Die DSGVO und ich

DSGVO, Teil 1

Ich bin wieder online. 🙂 Das war durchaus ein gutes Stück Arbeit. Die EU Datenschutz-Grundverordnung (umgangssprachlich: DSGVO, offiziell: "Verordnung (EU) 2016/679", strukturierte Online-Version u.a. hier) hat ja bekanntermaßen einiges an Staub aufgewirbelt. Für viele Netzangebote wie meines bedeutet sie, dass die Betreibenden nicht nur – wie bisher – Administrator/in, Frontend-Designer/in, Redakteur/in, Autor/in, Moderator/in, etc. in Personalunion sind, sondern darüber hinaus die Rollen "Datenschutzbeauftragte/r" und "Hausjurist/in" nun auch dazu gehören.

Ich habe mich also da durch gewühlt und meine Erfahrungen und mein Vorgehen schildere ich in diesem Artikel dieser Artikelserie. Vielleicht sind ja interessante Infos, worauf Seitenbetreibende achten müssen (Teil 2) oder nützliche Anpassungen und Einstellungen (Teil 3) dabei. Dieser erste Teil liefert die Theorie…

Hinweis:
Ich bin kein Jurist. Obwohl ich alle hier veröffentlichten Informationen mit großer Sorgfalt recherchiert habe, ersetzen diese Beiträge natürlich keine Rechtsberatung. Und:
Ich bin kein Softwareentwickler. Für die ggf. präsentierten technischen Lösungen kann ich ebenfalls keine Garantien geben, dass sie generell zuverlässig – und schon gar nicht in anderen Kontexten als meinem – funktionieren.

Was ist die DSGVO?

Ganz von vorne? Na gut: Die DSGVO ist eine EU-Verordnung. Diese sind zu unterscheiden von EU-Richtlinien, denn Verordnungen haben verbindliche und unmittelbare Geltung in allen EU-Mitgliedsstaaten; Richtlinien müssen dagegen erst in den Mitgliedstaaten in Form nationaler Gesetze umgesetzt werden. Ungeachtet dieses Anwendungsvorrangs können über Kollisionsregeln oder Öffnungsklauseln durchaus weitere, auch nationale Gesetze zum gleichen Thema neben der DSGVO Gültigkeit haben. Dazu unten mehr.

Die DSGVO regelt seit dem 25.05.2018 EU-weit alle datenschutzrelevanten Vorgänge bzgl. der Verarbeitung (*) personenbezogener Daten (*). Die eigentlich zur DSGVO passende ePrivacy-Verordnung (Entwurf hier) sollte ursprünglich zeitgleich in Kraft treten, ist aber leider nicht fertig geworden (Stand: Juli 2018).

Die DSGVO gilt sehr umfassend

für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Art. 2 (1) DSGVO

Vor allem die "nichtautomatisierte Verarbeitung" in Verbindung mit "Speicherung in einem Dateisystem" ist einer der Kritikpunkte an der DSGVO, betrifft nach mancher Meinung so nämlich auch die Excel-Listen mit den Vereinsmitgliedern des Kleingartenvereins oder die Übertragung von Visitenkarten in die Kontakte des Smartphones. Das fühlt sich für manche Betroffene an wie diese sprichwörtlichen Kanonen, mit denen auf die Spatzen geschossen wird.

Faustregel: Die DSGVO skaliert nicht bzgl. der Größe der Verantwortlichen.

Ausnahmen gem. Art. 2 (2) DSGVO greifen in den allermeisten Fällen nicht. Zwar räumt Art. 2 (2) lit. c) für die "Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten" eine Schranke ein, aber der familiäre Rahmen wird bei öffentlich zugänglichen Webseiten wohl regelmäßig überschritten. Darüber hinaus "versteckt" sich ein interessantes Detail in den Erwägungsgründen (EG DSGVO). Dort heißt es in EG 18 Satz 3 DSGVO:

Diese Verordnung gilt jedoch für die Verantwortlichen […], die die Instrumente für die Verarbeitung personenbezogener Daten für solche persönlichen oder familiären Tätigkeiten bereitstellen.

