Ab morgen muss die (vor zwei Jahren in Kraft getretene) Datenschutz-Grundverordnung (DSGVO) angewendet werden. Diese Verordnung erlegt auch kleinen Bloggern wie mir umfangreiche Dokumentations-, Auskunfts- und Löschpflichten auf, von denen nicht einmal Fachleute genau sagen mögen, wer da genau was leisten muss, wie Versäumnisse oder Verstöße gewertet werden und was für Folgen das dann haben wird.
Verweise der Autoren, dass man kleinen Bloggern nicht an den Karren fahren wolle, dass im Umgang mit privaten Kleinst-Datenverarbeitern eher beraten als bestraft werden solle usw. klingen hübsch, dürften aber vor Gericht irrelevant sein. Die Anforderungen stehen auf dem Papier, sie gelten, und die Gerichte werden sich daran halten müssen. Im Zweifel gilt immer noch „Unwissenheit schützt vor Strafe nicht“, und Verweise auf reichlich naive (oder unverschämte) Einlassungen von Politikern werden kaum ziehen.
Die ab morgen geltende Rechtslage ist zunächst ziemlich unklar, niemand weiß, welche Folgen die DSGVO für den Einzelnen haben wird. Die Risiken gerade für Privatleute, die sich keine Rechtsabteilung und keine Datenschutzfachleute leisten können, sind erstmal schwer kalkulierbar.
Viele finden diese Ängstlichkeit befremdend und v.a. unnötig. Sie finden, es ändere sich sowieso fast nichts und überhaupt. Leider begründen sie das nicht so richtig. Auch bei Abwieglern kommen immer wieder Textbausteine wie „wir vertreten den Standpunkt“, „vermutlich“, „eigentlich müsste“ usw., mündend in die Aussage „das werden die Gerichte klären müssen“.
Ich hoffe, dass die Wird-schon-nicht-so-schlimm-Fraktion recht behält und die DSGVO nicht das Ende der Blogosphäre einläutet, dass nicht nur die großen, sowieso schon übermächtigen Player übrigbleiben. Das ist aber alles andere als selbstverständlich.
Außerdem habe ich von WordPress noch keines der angekündigten Funktionen und Tools gesehen, mit denen ich dieses Blog technisch DSGVO-konform betreiben könnte. Datenschutzmitteilung und Verfahrensverzeichnis sind eine Sache, der laufende Betrieb mit den oben erwähnten umfangreichen, möglicherweise exzessiven Pflichten eine andere.
Deshalb – Vorsicht ist die Mutter der Porzellankiste – mache ich jetzt erstmal den Barbarossa und verziehe mich in meinen virtuellen Kyffhäuser. Ich lasse das Blog hier stehen, schalte aber ab dem Stichtag morgen alles vorerst ab, was irgendwie Daten erhebt oder verarbeitet, soweit ich darauf Einfluss habe (was wordpress.com davon unabhängig an Daten erhebt und verarbeitet, weiß ich nicht und kann ich natürlich nicht steuern). Es gibt hier also bis auf weiteres keine Gravatare, keine neuen Kommentare, keine Gefällt-mir-Buttons, keine neuen Abos. Die Interaktion der Öffentlichkeit mit diesem Blog ist solange auf reines Lesen beschränkt. Eine hübsche Datenschutzerklärung hänge ich trotzdem auf.
Wenn der Staub sich gelegt hat, eine einigermaßen akzeptable Risikolage absehbar ist und die nötigen WordPress-Tools verfügbar sind, komme ich wieder. Das werde ich dann hier mitteilen.
Bis dahin alles Gute,
gnaddrig rotbart
P.S.: Hier noch ein paar lesenswerte Texte zum Thema:
Zum Einstieg eine unaufgeregte Darstellung des Themas und der Stimmung bei Betroffenen:
Keine Website ist auch keine Lösung
Dann ein paar Überlegungen von Betroffenen:
Warum die DSGVO die Blogosphäre killt
Sehr geehrte Frau Kommissarin …
Rant: Warum die DSGVO eine Datenschutz-Karikatur ist
DSGVO: “Es ändert sich doch gar nicht so viel!”
