Montag, 16. April 2018

Noch mal in eigener Sache: Datenschmutz


Mag sein, dass ich aufgrund aktueller Ereignisse, über die ich vielleicht beizeiten noch genauer berichten werde, ein wenig überempfindlich bin, was die rechtlichen Aspekte der Bloggerei angeht. Ich hoffe sogar, dass das so ist. Aber mich treibt das ziemlich um. Am 25. Mai tritt die Datenschutzgrundverordnung (DSGVO) in Kraft, die Dienstanbieter im Netz zu etlichen Maßnahmen in Puncto Datenschutz zwingt. In letzter Konsequenz sieht es so aus, dass wohl nur große professionelle Anbieter diesen Anforderungen wirklich gerecht werden können. Diesen Blog gibt es jetzt seit September 2011, das sind immerhin gut sechseinhalb Jahre. Hat mir fast immer Spaß gemacht und macht es nach wie vor. Im Lichte der demnächst geltenden Vorschriften trage ich mich aber zum allerersten Mal ernsthaft mit dem Gedanken, die Sache dranzugeben und hier den Stecker zu ziehen.

Das wäre sehr schade und ich möchte das auch überhaupt nicht, denn dieser Blog, so klein und randständig er sein mag, ist in den letzten Jahren Teil meines Alltags geworden. Eine simple, unbürokratische Möglichkeit, meinen Senf dazuzugeben, mich mit anderen ('Kleinbloggersdorf') auszutauschen und gelegentlich auch zu streiten. Ferner, weil es - gewiss nicht ganz uneitel, das - ein cooles Gefühl ist, gelesen zu werden und die regelmäßige Schreiberei einen sprachlich fit hält. Möchte ich eigentlich nicht missen. Wenn ich das hier irgendwann beenden sollte, so war von Anfang an der Plan, dann aus eigener, freier Entscheidung heraus und nicht, weil ich mich wegen irgendwas dazu gezwungen sehe.

Aufmerksamen Lesern wird nicht entgangen sein, dass ich die Tage bereits eine Datenschutzerklärung mithilfe eines Generators zusammengebrasselt habe, die nach meinem Informationsstand dem Gesetz Genüge tun müsste. Trotzdem bleibt die Unsicherheit, ob ich nicht doch irgendwo angreifbar bin. Ich bin weder Jurist noch ITler, begehre beides nicht zu sein, und ich habe auch kein großes Medienunternehmen mit eigener Rechtsabteilung im Rücken, die das Rechtliche regelt für mich. Spätestens, wenn Anträge ins Haus geflattert kämen (no pun intended), Auskunft über gespeicherte personenbezogene Daten zu geben, bzw. Aufforderungen, personenbezogene Daten zu berichtigen, zu sperren oder zu löschen, wie die DSGVO dies ausdrücklich vorsieht, hätte ich ein Problem. Ich frage mich daher zunehmend, ob reiner Spaß an der Freud' das Risiko noch rechtfertigt, sich möglicherweise nervigen und zeitraubenden, vielleicht sogar kostspieligen Forderungen und Verfahren ausgesetzt zu sehen, die am Ende bloß irgendwelche Blutsauger reich machen.

Keine Ahnung, ob meine Sorgen begründet sind. Die einen sagen so, die anderen so.

Das Argument, dies sei schließlich ein privater Blog, zieht jedenfalls nicht. Es ist nämlich keiner. Das wäre der geltenden Rechtsprechung zufolge einer, der vorwiegend Tagebuchcharakter hat, also einer, in dem vor allem über private Themen berichtet wird und der sich an das private Umfeld richtet. Urlaubserinnerungen, Essensfotos, Beziehungsdramen, Erlebnisse beim letzten Kegelabend, aus dem Yogakurs and all that jazz. Äußert man sich zu politischen, kulturellen und anderen Themen von übergeordnetem Interesse, was hier oft der Fall ist, so handelt es sich bereits um ein redaktionelles Angebot. Überdies reicht es nicht, mit einem Blog bzw. einer Webseite keine Einnahmen zu erzielen, um das Ganze als privat bzw. nichtkommerziell zu qualifizieren. Eine gewerbliche Tätigkeit kann bereits vorliegen, wenn sie einigermaßen regelmäßig und über einen längeren Zeitraum ausgeübt wird.

Auch die Hoffnung, man sei ja nur ein klitzekleines Licht in der hintersten Ecke des Netzes könnte sich als trügerisch erweisen. Es ist damit zu rechnen, dass spezialisierte Firmen mit Spezialsoftware alles abscannen auf fehlerhafte bzw. fehlende Datenschutzerklärungen und dann serienweise abmahnen. Möglicherweise gerade bei den Kleinen, weil die sich teure Anwälte und langwierigen Rechtsstreit meist nicht leisten können oder wollen. Wer weiß, vielleicht wird das nicht sofort im Mai passieren, vielleicht rutscht man tatsächlich erst einmal durchs Raster, aber die Suchalgorithmen werden besser werden. Und drauf ankommen lassen möchte ich es nicht.

