere Seite kostet und dann die Rechnung der Abmahnung? Das übernehmt ihr nämlich nicht und schwallt nur das alles ja nicht so schlimm ist. Doch ist es. Nur wollt ihr das immer Schönreden.

  9. tja, ich hatte mehrere Blogs, die halbprivat waren. Es ging um wichtige gesellschaftliche Themen. Es waren zwei bei Blogger und einer bei WordPress. Dann noch eine eigene Webseite für eine Beratungsstelle für Schwangere und Familien. Alles nicht kommerzialisiert – ist nicht so mein Stil.

    Ich hab mich wochenlang mit der DSGVO beschäftigt und am Ende die Blogs und die Webseite mit vielen wichtigen Informationen abgeschaltet. Die Pojekte gab es seit 2006 und 2009 und waren gut besuchte Plätze. Aber mir war das zu heikel. Da ich in den letzten Jahren mehrfach mit digitalen Betrügereien zu kämpfen hatte, obwohl ich mich wirklich als digital native sehe, mochte ich nicht mit den Seiten und meinem Impressum als leichtes Opfer da stehen. Ich hatte bis zum Ende gehofft die Blogportale oder der Gesetzgeber wird eine Lösung finden die deutsche Unart der Abmahnundustrie auszuschalten…. andere Länder haben da sehr einfache Strukturen, die es Abmahnanwälten unmöglich machen.

    Wenn Sie also sagen, dass die Vielfalt und die kleinen Schreiber im Internet nicht verschwinden: ich bin das lebende Gegenbeispiel.

    Ich hab alles abgeschaltet, weil ich mich nicht geschützt und ausgeliefert fühle durch die DSGVO an die Abmahnanwälte in Deutschland.

    1. Genau so ist es. Es sind nicht die Datenschützer, vor denen man Angst haben muss. Es ist die Abnahnindustrie, das nenne ich jetzt bewusst so, die es so nur in Deutschland gibt. Es gibt keinen Hinweis mit Pflicht auf Nachbesserung. Dafür gibt es Abmahnungen, die nicht nur Blogger sondern auch KMU dazu bringen können, ihr Business aufzugeben. Ist man mit seinem Unternehmen online, steht man immer mit einem Bein vor der Insolvenz. Den Großen passiert hingegen recht wenig. Die haben Rechtsabteilungen, die den Abmahnern viel zu viel Arbeit machen. Es ist mir schleierhaft, warum der Gesetzgeber gegen dieses Geschäftsmodell unternommen hat.

  10. Tja, was werde ich am 25. Mai machen? Die Blogs mache ich zu, weil ich die Datensicherheiten mangels Wissen technisch nicht kontrollieren kann und ich kein Geld für einen Dienstleister habe. Ich präsentiere mich also auf Xing und LinkedIn, ich poste (gerne mit Impressum) bei Instagram, Facebook, Twitter etc.

    Und damit sehen halt fb & Co., wer meine Inhalte liked, teilt etc. Und nicht mehr ich, der das mangels Manpower und Zeit sowieso nicht effizient nutzen kann.

    Da fällt mir ein, sind fb, Xing & Co. nicht die Datenkraken, die die Politik mit der DSGVO an die Kette legen wollte? Das hat wohl nicht geklappt, die bekommen jetzt Zulauf.

    Nebenbei wird auch der breiten Presse- und Meinungsfreiheit ein Bärendienst erwiesen, denn auch hier werden es nur die großen Publisher schaffen, die ganzen Vorgaben akkurat zu erfüllen. So stärkt man also eine der Säulen der Demokratie.

    Erst dachte ich ja, das mit der DSGVO bekommt ich mit einem eigenen WordPress und Plugins hin. Dann erinnerte ich mich, dass die ganzen Plugins nach einem Update (und das kann aus Sicherheitsgründen dringend und unverzichtbar sein) deaktiviert sein oder nicht mehr funktionieren können. Und irgendwelche händischen Codeänderungen könnten auch weg sein. Also war es das mit meinen Blogs, bis ein von Haus aus DSGVO-konformes CMS da ist. Vielen Dank!

  11. Der Beitrag, der eigentlich Mythen entzaubert sollte, führt neue Mythen ein. Bspw. den, dass Datenschützer verhältnismäßig agieren.

    Spätestens die letzte DSK hat doch klar gezeigt, dass man die aktuelle gesetzliche Regelung durch absurde Auslegung noch zu verschärfen versucht.

    Wenn man nicht möchte, dass sich kleine Unternehmen von hohen Strafen bedroht sehen, muss man genau das regeln. Erst das Gesetz verkacken und dann mit „wird schon gut gehen“-Beschwichtigungen versuchen, die eigenen Versäumnisse reinzuwaschen, ist einfach nur peinlich.

    Es ist nicht die reale Strafe, die Innovationen verhindert, sondern schon die Drohkulisse. Die DSGVO erzeugt ein Klima der Angst, nicht des Mutes.

    Eine digital ohnehin abgehängtes Deutschland schießt man damit weiter ins Abseits.

    —-

    Und ich stelle immer wieder fest, das die Vertreter der „it’s easy to comply“-Faktion selbst nicht konform sind. Warum wird hier bspw. bei der Abgabe des Kommentars die E-Mail-Adresse und der Name als Pflichtfeld erhoben? Datensparsam ist das nicht.

    Ähnlich absurd wie die EU, die ohne Einwilligung trackt. Und zwar mittels Twitter und Google Analytics ohne IP-Anonymisierung:

    https://twitter.com/baschdi/status/997064063598432257

  12. Ich habe eine Frage. In deinen FAQ oben empfiehlst du unter „Warum es sogar bei Veranstaltungen mit bekannten (z.B. angemeldeten) Teilnehmer*innen ebenfalls nicht sinnvoll und nötig ist, für Fotos eine Einwilligung zu holen, wird hier erklärt.“
    einen Beitrag, der für den Bereich (Event-)Fotografie empfiehlt, selbst wenn man es könnte besser keine Einwilligung einzuholen, weil die jederzeit widerruflich wäre und das zu massiven Problemen führen könnte, wenn etwa Broschüren mit den Fotos eingestampft werden müssten. Stattdessen ließe sich praktisch immer ein berechtigtes Interesse annehmen, welches das Fotografieren ohne Einverständniserklärung erlaube. Dann hätten die Betroffenen nur noch ein Widerspruchsrecht, wenn sie besondere Gründe vorweisen können. Wenn diese Auffassung zutrifft, wäre das dann nicht sogar ein Rückschritt, und wie passt das zu deiner Aussage
    „Die Idee der informierten Einwilligung als Kern des Datenschutzes ist genau kein Paternalismus. Nur wenn ich diese Möglichkeit überhaupt habe, mich also frei zu entscheiden, ob meine Daten erhoben werden dürfen … oder eben nicht, ist die informationelle Selbstbestimmung überhaupt möglich.“

  13. Ich finde es erschreckend, wie hier mehrfach auf Leute herabgeschaut und ihre Ängste nicht ernst genommen werden – gerade weil sie sich über Datenschutz Gedanken machen. Wer jetzt (informiert und selbstbestimmt) sein Blog oder Webprojekt beerdigt, ist „Opfer einer Panik“. Ist das jetzt der Diskurs in Datenschutzkreisen?

