Die Nebenwirkungen der DSGVO Blogger betroffen

Über 300 Blogs in Deutschland hatten ihre Seite abgeschaltet – so die Zahl nur einen Tag nach in Kraft treten der europäischen Datenschutzgrundverordnung. Wahrscheinlich sind es noch viel mehr. Kommt jetzt das befürchtete Blogsterben, das wegen des hohen bürokratischen Aufwands vorhergesagt wurde? Mythos oder Realität? Und warum sind manche US-Zeitungen von Europa aus nicht mehr erreichbar?

Beitrag anhören im BR5 MedienMagazin

Jetzt noch mehr wegklicken

Das Wort „Datenschutzgrundverordnung“ hat eine ähnliche Wirkung wie das Fingerschnipsen eines Hypnotiseurs. Sobald es fällt, beschäftigen sich die meisten Menschen reflexartig mit irgend etwas völlig anderem. 2009 hat sich keiner dafür interessiert, als die Verhandlungen in den EU-Gremien begannen. Und auch nicht, als die DSGVO vor zwei Jahren in Kraft trat, aber wegen einer Schonfrist noch keine Wirkung entfaltete. Erst in den Tagen vor dem 25. Mai brach Hektik aus.

Vor allem Blogger und Selbstständige fingen an, ihre Webseiten irgendwie datenschutzkonform zurechtzuzimmern. Viele brüten nun über der Frage, was für personenbezogene Daten sie eigentlich so erheben und speichern. Die müssen nämlich bis ins letzte Detail in einem „Verzeichnis von Verarbeitungstätigkeiten“ aufgeschrieben werden: Jedes erfasste Einzeldatum will darin verewigt sein mit genauer Angabe, zu welchem Zweck es gespeichert wird, auf welcher gesetzlichen Grundlage und auch welche Kollegen für diese Daten zuständig sind. Dazu gehört ein Löschkonzept und natürlich muss man in der Lage sein, Auskunft zu erteilen, wenn Kunden oder Geschäftspartner erfragen, welche Daten eigentlich über sie im Unternehmen vorliegen.

Weiterlesen in der taz

Zu Risiken und Nebenwirkungen fragen Sie Ihren Datenschutzbeauftragten

Als Folge der Datenschutzgrundverordnung war ein „Blogsterben“ vorhergesagt worden, weil Blogger und kleine Websitebetreiber mit den Regularien überfordert seien. Spoiler: Das Internet existiert noch. Aber als in meinem Umkreis tatsächlich einige ihre Blogs dicht machten, wollte ich wissen, ob mehr dahinter steckt oder es sich nur um einen Mythos handelt. Ich fragte also auf Twitter in die Runde und zählte innerhalb von 24 Stunden mehr als 300 geschlossene Blogs, Foren und Websites.

Natürlich ist diese Zahl in keiner Weise repräsentativ. Zugleich ist es wohl kaum übertrieben, von einer zehnmal höheren Dunkelziffer auszugehen. Interessant sind aber die Gründe, die die Blogger auf Twitter nannten. Alle gaben die DSGVO als Anlass für die Blogschließung an, aber nicht unbedingt als einzigen Grund. Viele bloggen sowieso nicht mehr. Deshalb war ihnen ihr Blog schlicht und ergreifend nicht wichtig genug, um sich um die Umsetzung der DSGVO zu kümmern. Ein Verlust ist das trotzdem. Denn auch wenn die Blogs sowieso nicht fortgeführt worden wären, sind ihre alten Inhalte verloren – ein Stück Netzkulturgeschichte des beginnenden 21. Jahrhunderts.

Weiterlesen bei t3n

„Ich habe dicht gemacht“ hat die Aspekte-Redaktion einen Beitrag mit mir genannt

Nicht mein Blog, aber die Kommentare hier. Warum, das habe ich schon aufgeschrieben. Die Redaktion von ZDF-Aspekte ist drauf aufmerksam geworden und hat nachgefragt. Was ich vor allem versucht habe: die DSGVO kritisieren, ohne Panikmache zu betreiben. Der Beitrag, der daraus entstehende ist, kann hier angesehen werden.

In der eigentlichen Sendung beantwortete dann Lorena Jaume-Palasí von Algorithm Watch die Fragen von Moderatorin Katty Salié.

