Die DSGVO und ich

DSGVO, Teil 1

Ich bin wieder online. ­čÖé Das war durchaus ein gutes St├╝ck Arbeit. Die EU Datenschutz-Grundverordnung (umgangssprachlich: DSGVO, offiziell: "Verordnung (EU) 2016/679", strukturierte Online-Version u.a. hier) hat ja bekannterma├čen einiges an Staub aufgewirbelt. F├╝r viele Netzangebote wie meines bedeutet sie, dass die Betreibenden nicht nur – wie bisher – Administrator/in, Frontend-Designer/in, Redakteur/in, Autor/in, Moderator/in, etc. in Personalunion sind, sondern dar├╝ber hinaus die Rollen "Datenschutzbeauftragte/r" und "Hausjurist/in" nun auch dazu geh├Âren.

Ich habe mich also da durch gew├╝hlt und meine Erfahrungen und mein Vorgehen schildere ich in diesem Artikel dieser Artikelserie. Vielleicht sind ja interessante Infos, worauf Seitenbetreibende achten m├╝ssen (Teil 2) oder n├╝tzliche Anpassungen und Einstellungen (Teil 3) dabei. Dieser erste Teil liefert die Theorie…

Hinweis:
Ich bin kein Jurist. Obwohl ich alle hier ver├Âffentlichten Informationen mit gro├čer Sorgfalt recherchiert habe, ersetzen diese Beitr├Ąge nat├╝rlich keine Rechtsberatung. Und:
Ich bin kein Softwareentwickler. F├╝r die ggf. pr├Ąsentierten technischen L├Âsungen kann ich ebenfalls keine Garantien geben, dass sie generell zuverl├Ąssig – und schon gar nicht in anderen Kontexten als meinem – funktionieren.

Was ist die DSGVO?

Ganz von vorne? Na gut: Die DSGVO ist eine EU-Verordnung. Diese sind zu unterscheiden von EU-Richtlinien, denn Verordnungen haben verbindliche und unmittelbare Geltung in allen EU-Mitgliedsstaaten; Richtlinien m├╝ssen dagegen erst in den Mitgliedstaaten in Form nationaler Gesetze umgesetzt werden. Ungeachtet dieses Anwendungsvorrangs k├Ânnen ├╝ber Kollisionsregeln oder ├ľffnungsklauseln durchaus weitere, auch nationale Gesetze zum gleichen Thema neben der DSGVO G├╝ltigkeit haben. Dazu unten mehr.

Die DSGVO regelt seit dem 25.05.2018 EU-weit alle datenschutzrelevanten Vorg├Ąnge bzgl. der Verarbeitung (*) personenbezogener Daten (*). Die eigentlich zur DSGVO passende ePrivacy-Verordnung (Entwurf hier) sollte urspr├╝nglich zeitgleich in Kraft treten, ist aber leider nicht fertig geworden (Stand: Juli 2018).

Die DSGVO gilt sehr umfassend

f├╝r die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie f├╝r die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Art. 2 (1) DSGVO

Vor allem die "nichtautomatisierte Verarbeitung" in Verbindung mit "Speicherung in einem Dateisystem" ist einer der Kritikpunkte an der DSGVO, betrifft nach mancher Meinung so n├Ąmlich auch die Excel-Listen mit den Vereinsmitgliedern des Kleingartenvereins oder die ├ťbertragung von Visitenkarten in die Kontakte des Smartphones. Das f├╝hlt sich f├╝r manche Betroffene an wie diese sprichw├Ârtlichen Kanonen, mit denen auf die Spatzen geschossen wird.

Faustregel: Die DSGVO skaliert nicht bzgl. der Gr├Â├če der Verantwortlichen.