    „hätten die Abmahnanwälte bisher auch Datenschutzverstöße durch kleine Blogs ausnutzen können. Das war aber nicht der Fall.“
    Was für eine verdrehte Argumentation. Bisher waren Datenschutzverstöße nichts, bei denen irgendjemand „Millionenstrafen“ dachte. Dabei kennt heute vermutlich jeder im Netz aktive Mensch jemanden, der/die schon einmal abgemahnt wurde, ob zu Recht oder Unrecht. Das ist keine abstrakte Gefahr mehr, sondern real und ich verstehe alle, die hier nicht mal das allerkleinste Risiko eingehen wollen.

    „Die Datenschutzbehörden haben aber schon deutlich gemacht, dass sie nicht vorhaben, jetzt sofort bei den kleinen Bloggern die Türen einzutreten“
    Ich hatte auch nicht vor, jetzt sofort noch hier zu kommentieren, aber es kommt halt anders als geplant. So eine Absichtserklärung ist im Zweifelsfall doch die Pixel nicht wert, mit denen sie auf meinem Bildschirm erscheint. Again: Es ist absolut verständlich, dass Leute mit wenig Zeit und/oder wenig Geld auf Nummer Sicher gehen. Und das einzig wirklich Sichere ist aktuell leider Abschalten.

    „Der Mythos, man bräuchte nur eine teure Rechtsabteilung, um davon zu kommen, wird sich schnell legen, wenn hier die ersten großen Verfahren laufen“
    Das ist zunächst eine Aussage, die auch „kleinen“ Betroffenen Angst macht, statt zu beruhigen. Wer genauer hinguckt, sieht außerdem, dass bei Facebook und Co deutlich wird, dass es Arbeit ist, die DSGVO in ihrer aktuellen Form umzusetzen. Arbeit, für die man am Besten qualifizierte Jurist*innen einstellt und bezahlt. Kleine Vereine, lose Gruppen und Web-Nebenjobber*innen müssen diese Arbeit in ihrer Freizeit leisten und das meist ohne fachliche Vorbildung. Diesen Aspekt hat bereits Enno Park angebracht und er wurde in diesem Text einfach komplett ignoriert.

    Um zum Ende noch ein weiteres Fass aufzumachen: In Datenschutzkreisen gibt es eine ungute Tendenz, das Nutzen von Facebook etc unter „bequem“ zu verbuchen, statt es in Arbeit zu denken. Anzuerkennen, wie Facebook Arbeit kapitalisiert hat, die in der Öffentlichkeit oft übersehen wurde, weil sie von Sekretärinnen und Ehefrauen übernommen wurde. Selbst personenbezogene Daten werden nur als abstrakte Zahlen und Buchstaben wahrgenommen, dabei sind es zwischenmenschliche Kontakte. Sie zu aktualisieren bedeutet, sich um jemanden zu kümmern und emotionale Arbeit zu leisten.

    Wer das Dilemma der DSGVO weiterdenken möchte, sollte in die Kranken- und Altenpflege schauen, wo in den letzten Jahren die Dokumentationspflichten exponentiell gestiegen sind.

  14. Persönlich mache ich mir als Betreiber einer halbprivaten Website (zur Organisation einer Veranstaltung, an der auch fremde Leute teilnehmen, aber an der ich nichts verdiene) viel weniger Sorgen vor staatlichen Datenschutzbehörden – in die ich ein gewisses Grundvertrauen habe – als vor Abmahnanwälten. Eine Abmahngebühr zu bezahlen würde uns finanziell ruinieren; uns gegen sie juristisch zu wehren wäre vom zeitlichen Aufwand her nicht zu machen.

    Was für konkrete politische Maßnahmen stellst Du Dir vor, damit ich nicht Deine Hoffnung teilen muss, dass die Abmahnanwälte erstmal bei Größeren fischen gehen werden, sondern mich darauf verlassen kann, dass die DSGVO vom Staat durchgesetzt wird und nicht von privaten Profiteuren?

  15. Der Beauftragte für den Datenschutz des Landes Niedersachsen schreibt in seiner Checkliste für Sportvereine, dass auch Ehrenamtliche als „Angestellte“ gelten und daher ein Datenschutzneauftragter einzusetzen ist. Sie schreiben das glatte Gegenteil. Da fängt die Sch… doch schon an. (Sorry).
    Was stimmt denn nun?

  16. Bei der Einschätzung der Abmahnanwälte bin ich hier negativer eingestellt. Ja, das BDSG hat auch bereits einige Angriffspunkte bezüglich Abmahnung geboten. Das was offensichtlich war, wie der fehlende Code-Zusatz „AnonymizeIP“, wurde auch fleißig abgemahnt.

    Die Abmahnindustrie arbeitet hier nach dem Gesichtspunkt Effizienz. Was lässt sich schnell abmahnen und ist so offensichtlich, dass das Risiko eines Verlusts vor Gericht gering ist?
    Hier bietet die DSGVO ebenfalls offensichtliche Angriffspunkte wie „nicht innerhalb der ein Monatsfrist auf Auskunft“ geantwortet. Ich kann mir vorstellen, dass das bei Gelegenheitsbloggern gerne mal passieren würde. Oder halt die Datenschutzerklärung nicht angepasst oder Fehler die sich anhand des Quellcodes der Webseite belegen lassen (wie bei AnonymizeIP).

    Sascha Lobos Kommentar, stimme ich vor allem in dem Punkt zu, dass die Passage „dann schaut mal wo Daten erhoben werden“ wirklich von oben herab klingt. Eine Stellungnahme deinerseits zu seinem Kommentar würde mich interessieren.

  17. In Germany this is all irrelevant because the law can be one thing, an Abmahnung is never far away. People with limited resources (time/money) cannot afford to defend themselves against those.

    Thanks for increasing the surface area along which class justice can happen and for creating more work for lawyers. 👏🏼

  18. Ich hätte eine Verständnisfrage zum Thema „Wen betrifft die DSGVO?“ und das Verfahrensverzeichnis:

    IP-Adressen zählen als personenbezogene Daten und die Verarbeitung der IP-Adresse ist technisch zwingend notwendig, um Webseiten auszuliefern. Damit geschieht die Verarbeitung der IP-Adresse ebenfalls zwangsläufig regelmäßig und nicht nur gelegentlich. Demnach wären aber grundsätzlich ALLE Webseiten von der DSGVO betroffen und müssten auch ein Verfahrensverzeichnis anbieten, egal ob rein privat oder geschäftsmäßig, egal ob Familienblog oder Facebook.