Aktivieren Sie JavaScript um das Video zu sehen.
https://youtu.be/Q1QNvYQ92P0
Aktivieren Sie JavaScript um das Video zu sehen.
https://youtu.be/VgJQmgYymkg

 

Wie ich heute in meinem Blog etwa 3000 Kommentare aus 17 Jahren löschte

Noch drei Tage bis die DSGVO gilt, da musste ich dringend mal mein Blog anpassen, schließlich werbe ich hier auch für meine Tätigkeit als Publizist, was keine „rein private“ Nutzung ist. Das geht aber alles ganz einfach, wie zahlreiche Datenschützer nicht müde werden zu versichern. Also erstmal brauchst du eine Datenschutzerklärung, in der du rechtssicher und zugleich verständlich erklärst, was für Daten du erhebst, speicherst und wie du sie verwendest. Außerdem schreibst du für eine deiner Schreibtischschubladen ein vollständiges Verzeichnis deiner Datenverarbeitungstätigkeiten. Da kommt ganz genau rein, welche Daten du auf welcher gesetzlichen Grundlage speicherst, wofür die sie verwenden willst und wer bei dir Ansprechpartner ist. Und an Stellen im Blog, wo du Daten erhebst, formulierst du Einwilligungserklärungen zur Datenerhebung. Und dann kommen wir zum Löschkonzept, zu den Verträgen zur Auftragsdatenverarbeitung, zur den technischen Änderungen, die du am Blog vornehmen musst, und… Ok, scheiß drauf. Dieses Blog erhebt einfach keine Daten mehr. Und setzt null Cookies bei euch. Radikalkur.

Was ich im einzelnen gemacht habe:

  • Unabhängig von WordPress sicherstellen, dass der Webserver keine IP-Adressen in seinen Logfiles speichert. Tut meiner eh nicht.
  • Backup nicht vergessen. Und wenn alles erledigt ist und weiterhin funktioniert, Backup löschen nicht vergessen. Stecken ja noch personenbezogene Daten drin. Das gilt übrigens auch für die ganzen alten Backups, die du früher mal von deiner WordPress-Installation gemacht hast. Herrlich, so ein Start bei Null.
  • Alle Plugins entfernen, die in irgend einer Form tracken. Adsense, Analytics… alles raus. Kein Problem: Hatte ich sowieso nicht.
  • Alle Social Buttons oder Flattr und was es so gibt, müssen auch raus. Auch kein Ding: Hatte ich schon vor Jahren abgeschafft.
  • Achte darauf, dass dein Theme keine Google Fonts nachlädt. Mein Theme basiert auf „Twenty Seventeen“, da musste ich zwei Code-Stellen aus der functions.php herausnehmen.
  • Die Kommentarfunktion erhebt personenbezogene Daten. Und setzt unter Umständen Cookies. Also die Kommentarfunktion abschalten. Kommentiert ihr halt in Zukunft bei Facebook. Facebook hat eine tolle Datenschutzerklärung. Ich nicht. Dort seid ihr also sicherer mit euren Daten.
  • Für die alten Kommentare, die Menschen mal in euren Blogs hinterlassen haben, braucht ihr streng genommen alte Einwilligungserklärungen. Sowas hat natürlich niemand. Also alle Kommentare löschen. War eh viel Haterei dabei. Zugehörige Meta-Daten nicht vergessen.
  • Doch halt: Die Login-Seite setzt immer noch ein Auth-Cookie. Ich bin zwar die einzige Person, die in meinem Blog einen Account hat, aber es könnte sich ja jemand auf die nicht verlinkte Login-Seite verirren und anschließend rufen „Mama, Mama, das böse Blog hat mir einen Cookie gesetzt!“. Also Login-Seite verstecken, damit außer mir niemand drankommt. Das ist auch sonst eine gute Idee, um es Angreifern schwerer zu machen. Geht mit dem Plugin WPS Hide Login.
  • Dumm nur: In einigen Blogposts sind Youtube-Filme eingebunden. Und Youtube setzt ja auch wieder böse Cookies. Da gibt es auch ein Plugin für. Es heißt „Embed Videos and respect Privacy“ und sorgt dafür, das die Videos nicht direkt eingebettet sondern erst nach entsprechendem Klick nachgeladen werden. Das ganze sieht dann so aus. Vorsicht: Auf sehr alten Blogposts werden Videos eventuell anders eingebettet. Das muss durchgearbeitet werden.
  • Falls ihr noch irgendwelches anderes Zeug eingebettet habt, zum Beispiel Tweets: Weg damit oder irgendwie durch was ersetzen, wo Leute erstmal draufklicken müssen, bevor es tracken kann oder Cookies setzt. Ich hab sowas nicht, kann also auch nicht sagen, was ihr da braucht.
  • So. Geschafft. Mein WordPress setzt jetzt von sich aus keine Cookies mehr bei euch. Außer der EU-Cookie-Warnung, die ein Cookie setzt, um sich zu merken, dass ihr mal weggeklickt habt, dass sie euch vor Cookies gewarnt hat. Die kann jetzt auch weg. Hurra, bei mir müsst ihr das nie wieder wegklicken. Dienst am Leser.
  • Klingt viel, ist aber alles schnell erledigt. Ok, wenn du dich ein wenig mit mySQL und phpMyAdmin auskennst vermeidest du bei großen, alten Blogs lange Klickorgien im WordPress-Backend. Jedenfalls: Dies ist die Beton-Variante von DSGVO-konform in unter einer Stunde. \o/

