Hilferuf in eigener Sache (betrifft DSGVO)
Wie evtl. manche von Ihnen bereits seit mehreren Jahren wissen, tritt am muss ab 25. Mai 2018 (heute in 37 Tagen) die sogenannte Datenschutz-Grundverordnung für alle EU-Länder in Kraft umgesetzt werden.
Ich geb’s zu, ich habe das völlig verschlafen, und bin nun doch etwas, nun ja, aufgewühlt, ob der Erfordernisse dieser Regulierung für unser kleines Kartoffeldruck-Weblog-Hosting-Projekt…
Wir fahren ja nun seit mehreren Jahren eher auf Sparflamme, und das vielleicht nicht tadellos, aber im Großen und Ganzen doch ganz gut und entspannt.
Und jetzt schaut es doch so aus, als durchkreuze diese DSGVO unseren finsteren Plan zur Erlangung der Weblogherrschaft durch Nichtstun…
Bitte nicht falsch verstehen; Datenschutz und Privatsphäre sind wichtig – nie waren sie so wertvoll wie heute! Sind wir voll für, sind wir Fans von.
Aber, um es mit diesem Zitat aus einer sehr löblichen Critical Reflection on GDPR (so lautet die Abkürzung für »General Data Protection Regulation«, also DSGVO auf englisch) auszudrücken:
The immense effort necessary to comply and to be safe from the data protection agencies as well as lawyers affiliated with a competitor is only really manageable for the big players. Smaller startups and specifically decentralized free/open source projects will always be out of compliance. The law that was supposed to reign the US tech giants in (to allow European alternatives to flourish) does only strengthen the position of those already almost being monopolies.
Übersetzt: unseren kleinen Verein könnte die Erfüllung der DSGVO-Vorgaben ein wenig überfordern.
Und deswegen der Hilferuf: wer kann uns v.a. mit juristischer Kompetenz darlegen, welche Pflichten Antville.org bis kurz vor Ende Mai unbedingt erfüllen sollte? Was ist wirklich notwendig umzusetzen? Und was können wir uns getrost sparen?
Lasset die Kommentare sprießen – it’s springtime for the GDPR!
This comment is gaslighted.
.tarion.
Ich weiß aus guter Quelle, dass es gerade für kleinere nicht so schlimm ist wie oft behauptet. Einfachste Regel (in Deutschland): die zuständige Datenschutz-Behörde um Hilfe bitten - deren Rolle ist auch Beratung.
tobi Verwaltung
OK, da scheint Österreich anders zu ticken:
> Es wird um Verständnis ersucht, dass im Rahmen einer telefonischen, oder schriftlichen Anfrage keine rechtlichen Beurteilungen zur Anwendung und Auslegung rechtlicher Bestimmungen bzw. inhaltliche Beratungsleistungen vorgenommen werden können. (…) Hinsichtlich inhaltlicher Rechtsberatung müssten Sie sich daher gegebenenfalls an einen Rechtsanwalt Ihres Vertrauens wenden. — https://www.dsb.gv.at/information-zu-rechtsauskunften
xlfsh
Kaum ein sicheres System als Antville, scheint mir.
1. Werden personenbezogene Daten gespeichert (IP, E-Mail, Name, Geschlecht, Religionszugehörigkeit, sexuelle Präferenzen, medizinische Daten, Bankverbindung etc.)? Wann ja, welche und wo?
2. Werden sie weitergegeben und woanders gespeichert (Plugins, Cookies, Dienstleister, Skripte, Tools)? Wenn ja, wie werden sie weitergegeben und wo werden sie gespeichert?
3. Ist es möglich, diese Daten (auch Kommentare und Einträge, sein Blog) vollständig zu löschen?
Das sind mal so die drei wichtigen Grundsatz-Fragen, die in einem Verfahrensverzeichnis zusammengetragen und beantwortet werden, eine Person ist Datenschutzbeauftragte/r.