Ausnahmen gem. Art. 2 (2) DSGVO greifen in den allermeisten F├Ąllen nicht. Zwar r├Ąumt Art. 2 (2) lit. c) f├╝r die "Aus├╝bung ausschlie├člich pers├Ânlicher oder famili├Ąrer T├Ątigkeiten" eine Schranke ein, aber der famili├Ąre Rahmen wird bei ├Âffentlich zug├Ąnglichen Webseiten wohl regelm├Ą├čig ├╝berschritten. Dar├╝ber hinaus "versteckt" sich ein interessantes Detail in den Erw├Ągungsgr├╝nden (EG DSGVO). Dort hei├čt es in EG 18 Satz 3 DSGVO:

Diese Verordnung gilt jedoch f├╝r die Verantwortlichen […], die die Instrumente f├╝r die Verarbeitung personenbezogener Daten f├╝r solche pers├Ânlichen oder famili├Ąren T├Ątigkeiten bereitstellen.

EG 18 Satz 3 DSGVO

Klingt f├╝r mich wie: Selbst wenn ich meinen Blog passwortgesch├╝tzt nur Familienmitgliedern zur Verf├╝gung stelle (w├Ąhrend der Umbau-Phase habe ich ├╝brigens das WordPress-Plugin Password Protected genutzt), gilt die DSGVO trotzdem in Bezug auf die Bereitstellung "technischer Infrastruktur" (in diesem Beispiel u.a. die Blog-Software). Ausgenommen sind somit am Ende also nur z.B. der Familien-Geburtstagskalender (wenn gilt: handschriftlich Ôëá automatisiert, Papierform Ôëá Dateisystem) oder die "analoge" Telefonliste f├╝r das j├Ąhrliche Familientreffen…

Dass dagegen im Falle eines Betriebes einer ├Âffentlich zug├Ąnglichen Webseite personenbezogene Daten anfallen, ist wohl einigerma├čen unstrittig: Auch wenn ich keine (datenschutztechnisch tlw. in Verruf geratene) Online-Werbedienste/-netzwerke oder Datenverkehrsanalysesoftware nutze, liefern bereits die Registrierungsm├Âglichkeit, die Kommentarfunktion und die Cookies von WordPress gen├╝gend Gr├╝nde, um eine automatisierte Verarbeitung (*) personenbezogener (*) Daten anzunehmen ­čÖé

* Verarbeitung im Sinne der DSGVO meint

jeden […] Vorgang oder jede […] Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Ver├Ąnderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch ├ťbermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verkn├╝pfung, die Einschr├Ąnkung, das L├Âschen oder die Vernichtung;

Art. 4 Nr. 2 DSGVO

* personenbezogene Daten meint

alle Informationen, die sich auf eine identifizierte oder identifizierbare nat├╝rliche Person […] beziehen; als identifizierbar wird eine nat├╝rliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identit├Ąt dieser nat├╝rlichen Person sind.

Art. 4 Nr. 1 DSGVO

Faustregel: Die DSGVO gilt auf jeden Fall f├╝r Webseitenbetreibende und f├╝r alle Formen der Datenverarbeitung von personenbezogenen Daten.

Jede/r Blog-, Shop-, Webseiten- oder "Sonstwas-im-Internet"-Betreibende ist also in den allerallermeisten F├Ąllen auch immer Verantwortliche/r (im Sinne von Art. 4 Nr. 7 DSGVO) f├╝r die Verarbeitung personenbezogener Daten. Denn selbst wenn man keine Kommentare zu Blog-Artikeln zul├Ąsst und keine Registrierung anbietet, m├╝ssen dar├╝ber hinaus z.B. der Einsatz von Webfonts, von eingebetteten Inlineframes (kurz: iframe, z.B. von YouTube, Vimeo, Google Maps, etc., auch "Like-Buttons") oder sonstigen externen Inhalten (Facebook-Posts, Instagram-Beitr├Ąge, Tweets, …), und nicht zuletzt der Einsatz von Bordmitteln wie den WordPress-Emojis, -Avataren und -Cookies bedacht werden: Die DSGVO ist daher (f├╝r mich) ein guter Zeitpunkt, sich selber f├╝r die Datenverarbeitung durch die eigene Webseite zu sensibilisieren ­čśë

Was steht denn so in der DSGVO?