    Ist das korrekt oder habe ich einen Denkfehler?

    Ich bin ein großer Befürworter des Datenschutzes, war dahingehend auch während meiner politisch aktiven Zeit tätig und habe auf meinen Webseiten immer nur das absolut Notwendigste an Daten verarbeitet. Verständliche Datenschutzerklärung vorhanden, keine Kontaktformulare, kein Newsletter, Matomo mit den strengsten Einstellungen, keine Afiliate-Links, keine Werbung, keine Datensammel-Plugins usw. Trotzdem musste ich sehr viel Arbeit in die Überarbeitung der Datenschutzerklärung stecken (wird wesentlich länger), brauche wahrscheinlich ein Verfahrensverzeichnis (warum eigentlich?), habe einen zusätzlichen Vertrag mit meinem Provider abgeschlossen und bei einigen Punkten in der DSGVO heißt es von Juristen nur: „Das müssen Gerichte in den nächsten Monaten klären.“ Dadurch entsteht bei vielen Bloggerinnen und Bloggern Unsicherheiten, die von manchen DSGVO-Befürwortern als „Panik“ abgetan wird. Dem hätte man mit ausführlichen, verständlichen Infos, Mustertexten von offizieller Seite aus usw. wesentlich aktiver entgegenwirken können und damit die Akzeptanz erhöhen. Viele Nicht-Unternehmer haben davon auch erst Ende 2017 Wind bekommen und sind sich unsicher, ob sie betroffen sind (siehe meine Frage oben).

    Die Intention, das Datenschutzniveau zu heben, ist absolut lobenswert. Meine Befürchtung: Letztlich werden die großen Datenkraken wie bisher munter sammeln und verarbeiten, denn die verbreitetste Lüge unter Verbraucher/innen ist faktisch immer noch: „Ja, ich habe die AGB / Datenschutzerklärung / Widerrufsbelehrung gelesen“. Durch die längeren Datenschutzerklärungen wird das wohl nicht besser. Hier hätte ich mir gewünscht, dass die „Kleinen“ wie Blogger/innen z.B. vom Verfahrensverzeichnis ausgenommen werden, was aber wohl nicht geht, weil für die Auslieferung der Webseite die IP-Adresse vom Provider verarbeitet werden muss (außer ich irre mich in diesem Punkt, was ich sehr begrüßen würde). In anderen Punkten geht mir die DSGVO nicht weit genug: Wäre es nicht sinnvoll, den Handel mit persönlichen Daten und damit Geschäftemacherei mit Teilen unserer Privatsphäre komplett zu verbieten?

    Fazit: Gute Intention, aber bei der Umsetzung wünsche ich mir sehr zeitnah eine deutliche Erleichterung für Blogger/innen, kleine Firmen und vor allem auch Vereine, bei denen die Ehrenamtlichen ja so oder so schon viel Papierkram erledigen müssen. Ich möchte eine rechtlich sichere Webseite anbieten können und nicht trotz aller Bemühungen Ärger mit den Datenschutzbehörden bekommen oder Angriffspunkte für Abmahnungen bieten, weil ich als juristischer Laie vielleicht eine falsche Formulierung in der Datenschutzerklärung habe. Ich möchte rechtlich alles korrekt machen und nicht nur auf die Hoffnung setzen, „unter dem Radar“ zu bleiben oder das es nur eine Ermahnung gäbe, falls mir ein Fehler unterlaufen würde.

    Das möchte ich als konstruktive Anregungen mit auf den Weg geben und bedanke mich im Voraus ganz herzlich für die Beantwortung meiner eingangs gestellten Frage.

  19. Hey Jan,
    ich hab eine Frage zum Thema „Darf ich jetzt keine Fotos mehr machen oder veröffentlichen, ohne die Einwilligung der abgebildeten Personen zu haben?“, die du nicht beantwortet hast. Muss ich denn als Website/Blog/Magazin von jedem, den ich außerhalb einer großen Menschenmenge fotografiere, eine Einwilligung einholen?

    Liebe Grüße
    Charlott

  20. Für folgendes Szenario habe ich bis jetzt noch keine Antwort:

    Ich mappe ab und an ein wenig bei openstreetmap.org. Ich bin kein kommerzieller Mapper. Ganz im Gegenteil, es ist so wenig, daß ich es nichtmal als Hobby bezeichnen möchte.

    Damit ich mich auf den Straßenverkehr konzentrieren kann und nicht abgelenkt werde, zeichne ich meine Fahrten auf unbekannten Strecken via Dashcam auf. Zu Hause nutze ich die Aufnahmen dann, um Geschwindigkeitsbeschränkungen, Abbiegespuren, Wegweiser, Mülleimer, Bushaltestellen … und was die Cam sonst noch mappingrelevantes eingefangen hat, zu mappen. Die Videos werden weder veröffentlicht noch archiviert.

    Darf ich das auch zukünftig so machen oder muß ich zukünftig mit Block und Kugelschreiber auf vielbefahrenen Kreuzungen rumturnen, damit ich und andere brauchbare Navigationsanweisungen bekommen?

  21. Hallo Herr Albrecht,

    den besten augenzwinkernde Kommentar zur DSGVO finden Sie hier: http://www.1337core.de/datenschutz/. – Passt auch gut zu Ihrer Debatte mit Sascha Lobo.
    Im Übrigen finde ich schon, dass einige Bestimmungen für nachhaltige Verunsicherung sorgen, die gerade die „Kleinen“ empfindlich treffen können. Gehört z.B. die Einbettung von Google-Fonts zu den berechtigten Interessen eines Website-Betreibers (Art. 6 Abs. 1 f DSGVO)? Oder muss deren Einbettung per Abruf bei Google ab dem 25. Mai eingestellt werden? Was fällt überhaupt darunter? Und in welchen Fällen ist das berechtigte Interesse höher zu werten als der Schutz der personenbezogenen Daten?
    Aber sinnvoll ist die DSGVO schon. Und sinnvoll ist auch, sich Gedanken zu machen, welche Folgen Dinge, die praktisch sind, für den Schutz der Privatsphäre haben. Denn natürlich kann Google über den Webfonts-Dienst mein Surfverhalten ganz bequem ausspähen – und ich kriege es nicht einmal mit. Um an die Webfonts zu kommen, muss meine IP-Adresse an Google übermittelt werden. Und schon kann Google diesen Seitenaufruf meinem Profil hinzufügen, ob ich will oder nicht. Dabei kann man Fonts auch „lokal“ bzw. auf dem Server, auf dem die Webseite betrieben wird, einbetten. Vergleichbares gilt für viele Webtechniken.
    Viele Grüße
    Christoph Holzapfel

  22. Nur mal Interessehalber. Ist es im Rahmen der DSGVO erlaubt, im Rahmen von Blogkommentaren E-Mail-Adressen zu sammeln? Ich sehe da keinen erkannbaren und absolut notwendigen Bedarf. Im Sinne der Datensparsamkeit …

  23. Hallo Jan!

    Du schreibst:

    „[…] es ist gut, dass […] auch […] Blogger sich endlich mal Gedanken machen, welche Daten sie eigentlich erheben, warum, und ob das wirklich so nötig ist.“

    Ich fühle mich davon als privater Blogger direkt angesprochen.

