In den letzten Tagen habe ich ein wenig Zeit dafür verwendet, um mich mit der Datenschutzgrundverordnung (DSGVO) (General Data Protection Regulation) zu beschäftigen. Dabei habe ich mich darauf konzentriert, dass ich meinen Blog und meine anderen Dienste (wie z.B. eben hoth.one) auch nach dem 25. Mai weiter betreiben darf.

Zunächst einmal vorweg: es war anstrengend und ich weiß nicht, ob ich nun wirklich sicher bin oder ob ich bald alle Dienste doch einstellen muss. Den "schmutzigsten" Hinweis für die DSGVO habe ich auf einer eher kleineren Seite dazu gefunden. Man soll die robots.txt so erstellen, dass die Impressumsseite nicht gelistet wird. So beugt man schonmal automatischen Abmahnwellen vor, da diese Seite dann nicht von Suchmaschinen erfasst wird. Ich finde das nicht gut, dass so etwas überhaupt nötig ist bzw. überhaupt empfohlen wird, ein Schutz ist es aber sicherlich. Die meisten Crawler werden wohl auch Google zur Suche verwenden. Die Leute hinter den automatisierten Abmahnwellen sollte man eventuell auch mal abmahnen. Fühlt sich sicherlich nicht gut an, vor allem nicht, wenn man ein kleiner Fisch bei den Websites ist und nicht zig tausend Besucher pro Tag aufweist.

Bei meiner Recherche war ich zunächst einmal verwundert, dass die Regelungen eigentlich für alle gilt. Das macht natürlich Sinn, ist aber für kleinere Websites durchaus aufwendig und im verfügbaren Zeitrahmen kaum machbar. Es ist aber trotzdem der richtige Weg und den sollte man in der Politik auch weiter verfolgen. Weniger Daten, weniger Schmutz, weniger Sammelei. Das heiße ich gut. Was mich jedoch überrascht hat, ist die Tatsache, dass manche Formulierungen sogar im Gesetz schwammig sind.

Ich möchte kurz einmal zusammenfassen, was die Grundidee der DSGVO ist. Die DSGVO soll die Datenverarbeitung für Internetdienste für Nutzer transparenter und nachvollziehbarer gestalten. Dabei muss jeder der internen Vorgänge auf einer Website oder einem Dienst detailliert protokolliert werden. Dazu gehört unter anderem, dass der Betreiber folgende Aspekte transparent und immer verfügbar auf einer dedizierten Seite darstellt:

  • Welche Daten werden verarbeitet?
  • Wieso werden diese Daten verarbeitet?
  • Wie lange werden diese Daten gespeichert?
  • Werden die Daten an Dritte weitergegeben oder mit anderen Diensten verknüpft?

Die Umsetzung klingt zunächst einmal leicht. Ist doch klar, was z.B. hier auf dem Blog verarbeitet wird: eine E-Mail, ein Nickname und Inhalte von Beiträgen im Kommentarbereich. Das ist offensichtlich und lässt sich klar im neuen Impressum spezifizieren. Die anderen Daten, die aber nicht direkt sichtbar sind, sind aber das eigentliche Problem. Ab diesem Punkt wird es anstrengend. Der Server verarbeitet jede Anfrage für alle Dienste mithilfe eines Webservers. Dieser Webserver protokolliert die Anfragen, um mögliche Fehler aufzudecken, damit man diese zeitnah beheben kann. Noch anstrengender wird es bei richtigen Diensten wie z.B. Chatapplikationen, die dezentral mit anderen Applikationen kommunizieren. Auch kann es leicht passieren, dass man ein Service einfach nicht bedenkt und diesen vergisst oder die Log-Einstellungen so vehement versteckt sind, dass es einfach nur zeitraubend ist diese zu ändern.

Was habe ich nun aber getan? Neben der Darstellung auf den Impressumsseiten habe ich kontrolliert, dass kein Dienst mehr Zugriffsdaten (sog. access logs mit z.B. IP-Adressen) speichert (außer im Fehlerfall oder bei einem Angriff auf die Dienste, das ist dann berechtigtes Interesse). Bei manchen Diensten war das Speichern der Normalfall, wenn auch nicht bei vielen. Das ist nun aus. Für mein kleines Dienstangebot unter hoth.one habe ich eigentlich nur für den XMPP-Server größere Schwierigkeiten gehabt. Dort ist die Privacy Policy nun aber ebenfalls aktualisiert und verweist für die letzten beiden Fragen (Zeitrahmen der Datenverarbeitung und Datenspeicherung, Kommunikation mit anderen Diensten) auf eine von Serveradmins gesammelte Liste. Die habe ich als sehr passend empfunden. Da muss ich nun natürlich kontrollieren, dass die Links immer online sind. Vielleicht werde ich sie doch noch kopieren. Zusätzlich wird genau aufgelistet, wie lange welche anderen Daten gespeichert werden. Die anderen Dienste, die ich anbiete, sind nur mit Einladungen nutzbar, d.h. von Freunden und Bekannten. Das stellt also kein Problem dar.

Reicht das nun? Hat alles die richtige Form? Reicht z.B. der Cookie-Hinweis aus, der bei Start der Seiten erscheint oder muss dieser wirkliches Opt-In sein? Wenn ja, muss man dann eine "pre-site" einbauen, damit der Nutzer auf "ja" oder "nein" klicken kann und wie früher dann z.B. zu "about:blank" oder so etwas umgeleitet wird? Meine kleine entwickelte Blog-Software, die ich hier benutze, verwendet Sessions, da wird automatisch ein Cookie beim Aufruf gesetzt, der rein vom bisherigen Programmablauf notwendig ist. Zählt das schon zum "geht nicht ohne" und ist deshalb erlaubt oder ist es eher ein "theoretisch geht es anders"? Ich habe es nun "bloggerfreundlich" interpretiert und mir damit Arbeit erspart. Spätestens bei der Verabschiedung der ePrivacy-Verordnung werden sich solche Fragen endgültig klären.

Bei der Umsetzung hat es mir vor allem geholfen, dass ich aus Überzeugung sowieso datensparsame Einstellungen (z.B. alles lokal gehostet und keine Fonts von Drittanbietern) habe. Eine Unsicherheit bleibt natürlich. Ich bin gespannt, was da ab dem 25. Mai passiert und was man von anderen Seitenbetreibern hört.

Quellen:

  1. https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/03/OH-Datenschutz-im-Verein-nach-der-DSGVO.pdf
  2. https://datenschmutz.net/dsgvo-checkliste-fuer-blogs/
  3. https://www.janalbrecht.eu/2018/05/dsgvo-haeufig-gestellte-fragen-haeufig-verbreitete-mythen/
  4. https://www.heise.de/newsticker/meldung/DSGVO-Folterfragebogen-im-Selbsttest-3974512.html
  5. https://www.heise.de/ct/artikel/DSGVO-Last-Minute-Hilfe-gegen-Abmahnungen-und-Bussgelder-4051486.html
  6. https://dsgvo-gesetz.de

Kommentare

Keine Daten vorhanden.

Mit dem Absenden des Formulars akzeptiere ich die Datenschutzbestimmungen dieses Dienstes.