Die DSGVO r├╝ckt die Informationelle Selbstbestimmung der Betroffenen in den Vordergrund. Obwohl nicht ausdr├╝cklich im Grundgesetz (in Form eines Datenschutzgrundrechts) der Bundesrepublik Deutschland erw├Ąhnt, hat es durch Rechtsprechung des Bundesverfassungsgerichtes ("Volksz├Ąhlungsurteil", Begr├╝ndung C II 1. lit. a)) quasi Grundrechtscharakter. In der Charta der Grundrechte der Europ├Ąischen Union findet es in Art. 8 seine Entsprechung. Sie meint die grunds├Ątzliche autonome Entscheidung von Personen ├╝ber die Preisgabe und Verwendung von Daten, die mit ihrer Person mittelbar oder unmittelbar in Verbindung stehen.

Die DSGVO grenzt hierf├╝r die Rechtm├Ą├čigkeit der Verarbeitung ein und erlegt den Verantwortlichen eine Reihe von Pflichten auf. Sie steht (ultra-verk├╝rzt) auf 4 S├Ąulen:

  1. Transparenz und Information: Alle von einer Verarbeitung personenbezogener Daten betroffenen Personen m├╝ssen transparent, verst├Ąndlich und rechtzeitig ("zum Zeitpunkt der Erhebung", vgl. Art. 13 (1) DSGVO) ├╝ber die Datenverarbeitung incl. Angaben zu z.B. Rechtsgrundlage und Speicherdauer aufgekl├Ąrt werden.
  2. Dokumentation und Rechenschaftspflicht: Daf├╝r m├╝ssen Datenschutzerkl├Ąrungen bereitgestellt und Verfahrensverzeichnisse gef├╝hrt werden, in besonderen F├Ąllen muss eine sog. "Folgenabsch├Ątzung" angestellt werden.
  3. Umfangreiche Betroffenenrechte: Alle betroffenen Personen haben umfangreiche Rechte, vor allem auf Auskunft, Berichtigung, L├Âschung, Einschr├Ąnkung der Verarbeitung, Daten├╝bertragbarkeit, Widerspruch und Beschwerde, und m├╝ssen ├╝ber diese Rechte aufgekl├Ąrt werden.
  4. Organisatorische und technische Bedingungen: Dazu geh├Âren die evtl. notwendige Benennung eines Datenschutzbeauftragten, die Zusammenarbeit mit Aufsichtsbeh├Ârden, aber auch die Systemsicherheit (z.B. durch Verschl├╝sselung), die Gestaltung der Datenverarbeitungssysteme und "datenschutzfreundliche Voreinstellungen".

Fazit: Die DSGVO birgt f├╝r Webseitenbetreibende Hausaufgaben bzgl. Technik, Organisation und Dokumentation.

Welche nationalen Gesetze gelten dar├╝ber hinaus?

Die in Deutschland f├╝r Webseitenbetreibende ├╝ber die DSGVO hinaus geltenden nationalen Gesetze sind das Bundesdatenschutzgesetz (BDSG 2018, passend zur DSGVO ge├Ąndert) und das Telemediengesetz (TMG):

  • Das BDSG ├╝bernimmt seit Inkrafttreten der DSGVO vor allem die Aufgabe, die ├ľffnungsklauseln der DSGVO zu f├╝llen und deren Regeln zu pr├Ązisieren. Die G├╝ltigkeit f├╝r nicht-├Âffentliche Stellen (also auch f├╝r Webseitenbetreibende) ist in ┬ž 1 (1) Nr. 2 Satz 2 i.V.m. ┬ž 1 (4) BDSG geregelt. Dem Anwendungsvorrang der DSGVO wird in ┬ž 1 (5) BDSG Rechnung getragen.
  • Das TMG ist ein spezifisches Gesetz zum Angebot von Telemediendiensten und hat u.a. bzgl. der Impressumpflicht bereits einen gewissen Bekanntheitsgrad erreicht. Es beh├Ąlt seine G├╝ltigkeit nach Inkrafttreten der DSGVO jedoch nur in Teilen. Durch den Anwendungsvorrang von EU-Verordnungen gegen├╝ber nationalen Gesetzen werden n├Ąmlich Teile des TMG verdr├Ąngt – vor allem werden die ┬ž┬ž 11ff. TMG, welche sich explizit auf den Datenschutz beziehen, wohl nicht mehr zur Anwendung kommen. Das ist vor allem f├╝r den Einsatz von (Tracking-) Cookies interessant, da das TMG (nicht unumstritten! Infos z.B. hier und hier) als nationale Umsetzung der EU-Richtlinien 2002/58/EG (sog. "ePrivacy-Richtlinie", s.u.) und 2009/136/EG (sog. "Cookie-Richtlinie", s.u.) gilt.