    Ich habe mir bereits Gedanken um den Datenschutz gemacht, lange bevor das Thema DSGVO überhaupt begann. In meinem Blog gab es schon immer die „Shariff“-Lösung statt social plugins, Fonts und Javascripte hoste ich selbst, ja sogar die mittlerweile verrufenen Gravatar-Icons holte ich schon immer über einen eigenen Proxy, damit die IPs meiner Besucher nicht zu Gravatar übertragen wurden. Mittlerweile ist auch der Kommentarbereich dicht gemacht. Ich kann also mit Stolz und Recht behaupten, dass ich die technische Seite meines Blogs im Griff habe. Als Softwareentwickler bin ich in der privilegierten Lage, die technischen Probleme selbst lösen zu können. Im Gegensatz zu etlichen anderen privaten Bloggern, die jetzt vor ihrem WordPress sitzen und nicht einmal ansatzweise wissen, was da technisch abgeht und was sie machen müssen, um das datenschutzkonform zu gestalten.

    Und trotzdem spiele ich mit dem Gedanken, meinen 20 Jahre alten Blog in Kürze abzuschalten. Warum? Weil ich diese dämliche Datenschutzerklärung nicht hinbekomme!

    Im Grunde wäre alles so einfach, da ich gar keine personenbezogenen Daten mehr speichere. Im Impressum muss ich aber von Rechts wegen eine E-Mailadresse angeben, und über diesen Kanal werde ich dann doch wieder mit Namen, E-Mailadressen und IPs beglückt, die ich eigentlich gar nicht haben möchte, aber trotzdem verarbeiten muss.

    Das ist übrigens eine Information, die ich in deiner Datenschutzerklärung vermisse: Was machst du mit E-Mails, die an deine Impressumsadresse gesendet werden? Wie verarbeitest du sie, und auf welcher Rechtsgrundlage? Wann löscht du sie wieder?

    Woher bekommt man als privater Blogger nun eine Datenschutzerklärung? Von staatlicher Seite scheint es da keine Hilfe zu geben. Und das Zeug, was die Datenschutzerklärungs-Generatoren erzeugen, passt nie so recht in meine Situation. Außerdem bin ich der Meinung, dass es nicht dem Sinn der DSGVO entsprechen kann, eine zig Seiten lange Erklärung aus so einem Generator auf die Website zu pappen, die so trocken, langatmig und juristendeutsch ist, dass der normale Besucher spätestens nach dem zweiten Absatz nur noch Bahnhof versteht und mit dem Lesen aufhört.

    Muss ich also wirklich zu einem Anwalt, um eine rechtssichere Datenschutzerklärung zu bekommen? Für einen Blog, in den ich nur Geld stecke und mit dem ich wirklich keinen einzigen Cent verdiene?

    Oder kann ich die Erklärung auch selbst schreiben? Wenn ja, was muss da auf jeden Fall rein?

    Und brauche ich die Erklärung zusätzlich auf Englisch, weil ich auf Deutsch und Englisch blogge?

    Die Datenschutzbehörden machen mir dabei die wenigsten Sorgen. Ich vertraue tatsächlich darauf, dass sie privaten Bloggern erst einmal helfend zur Seite stehen werden, statt gleich mit den hohen Geldbußen draufloszuknüppeln.

    Nein, Sorgen mache ich mir um Abmahnanwälte, die die allgemeine Verunsicherung ausnutzen und sich auf die kleinsten Fehler stürzen werden. Du schreibst dazu:

    „Solche Prognosen ohne substanzielle Evidenz führen leider genau dazu, dass sich unnötige Panik verbreitet und als Reaktion die Leute ihre Projekte abschalten.“

    Ich sehe das allerdings nicht als so substanzlos, wie du es darstellst. Die DSGVO ist neu, nicht so schön abgehangen wie das alte BSDG, wo man mittlerweile weiß, was man machen darf und was nicht. Es scheint so, dass selbst Juristen keine wasserdichte DSGVO-konforme Datenschutzerklärung basteln können, sondern erst auf Gerichtsurteile warten müssen. Also tatsächlich Augen zu und durch, wird schon nicht so schlimm werden? Leicht für dich gesagt, es steht ja nicht dein Erspartes auf dem Spiel, sondern das der Blogger.

    Ich habe schon mehrfach mit dem Gedanken gespielt, den Blog ganz einzustellen und einfach bei Google oder Facebook weiterzuschreiben. Für mich bedeutet es mehr Sicherheit, da der ganze juristische Kram für mich erledigt wird. Für meine Leser allerdings wäre es Datenschutztechnisch ein massiver Rückschritt.

    Und dann lese ich bei dir, dass sich Blogger endlich einmal Gedanken machen sollen… 🙁

  24. Vor allem das Gewese um die Cookies halte ich für überflüssig. Das hat sich jemand ausgedacht, der sich nie mit der Technik befasst hat und dann erstaunt feststellte: „Wie, die Webseite speichert Daten auf meinem PC?“ Ja natürlich tut sie das! Und du hättest schon vor Jahren die Cookies in deinem Browser abschalten können, um es zu verhindern.
    Du würdest dann zwar ein etwas „unkomfortables“ Internet erleben, weil du dich in deine häufig benutzten Websites nach jedem Browserstart erneut einloggen musst, aber das wäre deine Wahl gewesen.

    Aber weil du zu dumm warst, um die Einstellungen deines Browsers zu verstehen, müssen nun alle Admins und Webmaster der Welt ihre Websites umprogrammieren, und der Durchschnittsinternetnutzer ist genervt von den ständigen Cookie-Hinweisen oder hat gelernt, sie zu ignorieren.

