b.olzplatz für e.learning, me.diensachen und o.nlinekram

Die DSGVO und ich (Pt. 1)

Ich bin wieder online. 🙂 Das war durchaus ein gutes Stück Arbeit. Die EU Datenschutz-Grundverordnung (umgangssprachlich: DSGVO, offiziell: "Verordnung (EU) 2016/679", strukturierte Online-Version u.a. hier) hat ja bekanntermaßen einiges an Staub aufgewirbelt. Für viele Netzangebote wie meines bedeutet sie, dass die Betreibenden nicht nur - wie bisher - Administrator/in, Frontend-Designer/in, Redakteur/in, Autor/in, Moderator/in, etc. in Personalunion sind, sondern darüber hinaus die Rollen "Datenschutzbeauftragte/r" und "Hausjurist/in" nun auch dazu gehören.

Ich habe mich also da durch gewühlt und meine Erfahrungen und mein Vorgehen schildere ich in diesem Artikel dieser Artikelserie. Vielleicht sind ja interessante Infos, worauf Seitenbetreibende achten müssen (Teil 2) oder nützliche Anpassungen und Einstellungen (Teil 3) dabei. Dieser erste Teil liefert die Theorie...

Hinweis:
Ich bin kein Jurist. Obwohl ich alle hier veröffentlichten Informationen mit großer Sorgfalt recherchiert habe, ersetzen diese Beiträge natürlich keine Rechtsberatung. Und:
Ich bin kein Softwareentwickler. Für die ggf. präsentierten technischen Lösungen kann ich ebenfalls keine Garantien geben, dass sie generell zuverlässig - und schon gar nicht in anderen Kontexten als meinem - funktionieren.

Was ist die DSGVO?

Ganz von vorne? Na gut: Die DSGVO ist eine EU-Verordnung. Diese sind zu unterscheiden von EU-Richtlinien, denn Verordnungen haben verbindliche und unmittelbare Geltung in allen EU-Mitgliedsstaaten; Richtlinien müssen dagegen erst in den Mitgliedstaaten in Form nationaler Gesetze umgesetzt werden. Ungeachtet dieses Anwendungsvorrangs können über Kollisionsregeln oder Öffnungsklauseln durchaus weitere, auch nationale Gesetze zum gleichen Thema neben der DSGVO Gültigkeit haben. Dazu unten mehr.

Die DSGVO regelt seit dem 25.05.2018 EU-weit alle datenschutzrelevanten Vorgänge bzgl. der Verarbeitung (*) personenbezogener Daten (*). Die eigentlich zur DSGVO passende ePrivacy-Verordnung (Entwurf hier) sollte ursprünglich zeitgleich in Kraft treten, ist aber leider nicht fertig geworden (Stand: Juli 2018).

Die DSGVO gilt sehr umfassend

für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
- Art. 2 (1) DSGVO

Vor allem die "nichtautomatisierte Verarbeitung" in Verbindung mit "Speicherung in einem Dateisystem" ist einer der Kritikpunkte an der DSGVO, betrifft nämlich so auch die Excel-Listen mit den Vereinsmitgliedern des Kleingartenvereins oder die Übertragung von Visitenkarten in die Kontakte des Smartphones. Das fühlt sich für manche Betroffene an wie diese sprichwörtlichen Kanonen, mit denen auf die Spatzen geschossen wird.

Faustregel: Die DSGVO skaliert nicht bzgl. der Größe der Verantwortlichen.

Ausnahmen gem. Art. 2 (2) DSGVO greifen in den allermeisten Fällen nicht. Zwar räumt Art. 2 (2) lit. c) für die "Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten" eine Schranke ein, aber der familiäre Rahmen wird bei öffentlich zugänglichen Webseiten wohl regelmäßig überschritten. Darüber hinaus "versteckt" sich ein interessantes Detail in den Erwägungsgründen (EG DSGVO). Dort heißt es in EG 18 Satz 3 DSGVO:

Diese Verordnung gilt jedoch für die Verantwortlichen [...], die die Instrumente für die Verarbeitung personenbezogener Daten für solche persönlichen oder familiären Tätigkeiten bereitstellen.

Klingt für mich wie: Selbst wenn ich meinen Blog passwortgeschützt nur Familienmitgliedern zur Verfügung stelle (während der Umbau-Phase habe ich übrigens das WordPress-Plugin Password Protected genutzt), gilt die DSGVO trotzdem in Bezug auf die Bereitstellung "technischer Infrastruktur" (in diesem Beispiel u.a. die Blog-Software). Ausgenommen sind somit am Ende also nur z.B. der Familien-Geburtstagskalender (handschriftlich ≠ automatisiert, Papierform ≠ Dateisystem) oder die Telefonliste für das jährliche Familientreffen...