Fertig. Mein Blog ist jetzt die datenschutzkonformste kommunikative Einbahnstraße ever. Siehe Datenschutzerklärung.

Rant: Warum die DSGVO eine Datenschutz-Karikatur ist

Mein Geduldsfaden riss, als Angela Merkel am Donnerstag ankündigte, nochmal über die Datenschutzgrundverordnung (DSGVO) und ihre Umsetzung beraten zu wollen. Also demnächst nochmal alles revidieren? Nachdem wir monatelang versucht haben, die EU-Verordnung und ihre komplexen Wechselwirkungen mit anderen Gesetzen zu verstehen? Wir haben Mustertexte und Generatoren für Datenschutzerklärungen ausprobiert und viel Zeit damit verbracht, uns in die Dokumentationspflichten reinzufuchsen, in denen wir haarklein aufschreiben müssen, welches Datenhäppchen wir zu welchem Zweck auf welcher gesetzlichen Grundlage speichern. Und zwar auch, wenn wir die Daten gar nicht elektronisch speichern sondern im Aktenschrank. Falls wir Websites betreiben, haben wir Auftragsdatenverarbeitungsverträge mit unseren Webhostern abgeschlossen, obwohl die streng genommen gar keine Daten für uns verarbeiten, sondern wir das mit unserer Software auf den gemieteten Servern selber tun. Wenn wir Unternehmer sind, haben wir Datenschutzbeauftragte berufen oder angestellt, die das alles für uns auspuzzeln.

Lasen wir selbst in der DSGVO nach, waren wir erleichtert und hörten erstmal auf zu lesen, weil wir mit weniger als 250 Mitarbeitern nicht unter die Verordnung fallen. Oder vielleicht doch, weil wir mit besonders „risikobehafteten“ Daten hantieren, wobei schwer festzustellen ist, welche Daten überhaupt darunter fallen. Sind wir keine Unternehmer,  können wir uns oft nicht darauf ausruhen, dass wir Privatleute sind, weil irgend ein Aspekt unseres Online-Lebens uns als gewerbliches Handeln ausgelegt werden könnte. Wir haben uns in zahllose Artikel, Blogposts und Webforen eingelesen und jedes-fucking-Mal haben wir den Cookie-Hinweis weggeklickt. Wenn wir dabei ohne Tracking-Blocker unterwegs gewesen sind, haben wir den Werbenetzwerken mehr Information über uns selbst preisgegeben, als die meisten von uns jemals schützen könnten. Wir haben heiße Debatten in den sozialen Medien geführt und dabei alles und sein Gegenteil über die DSGVO gelesen, und zwar durchaus auch von gestandenen Juristen und Datenschutzexperten.

„Wir“, das sind Blogger, Arztpraxen, Fotografen, Onlinehändler, Influencer, Buchhaltungsbüros, Journalisten, Youtuber, kleine und große Vereine, Open-Source-Entwickler, Webdesigner, Coaches, Aktivisten, Berater oder Seelsorger – also genau diejenigen, die ganz offenbar immer wieder durch Datenmissbrauch auffallen und dringend mal strenger reguliert werden müssten.

Weiterlesen bei t3n.de