  25. Bevor man einen solchen Artikel schreibt, wäre es besser überhaupt nichts zu schreiben!
    Was soll der Hinweis „Falls man überhaupt ins Visier der Behörden geraten sollte, müssen deren Maßnahmen immer verhältnismäßig sein, und in der Regel machen sie bei „kleinen Fischen“, die einfach aus Unkenntnis gehandelt haben, Beratung statt Bestrafung.“ ==> von einer „Verhältnissmäßigkeit“ steht nichts im Gesetz. Beratung vor einer Umsetzung wäre sicher sinnvoll. Allerdings kennt sich keiner aus. Lt. Herrn Albrecht nichteinmal Sascha Lobo u. Enno Park. Es geht auch nicht nur um Blogger. Dass ehrenamtlich Mitarbeiter nicht betroffen sein sollen, halte ich für unlogisch, würde aber nicht überraschen.
    Treffen wir es insbesonder die KMU´s, die sich vor Zertifikaten und Protokollen u. Analysebögen nicht mehr retten können. Die großen Unternehmen, sind längst darauf vorbereitet, Lücken zu finden. Ein Rückschritt für die Datenverarbeitung in KMU´s

  26. Ich bin ein großer Freund von Individualrechten inkl. Dateschutz: Aber hier
    der Klassiker, – ohne jeden Maßstab wird die Kanone gegen Facebook & Co aufgefahren, die haben sich längst offshore weggeduckt – und die kleinen werden mit absurdem Aufwand plattgemacht, z.B. als kleine Sozialeinrichtung, die den Mega-Aufwand in kein öffentliches Entgelt wegdrücken kann.
    Hier war jemand idelologisch am Werk, der offenbar keinerlei Erfahrung mit unternehmerischer Verantwortung hat …
    Nicht noch mal Grün !!!

  27. „Vor allem: keine Panik!“ lautet der einleitende Satz. Nein, Panik habe ich auch nicht.
    Aber der ganzen Desinformation, eben auch der Panikmache und dem Rumdeuteln an Gesetzestexten und -Auslegungen hätte man begegnen können, indem man mit mehr Bedacht, mehr Um- und Weitsicht die Gesetze gestaltet und ausgeführt hätte.
    Die ganze Konfusion entsteht doch durch die unklaren, schwammigen Begrifflichkeiten, Öffnungsklauseln von den keiner weiß wie sie zu handhaben sind… und ich als kleiner Handwerker darf mich dann tagelang durch Gesetzestexte, Blogs, Webseiten usw. wühlen um die rechtliche Wahrheit herauszubekommen!?
    Gesetze sind dazu da eine Regelung zu erhalten, an die man sich als Bürger, Firma oder Organsation zu halten hat. Eine Leitlinie, die einzuhalten ist, an der man sich orientiert und nach der ggf. Recht gesprochen wird.
    Hier aber weiß niemand genau, was Recht ist, auf nationaler deutscher Ebene schon gar nicht. Hat das KUG als Öffnungsklausel zur DSGVO nun Bestand oder nicht? – Das sollen Gerichte entscheiden? Nein, Gerichte sollen nach Gesetzeslage entscheiden, nicht sie sollen Gesetze interpretieren und auslegen! Mit anderen Worten: Gute Idee, mangelhafte Ausführung!
    Und dann kommt hinzu, daß es nun plötzlich viele betrifft, die mit mißbräuchlicher Datenverwendung ohnehin nichts zu tun haben: Der kleine Dart-Verein, der Schornsteinfegermeister, der Schuhmacher, alle erheben (Kunden-)daten, kömen aber niemals in den Verdacht, mit diesen Daten Mißbrauch oder Handel zu treiben. Dennoch müssen Sie jetzt Verfahrensverzeichnisse schreiben, Datenschutzkonzepte, Individual-Verträge machen: Ganz, ganz viel Vorbereitungsarbeit, Verwaltungsaufwand, Papierkrieg: Und letzlich die Frage: wofür? Wofür einen Ordner für mein Fotostudio mit Papier füllen, den sich nie, nie, nie wieder jemand ansieht? Hatte uns da nicht jemand weniger Bürokratie versprochen?
    Einmal mehr hat sich die EU einen Bärendienst erwiesen, indem sie einen Riesen-Verordnungs-Verwaltungs-Aufwand anschiebt, der sich auf vielleicht 5% der Datenverarbeitenden bezieht. Doch diese werden sich der DSGVO mit vielen Anwälten geschickt entziehen. Für uns restliche 95% bleibt nur eins: Ein Riesen Haufen Arbeit, Unwillen, Unverständnis! Und erneute Politik-Verdrossenheit.

  28. Hallo!

    Erstmal ein toller Artikel! Danke dafür!

    Was mir aber nach wie vor nicht klar ist, was ist mit den Blogs die den free Tarif der Plattformen nutzen? Wir konnen keine weiteren Plug-ins einfügen oder irgendwelche Codierungen ändern um den Blog anzupassen.

    Natürlich passe ich meine Datenschutz Seite an und schreibe dezente hinweise hier und da hin. Aber was ist z.b mit Google Analytics, ich nutze es bewust nicht da es ein Plug in ist und das wieder nur in den bezahl tarifen zu aktivieren ist….
    Soll ich da trotzdem diesen Vertrag mit google abschließen, von dem ich auch nur durch zufall was mitbekommen habe?

    Was kann ich als kleiner privater Blogger tuen der den einfachsten Tarif nutzt und wenig selbst bestimmen kann?

  29. …schließe mich den Stimmen an, die es für die kleinen auf den Punkt bringen – viel Aufwand und Behinderung des Geschäftes – Abmahnanwälte die sich für ihr dubioses Geschäftsgebahren nicht besser freuen können und indirekte – zwar nicht gewollte – dennoch am Ende erreichte weitere Stärkung der Großkonzerne…

  30. Ich mach das einfach mal und arte nicht in Panik aus. Die Webseiten die ich für meine Kunden betreue sind eh so designed dass Sie möglichst datensparsam sind. Die Datenschutzerklärungen sind zwar vermutlich (bin ja kein Jurist) nicht DSGVO-konform – aber da muss ich mir ja keine Sorgen machen, weil es ja nur um die großen Fische geht. Ich weiße meine Kunden zwar drauf hin dass man sich damit beschäftigen sollte – was getan wird müssen die entscheiden. Zeit/Geld hat dafür aber kaum jemand übrig. Eine Seite DSGVO-konform zu machen kostet ja auf jeden Fall einen 4-stelligen Betrag. Also warte ich einfach ab. Sobald dann die erste Abmahnung reinflattert wird die Webseite vom Netz genommen. In den meisten Fällen werde ich dann den Kunden empfehlen einfach nur noch Google und Facebook für Webvisitenkarten zu nutzen, da kommt eh mehr Traffic und die Rechtssicherheit bekommt ihr gratis. Mache ich alles richtig?

