Na? Schon was von der neuen, europäischen Datenschutz Grundverordnung gehört? Nicht? Dann wird es aber Zeit. Denn die ist bereits seit anderhalb Jahren gültig, ab Mai 2018 wird sie aber von den Behörden nachverfolgt. Jedes Unternehmen – ob der kleine Blumenladen an der Ecke, bis hin zu großen Konzernen – muss sich um dieses Thema kümmern. Es geht dabei um die Art und Weise, wie mit personenbezogenen Daten umgegangen wird. Hier hat Deutschland in der Vergangeheit schon ein umfangreiches Regelwerk vorgegeben, diese neue Verordnung geht aber noch einen Schritt weiter.

Was die neue Datenschutzverordnung beinhaltet

Um es kurz zu sagen: sie gibt vor, wie Daten, die Rückschlüsse auf eine eindeutige Person zulassen, behandelt werden müssen. Das schließt zum einen den physikalischen Schutz ein, aber auch den Schutz vor eventuellem Verlust, durch unachtsames Verteilen oder durch Einbruch ins das IT-System. Sie gibt vor, in welchem Umfang Daten gesammelt und wie lange sie gespeichert werden dürfen. Darüber hinaus gilt nach wie vor, dass jedes Individuum das Recht hat, zu erfahren, welche Daten über ihn gesammelt werden und es muss eine Möglichkeit geben, ihm diese Informationen in einer „leicht lesbaren“ Form auszuhändigen. Außerdem wird eine lückenlose Protokollierung der Datenverarbeitung als Schlüssel des ganzen angegeben.

Jeder, der einem in irgendeiner Form persönliche Informationen zur Verfügung stellt, hat das Recht, zu erfahren, welche Daten gespeichert werden werden, zu welchem Zweck diese gespeichert und verarbeitet werden und wer sonst noch Zugriff darauf hat. Darüber hinaus hat jeder das Recht, Änderungen vornehmen zu lassen, oder auch löschen zu lassen.

Man sieht also: es gibt viel alt Bekanntes, aber auch einiges, was selbst Ein-Mann-Unternehmen vor die ein oder andere Herausforderung stellt. Und ich persönlich glaube, dass ab dem 25. Mai 2018 die Anwälte bereits in den Startlöchern stehen. Und es ist nicht damit getan zu sagen: „Kein Thema, ich verschlüssle ja die Daten.“ Das hat damit gar nichts zu tun. Es geht um wirklich umfangreichen Schutz der Daten, Protokollierung und Transparenz. Jeder noch so kleine Unternehmen, der sagt, das gelte nicht für ihn, sei an dieser Stelle wirklich gewarnt.

Blogs und Websites

Es fängt nämlich schon mit der Website oder dem Blog an. Wir haben alle wahrscheinlich die Datenschutzerklärung eingebunden. Hier sind ebenfalls die Drittanbieter mit berücksichtigt, wie Twitter, Facebook und Google Analytics. Diese sind nach wie vor wichtig und notwendig. Vielleicht ändert sich hier und da noch etwas in der Formulierung.

Spannend wird es dann, wenn diese Daten selbst auch verarbeitet werden, etwa für Marketing-Zwecke. Oder hast du einen Newsletter? Ist dem Endanwender wirklich klar, was du mit diesen Informationen machst? Hast du die Möglichkeit, diese in Gänze zu exportieren, falls er diese anfordert? Sind die Systeme, die ich für die Verarbeitung nutze, so aufgestellt, dass sie mir bei der Nachweispflicht helfen?

Ich habe mir zu diesem Thema selbst Gedanken gemacht. Ich bin zwar keine Firma, aber dennoch möchte ich den Besuchern meines Blogs ein gutes Gefühl geben. Des Weiteren möchte ich nach wie vor auf diese grauenvollen Banner verzichten, die den User darüber informieren, dass Cookies gespeichert und Daten ausgewertet werden.

Meine persönliche Quintezenz

Gestern Abend habe ich mir selbst mal Gedanken darüber gemacht, wie ich das künftig handhaben möchte. Ich mal den Browser von Ghostery auf mein iPad geladen und meinen Blog geöffenet. Ich war überrascht, dass das bei mir gar nicht so schlimm aussah.

ich möchte dazu bemerken, dass ich keine Share-Buttons eingebunden habe, Google-Analytics nutze ich auch nicht und auch das WordPress-Stats-Plugin ist nicht Verwendung. Derzeit nutze ich als Statistik-Tool Statify, welches by default auf größtmöglichen Datenschutz aufgebaut ist.