Dass dagegen im Falle eines Betriebes einer öffentlich zugänglichen Webseite personenbezogene Daten anfallen, ist wohl einigermaßen unstrittig: Auch wenn ich keine (datenschutztechnisch tlw. in Verruf geratene) Online-Werbedienste/-netzwerke oder Datenverkehrsanalysesoftware nutze, liefern bereits die Registrierungsmöglichkeit, die Kommentarfunktion und die Cookies von WordPress genügend Gründe, um eine automatisierte Verarbeitung (*) personenbezogener (*) Daten anzunehmen 🙂

* Verarbeitung im Sinne der DSGVO meint

jeden [...] Vorgang oder jede [...] Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
- Art. 4 Nr. 2 DSGVO

* personenbezogene Daten meint

alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person [...] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
- Art. 4 Nr. 1 DSGVO

Faustregel: Die DSGVO gilt auf jeden Fall für Webseitenbetreibende und für alle Formen der Datenverarbeitung von personenbezogenen Daten.

Jede/r Blog-, Shop-, Webseiten- oder "Sonstwas-im-Internet"-Betreibende ist also in den allerallermeisten Fällen auch immer Verantwortliche/r (im Sinne von Art. 4 Nr. 7 DSGVO) für die Verarbeitung personenbezogener Daten. Denn selbst wenn man keine Kommentare zu Blog-Artikeln zulässt und keine Registrierung anbietet, müssen darüber hinaus der Einsatz von Webfonts, von eingebetteten Inlineframes (kurz: iframe, z.B. von YouTube, Vimeo, Google Maps, etc., auch "Like-Buttons") oder sonstigen externen Inhalten (Facebook-Posts, Instagram-Beiträge, Tweets, ...), und nicht zuletzt der Einsatz von Bordmitteln wie den WordPress-Emojis und -Cookies bedacht werden: Die DSGVO ist daher (für mich) ein guter Zeitpunkt, sich selber für die Datenverarbeitung durch die eigene Webseite zu sensibilisieren 😉

Was steht denn so in der DSGVO?

Die DSGVO rückt die Informationelle Selbstbestimmung der Betroffenen in den Vordergrund. Obwohl nicht ausdrücklich im Grundgesetz (in Form eines Datenschutzgrundrechts) der Bundesrepublik Deutschland erwähnt, hat es durch Rechtsprechung des Bundesverfassungsgerichtes ("Volkszählungsurteil", Begründung C II 1. lit. a)) quasi Grundrechtscharakter. In der Charta der Grundrechte der Europäischen Union findet es in Art. 8 seine Entsprechung. Sie meint die grundsätzliche autonome Entscheidung von Personen über die Preisgabe und Verwendung von Daten, die mit ihrer Person mittelbar oder unmittelbar in Verbindung stehen.

Die DSGVO grenzt hierfür die Rechtmäßigkeit der Verarbeitung ein und erlegt den Verantwortlichen eine Reihe von Pflichten auf. Sie steht (ultra-verkürzt) auf 4 Säulen:

  1. Transparenz und Information: Alle von einer Verarbeitung personenbezogener Daten betroffenen Personen müssen transparent, verständlich und rechtzeitig (vor der Verarbeitung) über die Datenverarbeitung incl. Angaben zu z.B. Rechtsgrundlage und Speicherdauer aufgeklärt werden.
  2. Dokumentation und Rechenschaftspflicht: Dafür müssen Datenschutzerklärungen bereitgestellt und Verfahrensverzeichnisse geführt werden, in besonderen Fällen muss eine sog. "Folgenabschätzung" angestellt werden.
  3. Umfangreiche Betroffenenrechte: Alle betroffenen Personen haben umfangreiche Rechte, vor allem auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch und Beschwerde, und müssen über diese Rechte aufgeklärt werden.
  4. Organisatorische und technische Bedingungen: Dazu gehören die evtl. notwendige Benennung eines Datenschutzbeauftragten, die Zusammenarbeit mit Aufsichtsbehörden, aber auch die Systemsicherheit (z.B. durch Verschlüsselung), die Gestaltung der Datenverarbeitungssysteme und "datenschutzfreundliche Voreinstellungen".

Fazit: Die DSGVO birgt für Webseitenbetreibende Hausaufgaben bzgl. Technik, Organisation und Dokumentation.

Welche nationalen Gesetze gelten darüber hinaus?

Die in Deutschland für Webseitenbetreibende über die DSGVO hinaus geltenden nationalen Gesetze sind das Bundesdatenschutzgesetz (BDSG 2018, passend zur DSGVO geändert) und das Telemediengesetz (TMG):

Was ist mit diesen EU-Richtlinien?