  31. Lieber Herr Albrecht, eines vorab, dass der Tiger Datenschutz jetzt endlich Zähne bekommt findet meine absolute Unterstützung! Und wenn dadurch das eine oder ander halbseidene Geschäftsmodel seine Grundlage verliert dann sind das meines Erachtens absolut positive Effekte. Vielen Dank dafür!

    Ihr Beitrag zeigt aber auch das ganze Dilemma in dem wir uns derzeit befinden. Der Gesetzestext ist zum einen zu kompliziert und zum anderen in großen Teilen viel zu vage um als Richtschnur zu dienen.

    So kompliziert das nicht einmal ein Miturheber des Gesetzes in der Lage ist einen einseitigen Beitrag ohne gravierende Fehler oder falsche Interpretationen zu schreiben. Dankenswerterweise wurden die ganz groben Fehler (Z.B. kein Datenschutzbeauftragter bei ehrennamtlichen Mitarbeitern, 250 Mitarbeitergrenze usw.) von den Kommentatoren bereits korrigiert so dass jetzt nicht noch eine weitere Seite mit falschen Informationen kursiert.

    Ein Beispiel für „zu vage“ mit dem ich mich momentan täglich auseinandersetze ist das Wörtchen „regelmäsig“ bei der Bedarfsermittlung für einen Datenschutzbeauftragten. Was ist den regelmäsig? Einmal am Tag, einmal die Woche? Was sich momentan rauskristalisiert ist das regelmäsig auch der Jahresabschluß einmal im Jahr ist, was bedeutet dass die einzige nicht-regelmäsigkeit die Einbindung eines Passanten wäre der zufällig gerade am Büro vorbeischlendert und dannach nie mehr gesehen wird. Da kann man das Wörtchen „regelmäsig“ getrost streichen und hätte gleich mehr Klarheit geschaffen.

    Ansonsten finde ich auch in Ihrem Text sehr viel „muss man aber auch nicht befürchten“,“in der Regel“, „in aller Regel“, und ähnliches. Rechtssicher klingt anders!

  32. Es ist selten, aber dieser Beitrag und auch die Kommentare verleiten mich dazu ebenfalls einen Kommentar / Meinungsäußerung hierzu abzugeben.

    Die DSGVO sowie das landesspezifische BRD-BDSG in der Neufassung sind erstens:
    a) keineswegs neu und überraschend (da zumindest was die DSGVO betrifft eine 2-jährige Übergangsfrist endet)
    b) keine „unausformulierte“ Verordnung (DSGVO) sondern eine sinnvolle Vereinheitlichung eines europäischen Datenschutzstandards mit entsprechenden Öffnungsklauseln
    c) keine „Gägelung“ der betroffenen Verantwortlichen (Unternehmen/Vereine etc.)
    und zweitens die Konsequenz aus unserem digitalisiertem Leben und dem Umstand, das sich kaum ein Verantwortlicher auch nur ansatzweise mit dem gesetzlich seit Jahren vorgeschriebenen (!) Datenschutz beschäftigt oder diesen gar umgesetzt hat.

    Jedesmal wenn irgendwo ein Datenproblem bekannt oder vermutet wird ist der Aufschrei in der Gesellschaft groß; sei es bei den „bösen“ Datensammlern (was im übrigen keine bösen Datensammler sind sondern Unternehmen die mit Informationen Ihrer Kunden Geld verdienen und so Ihre meist kostenfreien (!) Angebote überhaupt anbieten können) wie Facebook, Google, Post oder Yahoo wie auch bei kleinen Betrieben wo dann plötzlich die Angst umgeht weil ein Verschlüsselungs-Trojaner zugeschlagen hat.

    Jetzt wurden die Anforderungen an den Datenschutz und die Sicherheit der Datenverarbeitung vereinheitlicht und schon wird wieder rumgejammert – diesmal von der Seite die mit den Daten Geld verdienen – und ja, auch der kleine Bäcker von nebenan der seine Kundenliste per PC führt sollte sich endlich mal Gedanken darüber machen das er diese Daten (die für ihn immerhin bares Geld bedeuten) schützt und mit selbigen vernünftig umgeht.

    Aus unternehmerischer Sicht ist die DSGVO und BDSG natürlich ein „Mehraufwand“ – den man bereits seit Jahrzehnten gesetzlich zu erfüllen gehabt hätte – was halt nur leider keiner getan hat.
    Aus Sicht einer betroffenen Person dessen Daten verarbeitet werden sollte man sich freuen das es nun endlich klar definierte Rechte gibt dessen man sich bedienen kann.

    Warum ist denn die Panik vor der DSGVO so groß?
    Weil ich als Unternehmer – und damit gebe ich dem Grundtenor des Artikelschreibers recht – das Gefühl bekomme nichts mehr machen zu dürfen und einen riesen Verwaltungsakt stemmen soll – das ist aber definitiv falsch!
    Ein normales Unternehmen (KMU) kann problemlos alle Anforderungen der DSGVO stemmen (und sei es denn mit Hilfe eines externen Beraters) und das ohne übertriebene Maßnahmen (auch hier hat die „böse“ EU bzw. die BRD nämlich klar definiert das alles auch zu dem jweiligem Unternehmen passen, bzw. dessen Art und wirtschaftlicher Stärke bei allen Maßnahmen berücksichtigt werden muss) – wenn man einmal ehrlich ist, ist die DSGVO nur eine schriftliche Zusammenfassung eines n.m.E. logischen und sinnvollen Umgang mit Daten Dritter.

    Was ich wirklich an dieser ganzen DSGVO-Debatte als Problem ansehe, das nahezu jeder Bericht (egal von wem und in welchem Medium) falsche (!) Informationen verbreitet oder die Verordnungen und Gesetzte „frei interpretiert“ oder aus dem Zusammenhang reisst.

    Auch hier (wie z.B. an der Verpflichtung Verfahrensverzeichnis) wurden wieder Informationen verbreitet die korregiert werden mussten (weil es aufmerksamer Leser des Artikels gab).

    Man kann die ganze Debatte einfach reduzieren:
    Wenn man Geld mit Daten eines Dritten verdient, hat man sich der Verantwortung für diese Daten bewusst zu sein – unabhängig wie groß oder klein man ist.
    Die Auflagen und damit verbunden der Umfang (der Verantwortung) richtet sich dabei nach Art und Menge der Daten sowie nach Unternehmensgröße.

    Wenn ich dann hier Kommentare lese von „halbprivaten“ Internetseiten – was bitte ist das?
    Entweder „privat“ oder nicht, entweder ich mache damit Geld (oder versuche es), oder nicht.
    Und wenn ich damit Geld mache (oder es versuche), dann sollte man bedenken das genau diese Daten um die es in der DSGVO geht meistens die sind, womit ich Geld mache (oder es versuche) – das heisst der Schutz dieser Daten sollte mir wichtig sein.