Es gab zwei Dinge, die mir Ghostery angezeigt hat:

Twitter In der Sidebar hatte ich ein kleines Widget, welches meine letzten fünf Tweets angezeigt hat. Hier wurde entsprechend Daten meiner Blog-Besucher abgegriffen. Welche, das weiß nicht, aber Ghostery sprang darauf. Also habe ich das Widget und auch das entsprechende Plugin komplett entfernt.

Gravatar Hierbei handelt es sich um ein Dienst, der zu WordPress gehört und für die Avatare hier im Blog verantwortlich ist. Auch hier wurde Nutzerdaten gesammelt. Wahrscheinlich, um Statsitiken zu führen, welcher User auf welcher Website seine Spuren hinterlassen hat, zumindest wenn dieser einen Kommentar hinterlassen hat. Auch dieses Feature habe ich komplett deaktiviert. Wer dies auch tun möchte, der findet das in den Blog-Einstellungen und „Diskussion“. Einfach Avatare ausschalten und fertig ist die Laube.

Anpassung meiner Datenschutzerklärung

Ich habe dann auch an meine Datenschutzbestimmungen rangesetzt. Klar, wenn es um die Kommentarfunktion geht, muss man das hier auch angeben, welche Daten gespeichert werden und inwiefern diese verarbeitet werden. Ich habe auch keine Sorge, was das eventuelle Aushändigen der personenbezogenen Daten angeht. Hier macht es WordPress einem sehr leicht, Kommentare zu filtern. Auch das Löschen ist dann kein Problem mehr.

Wenn um das Statsitik-Tool geht, so habe ich ebenfalls ein wenig dazu geschrieben, dass die Daten anonymisiert sind, dass keine IP-Adressen gespeichert werden, sondern nur generelle, nicht auf eine einzelene Person zurückzuführende Metadaten, wie Herkunft, Land und dergleichen.

Da ich keinerlei Anmeldemechanismus für diesen Blog habe, den die Besucher nutzen könnten, ist auch eine HTTPS-Verschlüsselung nicht notwendig. Somit bin ich auf dieser Seite schon mal Datenschutz-konform.

Fehlt noch ein weiterer Part: Wie und wo werden die personenbezogenen Daten (etwas aus den Kommentaren) gespeichert? Sind die Schutzmaßnahmen angemessen? Das Hosting meines Blog übernimmt derzeit die DomainFactory. Leider, so musste ich feststellen, gibt es für die Rechenzentren KEINE entsprechende Zertifizierung. Das hat mich dann doch ein klein wenig geschockt. Ob das von meiner Seite aus jetzt ein Todo werden wird, weiß ich noch nicht. Gefühlt ist das vielleicht mit Kanonen auf Spatzen geschossen. Zumal ich halt auch keine Firma bin, die da irgendwie was nachweisen muss. Aber trotzdem ist das gerade ein recht schaler Geschmack im Mund. Strato hat diese Zertifikate.

Ich hatte vor einiger Zeit mal darüber nachgedacht, mit meiner Website zu Microsoft-Azure zu wechseln, aber das wäre dann auch einfach zu teuer geworden. Insofern auch keine Option. Mal sehen, wie das Thema weitergeht. Zumindest werde ich das der Fairness halber in der Datenschutz-Erklärung mit erwähnen.

Ich fände das toll, wenn sich Webseiten-Betreiber über dieses Thema Gedanken machen. Prinzipell wäre es wünscheswert, wenn man sich Gedanken darüber macht, welche Daten man denn wirklich sammelt und warum. Und das unabhängig davon, ob man ein Unternehmen hat oder nicht. Micht interessieren IP-Adresse überhaupt nicht. Also können die verschwinden, bzw. können anonymisiert werden. Die Anzahl der Zugriffe, von welcher Seite die Besucher kommen und aus welcher Ecke der Erde – das reicht völlig. Und da brauche ich keine Daten, die man auf den User herunterbrechen kann.

Deswegen mein Tipp: absolute Datenarmut und absolute Tranzparenz. Sollte für jede Website gelten. Ob nun geschäftlich oder privat.