Die bei der niedersächsischen Landesbeauftragten für den Datenschutz verlinkte Anleitung zum Erstellen eines DSGVO-konformen Verzeichnisses der Verarbeitungstätigkeiten (DS-GVO) finde ich nicht eben ermutigend. Ich sehe mich als Laie nicht in der Lage, so ein Ding auch nur halbwegs korrekt zu erstellen:
Verzeichnis von Verarbeitungstätigkeiten (DS-GVO)
Eine Mitautorin der DSGVO, EU-Kommissarin Věra Jourová, findet alles halb so wild und bietet verunsicherten Bürgern Trost per E-Mail an:
„Selbst ich könnte die Regeln der DSGVO umsetzen“
Der „Vater der DSGVO“, Jourovás Kollege Jan Philipp Albrecht, will das Problem nicht recht sehen und wiegelt erwartungsgemäß ab, ohne die Einwände und Befürchtungen auch nur im Ansatz entkräften zu können:
DSGVO – häufig gestellte Fragen, häufig verbreitete Mythen
Hier habe ich einen, der sich anschaut, was die DSGVO jetzt schon für Folgen hat:
DSGVO – Haben wir es alle zusammen vergeigt?
Hier noch ein paar Tweets von @SamaelFalkner dazu, was wir alle schon vor Jahren in Sachen Datenschutz hätten machen müssen:
Dann habe ich hier noch einen Thread von Nina Diercks, Rechtsanwältin für IT-, Medien-, Datenschutz- und Arbeitsrecht und Datenschutz-Sachverständigen, auf Twitter. Das klingt eher beruhigend:
Angst vor den Abmahnungen aufgrund der DSGVO?
Zuguterletzt noch die Broschüre der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zum Thema DSGVO (am Wichtigsten sind die ersten 35 Seiten) mit der deutschsprachigen Fassung der Datenschutz-Grundverordnung und dem vollständigen Text des Bundesdatenschutzgesetzes:
Info 6: Datenschutz-Grundverordnung, jetzt mit dem neuen BDSG
gnaddrig ad libitum 
Dann wünsche ich angenehme Stille und hoffe, dass diese nicht zu lange dauert!
LikeGefällt 1 Person
Ja, das hoffe ich auch. Das entsprechende WP-Release ist schon draußen, nur hier noch nicht eingespielt. Sollte aber nicht mehr lange dauern.
LikeLike
Vielleicht ist das jetzt der Anfang vom Ende des Internets, zumindest in Europa – und, mal ehrlich, wäre das angesichts der Flut von Hirnmüll und Hassdreck so schlimm? Ich hatte schon 2011 bei der Aktualisierung des Jugendmedienschutz-Staatsvertrages halb die Befürchtung, halb die Hoffnung, dass es aufgrund des absurd hohen bürokratischen Aufwandes für den Durchschnitts-Webseitenbetreiber in Deutschland zukünftig sehr viel weniger Internet geben würde…
Und ehrlich gesagt, für meine diversen Homepageprojekte seit 1997 hat sich de facto doch kaum jemals jemand wirklich interessiert, noch am ehesten für die Afghanistan-Chronik – aber das war in den Jahren vor dem 11. September 2001, als Afghanistan noch eine echte Spezialisten-Angelegenheit war, danach wurde man auf allen Kanälen dermaßen mit Information aus dem und über das Land zugeschmissen, dass es bald nur noch anstrengend war…
Und inwiefern meine Privat-Homepage („Yadgars Tor zum Khyberspace“) in der Fassung, in der sie von 2001 bis 2013 bestand überhaupt von irgendjemand gelesen wurde kann ich bis heute nicht beurteilen – in den letzten zwei Jahren, als ich auch eine selbst programmierte Gästefunktion integriert hatte, gab es genau vier Einträge: einer von einem guten Freund (www.ismailmohr.de), den ich allerdings explizit auf das Gästebuch aufmerksam gemacht hatte – der Rest war computergenerierter Spam.
Später (nachdem ich zeitweise sogar vor hatte, dem Internet endgültig den Rücken zu kehren – es macht dick, einsam und auf die Dauer psychisch krank) zog ich eine neue Version auf, die faktisch hauptsächlich aus einem Fahrrad(touren)-Blog (vorerst ohne Kommentiermöglichkeit, war aber für die Zukunft durchaus geplant…) bestand… und auch diese Version ist durch versehentliches Löschen der Serverdaten auch schon wieder Geschichte.
Ich bin mir angesichts der aktuellen Situation gar nicht mehr so sicher, ob ich überhaupt eine ständige Internetpräsenz brauche…
LikeLike
Ist schon draußen? Wo findet sich das denn und wer spielt es ein? Wir Blogmenschen?
Ich hoffe sehr, dass nicht der Rest der Bloglandschaft zugrunde geht, weil während der Unsicherheitsphase alles einschläft.