Kann sein, dass ich was vergessen oder nicht korrekt dargestellt habe. Gerne korrigieren oder ergänzen.
tobi Verwaltung
ad 1. Wir werden auf jeden Fall das Aufzeichnen von Daten weiter beschränken. Auf Antville.org loggen wir seit geraumer Zeit keine IP-Adressen, das ist schon mal ein guter Anfang.
ad 2. Auch das werden wir weiträumig einschränken. (Interessanterweise ist ein solches Tool, pepper.io, zuletzt einfach verschwunden. Vielleicht auch ein Fall von DSGVOverkill…?)
ad 3. Hier beginnen die Schwierigkeiten: da müsste sehr, sehr viel implementiert werden. Und ich fürchte Anfragen zu Dateneinsicht usw. schon allein der Abmahntrolle wegen.
Datenschutzbeauftragte klingt toll, wir sind halt nur alle zusammen ca. 1 Arbeitskraft… (und ich neige zu Übertreibungen).
xlfsh
O.K., Datenschutzbeauftragter erst ab 10 Mitarbeiter.
Ich finde, hier ist das gut zusammengefasst (bezieht sich auf Wordpress, aber ist natürlich allgemeingültig): https://www.webtimiser.de/so-bereitest-du-wordpress-auf-die-dsgvo-vor/
Wenn ich das richtig sehe, braucht es grob:
- Ein Verfahrensverzeichnis (nicht öffentlich)
- Eine Datenschutzerklärung (öffentlich)
- Und beim Anlegen des Blogs ein Kästchen mit Häkchen "Ja, ich bin damit einverstanden, das meine E-Mail zum Zwecke des ... und ... außerdem ... gespeichert wird."
- Kontakt für Löschwünsche, was man nicht selbst löschen kann.
Ich bin allerdings kein Rechtsanwalt.
mutant
ok, das ist die critical reflection. was genau steht denn in dem vermutlich 57000 seiten langen ding? und inwieweit greift es hier, wo die basis vereinsrecht ist?
tobi Verwaltung
Das ist m.E. egal, wie groß bzw. klein die Unternehmung ist – abgesehen von rein privaten Websites –, und damit auch das Problem: es gilt vollständig und umfassend auch für Antville.org, selbst wenn wir es auf einem Server der Cayman-Inseln hosten würden…
kohlehydrat
vielleicht hilft diese checklist?
https://datenschmutz.net/dsgvo-checkliste-fuer-blogs/
tobi Verwaltung
Ja, das hilft natürlich auch zur Informationsbeschaffung; vielen Dank!
schneeschmelze2
Siehe die vier Artikel in c't 5/2018, S. 100–115. Dort eine Checkliste für die Datenschutzerklärung (S. 107):
* Name und Kontaktdaten des Website-Betreibers
* Zwecke der Datenverarbeitung
* Rechtsgrundlage der Datenverarbeitung
* Speicherdauer
* Aufklärung über Betroffenenrechte
Soweit einschlägig:
* Kontaktdaten des Datenschutzbeauftragten
* Bei Weitergabe von Daten: die Empfänger oder Kategorien von Empfängern (einschl. Auftragsverarbeitung)
* Absicht, Daten ins EU-Ausland zu übermitteln (Hinweis auf Datenschutzabkommen)
* Bestehen einer automatisierten Entscheidungsfindung.
Es besteht derzeit soviel Unsicherheit, dass wahrscheinlich die meisten Laien erst einmal Zuflucht bei den Mustern nehmen werden, die man per Datenschutz-Generator und ähnlichen Angeboten erhält. In meinem letzten Bloggerkurs erzählte ein Teilnehmer, in seiner Firma seien allein vier Juristen nur mit der Umsetzung der DSGVO im Unternehmen beschäftigt…
Weblinks der c't zu den Artikeln: ct.de/ykuc und ct.de/yx4r
Wenn ich es richtig verstehe, reicht übrigens eine Datenschutzerklärung des Hosted Service nicht aus, sondern jeder Blogger braucht seine eigene. Das heißt, Antville müsste uns darüber informieren, welche personenbezogenen Daten wie gespeichert werden, damit wir als Blogger Auskunft gegenüber unseren Lesern geben können. Am besten informiert ihr alle einmal per Blogpost an dieser Stelle. YMMV.
schneeschmelze2
Jörg Kantel gibt heute übrigens Entwarnung.
tobi Verwaltung
vielen dank für ihren einsatz und die vielen hinweise.