Alles in allem sehe ich momentan folgende Optionen:
  • Blog dichtmachen, löschen und Ende. Weil's das Risiko einfach nicht mehr wert ist. Die radikalste, unangenehmste, aber auch sicherste Variante.
  • Sich mit anderen zusammentun und die Sache professionalisieren. Selbst programmieren, sich juristisch absichern. Kost Geld und Aufwand. Und man muss sich auf lange Sicht mit Leuten vertragen, sich abstimmen etc.
  • Weitermachen mit einem komplett 'nackten' Blog a’la fefe. Dazu braucht’s Kenntnisse und Ressourcen, die ich nicht habe.
  • Anonym weiterbloggen. Das schützt einen zwar auch nicht vollständig, aber es wäre möglicherweise eine kleine Hürde, dass man erst einmal die Identität des Bloggers herausbekommen muss, um weitere Schritte einzuleiten.
  • Das Ding hier inhaltlich zur reinen Privatveranstaltung umbauen, die nicht von den neuen Regelungen betroffen ist und fast nur noch über Privates schreiben. Das wäre dann aber nicht mehr das, wofür ich mal angetreten bin und was ich will.
  • Einen Club draus machen. Ein Passwort einrichten, sodass nur noch eingeloggte Mitglieder lesen können, nachdem sie Haftungsausschlüssen zugestimmt haben. Möchte ich nicht. Schließlich:
  • Weitermachen wie bisher. No risk no fun. Abwarten, was so passiert und das Beste hoffen. Kämen einem die ersten Fälle zu Augen und Ohren, die Probleme bekommen wegen der DSGVO, dann könnte man immer noch tätig werden. Das wäre bestenfalls ein Aufschub, aber auch ein dauernder Thrill im Hintergrund, den ich nicht wirklich brauche.

Bitte mich nicht falsch zu verstehen: Es geht nicht darum, via Schließungsdrohung Zuspruch abzugreifen oder angebettelt zu werden, doch bitte, bitte weiterzumachen ("Nein, bitte tu’s nicht!", "Du würdest soooo fehlen!" o.ä.) -- für emotionalen Beistand ist mein privates Umfeld zuständig. Natürlich kann man spekulieren, dass auf diese Weise unbequeme Stimmen systematisch zum Schweigen gebracht werden sollen. Solche Überlegungen mögen ihren Charme haben, sind aber nicht wirklich hilfreich. Es geht darum, dass ich komplett ratlos bin, wie ich nach dem 25.5. weiter verfahren soll und ob die Vorkehrungen, die ich bislang getroffen habe, ausreichen. Mich interessiert es daher sehr, inwieweit sich Kolleginn/en, die hier gelegentlich vorbeischauen, bereits mit dem Thema befasst haben und das zu handhaben gedenken. Auch für fachlichen Rat wäre ich dankbar.



Kommentare :

  1. Hallo Stefan,

    ich arbeite bei einer IT-Beratung die u.a. auch SW-Entwicklung macht und daher naturgemäß viel mit Kundendaten und besonders mit personenbezogenen Daten zu tun hat.
    Und wir beschäftigen uns daher auch sehr mit dem Thema DSVGO.
    Ich kann dir anbieten anhand einer Checkliste rauszubekommen ob und wenn ja welcher Handlungsbedarf besteht um deine Bloggerei weiter zu führen.

    Um das konkreter zu machen, müsen folgende Fragen beantwortet werden:
    1. Verarbeitest oder speicherst du allgemeine Personendaten oder personenbezogene Daten? (das sind Namen, Geburtsdaten, Ausweisnummer, Personenstandsdaten, Nationalität, Adressen, Telefonnummern, Emails aber auch Geschäftsdaten wie z.B. Firmenzugehörigkeit)
    2. Verarbeitest oder speicherst du erweiterte Kategorien personenbezogener Daten? (z.B. Bankverbindungen, Patientendaten oder die Zugehörigkeit zu Gewerkschaften, Parteien und solche Sachen)
    3. Verarbeitest oder speicherst Du Daten die in Verknüpfung mit anderen Daten eine eindeutige Personenzuordnung erlauben? (Das ist z.B. nicht pauschal die IP-Adresse eines Besuchers, außer du kannst anhand der IP-Adresse auf konkrete Personen abbilden weill du z.B. einen Verzeichnisdienst führst).

    Können alle drei Fragen mit Nein beantwortet werden, kannst Du mit hoher Wahrscheinlichkeit davon ausgehen, dass kein weiterer Handlungsbedarf besteht.