LikeLike
Auf der Liste der WordPress-Releases steht es schon seit letzter Woche: Releases Category Archive. Die Installation auf wordpress.com wird aber wohl zentral von denen gewartet, da haben wir keinen Einfluss drauf.
Was mich aber wundert: Ich habe das Häkchen bei „Erlaube Besuchern, neue Beiträge zu kommentieren“ entfernt – wieso kommen hier trotzdem ständig Kommentare durch? So wird das ja nichts mit dem erstmal keine Daten erheben…
Jedenfalls habe ich nicht vor, hier alles einschlafen zu lassen.
LikeLike
@ Yadgar: Hm, brauchen – wer weiß. Hängt sicher von verschiedenen Sachen ab. Lesen und Kommentieren geht ja auch so 🙂
LikeLike
Möglicherweise dürfen Blogger untereinander noch risikofrei miteinander reden?
Danke für die Info!
Hier ein Text, den ich gerade eben gefunden habe: http://www.internet-law.de/2018/05/was-bedeutet-die-datenschutzgrundverordnung-fuer-blogger-und-webseitenbetreiber.html
Vielleicht interessiert Dich diese weitere Stimme, mit der ich Dich von nix überzeugen will.
LikeGefällt 1 Person
Schnell noch auf Gefällt mir geklickt, bevor das nicht mehr geht 😦
LikeGefällt 1 Person
Ich habe gestern festgestellt, dass besagtes Häkchen bei mir bisher nicht gesetzt war. Ist vielleicht eine schlechte Übersetzung?
Aber wie schalte ich die IP-Adressen in den Kommentaren ab? In allen Anleitungen ist von einer php-Datei die Rede, auf die ich als reiner Backend-Benutzer m.E. keinen Zugriff habe. Weiß hier jemand bescheid?
LikeLike
Ja, es scheint, dass das keine erkennbare Auswirkung hat. IP-Adressen kannst Du nicht abschalten, das kommt vielleicht mit dem angekündigten neuen Release. Aber es ist sowieso fraglich, ob es sinnvoll ist, die abzuschalten. Um den ganzen DSGVO-Kram kommst Du ja doch nicht herum.
LikeLike
@ Christian Buggisch: Danke 🙂 Die Gefällt-mirs kann man scheints auch nicht pauschal abschalten. Man kann nur auswählen, ob man „Aktiviert für alle Beiträge“ oder „Aktiviert auf einer pro Beitrag-Basis“ will. Bei letzterem müsste man dann vermutlich alle Beiträge durchgehen und das Gefällt mir manuell abschalten. Das ist mir dann doch zuviel Theater. Damit lande ich praktisch in tikerscherks Lager: „Praktisch hat sich wenig geändert, die Abmahner werden nicht wie die Heuschrecken über uns kommen, die Blogwelt wird sich weiterdrehen.“ Hoffentlich. Abschalten will ich das hier nicht.
LikeLike
Soweit ich das (in meinem selbstgehosteten WP) sehe, betrifft „Allow people to post comments on new articles (These settings may be overridden for individual articles.)“ nur die Voreinstellung eben dieser Einstellung beim Erstellen neuer Artikel – sobald die Editor-Seite geöffnet wurde, ist die individuelle Einstellung da und wird auch (durchaus sinnvollerweise) mit dem Speichern als Entwurf gespeichert.
Was auch wirklich schade wäre.
LikeLike
Wg. Kommentare: So sieht das aus. Das Nichterlauben von Kommentaren stand bei mir nie zur Debatte, darum hatte ich nie Grund, das genauer zu betrachten.
Wg. schade: Danke 🙂
LikeLike
Nachdem du (scheinbar) keine Kauflösung von WordPress.com hast, kannst du meines Erachtens gar nicht belangt werden. „Deine Seite“ gehört WordPress.com und somit ist auch dieses Unternehmen in Wirklichkeit für den Datenschutz zuständig.
Ich kann mir jetzt irgendwie nicht vorstellen, wer dich hier verklagen könnte.
Das einzige was WordPress bisher getan hat ist die Funktion „Display a privacy notice under your comment forms.“ einzubauen. Eine lustige Cookies Meldung bekommt man jetzt auch, bin mir aber nicht sicher, ob das nich auch schon vorher war.
Für private Blogger mit eigener Webseite und Domain schauts schon anders aus…
Ein Freund hat eine Kleinstfirma und ich habe für ihn das Webdesign gemacht. Ich habe eine Vollmacht für den Webspace usw. und der Hoster hat sich tatsächlich was überlegt.