    Und wenn man selbst nicht dazu in der Lage ist das Gesetz umzusetzen dann holt man sich kompetente externe Berater – und ja, die kosten auch Geld.
    Es meckert auch keiner bei einem Autohersteller weil man seinen Motor nicht selber reparieren kann sondern wendet sich an eine Werkstatt.

    Denn eines ist bei der DSGVO und dem BDSG gewiss: man muss immer das einzelne, individuelle Unternehmen betrachten – es gibt keine Universallösung.

    Von daher sind auch all die gut gemeinten Artikel, Empfehlungen und Ratschläge die man im Internet bekommt meistens nichts wert, denn diese gehen immer auf eine Grundsituation ein ohne den individuellen Einzelfall zu betrachten.

  33. Zunächst beginne ich zur Abwechlung mal mit etwas positiven. Hier bleiben (augenscheinlich) wenigstens die Beiträge stehen, so wie es scheint. Das ist ja beispielsweise bei Facebook auf diversen Seiten mit DSGVO-kritischen Beiträgen nicht immer der Fall, gell…

    Die allgemeine Panik, Verunsicherung und teilweise auch Polarisierung der Gesellschaft, die sie durch diese Verordnung verursacht haben, ist jedenfalls weder auf Facebook noch in diversen Foren und Webseiten überlesbar. Gratulation! Gut gemacht! Als ob die Leute heutzutage nicht schon genug EU verdrossen wären. Es geht also um „Datenschutz“, aja…

    Da gab`s mal vor ca. 1-2 Jahren einen (mutmaßlich weißrussischen) Scam, der von Polen aus (also mitten aus der EU) zehntausenden Menschen das Geld aus der Tasche gezogen hat. Die Gier der Anleger hat diese an die „wundersame Geldvermehrung“ glauben lassen, worauf hin einzelne Personen bis zu sechsstellige Beträge über eine fingierte Webseite einbezahlten – in eine offiziell registrierte Firma mit Sitz in Warschau. Aber damit nicht genug. Als am Ende des Scams kaum Einzahler mehr da waren und die Betrogenen ihr Geld ausbezahlt bekommen wollten, hat sich die Firma kurzerhand die Ausweisdateien (angeblich zum Zwecke der Verifizierung) zusenden lassen. Ausbezahlt wurde natürlich trotzdem nichts, die Verantwortlichen sind über alle Berge, angeblich in Brasilien. Ich erzähle das aus zwei Gründen: 1. Es geschah mitten aus der EU heraus und auch eine DSGVO hätte dies nicht verhindern können! 2. Die Geschädigten User haben SELBST entschieden diesen Weg zu gehen, sprich einer fragwürdigen Firma ihr Geld und in späterer Folge sogar ihre Ausweisdaten anzuvertrauen. (Die Kreditkartendaten damals übrigens über einen nicht PCI zertifizierten Server. Interessant, dass der PCI Standard beispielsweise nicht bei euren tollen Datenschutzregeln mit berücksichtigt wurde – aber verständlich, handelt es sich hierbei ja um ein Konsortium aus bösen, bösen amerikanischen Großkonzernen..)

    Das alles mag für die Scamgeschädigten (denen man Ausweis und Kreditkartendaten klaute) bitter sein und als Außenstehender kann man sich dabei nur an den Kopf greifen, aber worauf ich hier hinaus will ist, dass es wohl sinnvoller gewesen wäre, an die EIGENVERANTWORTUNG der Leute in Sachen Datenschutz zu appellieren. Datenmissbrauch ist nicht zu 100 % verhinderbar, schon gar nicht dann, wenn eine Firma und ihre Hintermänner es vorsätzlich planen. Daran wird auch die DSGVO nichts ändern.

    Was macht man also? Man schießt mit Kanonen auf Spatzen und schließt gleich mal sämtliche kleine Handwerksbetriebe (der Installateur bei mir ums Eck verkauft sicher seine Kundendaten an böse, böse US Konzerne, ja ne klar doch lol) KMUs, Webseitenbetreiber mit ein. Übrigens ist die „Transparenz“ bei der ganzen Sache, nicht das, womit ich oder Andere ein Problem hätten. Zwar ist auch jetzt noch nicht klar, wie man eine wirklich rechtssichere Datenschutzerklärung erstellt (die by the way außer von Abmahnanwälten sowieso von niemanden gelesen wird) , aber vom Prinzip her, ist Transparenz gegenüber seinen Kunden/Usern ja keine schlechte Sache und verschafft einen wohl eher einen Wettbewerbsvorteil. Dazu brauche ich aber übrigens keine DSGVO in dieser Form…

    Schon alleine die Formulierung was das Thema „Verarbeitungsverzeichnis“ angeht, kann eigentlich nur als Frechheit und bezeichnend für die gesamte Verordnung betrachtet werden. Man muss sich das mal auf der Zunge zergehen lassen:

    „Verarbeitungsverzeichnisse sind für Firmen ab 250 Mitarbeiter vorgeschrieben“ AUSSER „personenbezogene Daten werden regelmäßig verarbeitet“.

    Es ist schön, dass ihr bei eurem Schildbürgerstreich an jene Firmen gedacht habt, die „nur“ 249 Mitarbeiter in der Firma beschäftigen… Wäre da nicht das klitzekleine Problemchen, dass ihr ja auch der Meinung seid, dass IP Adressen personenbezogene Daten darstellen (wozu es ja auch in der Vergangenheit schon mal andere Judikatur gab, aber egal). Ich frage mich im übrigen, wie viele böse, böse IP Adressen, durch Übermittlung in Drittländer (und sei es nur durch schlichte Webseitenbesuche) bei irgendjemanden schon mal einen echten Schaden angerichtet hätten… Wohl kaum soviel wie es Kreditkarten-Scamopfer gibt, weil der PCI Standard nicht gesetzlich verankert ist…

    IP Adressen stellen also personenbezogene Daten dar und werden somit bei Webseitenbetreibern regelmäßig verarbeitet = Verarbeitungsverzeichnis.

