Matthias Scharwies: DSGVO = Y2K 2.0 ?

Mit dem Ablauf der zweijährigen Schonfrist der Einführung der Datenschutz-Grundverordnung (DSGVO) ist für viele für heute, 25.05.2018, der Tag des Weltuntergangs gekommen. „Jetzt kann man nicht mal mehr ...“

Die Älteren unter uns werden sich noch an die Panik vor der Jahrtausendwende erinnern. Uralt-Computer aus den 70ern litten unter dem Y2K-Bug, das im Wesentlichen durch die Behandlung von Jahreszahlen als zweistellige Angabe entstanden ist. Würden die Computer an Silvester auf den 01.01.1900 schalten oder sich selbst vernichten? Ich hatte eigentlich auch vor, meine Badewanne mit Trinkwasser zu füllen, um die ersten Tage bis zum Neustart zu überleben, vergass dies jedoch im Feiertrubel. Der erwartete Absturz blieb dann aber aus. Warum?

Durch die apokalyptischen Warnungen wurden die Computersysteme und Programme in den Jahren vor dem Tag X erneuert, so dass das prognostizierte Ereignis nicht eintrat. Ähnlich werden sich wohl auch die Befürchtungen der Skeptiker zerstreuen, wenn im Laufe des Tages die meisten Webseiten an die eigentlich schon länger bestehenden Datenschutz-Grundlagen angepasst werden. Für mich war dies ein willkommener Anlass, die von mir betreuten Webseiten einer Überprüfung zu unterziehen.

Wichtigster Punkt war insbesondere die neue Datenschutzerklärung, die jetzt viel genauer auflistet, welche personenbezogenen Daten wie lange und wofür gespeichert werden, und welche Rechte Betroffene konkret zur Verfügung haben. Die dabei erworbenen Erkenntnise haben ihren Eingang ins Wiki gefunden, in dem jetzt die Seite Grundlagen/Rechtsfragen/Datenschutzerklärung informiert.

Neu ist, dass auch IP-Adressen zu den personenbezogenen Daten zählen. Dies ist insofern wichtig, da auch dokumentiert werden muss, welche Daten an externe Dienstleister übergeben werden. In den letzten Jahren hat es sich als sehr bequem erwiesen, Frameworks wie jQuery, Fonts von Google oder anderes von CDNs als Drittanbieter (3rd Party Content) hosten zu lassen und so aufwandsfrei immer die neueste Version zur Verfügung zu haben. Auch wenn Fonts von Google oft schon im Cache vorhanden sind, kann nicht sichergestellt werden, dass durch die CDN-Dienste Nutzerprofile erhoben werden können (oder was ist deren kostenloses Geschäftsmodell?). Beatovich zeigt in einem Wiki-Tutorial, wie man die frei verfügbaren Schriften selbst hosten kann und so die Datenschutzbestimmungen einhält. Aus diesem Grund verzichten wir auch auf externe Zählpixel.

Personenbezogene Daten, die im Netz erhoben werden, müssen verschlüsselt übermittelt werden, sodass ein Man-in-the-Middle nicht mithören kann. Dabei ist es sinnvoll, grundsätzlich alle Daten verschlüsselt zu übertragen, auch „normale“ Daten wie Seiteninhalte, Bilder und Skripte. Wer von welchem Server welche Inhalte abruft (Verkehrsdaten), ist ebenso schützenswert wie Passwörter und Benutzernamen, die bei der verschlüsselten Datenübertragung für Lauschangriffe unerreichbar sind. Seit mehreren Jahren schob ich die Umstellung der von mir betreuten Webseiten auf den sicheren Standard HTTPS (ausführlicher Grundlagen-Artikel) immer wieder hinaus, bis mich jetzt der Tag X zum Handeln zwang. Zwei bei einem lokalen Provider gehostete Domains wurden innerhalb eines Tages umgestellt; die Einstellungen für WordPress wurden gleich mitangepasst. Einen weiteren Webauftritt, der bei Strato gehostet wird, konnte ich direkt im Service-Center selbst umstellen. Der Arbeitsaufwand betrug insgesamt nur wenige Minuten. Es gibt also keine Ausreden mehr, dies nicht zu tun.

So bleibt mir noch Zeit, auch einmal die positiven Seiten der DSGVO herauszustreichen. In Deutschland ändert sich im Vergleich zum früheren BDSG und TMG gar nicht so viel; deutlicher wird die Informationspflicht an die Besucher, die nicht nur ihre Rechte erfahren, sondern endlich die Gelegenheit bekommen, ein Bewusstsein für das Thema Datenschutz und seine Notwendigkeit zu entwickeln. Dies hat hoffentlich Auswirkungen auf den Umgang mit personenbezogenen Daten im Internet, nicht nur seitens der Anbieter, sondern auch der Verbraucher. Der Grundsatz der Datensparsamkeit ist sinnvoll und führt hoffentlich zu einem Umdenken, dass ein Opt-in als Voreinstellung anstelle des vielerorts geltenden Opt-outs sein muss. Das „neue Gold“ (personenbezogene Daten), welches diese Datensammelwut hat ausufern lassen, wird so hoffentlich auf ein vernünftiges Maß begrenzt.

Viele Nutzer haben Angst vor einer Abmahnwelle in den nächsten Monaten. Ob die Zusicherung der Justizministerin Katarina Barley, gegen das Abmahnungswesen ...aber insgesamt vor[zu]gehen Wirkung zeigt bleibt abzuwarten. Die Erfahrung von SELFHTML zeigt jedoch, dass man solchen Abmahnungen gegenübertreten und selbst vor Gericht Recht bekommen kann:

Recht und Links SELFHTML und der Fall "Explorer" (2001)

  1. Im Grunde handelt es sich um einen Bewusstseinswandel, der auch und gerade in SelfHtml erfolgen sollte, indem wir nicht einfach dazu anleiten, wie man etwas machen kann, sondern indem wir eben auch den Anliegen der User, die von den Produkten letztlich betroffen sind, Rechnung tragen. Mehr denn je muss auch ein Selfer an der Frage mitwirken, welches Netz wir wollen. Meine wirkliche Hoffnung ist jedoch, dass Privatsphäre nicht durch Paragraphen sondern durch effiziente Browser mit eigenen Firewalls erreicht wird, im Sinne von, was mein Browser erst gar nicht verlangt, da muss ich auch nicht zu Datenschutzbedürfnissen Stellung nehmen.