Was ist mit diesen EU-Richtlinien?

F├╝r "Internet" im Allgemeinen und Webseitenbetreibende im Speziellen sind wohl drei Richtlinien erw├Ąhnenswert:

  • Die Richtlinie 95/46/EG ("Datenschutzrichtlinie"): Diese ist bereits aus dem Jahre 1995 und wurde durch die DSGVO abgel├Âst.
  • Die Richtlinie2002/58/EG ("ePrivacy-Richtlinie", nicht zu verwechseln mit der kommenden ePrivacy-Verordnung): Sie regelt den Schutz personenbezogener Daten bei elektronischer Kommunikation. Sie wurde 2009 durch
  • die Richtlinie2009/136/EG ("Cookie-Richtlinie") ge├Ąndert, welche vor allem durch spezielle Regelungen zur Einwilligung von Nutzenden in die Datenverarbeitung und -speicherung eine gewisse Ber├╝hmtheit erlangt hat.

Beide letztgenannten Verordnungen sind in Kraft (die bis zum 04.07.2018 fehlerhafte Wikipedia-Angabe habe ich mal zur Korrektur angesto├čen ­čÖé ). Sie gelten – soweit in der "Gesetzeshierarchie" m├Âglich – parallel zur DSGVO. Alle drei finden (angeblich, s.o.) in Form des TMG nationalgesetzlichen Niederschlag. Den damit verbundenen Gesetzesknoten (in meinem Kopf) versuche ich noch einmal herauszuarbeiten: Die DSGVO beinhaltet in Art. 94 die Aufhebung der EU-Datenschutzrichtlinie und in Art. 95 eine Kollisionsregel bzgl. der beiden anderen EU-Richtlinien:

Diese Verordnung erlegt nat├╝rlichen oder juristischen Personen […] keine zus├Ątzlichen Pflichten auf, soweit sie besonderen in der Richtlinie 2002/58/EG festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen.

Art. 95 DSGVO

Der passende Erw├Ągungsgrund Nr. 173 lautet

Diese Verordnung sollte auf alle Fragen des Schutzes der Grundrechte und Grundfreiheiten bei der Verarbeitung personenbezogener Daten Anwendung finden, die nicht den in der Richtlinie 2002/58/EG […] bestimmte Pflichten, die dasselbe Ziel verfolgen, unterliegen, einschlie├člich der Pflichten des Verantwortlichen und der Rechte nat├╝rlicher Personen. Um das Verh├Ąltnis zwischen der vorliegenden Verordnung und der Richtlinie 2002/58/EG klarzustellen, sollte die Richtlinie entsprechend ge├Ąndert werden. Sobald diese Verordnung angenommen ist, sollte die Richtlinie 2002/58/EG einer ├ťberpr├╝fung unterzogen werden, um insbesondere die Koh├Ąrenz mit dieser Verordnung zu gew├Ąhrleisten.