_ad hosted service:_ klar, wir (vom verein / die betreiberinnen von antville.org) können nur **unseren** datenschutz »erklären« (dokumentieren). wenn wer auf einem antville blog bitcoin mint oder eine direkte pipeline zu palantir einrichtet, müsste das auf dem jeweiligen blog entsprechend zusätzlich vermerkt werden.
_ad entwarnung:_ seit dem ersten kontakt mit der dsgvo bewegen sich die artikel, die ich lese, zwischen absoluter panikmache (selbstverständlich mit den entsprechenden rechtlichen dienstleitungsangeboten im monatsabo) und kaltschnäuzigem abwinken.
dass viele der gesetzlichen regelungen bereits seit jahren in nationalen gesetzen wiederzufinden waren, schützt m.e. aber nicht davor, dass sich nun abmahntrolle im ganzen eu-raum auf einzelne sites wie antville.org stürzen könnten.
dass es ausgerechnet in österreich zuletzt eine interessante, wenn auch in großen teilen sehr fragwürdige wendung in sachen datenschutz gegeben hat, könnte uns vielleicht entgegenkommen. insgesamt halte ich das alles jedenfalls für einen l/awful clusterfuck of epic proportions.
schneeschmelze2
Ganz pragmatisch gesehen, würde ich die obige Checkliste von Joerg Heidrich umsetzen. Rechtsgrundlage der Datenverarbeitung ist Art. 6 I 1 f DSGVO. Erhoben werden folgende Daten ... dazu werden ... Cookies gesetzt ... Zweck ist ... Speicherdauer ... Abschließend eine Aufklärung über Auskunfts- und Lösch-Rechte, auch bei Dritten. Die Artikel in der c't waren sachlich gehalten, keine Panikmache, aber Handlungsbedarf.
Was die einzelnen Blogger zusätzlich bei sich einbinden, sollte schon beobachtet werden, denn Antville ist letztlich der Diensteanbieter. Ein Hinweis darauf in der Datenschutzerklärung schadet nicht. Alles weitere ist hypothetisch.
Problematisch finde ich eigentlich nur die Google-Integration mit Analytics und der Custom Search. Beides kann man durch eine entsprechende Datenschutzerklärung abdecken. Ob man das irgendwann einmal z.B. durch Piwick und eine eigene Suche ersetzt, wäre eine ganz andere, grundsätzliche Frage und hätte nichts mit der DSGVO zu tun.
tobi Verwaltung
> Problematisch finde ich eigentlich nur die Google-Integration mit Analytics und der Custom Search
analytics verwenden wir auf den vom verein betriebenen sites aber nicht – oder hab ich da was übersehen?
haben sie zufällig auch eine ahnung, wie beim einstaz von google recaptcha verfahren werden muss? genauso wie bei google ads / analytics?
schneeschmelze2
Dazu kann ich leider nichts sagen. Grundregel ist: Wer erhebt welche Daten, wer überträgt an wen welche Daten, und jeweils: zu welchem Zweck? – uBlock origin hatte mir gestern GA angezeigt, deshalb hatte ich es erwähnt – ich muss mich wohl geirrt haben bei der Zuordnung der Website. Ist nicht reproduzierbar. Sorry.
schneeschmelze2
* Der achtzehnte Erwägungsgrund. klagefall.de. 3. Mai 2018. http://klagefall.de/blog/der-achtzehnte-erwaegungsgrund
Lakritze
Was externe Dienste angeht, da gibt's was zum Testen:
https://webbkoll.dataskydd.net/en
tobi Verwaltung
Danke für die Links! 🦉
schneeschmelze2
Ein Blick über den Zaun zu WordPress.com – And there’s much more to come! We’ll continue to update this page with more information as we launch new features to enhance user privacy and data choice ahead of May 2018, and beyond. – Yeah.
schneeschmelze2
Keine wesentliche Änderung durch die DSGVO bei Fotografien, meint – erneut – der Schockwellenreiter und zitiert dazu eine Auskunft des Bundesinnenministeriums (Berlin).