Man kann da sogar das Weblog des Servers abdrehen…
Ich finde das übrigens zum Kotzen dass findige Anwälte schon den Braten gerochen haben und eine zusammenklickbare Datenschutzerklärung verkaufen.
Naja, Anwälte halt. Auch nur Mafiosi.
LikeGefällt 1 Person
Das blöde ist, dass man es eben nicht genau weiß.
Stimmt schon, bei umsonst bei wordpress.com gehosteten Blogs hat man keinen Einfluss auf die technischen Details. Ob das vor Klage schützt? Ich habe ja Einblick in die auf meinem Blog erhobenen Daten und kann sie verarbeiten (IP-Adressen, E-Mails, Kommentare). Das könnte ich derzeit nur durch Nichtinanspruchnahme von wordpress.com vermeiden, aber ich könnte es eben vermeiden. Damit wäre ich für die Datenerhebung und -verarbeitung zumindest mitverantwortlich, und WordPress schließt ja per AGB so ziemlich jede Haftung für sich aus. (Ob das so einfach geht und gilt, müsste im Zweifelsfall aber sicher auch erst ein Gericht klären.)
Wer hier allerdings klagen könnte, weiß ich auch nicht. Unlauterer Wettbewerb scheidet aus, da ich keinen Umsatz mit meinem Blog mache und auch niemand belegen kann, dass ich wem anders durch Datenschutzmauscheleien Umsatz oder Reichweite wegnehme. Aber auch hier ist es so, dass man nichts genaues weiß.
Offensichtlich halte ich das Risiko für vertretbar, aber ganz wohl ist mir bei der Sache trotzdem nicht. Man weiß nie, welche Lücken irgendwelche Abmahntrolle finden und dann u.U. ausnutzen. Und da hilft Frau Jourovás Menschenverstand und Herrn Albrechts Abwiegelei dann auch nichts mehr.
LikeLike
Von der Logik her sollte uns eigentlich nichts passieren, und wenn Abmahntrolle zu mir kommen, werweise ich sie höflichst an die Firma Automattic als rechtlicher Betreiber der Seite wordpress.com.
Die können dann tun, was sie für angemessen betrachten, ich denke sie würden mein Blog einfach deaktivieren.
Ich erinnere mich noch ganz genau, wie damals massenweise Leute ihre Blogs beendet haben, als die Impressumspflicht kam. Auch hier war die Rechtssprechung unklar, wen das genau betreffen soll. Das hat sich aber letztendlich auch wieder beruhigt.
Vergleiche den Fall einfach mit Facebook: Wer hat wegen der EU DSGVO seinen Facebook Account gekündigt? Ich denke niemand. Dort ist die rechtliche Lage genau so.
Du benutzt Facebook nur, Inhaber der Plattform (und auch deiner Daten, die du dort eingibst) ist und bleibt Facebook.
LikeLike
Noch was vergessen:
Wordpress haftet nicht für deine Inhalte und im Falle des Falles werden die dein Blog sofort löschen.
Für die Verarbeitung der Daten kannst du aber sicher nicht mitverantwortlich gemacht werden, da es nicht dein Server ist und du keine Daten verarbeitest, sondern Woerdpress…
LikeLike
Klingt halbwegs plausibel 🙂
LikeLike
Ich denke, dass sich letztendlich auch Abmahntrolle an die Gesetze der Logik halten müssen.
Hoffentlich 😉
LikeLike
Das sollte auf jeden Fall so sein. Ein mögliches Problem ist: Wenn so jemand versucht, einem un- oder halbberechtigt an den Karren zu fahren, hat man erstmal jede Menge Ärger und Gerenne, bis das geklärt ist. Inwieweit das mit Kosten (über den Zeitaufwand hinaus) verbunden ist, ist sicher von Fall zu Fall unterschiedlich, aber als kleiner Privatblogger ohne Rechtsabteilung und mit überschaubarem finanziellen Spielraum kann man da schnell an die Grenzen kommen, auch wenn sich rausstellt, dass man eigentlich nichts falsch gemacht hat.
Wo eine Anwaltskanzlei oder eine halbwegs gutgehende Firma locker mal ein paar Tausend Euro in den Sand setzen können, ist das Ende der Fahnenstange für viele Zivilisten recht schnell erreicht.
Und auch wenn sich gar nicht so viel inhaltlich geändert haben mang, haben „sie“ wegen der jetzt unklaren Lage zunächst mehr mögliche Handhaben, einem an den Karren zu fahren, als das vorher der Fall war. Tendenziell dürfte das zu mehr Zurückhaltung in der Blogosphäre führen, also vorauseilendem Gehorsam in Form von Selbstzensur. Das ärgert mich.
