Schon seit langer Zeit hängt das Damoklesschwert der neuen Datenschutz Grund Verordnung über dem World Wide Web - aber am Ende waren doch die meisten unvorbereitet. Am 25.5.2018 war es soweit: die Datenschutzverordnung trat in Kraft. Vielleicht haben auch bei Ihnen die Newsletter und „Bitte-bitte-bleibe-in-Verbindung“-Anfragen die Mailbox zugemüllt?

Am 24.5. um Mitternacht saß ich am PC und wartete zusammen mit Kollegen, dass das Internet sich in Datenschutzstaub auflöst. Wir hatten tagelang rund um die Uhr Datenschutzerklärungen verfasst, Kontaktformulare aufgerüstet oder abgeschaltet, unverständliche Gesetzestexte studiert und interpretiert und waren alle mit den Nerven am Ende. Aber um 00:02 knallten dann virtuelle Sektkorken – hurra! wir leben noch!

Wie es dazu gekommen ist?

Mit den jüngsten Skandalen ist es ins Bewusstsein vieler Menschen gedrungen, dass ihre Daten im Web teilweise wild ge- und missbraucht werden. Fast jeder meldet sich irgendwann irgendwo an, gibt mehr oder weniger viele private Daten preis und weiß nicht, was mit den Daten geschieht. Hier das Geburtsdatum, dort den Geburtsort, den Wohnort, eventuell den Schulabschluss – und schon ist die Vermögensanalyse fertig. Suche ich ein Geburtstagsgeschenk für einen Wanderer – schon bekomme ich tags darauf Berge von Werbung für Wanderstiefel und Kletterseile.  

Wir werden also getracked wie es im Internet heißt. Jeder Klick wird notiert, gesammelt, analysiert. Warum? Weil man versucht, dem Kunden passende Angebote zu bieten – man will ja nur sein Bestes (haha). Gleichzeitig wissen wir alle, dass Google, Facebook, WhatsApp und wie sie alle heißen, mit unseren Daten gute Geschäfte machen und nicht zimperlich damit umgehen.

Dies hat solch ein Ausmaß angenommen, dass nun die Politik versucht, den Menschen mehr Schutz ihrer persönlichen Daten zu gewährleisten und eine Lösung erarbeitet hat. Aber was für eine! In der Theorie klingt sie richtig gut. Der Benutzer soll jederzeit wissen, welche Daten von ihm erhoben werden und soll gefragt werden, bevor etwas gespeichert wird. Jeder kann Auskunft darüber verlangen, welche Daten von ihm erhoben werden, wo und wie lange sie gespeichert werden, wohin sie weitergegeben wurden und kann sie löschen lassen, wenn er will. Sehr gut. Verstöße gegen die Datenschutzverordnung werden mit sehr hohen Strafen belegt.  

Nun ist es so, dass die meisten Unternehmer und Privatpersonen den Datenschutz schon immer ernst nehmen, es ist also nicht direkt etwas Neues. Nur ist die Regelung verstärkt worden, aber die Verordnung wurde sehr schlecht kommuniziert. Viele haben erst kurz vor knapp überhaupt etwas davon mitbekommen. Die meisten privaten Webseitenbetreiber wissen einfach nicht, was nun zulässig ist und was nicht – auch der Rat „wenden Sie sich an einen Anwalt“ nützt nichts. Anwälte wissen derzeit eben so viel oder wenig über die Umsetzung wie Webdesigner.  

Jeder Webdesigner hatte am 23.5. Dutzende Anrufe der Art „Hilfe! Ich habe gestern im TV gesehen, dass ab morgen meine Webseite abmahngefährdet ist! Sofort aktualisieren! EinsEinsElf!!!“. Und es gab sehr unfreundliche Reaktionen, wenn es hieß: „Sie sind der 45ste heute. Bitte hinten anstellen.“

Was ist nun das Problem mit der neuen Regelung? Nehmen wir die Seite des CBF München als Beispiel. Die ist wirklich der allereinfachste Fall, den man sich im Web vorstellen kann, denn wir sammeln keine Benutzerdaten. Aber halt! Wir zeigen Fotos von Menschen! Und wir kündigen das Erscheinen einer Clubpost mit einer E-Mail an, die vom Büro immer liebevoll gestaltet ist. Ist das jetzt ein Newsletter, für den wir eine schriftliche Einverständniserklärung benötigen?  
Und wir zeigen Google Maps! Das heisst: Sie sind im Internet angemeldet. Dafür hat Ihr Rechner eine weltweit eindeutige Adresse bekommen, anders kann das Internet nicht funktionieren. Mit dieser Adresse sehen Sie sich nun z.B. einen Stadtplan an, der barrierefrei zugängliche Kinos zeigt. Es ist die Aufgabe des CBF, solche Daten für Menschen mit Behinderung zu sammeln und zu zeigen. Aber Google hat nun Ihre IP-Adresse. Oh Schreck! Ist dies nun eine Weitergabe von personenbezogenen Daten? Denn theoretisch könnte man anhand der IP-Adresse erkennen, wer Sie sind – oder jedenfalls, von welchem Rechner die Anfrage nach dem Stadtplan ausgeht. (Vielleicht sitzt ja auch das Kind oder der Opa am Rechner.) Sollen wir nun einen Hinweis einblenden (wie diese lästigen Cookie-Hinweise, die wir erst ab 2019 zeigen müssen). „Sie wollen eine Seite sehen, auf der eine Google Map enthalten ist. Dafür müssen wir Ihre Daten an Google Inc… (irgendwo in den USA) schicken. Bitte lesen Sie deren Datenschutzerklärung (18 Seiten - oder sind es 38?) und bestätigen Sie dann, dass Sie damit einverstanden sind“. Das wollen wir niemandem antun. Es steht jetzt in der Datenschutzerklärung und wir hoffen, dass das ausreichend ist.

Nun kommt dazu: Die Webseite ist auf einem Server gespeichert. Unser Server steht in Deutschland, also sind wir hier auf der sicheren Seite. Es heißt in der Verordnung sinngemäß: Der Seitenbetreiber, also der CBF München, muss sich vergewissern, dass beim Auftragnehmer alles ordentlich gemacht ist. Ich könnte jetzt nach Ismaning fahren, wo unser Server steht, an die Tür zum Serverraum klopfen und sagen „Hallo, ich bin Ihr Kunde, zeigen Sie doch bitte mal meinen Server! Und wie Sie meine Daten verarbeiten – ich muss kontrollieren dass alles in Ordnung ist“. Zudem müssen Webdesigner und Hoster nun dem Kunden Datenverarbeitungsverträge anbieten. Dies bedeutet noch einmal Zeitaufwand und Kosten - und kaum ein Kunde wird diesen Vertrag überhaupt lesen, geschweige denn verstehen.

Für Verstöße gegen die Verordnung sind sehr schwere Strafen angedroht worden. Es sind schon Vereinsvorstände zurückgetreten, weil sie persönlich haften, aber das Risiko in diesem Fall nicht abschätzen können. Politiker erklären zwar, dass alles völlig harmlos ist. Aber was ist, wenn im Zweifelsfall ein Richter nach den Buchstaben des Gesetzes und nicht nach den TV-Aussagen der Politiker entscheidet?  

Im übrigen: Facebook und WhatsApp (gehört seit 2014 zu Facebook) dürfen aufgrund der neuen Verordnung nun auch ganz offiziell Benutzerdaten austauschen, was sie bisher angeblich nicht taten.  

Also alles in allem – die ganze EU-Verordnung ist ein Beispiel für „gut gemeint und sehr schlecht kommuniziert“.  

Christiane Maier-Stadtherr