schneeschmelze2
Ein Feature Request für Antville wäre die Möglichkeit, die Kommentare nach Namen durchsuchen zu können. Das ist derzeit nicht möglich. Deshalb könnte ich auf Anfragen, die die Löschung von Kommentaren fordern, nicht reagieren. Bei WordPress kann ich die Kommentare nach Benutzernamen und E-Mail-Adressen durchsuchen. Ich habe die Kommenterfunktion deshalb erstmal deaktiviert … was ich eigentlich nicht möchte …
tobi Verwaltung
Hört sich nach einem berechtigten Feature Request an, kommt jetzt nur zu spät, um am 25. Mai verfügbar zu sein.
Es wird vorauss. möglich sein, ein Konto komplett zu löschen (d.h. inkl. aller Kommentare auf allen Sites, aber nicht nur die auf einem bestimmten Site).
Falls eine entsprechende Anfrage an Sie gerichtet wird, bitte ich um Kontaktaufnahme.
schneeschmelze2
Danke – bloß keinen weiteren Stress! Ich habe die paar Kommentare in meinem albatros erst einmal abgeschaltet. Das geht bei WordPress nicht so einfach: Deaktivieren der Kommentarfunktion, und die Texte sind nicht mehr lesbar.
Und bevor ich es vergesse: Danke für die schnelle Abhilfe bei der Suchfunktion!
Noch zwei Tipps:
* Joerg Heidrich hat sich für heise.de die [ultimative Datenschutzerklärung geschrieben](https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html).
* Stadler, Thomas. 2018. Was bedeutet die Datenschutzgrundverordnung für Blogger und Webseitenbetreiber? Internet-Law. 24. Mai. http://www.internet-law.de/2018/05/was-bedeutet-die-datenschutzgrundverordnung-fuer-blogger-und-webseitenbetreiber.html (zugegriffen: 25. Mai 2018).
tobi Verwaltung
Bzgl. des Löschens von Kommentaren eines spezifischen Kontos ist mir noch eingefallen, dass Sie über die [Löschfunktion jedes Kommentars](https://tobi.antville.org/stories/1961852/#1963750) auch alle anderen Kommentare des Kontos auf einer Site entfernen können.
schneeschmelze2
Das ist ein schöner Workaround, danke! Das würde m.E. aber nicht ausreichen, um den Anforderungen nach der DSGVO zu genügen. Der Betroffene müsste zwar einen konkreten Kommentar benennen, der gelöscht werden soll. Und wenn ich den habe, habe ich Zugriff auf alle. Was aber weiterhin fehlt, wäre eine Liste aller Kommentare eines Benutzers, denn er hat ja auch erstmal einen Auskunftsanspruch, den er vorwegschicken kann: Erst Auskunft, und auf dieser Grundlage dann das Löschungsbegehren.
tobi Verwaltung
Also dafür gibt es jetzt zwei Ansätze: zum einen können Sie der Betroffenen mitteilen, dass Sie in ihrem Profil die komplette Zeitleiste abrufen kann (dazu muss Sie allerdings – noch – in irgendeiner Form Mitglied der Website sein).
Probieren Sie’s aus: https://help.antville.org/members/timeline (oder auf Ihrem eigenen Site).
Und dann gibt es noch die Exportfunktion, die folgt demnächst.
:)
kathleen
Tobi,
guck dir mal dies hier an, dann ist eigentlich alles klar. Für Antville ist es auch nicht so wüst, wie die Panikmache vermuten ließe. Und: Ein Datenschutzbeauftragter muß erst benannt werden ab 10 Mitarbeitern in der Datenverarbeitung
https://www.janalbrecht.eu/2018/05/dsgvo-haeufig-gestellte-fragen-haeufig-verbreitete-mythen/
tobi Verwaltung
Danke für den Hinweis. Allerdings empfinde ich die Ratschläge von Herrn Albrecht, der sich ja als Mitverursacher dieses rechtlichen Ungetüms rühmt, eher als fragwürdig. Ein Projekt wie Antville kommt m.E. in den Weltanschauungen der Datenschützerinnen gar nicht vor.