EG 18 Satz 3 DSGVO

Klingt für mich wie: Selbst wenn ich meinen Blog passwortgeschützt nur Familienmitgliedern zur Verfügung stelle (während der Umbau-Phase habe ich übrigens das WordPress-Plugin Password Protected genutzt), gilt die DSGVO trotzdem in Bezug auf die Bereitstellung "technischer Infrastruktur" (in diesem Beispiel u.a. die Blog-Software). Ausgenommen sind somit am Ende also nur z.B. der Familien-Geburtstagskalender (wenn gilt: handschriftlich ≠ automatisiert, Papierform ≠ Dateisystem) oder die "analoge" Telefonliste für das jährliche Familientreffen…

Dass dagegen im Falle eines Betriebes einer öffentlich zugänglichen Webseite personenbezogene Daten anfallen, ist wohl einigermaßen unstrittig: Auch wenn ich keine (datenschutztechnisch tlw. in Verruf geratene) Online-Werbedienste/-netzwerke oder Datenverkehrsanalysesoftware nutze, liefern bereits die Registrierungsmöglichkeit, die Kommentarfunktion und die Cookies von WordPress genügend Gründe, um eine automatisierte Verarbeitung (*) personenbezogener (*) Daten anzunehmen 🙂

* Verarbeitung im Sinne der DSGVO meint

jeden […] Vorgang oder jede […] Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

Art. 4 Nr. 2 DSGVO

* personenbezogene Daten meint

alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Art. 4 Nr. 1 DSGVO

Faustregel: Die DSGVO gilt auf jeden Fall für Webseitenbetreibende und für alle Formen der Datenverarbeitung von personenbezogenen Daten.

Jede/r Blog-, Shop-, Webseiten- oder "Sonstwas-im-Internet"-Betreibende ist also in den allerallermeisten Fällen auch immer Verantwortliche/r (im Sinne von Art. 4 Nr. 7 DSGVO) für die Verarbeitung personenbezogener Daten. Denn selbst wenn man keine Kommentare zu Blog-Artikeln zulässt und keine Registrierung anbietet, müssen darüber hinaus z.B. der Einsatz von Webfonts, von eingebetteten Inlineframes (kurz: iframe, z.B. von YouTube, Vimeo, Google Maps, etc., auch "Like-Buttons") oder sonstigen externen Inhalten (Facebook-Posts, Instagram-Beiträge, Tweets, …), und nicht zuletzt der Einsatz von Bordmitteln wie den WordPress-Emojis, -Avataren und -Cookies bedacht werden: Die DSGVO ist daher (für mich) ein guter Zeitpunkt, sich selber für die Datenverarbeitung durch die eigene Webseite zu sensibilisieren 😉

Was steht denn so in der DSGVO?

Die DSGVO rückt die Informationelle Selbstbestimmung der Betroffenen in den Vordergrund. Obwohl nicht ausdrücklich im Grundgesetz (in Form eines Datenschutzgrundrechts) der Bundesrepublik Deutschland erwähnt, hat es durch Rechtsprechung des Bundesverfassungsgerichtes ("Volkszählungsurteil", Begründung C II 1. lit. a)) quasi Grundrechtscharakter. In der Charta der Grundrechte der Europäischen Union findet es in Art. 8 seine Entsprechung. Sie meint die grundsätzliche autonome Entscheidung von Personen über die Preisgabe und Verwendung von Daten, die mit ihrer Person mittelbar oder unmittelbar in Verbindung stehen.

Die DSGVO grenzt hierfür die Rechtmäßigkeit der Verarbeitung ein und erlegt den Verantwortlichen eine Reihe von Pflichten auf. Sie steht (ultra-verkürzt) auf 4 Säulen:

  1. Transparenz und Information: Alle von einer Verarbeitung personenbezogener Daten betroffenen Personen müssen transparent, verständlich und rechtzeitig ("zum Zeitpunkt der Erhebung", vgl. Art. 13 (1) DSGVO) über die Datenverarbeitung incl. Angaben zu z.B. Rechtsgrundlage und Speicherdauer aufgeklärt werden.
  2. Dokumentation und Rechenschaftspflicht: Dafür müssen Datenschutzerklärungen bereitgestellt und Verfahrensverzeichnisse geführt werden, in besonderen Fällen muss eine sog. "Folgenabschätzung" angestellt werden.
  3. Umfangreiche Betroffenenrechte: Alle betroffenen Personen haben umfangreiche Rechte, vor allem auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch und Beschwerde, und müssen über diese Rechte aufgeklärt werden.
  4. Organisatorische und technische Bedingungen: Dazu gehören die evtl. notwendige Benennung eines Datenschutzbeauftragten, die Zusammenarbeit mit Aufsichtsbehörden, aber auch die Systemsicherheit (z.B. durch Verschlüsselung), die Gestaltung der Datenverarbeitungssysteme und "datenschutzfreundliche Voreinstellungen".