    Eine mMn gute Einführung gibt es übrigens hier (ab Folie 17 für nicht-Nerds): https://de.slideshare.net/MichaelRohrlich/eudatenschutzgrundverordnung-dsgvo

    Weitere Details können wir gerne per PN besprechen.

    AntwortenLöschen
    Antworten
    1. Das wäre sehr interessant, vielen Dank.
      Der Punkt ist halt, ich kann nicht genau sagen, was im einzelnen wo gespeichert wird, da Google im Hintergrund das Kommando hat. Meines Wissens nach sind es in der Regel nur verkürzte, nicht zu Personen zuzuordnende IP-Adressen, aber ich kann mich natürlich täuschen.

      Löschen
    2. Hallo Anonym,

      das ist interessant, was Du schreibst - ich hatte mehrfach drüber nachgedacht, ein blog selbst zu programmieren, habe mir dann aber überlegt, bei blogspot (also google) zu bleiben, weil ich den datenschutzrechtlichen kram vermeiden wollte.

      Wer als anwender bei blogspot ist, sieht im backend von den nutzern weder IPs noch emailadressen der kommentatoren und besucher - es gibt da keinen eindeutigen personenbezug. Die fragen kann man, wenn man keine extratools einbaut, die irgedwas dann evtl. doch sichtbar machten könnten, allesamt mit »nein« beantworten.

      Machen wir blogspot-blogger uns da schuldig, wenn unser anbieter google all diese daten unter umständen abgreift und wir keinen einfluß drauf haben?

      Löschen
    3. Aber auch Google muss im Rahmen seiner Service-Bereitstellung die DSGVO beachten. Das bedeutet (auch), volle Transparenz bezüglich der Verarbeitung personenbezogener Daten.

      @Duderich: Der Tipp ist natürlich ok, aber wie in deinem Link aufgeführt, sind es vor allem die unzähligen kleinen Elemente (plug-ins) eines Blogs die den Aufwand nach oben treiben.

      Löschen
  2. "Einen nützlichen Tipp zur Vorbeugung vor automatisierten Abmahn-Wellen möchte ich Ihnen an dieser Stelle zusätzlich ans Herz legen: Stellen Sie Ihre Datenschutz-Erklärung auf „noindex“, sodass sie von Google nicht in der Suche angezeigt wird. Das verhindert zumindest, dass automatisierte Scripts, die nach möglicherweise unzulässigen Formulierungen suchen und automatisiert Abmahn-Listen generieren, Ihre Seite identifizieren."
    https://datenschmutz.net/dsgvo-checkliste-fuer-blogs/

    Wirklich eine hochkomplexe Thematik, die wohl nur von einem Medienrechtsexperten gänzlich durchschaubar ist. Ich denke aber, dass sich der Nebel irgendwann lichten wird und die Handlungssicherheit zunehmen wird.

    Eine weitere Option wäre vielleicht für Dich, Deinen Blog vorübergehend(!) ab 25.05. den Stecker zu ziehen und mal abzuwarten, wie sich die Sache in Kleinbloggersdorf entwickelt.

    Ich jedenfalls würde wütend wie Nashorn werden, wenn aufgrund dieses Gesetzesmonsters wertvolle Blogs wie Deinen das Wasser abgegraben wird.

    Kommt Zeit, kommt Rat... :-)

    LG
    Duderich

    AntwortenLöschen
    Antworten
    1. Sind ja noch fünf Wochen, bis es ernst wird. Massig Zeit also, sich in Ruhe was zu überlegen. Man sollte sich halt frühzeitig kümmern/informieren und nicht bis zum 24.5. warten. Ich kann mir auch nicht vorstellen, dass die Godfathers von Google ein Interesse haben, dass massenhaft Blogs abrauchen. Vielleicht kommt also von der Seite noch Input. M.W. braucht es eine Checkbox bei den Kommentaren, in der man anklicken muss, dass man der Speicherung bestimmter Daten zustimmt.
      Wenn ich das richtig verstanden habe, sieht es wohl so aus, dass WordPress-Nutzer momentan schlechter dastehen, da arbeiten die Entwickler angeblich schon an einer Lösung.

      Löschen
  3. Na, ich hoffe doch sehr, dass es hier weitergeht.

    Und unterschätze mal nicht deine Reichweite. du wirst sogar von üblem BWL-Gesocks aus der Finanzbranche (wie mir) gelesen. ;-)
    Aber würde natürlich den Politikern sowie den "Edelfedern" aus den Redaktionen der "Qualitätsmedien" sehr in den Kram passen: Mit scheinbar kundenfreundlichen Regelungen diese ganze lästigen Blogs entsorgen, die es ganz unbotmäßig wagen, die üblichen Märchenerzählungen zu hinterfragen.

    AntwortenLöschen