EG. 173 DSGVO

Die G├╝ltigkeit der ePrivacy– und der Cookie-Richtlinien werden also nicht angetastet. Vielmehr soll eine "saubere Koexistenz", notfalls durch die Anpassung der Richtlinie, hergestellt werden. Dummerweise ist das TMG die Umsetzung aller drei Richtlinien, soll hei├čen:

Die Aufhebung der Datenschutzrichtlinie macht ihre nationale Umsetzung (Abschnitt "Datenschutz", ┬ž┬ž 11ff. TMG) obsolet. An ihre Stelle treten nun nicht etwa die anderen noch g├╝ltigen EU-Richtlinien, sondern (aufgrund des Anwendungsvorrangs) die Regelungen der DSGVO (Hier folge ich den Argumenten der "Konferenz der unabh├Ąngigen Datenschutzbeh├Ârden des Bundes und der L├Ąnder" (DSK), s.o., Link). Zumindest vermute ich hier noch einige Hausaufgaben f├╝r die nationale Gesetzgebung – oder wir warten auf die Abl├Âsung der ePrivacy- und Cookie-Richtlinie durch die kommende ePrivacy-Verordnung (Entwurf hier, geplante Aufhebung von 2002/58/EG in Art. 27), die dann wiederum ├╝ber den Anwendungsvorrang von Verordnungen direkte G├╝ltigkeit erlangt und so die nationale Gesetzesbaustelle schlie├čen kann. Das wird f├╝r Webseitenbetreibende vor allem bzgl. des Setzens von Cookies ("nur" Opt-Out durch "Wer weiter surft ist einverstanden" wird wohl nicht mehr ausreichen) und f├╝r evtl. den Newsletterversand interessant.

Hinweis: Es schadet nicht, neben der DSGVO die geltenden EU-Richtlinien und die nationalen Datenschutz- und Spezialgesetze im Blick zu halten.

Ist die DSGVO "besser" als die alten Datenschutzregelungen?

Meiner bescheidenen Meinung nach war der Datenschutz in Deutschland schon recht l├╝ckenlos und sinnvoll geregelt. BDSG (in der alten Fassung) und TMG haben recht gut zusammengepasst und ├╝ber weite Strecken den EU-Richtlinien Rechnung getragen, soweit ich das als Betreiber von Webseiten, Verantwortlicher f├╝r Lernplattformen und Verfasser von "Datenschutzhinweisen" einsch├Ątzen kann.

Allerdings zeichnete sich die Durchsetzung der Bundes- und Landesdatenschutzgesetze nicht immer durch allerh├Âchsten Nachdruck aus – und die m├Âglichen Sanktionsrahmen waren einigerma├čen ├╝berschaubar: Die DSGVO verdankt einen Teil der Aufmerksamkeit, die ihr zuteil wird, vor allem den vergleichsweise krassen Sanktionen, die nun verh├Ąngt werden k├Ânnen: Art. 83 (4) und (5) DSGVO rufen hier bis zu 20 Mio. Euro bzw. 4% des weltweiten Jahresumsatzes auf. Dagegen wirkt der alte ┬ž 43 BDSG mit gerade einmal bis zu 300.000 Euro wie "Peanuts" ­čś«

Aber auch vor der DSGVO galten gewisse Grunds├Ątze und Prinzipien, erw├Ąhnenswert finde ich (neben der Informationellen Selbstbestimmung im Allgemeinen) vor allem

┬ž3a BDSG (alt) hat dar├╝ber hinaus diverse Grunds├Ątzlichkeiten festgeschrieben, welche tlw. durch richterliche Rechtsauslegung weiter pr├Ązisiert wurden, u.a.:

  • Datensparsamkeit (Info): Meint eigentlich zwei verschiedene Dinge, n├Ąmlich
    • Anpassung der Datenverarbeitungsstrukturen (vorgelagert zur Vermeidung und Minimierung) bereits vor Datenspeicherung und -verarbeitung, so dass m├Âglichst wenig Daten ├╝berhaupt gespeichert werden (heute: "Privacy by Design"), und
    • ├ťberpr├╝fung der zu speichernden Daten auf Notwendigkeit und Erforderlichkeit f├╝r den angegebenen Zweck der Datenspeicherung.
  • Datenvermeidung: Diese h├Ąngt eng mit der Sparsamkeit ("Erforderlichkeit?") zusammen, meint m.M.n. dar├╝ber hinaus allerdings auch das "nachtr├Ągliche Ausd├╝nnen" personenbezogener Daten, z.B.: die Anonymisierung von IP-Adressen bei Datenverkehrsanalyse-Tools (oder bei WordPress-Kommentaren ­čÖé ), sobald der urspr├╝ngliche Speicherzweck erf├╝llt ist.
  • Datenminimierung: Auch hier geht es um die Reduzierung des Umfangs unmittelbar personenbezogener Daten, z.B. durch Pseudonymisierung (nur mittelbar personenbezogen), oder regelm├Ą├čige (automatisierte) L├Âschung von nicht mehr genutzten Daten.