Für "Internet" im Allgemeinen und Webseitenbetreibende im Speziellen sind wohl drei Richtlinien erwähnenswert:

Beide letztgenannten Verordnungen sind in Kraft (die bis zum 04.07.2018 fehlerhafte Wikipedia-Angabe habe ich mal zur Korrektur angestoßen 🙂 ). Sie gelten - soweit in der "Gesetzeshierarchie" möglich - parallel zur DSGVO. Alle drei finden (angeblich, s.o.) in Form des TMG nationalgesetzlichen Niederschlag. Den damit verbundenen Gesetzesknoten (in meinem Kopf) versuche ich noch einmal herauszuarbeiten: Die DSGVO beinhaltet in Art. 94 die Aufhebung der EU-Datenschutzrichtlinie und in Art. 95 eine Kollisionsregel bzgl. der beiden anderen EU-Richtlinien:

Diese Verordnung erlegt natürlichen oder juristischen Personen [...] keine zusätzlichen Pflichten auf, soweit sie besonderen in der Richtlinie 2002/58/EG festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen.
- Art. 95 DSGVO

Der passende Erwägungsgrund Nr. 173 lautet

Diese Verordnung sollte auf alle Fragen des Schutzes der Grundrechte und Grundfreiheiten bei der Verarbeitung personenbezogener Daten Anwendung finden, die nicht den in der Richtlinie 2002/58/EG [...] bestimmte Pflichten, die dasselbe Ziel verfolgen, unterliegen, einschließlich der Pflichten des Verantwortlichen und der Rechte natürlicher Personen. Um das Verhältnis zwischen der vorliegenden Verordnung und der Richtlinie 2002/58/EG klarzustellen, sollte die Richtlinie entsprechend geändert werden. Sobald diese Verordnung angenommen ist, sollte die Richtlinie 2002/58/EG einer Überprüfung unterzogen werden, um insbesondere die Kohärenz mit dieser Verordnung zu gewährleisten.
- EG. 173 DSGVO

Die Gültigkeit der ePrivacy- und der Cookie-Richtlinien werden also nicht angetastet. Vielmehr soll eine "saubere Koexistenz", notfalls durch die Anpassung der Richtlinie, hergestellt werden. Dummerweise ist das TMG die Umsetzung aller drei Richtlinien, soll heißen:

Die Aufhebung der Datenschutzrichtlinie macht ihre nationale Umsetzung (Abschnitt "Datenschutz", §§ 11ff. TMG) obsolet. An ihre Stelle treten nun nicht etwa die anderen noch gültigen EU-Richtlinien, sondern (aufgrund des Anwendungsvorrangs) die Regelungen der DSGVO (Hier folge ich den Argumenten der "Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder" (DSK), s.o., Link). Zumindest vermute ich hier noch einige Hausaufgaben für die nationale Gesetzgebung - oder wir warten auf die Ablösung der ePrivacy- und Cookie-Richtlinie durch die kommende ePrivacy-Verordnung (Entwurf hier, geplante Aufhebung von 2002/58/EG in Art. 27), die dann wiederum über den Anwendungsvorrang von Verordnungen direkte Gültigkeit erlangt und so die nationale Gesetzesbaustelle schließen kann.

Hinweis: Es schadet nicht, neben der DSGVO die geltenden EU-Richtlinien und die nationalen Datenschutz- und Spezialgesetze im Blick zu halten.

Ist die DSGVO "besser" als die alten Datenschutzregelungen?

Meiner bescheidenen Meinung nach war der Datenschutz in Deutschland schon recht lückenlos und sinnvoll geregelt. BDSG (in der alten Fassung) und TMG haben recht gut zusammengepasst und über weite Strecken den EU-Richtlinien Rechnung getragen, soweit ich das als Betreiber von Webseiten, Verantwortlicher für Lernplattformen und Verfasser von "Datenschutzhinweisen" einschätzen kann.

Allerdings zeichnete sich die Durchsetzung der Bundes- und Landesdatenschutzgesetze nicht immer durch allerhöchsten Nachdruck aus - und die möglichen Sanktionsrahmen waren einigermaßen überschaubar: Die DSGVO verdankt einen Teil der Aufmerksamkeit, die ihr zuteil wird, vor allem den vergleichsweise krassen Sanktionen, die nun verhängt werden können: Art. 83 (4) und (5) DSGVO rufen hier bis zu 20 Mio. Euro bzw. 4% des weltweiten Jahresumsatzes auf. Dagegen wirkt der alte § 43 BDSG mit gerade einmal bis zu 300.000 Euro wie "Peanuts" 😮

Aber auch vor der DSGVO galten gewisse Grundsätze und Prinzipien, erwähnenswert finde ich (neben der Informationellen Selbstbestimmung im Allgemeinen) vor allem

§3a BDSG (alt) hat darüber hinaus folgende Grundsätzlichkeiten festgeschrieben, welche tlw. durch richterliche Rechtsauslegung weiter präzisiert wurden:

Diese Prinzipien finden sich natürlich auch in der DSGVO (Art. 5), heißen tlw. anders und haben eine leicht abweichende Definition. Wer den "alten" Datenschutz ernst genommen hat, wird durch folgende Regelungen aber nicht übermäßig überrascht werden:

Zusammenfassend: Die DSGVO stärkt die Rechte von Betroffenen.
Wer bisher schon datenschutzsensibel war, wird mit der Umsetzung der DSGVO keine größeren Probleme haben. Oder?

Um alle diese Anforderungen und Pflichten zu erfüllen, muss ich also erst einmal für meinen Anwendungsfall herausfinden, welche Daten ich überhaupt verarbeite. Darum geht es in Teil 2 dieser Artikelserie.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Zustimmung zur Datenverarbeitung