Fazit: Die DSGVO birgt für Webseitenbetreibende Hausaufgaben bzgl. Technik, Organisation und Dokumentation.

Welche nationalen Gesetze gelten darüber hinaus?

Die in Deutschland für Webseitenbetreibende über die DSGVO hinaus geltenden nationalen Gesetze sind das Bundesdatenschutzgesetz (BDSG 2018, passend zur DSGVO geändert) und das Telemediengesetz (TMG):

  • Das BDSG übernimmt seit Inkrafttreten der DSGVO vor allem die Aufgabe, die Öffnungsklauseln der DSGVO zu füllen und deren Regeln zu präzisieren. Die Gültigkeit für nicht-öffentliche Stellen (also auch für Webseitenbetreibende) ist in § 1 (1) Nr. 2 Satz 2 i.V.m. § 1 (4) BDSG geregelt. Dem Anwendungsvorrang der DSGVO wird in § 1 (5) BDSG Rechnung getragen.
  • Das TMG ist ein spezifisches Gesetz zum Angebot von Telemediendiensten und hat u.a. bzgl. der Impressumpflicht bereits einen gewissen Bekanntheitsgrad erreicht. Es behält seine Gültigkeit nach Inkrafttreten der DSGVO jedoch nur in Teilen. Durch den Anwendungsvorrang von EU-Verordnungen gegenüber nationalen Gesetzen werden nämlich Teile des TMG verdrängt – vor allem werden die §§ 11ff. TMG, welche sich explizit auf den Datenschutz beziehen, wohl nicht mehr zur Anwendung kommen. Das ist vor allem für den Einsatz von (Tracking-) Cookies interessant, da das TMG (nicht unumstritten! Infos z.B. hier und hier) als nationale Umsetzung der EU-Richtlinien 2002/58/EG (sog. "ePrivacy-Richtlinie", s.u.) und 2009/136/EG (sog. "Cookie-Richtlinie", s.u.) gilt.

Was ist mit diesen EU-Richtlinien?

Für "Internet" im Allgemeinen und Webseitenbetreibende im Speziellen sind wohl drei Richtlinien erwähnenswert:

  • Die Richtlinie 95/46/EG ("Datenschutzrichtlinie"): Diese ist bereits aus dem Jahre 1995 und wurde durch die DSGVO abgelöst.
  • Die Richtlinie2002/58/EG ("ePrivacy-Richtlinie", nicht zu verwechseln mit der kommenden ePrivacy-Verordnung): Sie regelt den Schutz personenbezogener Daten bei elektronischer Kommunikation. Sie wurde 2009 durch
  • die Richtlinie2009/136/EG ("Cookie-Richtlinie") geändert, welche vor allem durch spezielle Regelungen zur Einwilligung von Nutzenden in die Datenverarbeitung und -speicherung eine gewisse Berühmtheit erlangt hat.

Beide letztgenannten Verordnungen sind in Kraft (die bis zum 04.07.2018 fehlerhafte Wikipedia-Angabe habe ich mal zur Korrektur angestoßen 🙂 ). Sie gelten – soweit in der "Gesetzeshierarchie" möglich – parallel zur DSGVO. Alle drei finden (angeblich, s.o.) in Form des TMG nationalgesetzlichen Niederschlag. Den damit verbundenen Gesetzesknoten (in meinem Kopf) versuche ich noch einmal herauszuarbeiten: Die DSGVO beinhaltet in Art. 94 die Aufhebung der EU-Datenschutzrichtlinie und in Art. 95 eine Kollisionsregel bzgl. der beiden anderen EU-Richtlinien:

Diese Verordnung erlegt natürlichen oder juristischen Personen […] keine zusätzlichen Pflichten auf, soweit sie besonderen in der Richtlinie 2002/58/EG festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen.

