Seit knapp einer Woche ist die Datenschutzgrundverordnung (DSGVO) wirksam. Vor allem kurz vor Schluss wurde es auf allen Seiten hektisch bis panisch. Ja, auch ich hatte damit beruflich zu tun und auch hier im Blog habe ich Anpassungen vorgenommen.
Meine Einschätzung ist das vielleicht kleine Änderungen hie und da notwendig, der grundsätzliche Ansatz ist aber richtig.
Endlich machen sich die Leute mal Gedanken, welche Daten sie haben, woher sie sie haben, warum sie sie haben und was mit diesen geschieht. Eigentlich war das schon vorher notwendig, nun muß das aber dokumentiert werden. Und die Daten müssen auf ein Mindestmaß begrenzt werden.
Wenn ich dann Jammern höre, wie etwa dass ein Sportverein, nun Probleme bekommt, weil er die Mitgliederverwaltung nicht mehr in Google Docs machen kann und Ergebnisse ohne Erlaubnis der Betroffenen nicht mehr im Internet veröffentlichen kann, dann denke ich, daß es auch schon vor der DGSVO nicht in Ordnung war. Hat man etwa den Namen einer Person in einer Suchmaschine eingegeben, so erhielt man dort viele Treffer von Sportergebnisseiten. Die Nutzung von Google Docs hielt ich auch vorher schon für inakzeptabel. Zum einen weil man sich von einem kommerziellen Unternehmen abhängig macht, der seine Dienste von heute auf morgen nach Belieben einschränken oder einstellen kann und zum Anderen weiß man nicht was mit den gespeicherten Daten passiert. Personenbezogene Daten sollte auch ein Verein schützen und nicht jedem x-beliebigen Online-Werbe-Anbieter in den USA vor die Füße werfen.
Es gibt Alternativen, auch moderne Alternativen, die den Papierkram verringern. Man kann etwa Nextcloud nutzen, dafür gibt es auch Office-Apps. Wenn man dafür eine eigene Hardware aufsetzt oder mietet, erhält auch kein Dritter Zugriff auf die Daten. Die Administration kostet zwar auch Zeit, aber wenn das zu viel ist, hat man ja auch immer noch die analoge Lösung. Und dort würde auch keiner die Mitgliedslisten etwa an Bertelsmann weitergeben.
Ich habe nur das Gefühl, daß die DSGVO für Internetriesen wie Google, Facebook, Apple und Microsoft eher ein geringes Problem darstellt. Sie sammeln weiter fleißig Daten und erklären dann dass sie das müssen, das sei ja schließlich ihr Geschäftszweck. Eine Datenschutzerklärung soll auch einfach und kurz sein, nur wird diese bei den Datenvermarktern wieder so umfangreich aussehen, weil sie die Daten halt so oft weiterreichen, daß am Ende doch wieder kaum jemand die Datenschutzerklärungen lesen wird.
Auch auf der anderen Seiten sehe ich noch Probleme mit der DSGVO. Dem privaten Webseitenbetreiber fehlen einfach Erklärungen und Handreichungen, wie er seine Website DSGVO-konform aufsetzt. Hier könnten die Provider Hilfestellung leisten. Allerdings traut sich aktuell niemand verbindliche Aussagen zu treffen, da unklar ist, die Gerichte im Zweifelsfall die Rechtslage auslegen. Der kleine Website-Betreiber sollte sich meiner Meinung davon ausgehen, daß die Rechtslage auch ihn voll betrifft.
Schon in der Vergangenheit haben deutsche Gerichte stets zu Lasten von Privatmenschen im Internet entschieden. Oft wurden sie als gewerblich eingestuft, was zu besonderen Verpflichtungen führt, ob nun auf der Homepage oder etwa beim Verkauf alter Sachen bei Ebay. Dabei ging es meistens nicht um den Schutz von zum Beispiel Verbraucherrechten, sondern vor allem um Abzocke durch Abmahner und im Falle von Ebay um die Versteuerung von kleineren Verkaufserlösen.
Im Zweifelsfall lieber etwas mehr machen und wenig Angriffsfläche bieten.
Übrigens: Es gibt einen sehr guten Dokumentarfilm über die Entstehung der DSGVO: Democracy – Im Rausch der Daten (noch bis 24.06.2018 in der Arte Mediathek verfügbar). In diesem Film wird vor allem Jan-Philipp Albrecht begleitet, der Entstehungsprozeß geführt hat. Man kann gut sehen, wie die Europäische Gesetzgebung funktioniert und vor allem wie von allen möglichen Seiten Einfluss auf die Entscheider genommen wird.