LikeLike
Ansonsten dürften Veranstaltungen wie Dein oder mein Blog auch mit selbstgehosteten WordPress-Installationen relativ sicher sein. Was erheben wir schon für Daten – IP-Adressen und E-Mail von Kommentatoren und Abonnenten, und das war’s schon. Keine Klarnamen (außer sie verwenden die in der E-Mail-Adresse), keine persönlichen Angaben wie Geschlecht, Alter, Gesundheitskram, Wohnort usw.
IP- und E-Mail-Adressen sind nur mit Müh und Not als personenbezogene Daten zu werten – anonyme E-Mail ist leicht zu kriegen, und die können von Internet-Cafés oder über Thor kommentieren, dann lässt sich da sowieso nichts zurückverfolgen, die Daten führen nirgendwohin und sind auch kaum je zu irgendwas zu verwenden. Weshalb es in der DSGVO für solchen Tüddelkram keine Ausnahmeregelung gibt, kann ich überhaupt nicht verstehen. Ob man die Großen wirksam reguliert, bleibt mehr als fraglich, dafür müsste jede Arztpraxis, jeder Laden bei (von einem neuen Patienten/Kunden ausgehenden) Telefonkontakt erstmal eine Einwilligung zur Erhebung und Verarbeitung von Daten eingeholt und eine Rechtsbehelfsbelehrung über Widerspruchsmöglichkeiten geliefert werden. Das ist hochgradig absurd.
Im Prinzip finde ich die Datenschutzerklärung von Andreas W. Ditze vollkommen ausreichend.
LikeLike
Gut, dass die Kommentarfunktion noch nicht deaktiviert worden ist oder wie in anderen Blogs der Auslöser zur sofortigen Selbstzerstörung gedrückt wurde.
Sonst hätte ich hier jetzt nicht kommentieren können und wüsste vermutlich auch nix von diesem Stern hier. Vermutlich schwirre ich demnächst nur noch durch Kellerblogs und lose umhertrudelnde blogtrümmer. Der Gravatar gefällt mir sehr gut.
Mir ist bewusst, dass meine Kommentardatenspur jetzt gerade in Amerika durch einen Filter saust, der Donald-Trump weiß was damit anstellt. Das nehme ich in Kauf als Kommentator. Ein Aufmerksammachen auf diesen Umstand sollte reichen. So hätte jeder die freie Wahl. Doch Vorschriften machen und Nutzer Entmündigen durch hochnotpeinliche Forderungen im Impressum – das mieft nach Willkür und Konformkontrollkrampf…
LikeGefällt 1 Person
Herzlich willkommen, karfunkelfee, und danke für den Kommentar.
Die Kommentare hatte ich abschalten wollen, aber die Entfernung des Häkchens bei “ Erlaube Besuchern, neue Beiträge zu kommentieren“ hatte nicht die erwartete Wirkung, also blieben die Kommentare an. Jetzt denke ich, „Kommentare zu Beiträgen schließen, die älter als x Tage sind“ mit x=1 würde funktionieren, es ist mir aber eigentlich auch zu blöd. Ohne Kommentare fehlt so einem Blog was Wesentliches.
Ich nehme jetzt die Jourová mit ihrem „möge Menschenverstand walten“ und Albrecht mit seinem „eher beraten als bestrafen“ beim Wort und versuche, diese Vorschriften so gut es geht umzusetzen. Das sollte eigentlich halbwegs möglich sein, zumal wir Kleinblogger ja auch nicht wirklich sensible Daten erheben oder verarbeiten. Den roten Bart könnte ich von daher eigentlich auch wieder abnehmen, aber ich lasse ihn als gnätzigen Protest noch ein bisschen stehen.
Die eigene IP-Adresse kann jeder Internetnutzer mit überschaubarem Aufwand verschleiern, E-Mail-Adressen sind sowieso anonym außer man mailt freiwillig unter Klarnamen, und sonst ist hier datenmäßig nichts los. Allzu dringende und zeitkritische Fälle von Mich-Erreichen-Müssen kann ich mir deshalb auch kaum vorstellen. Das ist um Größenordnungen unbrisanter als Akteure, die Geburtsdaten, Anschriften, Gesundheitsdetails, Versicherungsdetails o.ä. handhaben.
Insofern finde ich auch, dass die DSGVO hier weit über das Ziel hinausschießt und an Stellen und in einem Maß bevormundet, das ärgerlich und lächerlich ist.
LikeGefällt 2 Personen