Diese Prinzipien finden sich nat├╝rlich auch in der DSGVO (Art. 5), hei├čen tlw. anders und haben eine leicht abweichende Definition. Wer den "alten" Datenschutz ernst genommen hat, wird durch folgende Regelungen aber nicht ├╝berm├Ą├čig ├╝berrascht werden:

  • Rechtm├Ą├čigkeit: Daten d├╝rfen nur auf Basis einer Rechtsgrundlage verarbeitet werden, z.B. weil der/die Betroffene in die Verarbeitung eingewilligt haben oder die Datenverarbeitung im Rahmen der Erf├╝llung eines bestehenden Vertrages erfolgt (geregelt in Art. 6 DSGVO). Spannend ist das noch nicht ├╝ber Muster-/Pr├Ązedenzf├Ąlle weiter ausdefinierte "berechtigte Interesse der Verantwortlichen" (nach Art. 6 (1) lit. f.). Wo h├Ârt mein berechtigtes Interesse auf und fangen die Interessen und Grundfreiheiten meiner Webseitenbesuchenden an?
  • Nachvollziehbarkeit: Die Betroffenen m├╝ssen (gem. Art. 12 DSGVO) ├╝ber alle Verarbeitungen und Ihr Recht auf Auskunft umfassend informiert werden (s. Art. 13ff. DSGVO). Au├čerdem m├╝ssen die Betroffenen ├╝ber weitere Rechte (Berichtigung, L├Âschung, Einschr├Ąnkung der Verarbeitung, Daten├╝bertragbarkeit, Widerspruch gem. Art. 15 – 21 DSGVO) informiert werden.
  • Zweckbindung: Daten d├╝rfen nur f├╝r den vor der Erhebung angegebenen Zweck verarbeitet werden und nicht nach einem "Jetzt-habe-ich-sie-schon-mal-was-k├Ânnte-ich-denn-noch-damit-machen"-Verfahren zweckentfremdet verarbeitet werden.
  • Dar├╝ber hinaus sind in Art. 5 DSGVO Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrit├Ąt und Vertraulichkeit, sowie Rechenschaftspflicht benannt.
  • Erw├Ąhnenswert sind au├čerdem die Prinzipien "Privacy by Design" und "Privacy by Default", dt. "Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen". In Art. 25 DSGVO wird festgelegt, dass sowohl die Datenerhebungs- und -verarbeitungsroutinen so gestaltet sein sollen, dass m├Âglichst wenig personenbezogene Daten ├╝berhaupt erhoben werden als auch, dass die Voreinstellungen m├Âglichst so sein m├╝ssen, dass m├Âglichst wenig Daten (bzgl. Umfang, Menge, Speicherdauer, Zugriff) gespeichert werden.

Zusammenfassend: Die DSGVO st├Ąrkt die Rechte von Betroffenen.
Wer bisher schon datenschutzsensibel war, wird mit der Umsetzung der DSGVO keine gr├Â├čeren Probleme haben. Oder?

Um alle diese Anforderungen und Pflichten zu erf├╝llen, muss ich also erst einmal f├╝r meinen Anwendungsfall herausfinden, welche Daten ich ├╝berhaupt verarbeite. Darum geht es in Teil 2 dieser Artikelserie.

"Die DSGVO und ich" von Martin Smaxwil ist unter einer CC BY 4.0-Lizenz veröffentlicht.
Dar├╝ber hinausgehende Hinweise zu Bestandteilen wie Code Snippets u.├Ą. findet man hier.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht ver├Âffentlicht. Erforderliche Felder sind mit * markiert