    Dann sollte man vielleicht erwähnen, dass so gut wie alle Entwicklungen am digitalen Sektor, welche Webseitenbetreibern, Onlineunternehmern usw. in den letzten Jahren das Leben erleichterten, aus den USA kommen. Nein, Deutschland hat bis auf wenige Plugin und APP Entwickler hier eher wenig dagegenzuhalten.. Wer heute WordPress nutzt und sich damit auskennt, hat tolle Möglichkeiten sich zu vermarkten und seinen Usern auch einen Mehrwert zu bieten. Aber worüber diskutieren wir heute? Ob der standardisierte Einbau von google fonts auf WordPress nun noch rechtskonform ist… Jetzt bauen wir also aufwändigst alle WordPress-Seiten wieder um, damit die bösen google fonts auch ja über den eigenen Server laufen, und müssen darüber hinaus noch tausende andere Dinge beachten – von denen aber die wenigstens wirklich rechtssicher zu sein scheinen…

    Eigentlich würde man sich als EU Bürger ja erwarten, dass bei der Konzeptionierung von Verordnungen, tatsächlich auch eine RECHTSSICHERHEIT geschaffen wird. Tja, ist hier halt nur leider nicht der Fall. Gerichte, Datenschutzbehörden aber letztendlich die Betroffenen müssens halt dann ausbaden. Und dann gibt es so lustige Leute, die von „Panikmache“ sprechen. Nun, wenn dass was sich da draußen gerade abspielt keine „Panik“ ist, dann weiß ich es leider auch nicht… Wenn man dann obendrein Interviews wie jenes der aus Tschechien stammenden Mitverursacherin dieses Bürokratiemonsters liest, in dem sie DSGVO-unsicheren Webseitenbetreibern empfiehlt, ihr bei Fragen dazu doch ein Mail zu schicken, dann kann man leider wirklich nur noch zu der Überzeugung gelangen, dass ihr euch keinen Deut um jene Leute geschert habt, die aller von dieser Verordnung betroffen sind. Und sofern man wirklich vorhatte, große US Konzerne in die Knie zu zwingen, na dann ist das nach dem letzten Quartalsbericht von Facebook ja aber deutlich in die Hose gegangen… Nein, noch besser: Stattdessen lässt Facebook, welche eine Armada von Anwälten zur Verfügung haben, so ganz nebenbei (und offensichtlich rechtskonform?) seine User während der Akzeptanz der neuen Datenschutzbestimmungen zur Gesichtserkennung zustimmen… Währenddessen sitzt Hr Meier, aus dem Installateurbetrieb ums Eck, halt noch an seinen Google Fonts und natürlich dem Verarbeitungsverzeichnis – er könnte ja Daten an Drittstaaten weiterverkaufen… Bravo!

    Kostenbedingt verursacht euer „Geniestreich“ übrigens auch einen Arbeitsplätzeabbau in vielen Bereichen. Das seh ich bei mir selbst, aber auch bei vielen befreundeten Unternehmern. Aber was soll das Berufspolitiker, die dermaßen weltfremd formulieren und agieren schon kümmern? Wettbewerb funktioniert übrigens zumeist immer noch GLOBAL. Im Prinzip kapseln wir uns gerade ab.

    Aber all das, wäre eigentlich nur halb so wild, wenn man die Verordnung nach Inkrafttreten 2016 auch wirklich MEDIENWIRKSAM kommuniziert hätte und die Leute so aufgeklärt hätte, dass sie auch wirklich die Tragweite des ganzen Vorhabens erfassen hätten können. (Was eindeutig nicht der Fall ist wie man ja gerade sieht). Für Wahlwerbespots ist Geld ohne Ende da, aber eine so einschneidende Verordnung, die von oben herab diktiert wird (ohne direkten Einfluss der EU Bürger), dafür war kein Marketingbudget dar? Und jetzt seht und lest mal da draußen, was ihr gerade hier anrichtet!

    Oh Mann… Ich könnte jetzt noch viel schreiben, aber vieles wurde ja auch schon hier in anderen Kommentaren abgeladen.. Abschließend möchte ich sagen, dass ich mit „Datenschutz“ bislang eher positive Dinge asozierte, die wichtig für unsere Gesellschaft sind. Ja, Datenmissbrauch findet immer wieder statt, ich selbst war mit Ausnahme von ein paar Spammails, die sich durch den Mailfilter schummelten und durch das Betätigen meiner Deletetaste nach einer Sekunde im Nichts verschwanden, bislang nicht davon betroffen. Es gibt sicherlich Problemfelder, wenn es um nicht authorisiertes, umfangreiches Profiling und dem Verkauf von großen Datensätzen an Organisationen oder Konzernen geht. ABER DAMIT HAT DER NORMALE KMU IM REGELFALL VERDAMMT NOCH MAL NICHTS ZU TUN!!!

    Hätte man mich vor ein paar Jahren gefragt, wie ich zur EU stehe, wäre noch der „glühende Europäer“ bei mir durchgedrungen, der an die europäische Union glaubt, trotz vielschichtiger Probleme. Es tut mir leid es so zu sagen, aber ich habe nach all dem Stress, den ihr den Leuten da draußen aufbürdet, heute nur noch Verachtung für euch als Verantwortliche übrig!

    1. Bis auf den letzten Absatz kann ich mich dem nur anschließen.

      Alleine die Aussage, so nach und nach würden die Gerichte die Verordnung schon ausgestalten, so dass bei allen mehr Klarheit herrscht – die ist eine Frechheit sondergleichen. Erst heißt es, Abmahnanwälte würden den „Kleinen“ schon nichts tun. Dann aber offenbart sich, dass der Autor offensichtlich sehr wohl mit Klagen und Gerichtsverfahren rechnet. Soso. Dumm nur, dass hinter jedem Gerichtsverfahren ein Betroffener steckt, der in Angst und Schrecken versetzt wird, seine Existenz gefährdet sieht und am Ende vielleicht gar noch die Verfahrenskosten tragen muss. Selbst wenn man so ein Verfahren gewinnt, ist die seelische und finanzielle Belastung immens. Offensichtlich werden diese Kollatealschäden aber achselzuckend in Kauf genommen. Der kleine Bürger als Bauernopfer, anhand dessen buchstäblich gerichtet wird, was im Gesetz versäumt wurde. Schutz des Bürgers stelle ich mir anders vor. Die hier mehrfach bemühte Verhältnismäßigkeit ebenfalls.

      Den „One-Size-Fits-All“-Ansatz und den nonchalanten, geradezu verächtlichen Umgang mit der Verunsicherung der „kleinen Bürger“ bei dieser Verordnung halte ich für eine absolute Katastrophe.

  34. Vielen Dank, Ja, für den guten und informativen Text. Eine Nachfrage habe ich aber: Du schreibst, dass Ehrenamtliche bei der Berechnung der Personenzahl, die personenbezogene Daten verarbeiten, nicht mitgerechnet werden. Überall sonst lese ich, dass bei mehr als 9 Personen, die mit der Verarbeitung beschäftigt sind, ein_e Datenschutzbeauftragte_r notwendig ist – und deine Auskunft würde viele Vereine deutlich entlasten (ggf. auch finanziell).

    1. Björn, lies die Kommentare, leider enthält auch dieser Text viele Fehler die dann von den Kommentatoren korrigiert wurden. Ist nix mit Entlastung…

Digitalisierung

_Digitisation _Numérisation
Mehr zum Thema