Art. 95 DSGVO

Der passende Erwägungsgrund Nr. 173 lautet

Diese Verordnung sollte auf alle Fragen des Schutzes der Grundrechte und Grundfreiheiten bei der Verarbeitung personenbezogener Daten Anwendung finden, die nicht den in der Richtlinie 2002/58/EG […] bestimmte Pflichten, die dasselbe Ziel verfolgen, unterliegen, einschließlich der Pflichten des Verantwortlichen und der Rechte natürlicher Personen. Um das Verhältnis zwischen der vorliegenden Verordnung und der Richtlinie 2002/58/EG klarzustellen, sollte die Richtlinie entsprechend geändert werden. Sobald diese Verordnung angenommen ist, sollte die Richtlinie 2002/58/EG einer Überprüfung unterzogen werden, um insbesondere die Kohärenz mit dieser Verordnung zu gewährleisten.

EG. 173 DSGVO

Die Gültigkeit der ePrivacy– und der Cookie-Richtlinien werden also nicht angetastet. Vielmehr soll eine "saubere Koexistenz", notfalls durch die Anpassung der Richtlinie, hergestellt werden. Dummerweise ist das TMG die Umsetzung aller drei Richtlinien, soll heißen:

Die Aufhebung der Datenschutzrichtlinie macht ihre nationale Umsetzung (Abschnitt "Datenschutz", §§ 11ff. TMG) obsolet. An ihre Stelle treten nun nicht etwa die anderen noch gültigen EU-Richtlinien, sondern (aufgrund des Anwendungsvorrangs) die Regelungen der DSGVO (Hier folge ich den Argumenten der "Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder" (DSK), s.o., Link). Zumindest vermute ich hier noch einige Hausaufgaben für die nationale Gesetzgebung – oder wir warten auf die Ablösung der ePrivacy- und Cookie-Richtlinie durch die kommende ePrivacy-Verordnung (Entwurf hier, geplante Aufhebung von 2002/58/EG in Art. 27), die dann wiederum über den Anwendungsvorrang von Verordnungen direkte Gültigkeit erlangt und so die nationale Gesetzesbaustelle schließen kann. Das wird für Webseitenbetreibende vor allem bzgl. des Setzens von Cookies ("nur" Opt-Out durch "Wer weiter surft ist einverstanden" wird wohl nicht mehr ausreichen) und für evtl. den Newsletterversand interessant.

Hinweis: Es schadet nicht, neben der DSGVO die geltenden EU-Richtlinien und die nationalen Datenschutz- und Spezialgesetze im Blick zu halten.

Ist die DSGVO "besser" als die alten Datenschutzregelungen?

Meiner bescheidenen Meinung nach war der Datenschutz in Deutschland schon recht lückenlos und sinnvoll geregelt. BDSG (in der alten Fassung) und TMG haben recht gut zusammengepasst und über weite Strecken den EU-Richtlinien Rechnung getragen, soweit ich das als Betreiber von Webseiten, Verantwortlicher für Lernplattformen und Verfasser von "Datenschutzhinweisen" einschätzen kann.

Allerdings zeichnete sich die Durchsetzung der Bundes- und Landesdatenschutzgesetze nicht immer durch allerhöchsten Nachdruck aus – und die möglichen Sanktionsrahmen waren einigermaßen überschaubar: Die DSGVO verdankt einen Teil der Aufmerksamkeit, die ihr zuteil wird, vor allem den vergleichsweise krassen Sanktionen, die nun verhängt werden können: Art. 83 (4) und (5) DSGVO rufen hier bis zu 20 Mio. Euro bzw. 4% des weltweiten Jahresumsatzes auf. Dagegen wirkt der alte § 43 BDSG mit gerade einmal bis zu 300.000 Euro wie "Peanuts" 😮

Aber auch vor der DSGVO galten gewisse Grundsätze und Prinzipien, erwähnenswert finde ich (neben der Informationellen Selbstbestimmung im Allgemeinen) vor allem

§3a BDSG (alt) hat darüber hinaus diverse Grundsätzlichkeiten festgeschrieben, welche tlw. durch richterliche Rechtsauslegung weiter präzisiert wurden, u.a.:

  • Datensparsamkeit (Info): Meint eigentlich zwei verschiedene Dinge, nämlich
    • Anpassung der Datenverarbeitungsstrukturen (vorgelagert zur Vermeidung und Minimierung) bereits vor Datenspeicherung und -verarbeitung, so dass möglichst wenig Daten überhaupt gespeichert werden (heute: "Privacy by Design"), und
    • Überprüfung der zu speichernden Daten auf Notwendigkeit und Erforderlichkeit für den angegebenen Zweck der Datenspeicherung.
  • Datenvermeidung: Diese hängt eng mit der Sparsamkeit ("Erforderlichkeit?") zusammen, meint m.M.n. darüber hinaus allerdings auch das "nachträgliche Ausdünnen" personenbezogener Daten, z.B.: die Anonymisierung von IP-Adressen bei Datenverkehrsanalyse-Tools (oder bei WordPress-Kommentaren 🙂 ), sobald der ursprüngliche Speicherzweck erfüllt ist.
  • Datenminimierung: Auch hier geht es um die Reduzierung des Umfangs unmittelbar personenbezogener Daten, z.B. durch Pseudonymisierung (nur mittelbar personenbezogen), oder regelmäßige (automatisierte) Löschung von nicht mehr genutzten Daten.

Diese Prinzipien finden sich natürlich auch in der DSGVO (Art. 5), heißen tlw. anders und haben eine leicht abweichende Definition. Wer den "alten" Datenschutz ernst genommen hat, wird durch folgende Regelungen aber nicht übermäßig überrascht werden:

  • Rechtmäßigkeit: Daten dürfen nur auf Basis einer Rechtsgrundlage verarbeitet werden, z.B. weil der/die Betroffene in die Verarbeitung eingewilligt haben oder die Datenverarbeitung im Rahmen der Erfüllung eines bestehenden Vertrages erfolgt (geregelt in Art. 6 DSGVO). Spannend ist das noch nicht über Muster-/Präzedenzfälle weiter ausdefinierte "berechtigte Interesse der Verantwortlichen" (nach Art. 6 (1) lit. f.). Wo hört mein berechtigtes Interesse auf und fangen die Interessen und Grundfreiheiten meiner Webseitenbesuchenden an?
  • Nachvollziehbarkeit: Die Betroffenen müssen (gem. Art. 12 DSGVO) über alle Verarbeitungen und Ihr Recht auf Auskunft umfassend informiert werden (s. Art. 13ff. DSGVO). Außerdem müssen die Betroffenen über weitere Rechte (Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch gem. Art. 15 – 21 DSGVO) informiert werden.
  • Zweckbindung: Daten dürfen nur für den vor der Erhebung angegebenen Zweck verarbeitet werden und nicht nach einem "Jetzt-habe-ich-sie-schon-mal-was-könnte-ich-denn-noch-damit-machen"-Verfahren zweckentfremdet verarbeitet werden.
  • Darüber hinaus sind in Art. 5 DSGVO Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, sowie Rechenschaftspflicht benannt.
  • Erwähnenswert sind außerdem die Prinzipien "Privacy by Design" und "Privacy by Default", dt. "Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen". In Art. 25 DSGVO wird festgelegt, dass sowohl die Datenerhebungs- und -verarbeitungsroutinen so gestaltet sein sollen, dass möglichst wenig personenbezogene Daten überhaupt erhoben werden als auch, dass die Voreinstellungen möglichst so sein müssen, dass möglichst wenig Daten (bzgl. Umfang, Menge, Speicherdauer, Zugriff) gespeichert werden.

Zusammenfassend: Die DSGVO stärkt die Rechte von Betroffenen.
Wer bisher schon datenschutzsensibel war, wird mit der Umsetzung der DSGVO keine größeren Probleme haben. Oder?

Um alle diese Anforderungen und Pflichten zu erfüllen, muss ich also erst einmal für meinen Anwendungsfall herausfinden, welche Daten ich überhaupt verarbeite. Darum geht es in Teil 2 dieser Artikelserie.

"Die DSGVO und ich" von Martin Smaxwil ist unter einer CC BY 4.0-Lizenz veröffentlicht.
Darüber hinausgehende Hinweise zu Bestandteilen wie Code Snippets u.ä. findet man hier.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert