Antragsgrün 4.0 erschienen

Antragsgrün 4
Antragsgrün 4 (Montage: DBJR)

Nach langer Entwicklungszeit und insgesamt neun Vorabversionen ist am Wochenende Antragsgrün in einer stabilen Version 4.0.1 freigegeben worden. Was den Versionssprung auf die 4er-Reihe ausmacht, stellen wir im Folgenden vor.

Für die Ungeduldigen: Antragsgrün 4 bietet einen komfortablen Web-Updater, ein neues Kommentarsystem, die Möglichkeit für redaktionelle Inhaltsseiten im Menü, eine automatische Exportfunktion für der eigenen Daten, das Hochladen von Bildern und Vorbereitungen für ein Plugin-System.

Antragsgrün aktuell halten: ab jetzt über einen komfortablen Web-Updater

Antragsgrün wird sehr aktiv weiter entwickelt. Während das eigentlich eine erfreuliche Sache ist, stehen damit Organisationen auch vor einem Problem: Wer aktualisiert unsere Installation? Bisher war dies nur mit technischer Unterstützung durch eure Serveradministration möglich. Dieser Prozess ist nun deutlich vereinfacht worden. Logins für eure Antragsgrün-Installation mit Admin-Rechten sehen nun automatisch eine Hinweisbox, die auf neue Versionen hinweist. Per Mausklick kann in den »Update-Modus« geschaltet werden, der die Aktualisierung dann automatisch vornimmt. Andere Nutzer*innen können während dieser wenigen Augenblick das System nicht benutzen und erhalten stattdessen einen Warnhinweis.

Auch wenn die Update-Funktion von Antragsgrün nun über ein paar Monate ausführlich getestet wurde, solltet ihr vor einem Update immer sicherstellen, dass Ihr eine Sicherungskopie der bisherigen Installation habt. Viele Webhosting-Provider bieten diesen Service automatisiert an, d.h. eine Sicherung läuft beispielsweise täglich nachts. Wenn etwas schiefgelaufen ist, könnt ihr eure Installation und die Daten mit Stand des Vortags wieder herstellen.

Kommentieren und informieren

Antragsgrün 4 bietet sowohl für Nutzer*innen/Teilnehmende wie auch für die Verantwortlichen eine Reihe von Verbesserungen und zusätzlichen Funktionen.

  • Das Kommentarsystem wurde überarbeitet: Man kann auf Kommentare wiederum antworten; die Darstellung ist zugleich kompakter als früher.
  • Automatische Benachrichtigungen können einfacher eingerichtet werden.
  • Administrative Texte (z.B. oben auf der Begrüßungsseite) können nun bequem Bilder einbetten.
  • Es ist möglich Unterseiten wie in einem CMS anzulegen (z.B. für Seiten mit Anfahrtsbeschreibung o.ä.)
  • Möglichkeit weitere Buttons in der Sidebar.
  • Man kann zentral Nachrichten hinterlegen, die nach einem Login für die Nutzer*innen erscheinen.

Jede einzelne Veranstaltung kann nun ihr eigenes Logo besitzen. Unsere Tests haben gezeigt, dass noch ein wenig Nacharbeit nötig ist, damit vorhandene Logos aus vorherigen Veranstaltungen bei Bedarf einfach wiederverwendet werden können. Diese Verbesserung ist in einem der kommenden Updates zu erwarten.

Administration und technischer Unterbau

Pro Veranstaltung kann nun die System-Mailadresse verändert werden (z.B. um als Absendermail „Veranstaltung XY“ erscheinen zu lassen).

Die Zeitläufe für Anträge und Änderungsanträge können nun bereits im Vorfeld festgelegt werden (bisher konnten die Funktionen einfach nur an/aus schalten).

Änderungsanträge durch die Originalantragstellenden übernehmen zu lassen, wurde bisher aufgrund der Komplexität (Kollisionen etc.) nicht gerne verwendet. Die Funktion wurde deutlich vereinfacht. Hierzu freuen wir uns weiterhin sehr über euer Feedback und Ideen.

Ein Plug-in-System wurde eingeführt, so dass künftig Erweiterungen hinzugefügt werden können, ohne dass das ganze System verändert werden muss.

Die Auswahl von Site-Layout und PDF-Layouts ist nun über kleine Vorschaubildchen statt über kryptische Namen möglich. Zugleich ist das PDF-Layout für Anträge etwas flexibler konfigurierbar als bisher. Die RSS-Feeds sind für Lesesysteme nun auto-discoverable.

Entfernt wurden das schwierig handhabbare und daher kaum genutzte separate Vorschaubild für Facebook sowie der veraltete alternative „Wurzelwerk“-Zugang (Grüne).

Bildschirmfoto »Datenexport und Profil löschen«
Antragsgrün 4 ermöglicht den Nutzer*innen jederzeit den Export der eigenen Daten und gibt Hinweise dazu, was nach dem Löschen des Profils geschieht.

Zu guter Letzt wurde eine komfortable Exportfunktion für die Migration der persönlichen Daten eingeführt. Damit ist für Admins der Aufwand nach der DSGVO verringert und zugleich können Teilnehmende ihre Daten selbst jederzeit „mitnehmen“.

Installation und Update

Das komplette (englische) Changelog befindet sich unter https://github.com/CatoTH/antragsgruen/blob/master/History.md. Ein fertiges Installationspaket für Webhostings kann heruntergeladen werden unter https://www.hoessl.eu/antragsgruen/antragsgruen-4.0.1.tar.bz2. Diese Datei muss entpackt und in ein Verzeichnis bei eurem Webhoster transferiert werden. Beim ersten Aufruf des Verzeichnisses über euren Browser startet der Einrichtungsassistent, der die Datenbank und die erste Veranstaltung anlegt.

Wer von einer älteren Version von Antragsgrün auf die 4er-Linie aktualisieren möchte, sollte sich die Upgradebeschreibung unter https://github.com/CatoTH/antragsgruen/blob/master/docs/UPGRADING.md ansehen.

In eigener Sache: Wechsel vom Gender_gap zum Gender*sternchen

Im Deutschen Bundesjugendring kommen junge Menschen mit sehr unterschiedlichen Hintergründen zusammen. Wir verstehen Vielfalt als eine Stärke der verbandlichen und offenen Jugendarbeit. Dazu gehört auch, dass wir uns Gedanken darüber machen, wie barrierearm und inklusiv unsere Angebote sind.

Ein Bereich ist die Sprache, die wir in direkter Kommunikation oder in Veröffentlichungen verwenden. Seit mehreren Jahren benutzen wir z.B. den »Gender_Gap« (Unterstrich), um deutlich zu machen, dass wir alle Menschen ansprechen möchten unabhängig von ihrer Geschlechtsidentität (Bsp: Schüler_innen).

Mittlerweile hat statt des Gender_Gap aber das Gender*sternchen eine größere Verbreitung gefunden. Der Gedanke hinter beiden Schreibweisen ist grundsätzlich gleich: Sie sollen ein Mittel der sprachlichen Darstellung aller sozialen Geschlechter und Geschlechtsidentitäten abseits der Zweigeschlechtlichkeit sein. In der deutschen Sprache wäre dies sonst nur durch Umschreibungen möglich. Das Zeichen wird eingefügt, um neben dem biologischen das soziale Geschlecht (Gender) darzustellen.

Im IT-Bereich steht das Sternchen als sog. »Wildcard« für eine beliebige Anzahl von Zeichen. Im queeren Zusammenhang taucht es schon länger vor allem als Trans* auf, um abgekürzt Transgender, Transsexuell und Transidentität auszudrücken.

Künftig werden wir unsere Artikel und auch die Tools, sofern noch nicht geschehen, mit der Schreibweise des Gender*sternchens veröffentlichen.

ePartool 4.11 – Schneller, höher, weiter!

Vergangenes Wochenende konnten wir die neue Version 4.11 des ePartools veröffentlichen. Es handelt sich dabei um ein lange erwartetes Release, denn wir konnten die Installation und Ersteinrichtung drastisch vereinfachen.

Installation in 5 statt in 40 Minuten!

Bisher lief das Einrichten des ePartools für die meisten Admins folgendermaßen ab: Die aktuelle Version als ZIP-Paket herunterladen, auf dem eigenen Rechner entpacken und dann über ein SFTP-Programm die über .000 Dateien hochladen. Trotz schneller DSL-Verbindungen nahm das Hochladen rund 30 Minuten in Anspruch, da jede Datei separat aufgerufen und übertragen wurde.
Wir dachten uns, dass das doch schneller gehen muss: Wir präsentieren euch daher den neuen ePartool-Downloader – künftig muss nur noch eine einzige Datei zur Installation transferiert werden, die sich dann um das direkte Herunterladen und Entpacken auf den Server kümmert. Da der zeitraubende Umweg über euren heimischen Rechner damit wegfällt, startet der Einrichtungsassistent nun schon nach nur wenigen Sekunden.

Der ePartool-Downloader bietet weitere Vorteile:

  • Es wird immer die aktuellste Version des ePartools geholt.
  • Der ePartool-Downloader macht einen Kurzcheck mit eurem Server und gibt Tipps, wenn Probleme erkannt werden.
  • Eine häufige Fehlerquelle beim Installieren fällt weg: Gerade beim Installieren von Mac-Rechnern aus wurden versteckte Dateien, wie die .htaccess-Konfigurationsdatei im Hauptverzeichnis öfters mal übersehen und das ePartool konnte dann nicht in Betrieb genommen werden.
  • Ein Nachkonfigurieren für die Installation in Unterverzeichnisse ist in der Regel nicht mehr nötig.
Screenshot Web-Installer

Der ePartool-Downloader in Aktion

Selbstverständlich bieten wir weiterhin den traditionellen Weg an das ePartool herunterzuladen und selbst auf einen Server zu transferieren.

Eine Installationshürde stellte bislang auch die Einrichtung eines »Cronjobs« dar: Cronjobs sind Aufgaben, die der Server selbsttätig erledigt, egal ob sich gerade ein*e Besucher*in auf dem ePartool tummelt oder nicht. Das können z.B. Erinnerungsmails vor Ablauf des Voting-Zeitraums sein. Der Sicherheitskey für Cronjobs kann nun automatisch generiert werden, damit man sich nicht selbst einen ausdenken muss. Alternativ haben wir den sog. »Poor man’s cron« auch ins ePartool übernommen: Wer keine Cronjobs auf dem Webhosting einrichten kann, erhält damit zumindest eine etwas hemdsärmelige Notlösung: Jeder Besuch des ePartools, selbst wenn es nur der Bot einer Suchmaschine ist, löst im Hintergrund die Überprüfung auf ausstehende Aufgaben aus, so dass diese dennoch meist zeitnah ausgeführt werden.

Während des Installationsvorgangs wird eine Beispielbeteiligungsrunde eingerichtet, die dann nach eigenen Vorstellungen weiter gestaltet und verändert werden kann. Diese erste Beteiligungsrunde setzt nun Daten relativ zum Installationszeitpunkt, so dass die neue Beteiligungsrunde auch tatsächlich in der Zukunft liegt.

Gekümmert haben wir uns auch um die Altinstallationen, die auf die neueste Version des ePartools aktualisieren wollen. Eine ausführliche Installations- und Update-Anleitung findet sich wie bisher unter Installation / Download.

Mitgelieferte Grundeinstellungen, Beispieltexte und Datenschutz

Das ePartool möchte keine Nutzungsszenarien vorschreiben. Daher haben wir bei konzeptionellen Entscheidungen so weit wie möglich immer den offensten Weg gewählt. Allerdings haben wir zahlreiches Feedback von Trägern erhalten, die uns um vorformulierte (Lücken)texte baten. Diesem Wunsch sind wir nachgekommen, so dass das ePartool bei der Ersteinrichtung weitere Grundtexte zum Datenschutz, Impressum, FAQ, Hilfetexte und Systemmeldungen anlegt. Wichtig zu wissen: Diese neuen Texte werden bei einem Update nicht mit eingespielt – das ePartool soll keinesfalls eure selbst erarbeiteten Formulierungen überschreiben.

Neues beim Beitragen und zum Voting

Seit der Einführung von ortsbasierten Beteiligungsrunden vor gut einem halben Jahr haben wir Erfahrungen gesammelt und das System weiter verbessert. Sowohl auf der Admin-Seite wie auch sichtbar für die Teilnehmenden wurde die Landkartenfunktion verbessert und intuitiver gemacht. Das Einschränken auf eine von einem redaktionellen User zu definierende Region wurde im Backend besser erläutert.

Die Voting-Einstellungen im Backend wurden optisch deutlich verbessert und beinhalten für die verschiedenen Abstimmungstypen (Herzen, Sterne, Ja/Nein/Egal) sowie die Superbutton-Funktion Vorschaubilder.

Im Lauf der Jahre ist das ePartool sehr an Funktionen gewachsen. Damit man sich als Teilnehmer*in nicht von der Fülle der Funktionen und grafischen Elementen „erschlagen“ fühlt, arbeiten wir immer auch daran, Überflüssiges rauszuwerfen. Wir haben uns nun dazu entschieden, dass z.B. die schrägen „Jetzt Mitmachen“-Ribbons keinen Mehrwert in der Beitragen-Box oder Voting-Box bringen – man ist ja dann gerade schon dabei sich zu beteiligen. Die in schwarzem Hintergrund gehaltenen Ribbons wurden auch von Nutzer*innen in der Vergangenheit als „Trauerränder“ bezeichnet – also weg damit ;-).

Fehlerbehebungen und Aktualisierungen am System

Wir haben einen gelegentlich auftretenden Fehler, dass die Vorschaufunktion unter manchen Browser-/Betriebssystemkombinationen nicht zuverlässig funktionierte, behoben. Des Weiteren wurden einige externe Programmbibliotheken, auf die das ePartool zurückgreift (z.B. CKEditor), auf den aktuellen Stand gebracht.

Die arabische Sprache wird bisher im ePartool nur rudimentär unterstützt (Beiträge usw. sind möglich, einige Systemmeldungen sind übersetzt, aber die grafische Nutzeroberfläche ist noch nicht für Rechts-nach-Links-schreibende Sprachen vorbereitet); wir haben einen nächsten kleinen Schritt gemacht und als Standardschrift hierfür nun Droid Arabic vorgesehen.

Bekannte Probleme

Übersetzungen: In den vergangenen Monaten fanden sehr viele neue Funktionen und Programmlogiken Einzug in das ePartool. Leider sind dabei nicht alle Übersetzungen hinterhergekommen. Im administrativen Backend tauchen daher gelegentlich englische Meldungen auf, auch wenn die Sprache z.B. auf Deutsch eingestellt ist. Wir arbeiten daran, die Übersetzungen in den nächsten Wochen zu vervollständigen. Wer uns hierbei unterstützen will, ist herzlich willkommen! (einfach melden unter digital@dbjr.de)

Automatische Exportfunktion für alle Nutzerdaten: Die Datenschutz-Grundverordnung beinhaltet eine sinnvolle Idee, dass Nutzer*innen künftig leichter von einer Web-Plattform auf eine andere wechseln können. Dazu bedarf es einer Exportfunktion für alle persönlichen Daten. Wir haben hierzu zwar bereits einige Überlegungen angestellt und Vorkehrungen getroffen, allerdings haben wir bisher keine sinnvolles Format gefunden, wie Nutzende ihre Daten aus dem ePartool woanders hin transferieren möchten. Gerne hören wir von euren Vorschlägen!

 

Neues zum ePartool – Version kurz vor der Veröffentlichung!

Seit rund einem Vierteljahr warten Neugierige schon auf eine stabile, neue Version des ePartool. Gerade hinsichtlich des Installations- und Updatevorgangs haben wir in den letzten Monaten sehr viel gearbeitet, analysiert und verbessert, was leider nach außen bisher noch nicht sichtbar war.

Nun die gute Nachricht: Am Dienstag, 3. Juli, werden wir eine neue Version des ePartool veröffentlichen. Ein beschleunigter Web-Installer wird es euch künftig ermöglichen direkt auf dem Server die Installation zu starten, anstatt die vielen Dateien des Installationspakets z.B. über das Nadelöhr einer DSL-Verbindung zu transferieren. Nach unseren Tests reduziert sich damit die Installationsgeschwindigkeit um ca. 20-30 Minuten. Wie das funktioniert? Künftig braucht ihr lediglich eine kleine Datei auf euer Webhosting-Paket hochladen und aufrufen. Dieses überprüft ob euer Server die Voraussetzungen erfüllt, beginnt dann den Download des gesamten Installationspakets direkt von unserem Server zu eurem, entpackt diese Datei und startet dann den bereits bekannten Einrichtungsassistenten. Dies alles dauert nur noch wenige Sekunden.

Screenshot Web-Installer

Vorschau auf den Web-Installer, der ab Freitag zur Verfügung steht.

Natürlich werden wir den herkömmlichen Weg eines Gesamtpakets als ZIP weiter anbieten.

Für alle, die aber schon vorher damit arbeiten möchten/müssen: Wir haben aufgrund vieler Nachfragen heute noch kurzfristig den schon etwas länger „fertigen“ Release-Kandidaten 4.11-rc2 zum Download freigegeben. Hier fehlen insbesondere noch die Unterstützung für den schnellen Web-Installer sowie einige Templates (Texte) im System – im regulären Betrieb unterscheidet sich diese Version fast nicht von der, die am Freitag erscheint.

Antragsgrün 4: Web-Updater inklusive!

Update | https://pixabay.com/de/service/license/ Die Software zu demokratischer Texterstellung, Antragsgrün, ist gerade bei Jugendorganisationen sehr beliebt. Einmal eingerichtet, läuft Antragsgrün genügsam in nahezu jedem Webhosting-Paket. Da gibt es nur ein Problem: Die regelmäßigen Updates benötig(t)en stets Installationsunterstützung durch einen technisch versierten Menschen.

Aber: Euer Ruf wurde gehört! Ab der gerade im Betatest befindlichen Versionsreihe 4 von Antragsgrün lässt sich die Software über das Admin-Backend per Mausklick auf dem aktuellen Stand halten.

Bereits jetzt könnt ihr euch ein Bild von dieser Funktion machen und eine der letzten Vorabversionen beziehen. Abwarten oder gar die Installation der 3.x-Reihe lohnt sich eigentlich nicht mehr: Auch im Betabetrieb läuft Antragsgrün 4 schon sehr stabil – und neuere Versionen können ja jetzt unaufwändig per Mausklick eingespielt werden!

Antragsgrün 4 bringt über die komfortable Update-Funktion hinaus eine Reihe spannender Neuigkeiten mit sich. Wir werden darüber berichten, sobald die Version 4.0 allgemein veröffentlicht wurde.

Alle Infos und die Vorabversionen finden sich unter https://github.com/CatoTH/antragsgruen/releases.

DSGVO-Artikelserie (3): Die Datenschutzgrundverordnung – welche Rechte habe ich dadurch?

[Aktualisiert und ergänzt am 19.06. und 25.06.]

In den ersten beiden Teilen der Artikelreihe haben wir uns zuerst einen Überblick über die DSGVO verschafft und gingen dann im Einzelnen darauf ein, welche konkreten Maßnahmen im Feld der Jugendarbeit zu beachten sind. In Teil 3 möchten wir nun auf einen sehr wichtigen und spannenden Bereich der DSGVO eingehen: Die Rechte der/des Einzelnen zu Auskunft, Berichtigung und Löschung von personenbezogenen Daten. Wir geben konkrete Tipps, wie man diese Rechte selbst wahrnehmen und entsprechende Informationen einfordern kann.

Hinweis: Der DBJR beschäftigt keine_n Jurist_in. Alle Informationen sind nach besten Wissen zusammengetragen, können aber keine Fachberatung ersetzen.

Bewusste und unbewusste Einwilligung zur Datenverarbeitung

Rechtzeitig vor der vollen Geltung der DSGVO haben zahlreiche Anbieter von IT-Diensten nicht nur ihre Datenschutzerklärungen an die neuen Regelungen angepasst, sondern sich auch neue Einwilligungen von Nutzer_innen zur Verarbeitung ihrer personenbezogenen Daten eingeholt. Facebook hat dabei beispielsweise die Gelegenheit genutzt, von Nutzer_innen auch noch die Zustimmung zur automatischen Gesichtserkennung einzuholen. Ob alle Betroffenen auch bemerkt haben, welche Einwilligungen sie da abgegeben haben, ist nicht so sicher. Der neu konstituierte EU-Datenschutzausschuss möchte sich diesen Problemen widmen: Als erstes befasst man sich mit den veränderten Nutzungsbedingungen beim Messenger Whatsapp, das künftig mit seinem Mutterkonzern Facebook Nutzerdaten und Adressbucheinträge austauschen möchte.

Trotz des Transparenzgedankens der DSGVO wird es auch weiterhin genügend Situationen geben, zu denen man Einwilligungen zu Datenverarbeitungen gibt, deren ganze Dimension in diesem Moment noch nicht ganz klar ist: Kaufvorgänge mit Kartenzahlung, Ratenzahlungen, Mobilfunkverträge oder damit verbundene Hintergrundabfragen (und Eintragungen) bei Auskunfteien wie der Schufa sind hierfür gute Beispiele. Um den Überblick zu behalten oder erst nachträglich Einblick zu bekommen, wer welche Daten von mir verarbeitet, beinhaltet die DSGVO nützliche Regelungen:

DSGVO for you: Auskunfts-, Berichtigungs- und Löschrechte

Das Kapitel 3 der DSGVOist überschrieben mit »Rechte der betroffenen Person«. Es finden sich immerhin 12 Artikel in diesem Kapitel. Aber auch andere Abschnitte der DSGVO beinhalten Rechte für Betroffene – nämlich immer dann, wenn die Datenverarbeitenden mit den Betroffenen in Kontakt treten müssen.
So beginnt auch das Kapitel 3 damit, erst einmal die Verantwortlichen zu ermahnen ihre Kommunikation in einer leicht zugänglichen Form, in leicht verständlicher Sprache – und präzise – zu formulieren (Art. 12). Für die Datenverarbeitenden besteht die Pflicht die Informationen niederzuschreiben, außer die Person, von der die Daten verarbeitet werden, bevorzugt eine mündliche Auskunft.

Auskunfts- und Informationsrechte

Diese Informationen wären isoliert aber nicht ausreichend, um einzuschätzen, wie vertrauenswürdig die jeweilige Datenverarbeitung ist. Daher sind die Auskunftspflichten deutlich weiter gefasst: Was sind Verarbeitungszwecke meiner Daten? Wer bekommt meine Daten? Woher stammen die Daten, wenn sie nicht direkt bei mir erhoben wurden (also durch Weiterleitungen von anderer Stelle). Diese Auskunftsrechte bestanden auch schon nach dem alten Bundesdatenschutzgesetz. Neu hingegen ist, dass man auch über die geplante Speicherdauer informiert werden muss, oder falls dies nicht möglich ist, dann zumindest über die Kriterien für die weitere Speicherung Auskunft bekommt. Sehr aufschlussreich könnte die neue Regelung sein, dass man über das Bestehen von automatisierter Entscheidungsfindung oder Profiling aufgeklärt werden muss. Dazu hilft, die konkret genutzten Kategorien personenbezogener Daten mitgeteilt zu bekommen (ebenfalls eine neue Möglichkeit durch die DSGVO).
Im Zuge einer Datenverarbeitungsauskunft müssen Betroffene auch darauf hingewiesen werden, dass sie ein Beschwerderecht bei der zuständigen Aufsichtsbehörde haben (Art. 15 (1) f).
Nicht erst auf Nachfrage, sondern proaktiv sind Datenverarbeitende verpflichtet, die Betroffenen zu informieren, wenn durch eine Datenpanne die Verletzung des Schutzes personenbezogener Daten mit hohem Risiko (Art. 34) eingetreten ist. Dies soll zumindest die Möglichkeit eröffnen, sich als betroffene Person auf die Konsequenzen einzustellen bzw. Vorkehrungen zu treffen.

Vom Löschen und vom Vergessenwerden

Daten, die nicht mehr benötigt werden, sollten generell gelöscht werden. Diese auf den ersten Blick sinnvolle Herangehensweise erweist sich beim genaueren Hinsehen als schwierige Frage; nicht immer ist eindeutig klar, ob Daten nicht mehr entsprechend ihres Verwendungszwecks benötigt werden. Es kann gegenläufige Interessen geben, z.B. wenn eine Veranstaltung durchgeführt und abgerechnet ist, aber der Fördergeber oder das Finanzamt das Aufheben/Speichern von Unterlagen noch über Jahre hinweg erfordert. Hier tritt die Grenze des Löschrechts ein, denn rechtliche Verpflichtungen überwiegen den Wunsch nach Datenreduzierung.
Was aber immer gehen sollte: Die Berichtigung falsch verarbeiteter Daten – die nach Art. 16 auch unverzüglich umgesetzt werden muss.Unter das Recht zur Berichtigung fällt übrigens auch die Vervollständigung von fehlenden Daten, sofern man das erreichen möchte.
Die DSGVO unterscheidet recht aufgegliedert in Anlässe, weswegen eine Datenverarbeitung/-speicherung endet: Angefangen von Berichtigungen über Widerruf, Widerspruch, Einschränkungen, Löschungen bis hin zum Recht auf Vergessenwerden. Wenn Daten offensichtlich ungerechtfertigt oder falsch verarbeitet wurden und die verarbeitende Stelle Zeit hätte dies durch Überprüfung festzustellen, greift der Widerspruch. Aber auch eine Einschränkung zu bestimmten Aspekten der Datenverarbeitung kann je nach Fall gefordert werden.
Auf das Recht auf Widerspruch müssen die Betroffenen bereits zum Zeitpunkt der »ersten Kommunikation« hingewiesen werden (Art 21 (4)).

Anfragen stellen: So geht‘s

Egal man eine Auskunft oder eine Löschung erwirken möchte – oder beides –, die Anfrage sollte jeden Fall schriftlich erfolgen. Mündliche Anfragen geraten sehr leicht in absichtliche oder unabsichtliche Vergessenheit. Eine Anfrage auf Papier bleibt sichtbar und daher in Erinnerung.

Am Anfang der Anfrage sollte als Betreff oder Überschrift klar der Namen, die Nutzerkennung oder die Kundennummer benannt sein, mit der man bei der angefragten Stelle bekannt ist. »Michael Müller« gibt es vermutlich mehrere, daher ist eine Adresse oder damit verbundene Telefonnummer im Anschreiben sicherlich nützlich. Das gilt natürlich nur für Daten, die die angefragte Stelle schon zuvor kennt – Neues sollte man dabei nicht preisgeben!

Die ersten Zeilen des Anschreibens könnten ungefähr so aussehen:

Datenschutzrechtliche Selbstauskunft nach DSGVO: Name/Nutzerkennung

Sehr geehrte Damen und Herren,

nach Art. 15 DSGVO habe ich das Recht, von Ihnen eine Bestätigung darüber zu verlangen, ob Sie personenbezogene Daten über meine Person gespeichert haben. Sofern dies der Fall ist, so habe ich ein Recht auf Auskunft über diese Daten.

 

Auskunft bekommen: Welche Daten von mir sind gespeichert und was geschieht damit?

Sicherlich ist der spannendste Teil einer Anfrage, herauszufinden was die Stelle an Daten über mich eigentlich vorhält. Das können selbst von mir eingetragene Daten sein oder auch solche, die über andere Wege gesammelt wurden. Letzteres geschieht öfters als man vielleicht vermuten könnte. Freunde könnten z.B. beim Installieren ihres Messengers das Smartphone-Adressbuch mit einem Anbieter abgeglichen haben, so dass ihre Bekannten schneller gefunden werden. Im Ergebnis kennt ein solcher Anbieter dann mitunter auch Namen und Kontaktdaten von Personen, die den Dienst selbst nicht nutzt. (Nicht alle Messenger gleichen das Adressbuch im Klartext ab, manche lösen das geschützter über datenschutzfreundliche Hashes, einer Art anonymerer Quersumme.)

Einige Stellen versuchen über »Profiling« mehr über die betroffenen Personen herauszufinden. Dazu tragen sie z.B. auch Daten über die durchschnittlichen Einkommensverhältnisse in der Nachbarschaft zusammen, versuchen anhand des Namens herauszufinden woher man stammt oder sammeln Orte, an denen man oft »eingecheckt« hat: Sei es in einer Bar, einem Kino, Fitnessstudio oder Museum. Damit versuchen Anbieter die Personen künftig besser mit »treffender« Werbung zu erreichen oder überlegen auf dieser Basis, welche Services (z.B. auch Kaufangebote oder Kredite) sie anbieten möchten. Nicht erlaubt ist Profiling übrigens für Unter-16-jährige.

Eine Auskunft über die zu mir gespeicherten Daten kann z.B. so erfragt werden:

Auskunft über meine bei Ihnen gespeicherten Daten

Ich darf Sie bitten, mir gemäß Art. 15 Abs. 1 DSGVO folgende Informationen mitzuteilen:

a) Welche Daten sind über meine Person konkret bei Ihnen gespeichert oder wurden von Ihnen verarbeitet (z.B. Name, Vorname, Anschrift, Geburtsdatum, Beruf, medizinische Befunde)?

b) Was sind die Verarbeitungszwecke meiner Daten?

c) Welche Kategorien personenbezogener Daten, die bezüglich meiner Person verarbeitet werden, bestehen bei Ihnen?

d) Welche Empfänger*innen oder Kategorien von Empfänger*innen haben meine Daten durch Sie erhalten oder werden sie künftig noch erhalten?

e) Was ist die geplante Dauer für die Speicherung meiner Daten? Falls diese Auskunft aufgrund der Unbestimmtheit nicht möglich erscheint: Was sind die Kriterien für die Festlegung dieser Dauer?

f) Welche Wege bestehen, meine Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung meiner Daten, ebenso wie über mein Widerspruchsrecht gegen diese Verarbeitung nach Art. 21 DSGVO und mein Beschwerderecht bei der zuständigen Aufsichtsbehörde, wahrzunehmen?

g) Sofern die Daten nicht bei mir erhoben werden, fordere ich Sie auf, mir alle verfügbaren Informationen über die Herkunft der Daten mitzuteilen.

h) Besteht eine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO? In diesem Fall teilen Sie mir bitte aussagekräftige Informationen über die involvierte Logik und die angestrebten Auswirkungen einer derartigen Verarbeitung für meine Person mit.

i) Wurden meine personenbezogenen Daten an ein Drittland oder an eine internationale Organisation übermittelt? Bitte teilen Sie mir mit, welche geeigneten Garantien gemäß Art. 46 DSGVO im Zusammenhang mit der Übermittlung vorgesehen sind.

Bitte stellen Sie mir kostenfrei eine Kopie meiner bei Ihnen gespeicherten personenbezogenen Daten zur Verfügung. Sofern ich diesen Antrag elektronisch stelle und nichts anderes vermerke, so sind mir die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen.

 

Meine Daten löschen lassen

Es gibt sehr unterschiedliche Daten, die zu einer Person gespeichert sein können. Sehr häufig handelt es sich um Daten, die man auch auf jeden Fall dort hinterlegt haben will – ein Nutzerkonto kann ohne ein paar grundsätzliche Informationen nicht funktionieren; ein Paketversender braucht auf jeden Fall die Anschrift der Empfänger_innen. Allerdings gibt es auch Fälle, in denen man nicht (mehr) möchte, dass diese Daten weiter von der entsprechenden Internet-Plattform oder anderen Stelle vorgehalten oder weiter benutzt werden. Zuerst sollte man natürlich die zur Verfügung stehenden Werkzeuge verwenden, um z.B. ein Nutzerkonto ganz regulär zu löschen. Wenn man aber nicht sicher ist, ob das schon geholfen hat, oder wenn die angefragte Stelle die Daten eigentlich gar nicht haben sollte, dann kann eine Löschung verlangt werden. Hier ein Formulierungsvorschlag:

Löschung meiner Daten

Nach Art. 17 DSGVO verlange ich die unverzügliche Löschung meiner bei Ihnen verarbeiteten personenbezogenen Daten.

Die Voraussetzungen des Art. 17 DSGVO liegen nach meiner Ansicht vor. Sofern ich eine Einwilligung zur Verarbeitung meiner Daten erteilt habe, widerrufe ich diese hiermit, bzw. lege gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung ein. Dies gilt ebenso für das Profiling gemäß Art. 22 DSGVO. Lehnen Sie die Löschung ab, so haben Sie dies mir gegenüber zu begründen.

Sofern Sie meine personenbezogenen Daten öffentlich zugänglich gemacht haben und gemäß Art. 17 Abs. 1 DSGVO zu deren Löschung verpflichtet sind, haben Sie angemessene Maßnahmen zu ergreifen, um sämtliche Empfänger*innen meiner Daten darüber gemäß Art. 19 DSGVO zu informieren, dass ich die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien dieser personenbezogenen Daten verlangt habe.

 

Wie lange dürfen sich die angefragten Stellen Zeit nehmen und was kann passieren?

Ein Auskunftsrecht bedeutet nicht, dass die angefragte Stelle alles Andere stehen und liegen lassen muss, um die Anfrage zu bearbeiten. Allerdings gibt es klare rechtliche Regelungen: Innerhalb eines Monats muss eine Antwort formuliert werden. Falls die Antwort nicht erfolgt, kann das eine Geldbuße für die betreffende Stelle nach sich ziehen. Das würde allerdings nicht von alleine passieren: Hierzu müsste man sich an die Landesdatenschutzbehörden wenden oder mit einer Rechtsberatung sprechen, die bei den weiteren Schritten hilft.

Im Anschreiben kann man auf die rechtlichen Regelungen aber auch schon hinweisen. Möglicherweise erzeugt das bei der angefragten Stelle ein gewisses Bewusstsein für die Bedeutung deiner Anfrage. Hier ein Formulierungsvorschlag:

Fristen und Rechtsfolgen

Auskunftserteilungen müssen gemäß Art. 12 Abs. 3 DSGVO unverzüglich erfolgen, spätestens aber innerhalb eines Monats. Sollte ich innerhalb dieser Frist keine Auskunft von Ihnen erhalten, so werde ich mich an die zuständige Aufsichtsbehörde wenden. Ich mache darauf aufmerksam, dass unterlassene oder nicht vollständige Auskunftserteilungen nach Art. 83 Abs. 5 DSGVO mit einer hohen Geldbuße bedroht sind.

Am Ende sollte man nicht vergessen, die Anfrage höflich zu beenden, also z.B. mit einem »Mit freundlichen Grüßen«.

Und sonst?

Wir drücken die Daumen für die Auskunftsersuchen. Natürlich freuen wir uns über Rückmeldungen zu dieser Zusammenstellung und den Erfahrungen, die ihr gemacht habt.

Wir haben diese Tipps und die Formulierungsvorschläge für die Anfragen zu einer Datenschutzauskunft nach unserem besten Kenntnisstand zusammengestellt. Viel Vorarbeit wurde dabei von anderen Personen geleistet, unter anderem von heise.de und ursprünglich von Thoms Fassung von Framstags freundlichem Folterfragebogen.

Eine multimedial aufbereitete Website mit dem Namen »Deine Daten. Deine Rechte« können wir zum Schluss auch noch empfehlen: https://deinedatendeinerechte.de

DSGVO-Artikelserie (2): Die Datenschutzgrundverordnung – was muss ich machen?

[Updates 29.05., 31.05., 13.06., 25.06., 17.07.: Weitere Abschnitte ergänzt]

Teil 1 unserer Artikelreihe stellte die DSGVO und weitere datenschutzrelevante Regelungen vor. In Teil 2 wollen wir uns nun damit beschäftigen, welche Maßnahmen gerade für die Jugendarbeit und für Jugendorganisationen mit Schwerpunkt im Digitalen zu ergreifen sind.

Es wird ernst: Nach einer zweijährigen Übergangsfrist greifen ab 25. Mai alle Vorschriften der Datenschutzgrundverordnung. Zwar ist sie bereits im Mai 2016 in Kraft getreten, allen Akteuren sollte jedoch genügend Zeit zur Vorbereitung gegeben werden. Zum Glück ändert sich im Vergleich zu den bisher schon recht ausgeprägten Datenschutzbestimmungen in Deutschland gar nicht so viel.

In der Realität bereiten sich gerade kleinere Träger und Organisationen in der Jugendarbeit erst auf den letzten Drücker auf die DSGVO vor: Oftmals ohne fachkundigen Beistand, müssen sich die Ehren- und Hauptamtlichen die Umsetzung der neuen Vorschriften erst erarbeiten. Wir wollen euch hierbei unterstützen. Leider beschäftigt der DBJR keine_n Jurist_in. Alle Informationen sind nach besten Wissen zusammengetragen, können aber keine Fachberatung ersetzen.

Sicherlich ist es sinnvoll, sich zuerst einmal um die öffentlich sichtbaren Anforderungen der DSGVO zu kümmern. Dazu gehören ein zentraler Datenschutzkontakt und das Überprüfen der Datenschutzerklärung auf den eigenen Internetauftritten.

Benennung Datenschutzkontakt und -beauftragte

Die bereits im alten Bundesdatenschutzgesetz verpflichtende Berufung von eigenen Datenschutzbeauftragten ab zehn regelmäßig mit der Datenverarbeitung betrauten Personen gilt weiterhin (bei der Verarbeitung von sensiblen Daten gilt es schon früher). Aufgrund der Auskunfts- und Löschrechte ist es aber sinnvoll, auch schon in kleineren Organisationen zumindest einen zentralen Datenschutzkontakt festzulegen. Gut erreichbar wäre dieser Kontakt z.B. mit der E-Mail-Adresse datenschutz@unsereadresse.de. Dieser Kontakt kann dann einheitlich für Websites, Anmeldeformulare und Bewerbungsverfahren angegeben werden.

Die Regelungen finden sich in Art. 37 DSGVO und § 38 BDSG-neu.

Datenschutzerklärung für den Internetauftritt

Am sichtbarsten ist sicherlich die Datenschutzerklärung (DSE) eines Internetauftritts. Die Informationspflichten sind durchaus umfangreich – die DGSVO verlangt immerhin, dass Betroffene über alle Datenverarbeitungsprozesse und die Rechtsgrundlagen für diese Verarbeitung informiert werden. Die Verpflichtung zur einer Datenschutzerklärung ergibt sich aus Art. 13 und 14.

Es empfiehlt sich, die DSE nicht im Impressum zu verstecken, sondern als eigenen Button z.B. in den Fußbereich aller Seiten einzubinden.

Folgende Aspekte sollte eine DSE umfassen:

  • Welche personenbezogenen Daten werden verarbeitet;
  • Rechtsgrundlage und Zweck der Datenverarbeitung;
  • Dauer der Speicherung;
  • Weitergabe von Daten an Dritte;
  • Verantwortliche Stellen und Kontaktmöglichkeiten;
  • Auskunfts- und Widerspruchsmöglichkeit.

Als Rechtsgrundlage zur Datenverarbeitung dient in der Regel Art. 6 (1) f. Das »berechtigte Interesse« wäre hier z.B. die Sicherheit des Betriebs der Website. Bei Kommentarfunktionen trägt hingegen auch Art. 6 (1) b – die Verarbeitung der Daten (Kommentareintrag) erfolgt ja auf Anfrage der betreffenden Person.

Auf nahezu jedem Internetauftritt werden mindestens folgende personenbezogenen Daten verarbeitet: IP-Adresse der Besucher_in, Datum und Uhrzeit des Aufrufs, Art und Umfang des Zugriffs (welche Seiten wurden aufgerufen / übertragene Datenmenge / war der Abruf erfolgreich), Selbstauskunft des Browsers (Software, Versionsnummer und Betriebssystem). Diese Daten fallen bereits beim bloßen Abruf von Seiten an und werden vom Server in der Regel in eine Log-Datei geschrieben. Diese Log-Datei kann zur Fehleranalyse oder für statistische Auswertungen herangezogen werden.

Hintergrundwissen zu IP-Adressen und zur Selbstauskunft des Browsers:

IP-Adressen sind die »Telefonnummern« des Internets – sobald ein Gerät online ist, erhält es eine solche Adresse um Daten zu versenden und empfangen zu können. Eindeutig identifizierbar sind die Geräte deswegen meist nicht, da DSL-Router oder Firewalls die öffentliche IP-Adresse vom Provider zugewiesen bekommen und das Heim- oder Büronetzwerk dahinter dann mit internen IP-Adressen vom Router versehen werden. Auch Mobilfunkbetreiber unterteilen ihre Datennetze oft in solche nicht-öffentliche Segmente. Genauso kann ein Endgerät über VPN-Verbindungen oder ähnliche Verbindungstunnel nach außen auch mit einer anderen IP-Adresse erscheinen als es eigentlich aufgrund der ursprünglichen Netzeinwahl erwartbar wäre. Kurzgesagt: Eine IP-Adresse lässt sich von außen meist nur bis zum/zur Anschlussinhaber_in zurückverfolgen und kann sich gerade bei Endgeräten täglich ändern.

Die Selbstauskunft des Browsers, technisch »User Agent«, kann von den Nutzer_innen beliebig manipuliert werden. Entsprechende Anpassungsmöglichkeiten (meist durch Erweiterungen) sind für fast alle Browser verfügbar.

Eine allgemeingültige DSE, die wirklich auf jeden Internetauftritt passt, gibt es leider nicht: Dazu sind die Angebote, Funktionen und externen Einbettungen zu unterschiedlich. Generatoren für Datenschutzerklärungen, die man im Internet findet, versuchen allerdings die Hilfesuchenden dabei zu unterstützen alle relevanten Punkte zu berücksichtigen. Aufgrund der gerade stattfindenden Veränderungen können wir derzeit keine Empfehlung für oder Warnung vor einzelnen Generatoren aussprechen. Gerade bezüglich der Einbindung von Schriftarten, Statistik- und Analysewerkzeugen liegen die Ergebnisse von Generatoren oft falsch: Es macht einen großen Unterschied, ob eine Erweiterung auf dem eigenen Server installiert ist oder bei jedem Abruf von einer fremden Quelle aus eingebunden wird. Diese Unterscheidung treffen Generatoren häufig jedoch nicht.

Datenschutzerklärungen sollten auch bisher schon Bestandteil einer guten Website sein. Anlässlich der DSGVO-konformen Überarbeitung lohnt es sich die eigene Website darauf hin zu überprüfen, ob sie dem Stand und den Möglichkeiten der Technik entsprechen. Gerade beim Aufsetzen von neuen Websites werden gerne Lösungen gesucht, die schnell zu sichtbaren Ergebnisse führen, aber nicht immer die wirklich »beste« Lösung (aus Sicht des Datenschutzes) sind. Vielleicht ist jetzt aber der richtige Zeitpunkt darüber nachzudenken, ob die Website wirklich auf externe Dienste zurückgreifen muss oder ob man aus Gründen der Sparsamkeit der Datenweitergabe nicht auch ein paar Aspekte erneuern kann: Je weniger Daten erhoben und weitergegeben werden, desto besser (und desto kürzer kann eine DSE ausfallen).

Hinsichtlich der Gestaltung von Registrierungsformularen ist zudem zu bedenken, dass Formulare eine datenschutzfreundliche Gestaltung und datenschutzfreundliche Voreinstellungen aufweisen sollen – nicht zwingend erforderliche Punkte dürfen nicht standardmäßig aktiviert sein (Art. 25).

Angesichts der sehr unterschiedlichen Umfänge bei der Verarbeitung personenbezogener Daten hat beispielsweise der DBJR bei verschiedenen Websites auch recht unterschiedliche DSE online gestellt:

Typische Ansatzpunkte für eine größere Datensparsamkeit sind:

  • Analyse- und Statistikwerkzeuge: Google Analytics und Matomo (Piwik) sind hier sehr beliebt. Der datensparsamste Weg ist dabei, einen solchen Dienst nicht extern einzubinden, sondern auf dem eigenen Server zu installieren. So verbleiben die Besucherdaten auf dem eigenen Server. Matomo (Piwik) ist als Open-Source-Anwendung hierfür bestens geeignet.
  • Schriftarten und Funktionsbibliotheken: Das Google Font Archiv bietet zahllose kostenfreie Schriften an. Aus Bequemlichkeit werden diese von Designer_innen oft direkt eingebunden. Datensparsamer ist es, die Schriftarten auf dem eigenen Server vorzuhalten. Ähnlich verhält es sich mit Funktionsbibliotheken wie jQuery oder Bootstrap. Allerdings darf man hier einen anderen relevanten Aspekt nicht übersehen: Wenn diese Bibliotheken extern über ein sog. CDN (Content Delivery Network) eingebunden sind, ist in der Regel die Ladezeit etwas reduziert und man kann stets auf die aktuellste Version zugreifen. Bei Hinterlegung auf dem eigenen Server muss man sich um Sicherheitsupdates hingegen selbst kümmern.
  • Buttons zum Teilen auf sozialen Medien: Facebook und Co bieten an, dass man ihre Teilen- und Like-Buttons direkt auf der eigenen Website einbinden kann. Wenn man den von den Anbietern zur Verfügung gestellten Code-Schnippsel jedoch unverändert verwendet, baut der Browser der Website-Besucher_innen bei jedem Aufruf bereits eine Verbindung zu diesen Anbietern auf. Eigentlich wäre dies erst nötig, wenn ein_e Besucher_in den Seiteninhalt wirklich irgendwo teilen oder empfehlen möchte. Unsere Empfehlung ist daher, solche Code-Schnippsel nicht zu verwenden, sondern selbst erstellte Buttons zu verwenden. Alternativ gibt es freie Skripte wie Shariff (www.heise.de/newsticker/meldung/Datenschutz-und-Social-Media-Der-c-t-Shariff-ist-im-Einsatz-2470103.html), die die Weitergabe ebenfalls erst auf expliziten Klick durchführen.
  • Landkarten, Videos, Diskussionsforen: Das Zurverfügungstellen von Anfahrtsbeschreibungen, Erklärvideos oder Kommentarfunktionen wird gerne über externe Dienste wie Google Maps, OpenStreetMaps, Youtube, Vimeo oder Disqus abgewickelt. Dadurch, dass man diese Dienste kaum selbst substituieren kann, stößt man hier auf ein Problem mit der DSGVO: Eigentlich sollten Nutzer_innen informiert werden, bevor externe Dienste aufgerufen werden. Ein Ausweg wäre es die Einbettung ähnlich wie Social-Media-Buttons erst auf Klick auf einen Button oder eine Grafik zu aktivieren. Da die Einbettung bisher aber gang und gäbe war, sollte man derzeit nicht überreagieren und vorläufig zumindest sicherstellen, dass die Datenschutzerklärung der Website die eingebetteten externen Dienstleister korrekt aufzählt.
    Screenshot Youtube-Einbettung

    Die etwas datenschutzfreundlichere Einbettungsvariante von Youtube

    Youtube bietet mittlerweile eine etwas datenschutzfreundlichere Variante der Video-Einbettung an: Ein Youtube-Cookie wird erst dann gesetzt, wenn das eingebettete  Video konkret abgespielt wird. Das bedeutet, dass Youtube vorher zwar die IP-Adresse der Besucher_in bekommt, aber damit nicht das Endgerät identifizieren kann: Hinter einer IP-Adresse stecken in der Regel zahlreiche Endgeräte (z.B. in einem internen Netzwerk/WLAN; nur der Router bekommt die öffentliche IP-Adresse). Grundsätzlich kann jedes Youtube-Video aucn nachträglich mit dieser etwas datenschutzfreundlicheren Version eingebunden werden, wenn man im Einbettungslink https://www.youtube-nocookie.com statt wie bisher https://www.youtube.com verwendet.

Wenn die Datenerhebung aus statistischen und Analysezwecken geschieht (also um nachvollziehen zu können, welche Seiten häufiger aufgerufen oder welche Aufrufe Fehler produziert haben), ist eine personenbezogene Vorhaltung von Daten eigentlich nicht notwendig. Eine gute Herangehensweise ist daher die Anonymisierung oder wenigstens Pseudonymisierung von Datensätzen. Das kann zum Beispiel geschehen, indem die IP-Adresse um drei Stellen (ein Byte) gekürzt wird. Damit lassen sich zwar immer noch Aussagen darüber treffen, über welchen Provider oder aus welchem Land die Zugriffe erfolgt sind, die einzelnen Besucher_innen sind aber erst einmal nicht mehr identifizierbar.

Cookies: Websites nutzen diese kleinen Textschnippsel vor allem zur Abwicklung von Registrierungs- und Login-Vorgängen, Warenkörben, Darstellungs- oder Kommentierungsfunktionen, die darauf angewiesen sind eine_n Nutzer_in über mehrere Klicks hinweg identifizierbar zu halten. Diese Session-Cookies sind in der Regel harmlos und vereinfachen die Nutzung einer Website. Problematisch wird es erst, wenn eingebundene Dienste und Werbenetzwerke Cookies mit langem Ablaufdatum setzen und daher die Betroffenen quer über viele Websites verfolgbar und analysierbar machen. Als Nutzer_in kann ich hier in den Browsereinstellungen bereits gegensteuern: Cookies können beim Beenden automatisch gelöscht werden und während des Surfens sollten nur Cookies von besuchten Drittanbietern zugelassen werden. Eine Datenschutzerklärung sollte die Herkunft und den Zweck der Cookies möglichst genau beschreiben.

Abgrenzung einer Datenschutzerklärung zu Datenschutz-Einwilligungen und Nutzungsbedingungen: Klar muss sein, dass eine Datenschutzerklärung auf einer Website nur den Zweck der Information der Besucher_innen hat. Lediglich die Datenverarbeitung aufgrund gesetzlicher Befugnisse ist hier aufzulisten. Keinesfalls sollte eine DSE vermischt werden mit der Einwilligung zu weiterer Datenverarbeitung oder zu allgemeinen Nutzungsbedingungen, die eher unter das Vertragsrecht fallen. Derartige Einwilligungen könnten nur im Vorfeld durch aktives Akzeptieren (durch einen Mausklick, eine Kennworteingabe oder Ähnliches) erfolgen.

Ebenfalls nicht empfehlenswert ist das Aufblähen einer Datenschutzerklärung zur Abdeckung aller weiterer Datenverarbeitungsbereiche einer Organisation. Als Besucher_in einer Website kann ich erwarten, dass ich klar und ohne Umschweife ausschließlich darüber informiert werde, was dieser Website-Besuch an Datenverarbeitungsaspekten berührt. Ein Link zu weiteren Datenschutzerklärungen für andere Bereiche ist natürlich möglich, darf aber nicht zur Verwirrung der Betroffenen führen.

Newsletter und Werbezusendungen

Für die Zusendung von Newslettern und digitaler Werbung gilt nicht erst seit der DSGVO die Regel eines doppelten Opt-in-Verfahrens. Das bedeutet, dass nach der Eintragung einer E-Mail-Adresse in einen Newsletter-Verteiler an eben diese Adresse eine E-Mail geschickt wird, in der ein Bestätigungslink zum Anklicken oder ein Bestätigungscode zur Eingabe auf der Website zu finden ist. Der Grund für dieses Vorgehen ist, dass verhindert werden soll, dass Empfänger_innen nicht von Dritten ungefragt in solche Verteiler eingetragen werden sollen. Solange ein_e Empfänger_in nicht auf diese erste Zusendung reagiert, dürfen keine weiteren Mails erfolgen, auch keine Erinnerungen! Ausschließlich eine erneute Eintragung wäre möglich.

Sollte ein_e Nutzer_in bereits in einem System mit der persönlichen Kennung eingeloggt sein, kann das Verfahren ggf. dennoch abgekürzt werden, wenn die Eintragung entsprechend dokumentiert in einer Datenbank hinterlegt wird.

Die DSGVO sieht den jederzeitigen Widerruf von Einwilligungen vor. Dementsprechend muss jede Newsletter- oder andere Zusendung einen Link mit einfach erreichbarer Abmeldemöglichkeit enthalten.

Empfänger_innen, die keiner Zusendung zugestimmt haben, könnten die E-Mails als Spam werten und rechtliche Schritte einleiten. Abmahnungen können hier auch aufgrund des Gesetzes gegen unlauteren Wettbewerbs drohen, z.B. veranlasst durch ein Konkurrenzunternehmen.

Was genau als Werbezusendung gilt, kann hier nicht ausführlich behandelt werden. Allerdings erkennt die DSGVO auch den manchmal bestehenden Graubereich: ErwG 47 behandelt »Überwiegend berechtigte Interessen« für eine Datenverarbeitung. Sobald eine »maßgebliche und angemessene Beziehung« zwischen beiden Seiten besteht, kann das bereits als Grundlage für eine Direktwerbung/-zusendung ausreichen.

Whatsapp, Telegram & Co: Kommunikation über Messenger

Screenshot Threema Verteilerliste

Messenger wie Threema bieten neben Gruppen auch Verteilerlisten an, die nur Ein-Weg-Kommunikation ermöglichen und die Abonnent_innen nicht offenlegen.

Über E-Mail werden Kommunikationspartner heute weniger erreicht als über Messenger-Kommunikation. Daher sind in vielen Zusammenhängen Gruppenchats über diese Kanäle entstanden. Grundsätzlich gelten hier dieselben Regeln wie auch in anderen Bereichen: Alles was über den rein persönlichen, familiären Kontext hinausgeht, ist DSGVO-relevant. Die Einwilligung zur Nutzung dieses Kommunikationskanals vom Gegenüber ist Voraussetzung. Während das bei Erwachsenen durch eine kurze Einwilligungsnachricht über den Messenger geschehen kann, ist bei Kindern nachzuweisen, dass Erziehungsberechtigte der Datenverarbeitung von Telefonnummer oder Messenger-ID zustimmen (siehe Abschnitt »Kinder, Jugendliche, Minderjährige?« weiter unten).
Wenn die Kommunikation nur in eine Richtung erfolgt, also ähnlich eines Newsletters nur eine Stelle versendet und sich die Empfänger_innen möglicherweise gar nicht kennen, empfiehlt es sich nicht auf Gruppenchats zurückzugreifen. Die bekannten Messenger verfügen über einen deutlich datenschutzfreundlicheren Sendekanal: Verteilerlisten, in Whatsapp auch »Broadcast« genannt.

Um die Vermischung von privatem und beruflichem Adressbuch zu vermeiden, sollte man sich als Sender_in eine nur für diesen Zweck angeschaffte SIM-Karte und ggf. ein separates Smartphone besorgen. Besonders der zum Facebook-Konzern gehörende Messenger Whatsapp ist bezüglich des Umgangs mit Adressbüchern als problematisch zu betrachten: Nicht nur werden die gespeicherten Telefonnummern zentral abgeglichen, Facebook und Whatsapp wollen darüber hinaus ihre Datensätze künftig untereinander austauschen. Somit landen selbst Personen, die nie einen dieser Dienste genutzt haben, über unbewusst handelnde Kontaktpartner in die Datenbank der Plattformen. Doch es gibt weit verbreitete Alternativen: Andere Messenger-Dienste betonen immer wieder, dass sie keine Telefonnummern auf ihre zentralen Server hochladen. Um Freunde, die den Dienst wieder zu finden, wird hierbei auf datenschutzfreundlichere Lösungen zurückgegriffen: Aus Telefonnummern werden z.B. Hashes (eine Art Quersumme aus Buchstaben und Ziffern) errechnet, die nicht mehr zurückzurechnen sind, aber zum Freunde-Abgleich immer noch nützlich sind.

Verzeichnis von Verarbeitungstätigkeiten

Die DSGVO gibt als allgemeinen Grundsatz ein Verbot mit Erlaubnisvorbehalt vor: Alle Aspekte der Datenverarbeitung (Erhebung, Abrufen, Bearbeiten und in mancher Hinsicht auch das Löschen) müssen entweder durch eine Rechtsnorm ausdrücklich erlaubt oder sogar angeordnet (z.B. Steuerrecht) oder von der betroffenen Person durch ihre Einwilligung zugelassen worden sein. Im Streitfall muss das Vorliegen dieser Einwilligung von der verarbeitenden Stelle nachgewiesen werden.

Klar, dass man in einer Organisation leicht den Überblick über alle Datenverarbeitungsprozesse verlieren kann. Aus diesem Grund findet sich in der DSGVO die Pflicht zu einem Verzeichnis der Verarbeitungstätigkeiten (Art. 30). Hier sollen alle Vorgänge einmal beschrieben werden (d.h. nicht jeder Einzelfall, sondern regelhaft die Vorgangsabläufe). Diese Pflicht tritt ein, wenn

  • ein Unternehmen oder Einrichtung mindestens 250 Mitarbeitende beschäftigt, oder
  • die Verarbeitung nicht nur gelegentlich erfolgt, oder
  • eine Verarbeitung besonderer Datenkategorien erfolgt, oder
  • die Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt.

Es kann also sein, dass bereits sehr kleine Strukturen mit wenigen Mitstreiter_innen ein solches Verzeichnis erstellen und führen müssen. Bei fest angestelltem Personal werden in der Regel Krankheitstage und zur Abgabenberechnung eine mögliche Religionszugehörigkeit verarbeitet. Da beide Informationen zu den besonderen Kategorien zählen, ist die Pflicht zu einem solchen Verzeichnis also nahezu immer gegeben.

Das Erstellen eines solchen Verzeichnisses wirkt auf den ersten Blick zwar aufwändig, hängt aber in der Umsetzung tatsächlich davon ab, wie gut die eigenen Abläufe sonst bereits strukturiert sind. Am Ende ist dieses Verzeichnis sogar sehr hilfreich für die Übergabe von Aufgaben an neue Kolleg_innen.

Das Bayerische Landesamt für Datenschutzaufsicht hat für verschiedene Organisationsstrukturen übersichtliche Muster dieser Verarbeitungsverzeichnisse herausgegeben: www.lda.bayern.de/de/kleine-unternehmen.html

Verbunden mit einem Verzeichnis der Verarbeitungstätigkeiten ist auch die mögliche Erforderlichkeit einer Datenschutz-Folgenabschätzung bei einer großen Anzahl an potenziell Betroffenen (siehe späterer Abschnitt) sowie immer auch eines IT-Sicherheitskonzepts. Dieses Sicherheitskonzept ist eigentlich unabhängig von Datenschutzfragen: Es sollte klären, welche Maßnahmen zur Absicherung von Endgeräten und Servern einmalig und regelmäßig getroffen werden. Darunter fallen z.B. regelmäßige Sicherheitsupdates, gute (lange) Passwörter, Websites mit Verbindungsverschlüsselung (https) und Zugriffsrichtlinien für gemeinsam genutzte Dateiserver.

Anmelde- und Teilnehmermanagement

Anmeldungen zu Seminaren, Camps oder anderen Veranstaltungen laufen heutzutage häufig online ab.

Hierbei müssen die Daten schon auf dem Übertragungsweg geschützt werden. Das bedeutet vor allem einmal, dass die Datenübertragung verschlüsselt stattfindet. Auf einer Website geschieht das mittels eines sogenannten SSL-Zertifikats. Zu erkennen ist die verschlüsselte Verbindung, wenn am Anfang der Adresszeile ein https:// auftaucht. Seitdem die hinter dem Browser Firefox stehende Mozilla-Stiftung die »Let‘s Encrypt«-Initiative ins Leben gerufen hat, erhält man bei den meisten Webhosting-Providern kostenlose Verschlüsselungszertifikate. Empfehlenswert ist die Herangehensweise, dass unverschlüsselte Seitenaufrufe automatisch auf die verschlüsselte Verbindung weitergeleitet werden.

Übertragungsverschlüsselung ist für Nutzenden ein guter Anfang. Blind vertrauen kann man ihr jedoch nicht – so sagt das Vorhandensein einer Verschlüsselung erst einmal nichts über die Seriosität oder die Zuverlässigkeit der empfangenden Seite aus.

Egal ob digital oder analog: Zur verbindlichen Anmeldung dürfen nur die Daten eingeholt werden, die für die Veranstaltungsdurchführung notwendig sind (Kopplungsverbot). Dadurch ist aber auch für alle Beteiligten klar: Für diese Daten muss keine weitere Einverständniserklärung zur veranstaltungsspezifischen Datenverarbeitung eingeholt werden. Diese wurde durch die Anmeldung bereits implizit gegeben.

Für möglicherweise geplante Weitergaben der Daten (an Kooperationspartner, für zu verteilende Teilnehmerübersichten o.ä.) muss allerdings das ausdrückliche OK eingeholt werden. Generell gilt, dass Einwilligungserklärungen nicht unnötig aufgebläht werden sollten. Insbesondere Datenverarbeitungen, die bereits auf Basis einer Rechtsnorm zulässig sind, bedürfen keiner zusätzlichen Einwilligung. Anmeldebögen sollten künftig ebenso wie Websites den Hinweis auf eine_n Datenschutzbeauftragte_n oder Datenschutzkontakt enthalten.

Für die weitere Verarbeitung der Personendaten gilt nach der DSGVO, dass die Verarbeiter_innen dafür Sorge tragen müssen, dass die Datensicherheit bei der Verarbeitung gewährleistet ist (Art. 32).

Nach unserem Kenntnisstand ist der Umgang mit KJP-Teilnahmelisten noch nicht vom BMFSFJ geklärt worden: Die Anforderung an eine vertrauliche Erhebung und weitere Verarbeitung der Teilnehmerdaten stellt die Träger derzeit vor ungelöste datenschutzrechtliche Fragen.

Gemäß der DSGVO haben Betroffene das Recht auf Löschung von personenbezogenen Daten. Dieses Recht überwiegt oder ersetzt jedoch nicht die vertragsrechtlichen Pflichten: Eine Löschanfrage ist keine Vertragsstornierung! Der/die Datenverarbeiter_in kann der Löschanfrage daher sogar widersprechen, wenn das Vorhalten der Daten zur Vertragserfüllung oder auf Basis anderer Rechtsnormen erforderlich ist. Dennoch sind die Verarbeitenden dazu aufgerufen, Daten selbst aktiv zu löschen, sobald sie nicht mehr gebraucht werden. In der Realität könnte dies bedeuten, dass zwar Name und Anschrift von Teilnehmenden aus abrechnungstechnischen Gründen weiter gespeichert bleiben müssen, die Essenswünsche aber bereits kurz nach der Veranstaltung gelöscht werden könnten.

Anmeldeverfahren und TN-Management sind übliche Einträge für das Verzeichnis von Verarbeitungstätigkeiten. Hier hilft es einmal gedanklich oder ganz konkret das Prozedere von der Anmeldung bis zur Abrechnung durchzuspielen.

Angebote der Jugendarbeit richten sich vor allem an Kinder und Jugendliche. Wie von Minderjährigen gültige Einwilligungen zur Datenverarbeitung eingeholt werden kann, erfahrt ihr im nächsten Abschnitt.

Kinder, Jugendliche, Minderjährige?

Im alten Datenschutzrecht existierte keine Regelung, die sich explizit auf Kinder bezog. Die DSGVO erkennt allerdings an, dass auch Kinder mittlerweile IT-Dienstleistungen nutzen (wollen) und zählt daher in Art. 8 eine Reihe von Bedingungen auf, wie Einwilligungen von Minderjährigen eingeholt werden können. Der Art. 8 beleuchtet dabei ausdrücklich nur Angebote, die im digitalen Bereich liegen und sich direkt (auch) an Kinder wenden.

Ab 16 Jahre können Kinder/Jugendliche künftig ihre Einwilligung zu einer Verarbeitung ihrer personenbezogenen Daten selbst rechtmäßig abgeben. (Diese Altersgrenze kann laut DSGVO mit nationalstaatlichen Regelungen bis auf 13 Jahre herabgesetzt werden, wie es bspw. in der Niederlande der Fall ist.) Darunter, also in Deutschland mit 15 Jahren oder jünger, müssen Erziehungsberechtigte entweder der vom Kind gemachten Einwilligung ebenfalls zustimmen oder die Einwilligung selbst für das Kind abgeben. In den der DSGVO vorgeschalteten Erwägungsgründen findet sich unter ErwG 38 allerdings zusätzlich der Hinweis, dass eine Einwilligung durch Erziehungsberechtigte nicht erforderlich sein sollte, wenn sich Präventions- und Beratungsangebote direkt an Kinder wenden.

Diejenigen, die diese Daten verarbeiten, sind verpflichtet angemessene Anstrengungen zu unternehmen, um festzustellen, ob die Einwilligung rechtmäßig ist – und sie müssen dies auch dokumentieren. Diese Regelung ist, auch wegen ihres Hinweises auf »angemessene Anstrengungen« unter »Berücksichtigung der verfügbaren Technik« Art. 8 (2), nicht ganz trennscharf auszulegen. Manche IT-Dienste, wie z.B. der Anbieter des Messengers Whatsapp, haben daher beschlossen ihren Dienst nicht mehr für Unter-16-Jährige anzubieten. Andere wiederum versuchen eine (belastbare) Einwilligung durch Nennung einer elterlichen E-Mail-Adresse oder einer anderen Kontaktmöglichkeit einzuholen. Im Zweifelsfall ist weiterhin die herkömmliche Schriftform durch Unterschrift oder durch PostIdent-Verfahren geboten.

Es ist nicht davon auszugehen, dass künftig jede Newsletter-Anmeldung eine Altersabfrage beinhalten muss – zur Erinnerung: Der Art. 8 listet die Bedingungen ausdrücklich für Angebote auf, die sich direkt an Kinder wenden.

Unter Verweis auf ErwG 38 stellen alle uns bekannten Quellen fest, dass ein Profiling (automatisierte Profil-/Entscheidungsfindung) von Kindern nicht zulässig ist.

Wichtig ist zu berücksichtigen, dass die DSGVO natürlich nur den Datenschutzaspekt reguliert. Ob und wie Minderjährige Verträge schließen können, ist jeweils in anderen Gesetzen geregelt. Bezüglich oben genannter Beratungs- und Präventionsangebote stellen sich neben den Fragen des Datenschutzes schnell auch solche des Kindeswohls. Daher sollten in solchen Fällen unbedingt das SGB VIII (Kinder- und Jugendhilfe-Gesetz) und weitere Rechtsquellen zurate gezogen werden. Bei Gefährdungssituationen sollte unbedingt das Jugendamt kontaktiert werden.

Adress- und Mitgliederverwaltung

Von einem neuen Kontakt eine Visitenkarte zugesteckt bekommen – die darf ich doch in die allgemeine Adressverwaltung übertragen, nicht? Die Antwort lautet leider, dass das davon abhängt, mit welcher Intention die Karte übergeben wurde. Im Minimalfall dürfen die Kontaktdaten nur für einen genau definierten Vorgang genutzt werden. Daher sollte bei der Übergabe ein gewisser Konsens darüber herrschen, mit welchem Zweck die Visitenkarten gerade ausgetauscht wurden. Ähnliches gilt für personenbezogene Daten von betrieblichen Kooperationspartnern. Wenn es für die weitere Zusammenarbeit nicht erforderlich ist die Namen der Mitarbeitenden oder weitere Daten auf der Gegenstelle personenbezogen vorzuhalten, sollten diese auch nicht ohne vorherige Nachfrage in einer Adressverwaltung auftauchen. Häufig betroffen sind davon im Jugendarbeitsbereich z.B. Geburtstage oder eigentlich private Mobilrufnummern.

Bei einer Mitgliederverwaltung könnte es wiederum berechtigte Gründe geben, weswegen die geordnete Verarbeitung des Geburtsdatums geboten ist (altersmäßige Gruppen, oder die Höhe des Mitgliedsbeitrags) (ErwG 44).

Auch auf Websites veröffentlichte Mitarbeitenden-Profile dürfen nicht ohne Einwilligung für beliebige Zwecke abgegriffen und weiterverwendet werden. In der Regel werden diese personenbezogen Daten auf einer Website veröffentlicht, um für konkrete Anliegen Ansprechpersonen zu nennen. Eine Einwilligung zu unaufgeforderter Zusendung allgemeinen Marketingmaterials kommt damit nicht zum Ausdruck.

Zur Erinnerung: Das rein private Adressbuch, das ohne wirtschaftlichen oder beruflichen Bezug geführt wird, fällt nicht unter die strengen Regeln der DSGVO.

Personal- und Finanzverwaltung

Dieser Artikel beschäftigt sich vor allem mit digitalen Aspekten. Dennoch sollte man nicht vergessen, dass die DGSVO auch für den nicht-digitalen Bereich gilt. Personalakten oder die Lohnbuchhaltung sind in der Regel mindestens auch in Papierform zweitorganisiert und abgelegt. Die Anforderungen an Zugriffsrichtlinien und angemessene Maßnahmen zum Schutz (inkl. ungewolltem Verlust) greifen also hier gleichermaßen.

Die Datenverarbeitung im Beschäftigungskontext wird in der DSGVO in Art. 88 eher allgemein beschrieben und erst durch § 26 BDSG-neu genauer erläutert.

Die Arbeitsbereiche von Personal- und Lohnverwaltung sind oft nicht vollständig von anderen Büros abgetrennt. Dadurch vergrößert sich die Gefahr, dass Besucher_innen Daten von anderen Beschäftigten einsehen oder sogar verändern können. Arbeitsverträge oder die Personalakten werden von der Lohnbuchhaltung in der Regel nicht benötigt, daher sollten sie auch von voneinander separiert gelagert oder verarbeitet werden, selbst wenn nicht davon auszugehen ist, dass Personalabmahnungen oder ähnliche Vorgänge ausgespäht werden könnten. Druckaufträge mit Personaldaten sollten ebenfalls nur geschützt vor Zugriff von Dritten ausgeführt werden.

Wenn Bewerber_innen, die bei der aktuellen Runde nicht eingestellt werden, für spätere Ausschreibungen kontaktiert werden sollen, können sie ihre Einwilligung hierzu erklären. Dies kann für beide Seiten vorteilhaft sein.

Verträge zur Auftragsverarbeitung

Externe Dienstleister, wie z.B. Webhosting-Provider, EDV-Support fürs Büro, die Lohnbuchhaltung oder auch Tagungshäuser kommen im Rahmen ihrer Tätigkeiten kurzfristig oder regelmäßig in Kontakt mit personenbezogen Daten eurer Organisation. Hierzu zählen bereits IP-Adressen, Personalnummern, die zentrale Backup-Verwaltung, der Zugriff auf den Newsletter-Verteiler oder auf Teilnehmerlisten. In solchen Fällen wäre eine Vereinbarung zur Auftragsverarbeitung zu schließen (Art. 28). Diese Regelung existierte bereits vor der DSGVO und hieß früher »Vertrag zur Auftragsdatenverarbeitung (AV-Vertrag)«.

Für Datenschutzverletzungen können diese Auftragsverarbeitenden haftbar gemacht werden, wenn sie sich Fehler zurechnen lassen müssen.

Datentransfer in Drittländer (außerhalb der EU)

Datenschutzerklärungen auf Websites müssen eine Information darüber beinhalten, wenn Daten in Drittländer übermittelt werden. Aber auch andere digitale Produkte sind in dieser Hinsicht dokumentationspflichtig gegenüber denjenigen, deren Daten damit verarbeitet werden sollen: Mit Microsoft Office 365, Dropbox, Google Drive oder ähnlichen Diensten werden personenbezogene Daten möglicherweise außerhalb Deutschlands oder sogar außerhalb der EU, dem Geltungsbereich der DSGVO, verarbeitet. Zum Geltungsbereich ist neben dem im 1. Teil unserer Artikelreihe schon erwähnten »Marktortprinzip«, das die Einhaltung der DSGVO von jedem Anbieter weltweit einfordert, solange er personenbezogene Daten aus Europa verarbeitet, auch noch gut zu wissen, dass bestimmten Staaten ein kompatibles Datenschutzniveau zugestanden wird. Die Europäische Kommission hat hierfür sogenannte »Angemessenheitsbeschlüsse« (adequacy decisions) gefasst. Diese Liste umfasst derzeit die Staaten oder Gebiete von Andorra, Argentinien, Färöer, Guernsey, Isle of Man, Israel, Jersey, Neuseeland, die Schweiz, Uruguay, kommerzielle Einrichtungen in Kanada und, in Einschränkungen auf das »Privacy Shield«, die USA (Quelle: https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_de). Auch mit Japan und Südkorea sind solche Übereinkommen geplant.

In der DSGVO finden sich die Regelungen in Kapitel 5 (Art. 44 – 50) und in ErwG 101 und 102.

Datenschutz-Folgenabschätzung

Um die möglichen Gefahren, die mit der Datenverarbeitung (und damit verbundener Pannen) entstehen, schon im Vorfeld im Blick zu haben, erfordert das DSGVO in manchen Fällen eine Datenschutz-Folgenabschätzung nach Art. 35. Vorneweg: Diese ist bei kleinen Vereinen oder einfachen Website-Anbietern in der Regel nicht relevant. Die DSGVO macht die Erforderlichkeit abhängig von einer großen Zahl möglicher Betroffener, wozu auch eine »regional« große Anzahl Betroffener gehören kann. Lesenswert ist hierzu der (ErwG 91), der die Erforderlichkeit einer Datenschutz-Folgenabschätzung beleuchtet. Hier wird auch noch einmal auf das Personen-Profiling eingegangen, also automatisierte Verfahren zur Personen-Einschätzung.

Um mögliche Gefahren für personenbezogene Daten frühzeitig zu reduzieren, sollte man stets die Möglichkeiten der Pseudonymisierung (ErwG 28) und Anonymisierung von Daten nutzen, ebenso ist die zum Einsatz kommende Absicherung z.B. durch eine IT-Sicherheitsrichtlinie zu dokumentieren und auch der physische Zugang zu reglementieren (Art. 32).

Die DSGVO verweist bei Schutzanforderungen den »aktuellen Stand der Technik«. Was bedeutet das? Hierbei ist nicht der »allerletzte Schrei an Sicherheitstechnik« gemeint, sondern gut eingeführte, allgemein verfügbare und übliche Sicherheitsverfahren.

Umgang mit Datenschutzverletzungen

Datenpannen sind stets unerfreulich. Die DSGVO verlangt, dass solche Datenverluste, -manipulationen oder ungewollte Veröffentlichungen bei den Datenschutzbehörden gemeldet werden. Auch bei einem reinen Datenverlust, also selbst wenn erst einmal niemand Drittes Zugriff auf die verlorenen Daten bekommen hat, ist eine Meldung erforderlich. Diese Meldepflicht gilt binnen 72 Stunden, selbst bei Feiertagen oder Abwesenheiten.

Die Personen, deren Daten betroffen sind, müssen ebenso umgehend informiert werden, wenn ein »hohes Risikos für die persönlichen Rechte und Freiheiten« droht (Art. 34 (1)). Eine gute Vorsorge kann man treffen, indem schon vorher die Geräte und Speicher verschlüsselt wurden, wie sie mittlerweile jedes Betriebssystem standardmäßig anbietet. Auch sollte klar sein, dass entsprechende Aufbewahrungsorte (Räume, Schränke) entsprechend zugangsbeschränkt sind.

Wie die Meldung konkret auszusehen hat, ist in Art. 33 beschrieben. Es bietet sich an, intern bereits vorab zu klären, wie der Meldeprozess mit oder ohne einem/-r internen Datenschutzbeauftragten ablaufen würde.

Eine Übersicht aller im Meldefall zuständigen Landesdatenschutzbeauftragten findet sich auf der Website der Bundesbeauftragten: www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html

Anfragen zu Auskunft, Berichtigung und Löschung

Ganz allgemein: Personen, von denen personenbezogene Daten verarbeitet werden, haben ein Recht zur Auskunft, Berichtigung und Löschung. Einwilligungen können jederzeit widerrufen werden. Auf diese Rechte gehen wir im Detail in Teil 3 der Artikelreihe ein.

Für die Verarbeitenden ist es jedoch vorgeschrieben, dass sie Anfragen von Betroffenen entsprechend innerhalb eines Monats nach Eingang beantworten. Nur in Ausnahmefällen kann diese Frist verlängert werden (Art. 12 (3)). Diese Auskunftspflicht besteht übrigens auch, wenn zu der betreffenden Person keine Daten (mehr) verarbeitet oder gespeichert werden – dafür fällt dann die Antwort deutlich kürzer aus.

Löschen, löschen, löschen!?

Naheliegend ist jetzt der Gedanke, dass man schnell alle verarbeiteten Daten löscht, die nicht mehr gebraucht werden. Aber auch hier gibt es ein paar Aspekte zu bedenken:

Gelöscht sind Daten erst dann, wenn sie nicht mehr ohne Weiteres wieder hergestellt werden können. Neben dem Papierkorb eines Betriebssystem sollte man sich dabei insbesondere auch über bestehende Backup-Sicherungen Gedanken machen. Gerade dort schlummern Daten, die ansonsten gelöscht wurden, noch eine Weile vor sich hin und sind dadurch weiter gespeichert. Automatisierte Backup-Systeme, die z.B. Daten für 14 Tage zur Not-Wiederherstellung sichern, sind sicherlich nicht allzu problematisch. Bei Sicherungen, die hingegen monatelang im Schrank herumliegen, sieht die Sache schon anders aus. Eigentlich besteht hier ebenfalls Löschpflicht, wenn Daten wirklich »vergessen« werden sollen.

Ein häufiges Problem in Organisationen stellen die im Laufe der Zeit entstehenden »Schattendatenhaltungen« dar. Paradebeispiele hierfür sind exportierte Teilnahmelisten oder Listen von Allergien oder Nahrungsunverträglichkeiten der Teilnehmenden. Diese Art von Datenverzeichnissen werden häufig aus guten Gründen kurzfristig erstellt – manchmal mittels Ausfilterung unnötiger Daten sogar aus einem Datenschutzgedanken heraus –, jedoch im weiteren Verlauf der geregelten Datenhaltung nicht mehr ausreichend beachtet. Es empfiehlt sich daher für diese Listen ebenso einen klaren Hinterlegungsort und ein Löschdatum festzulegen (eventuell schon im Dateinamen!).

Der Löschbereitschaft können jedoch andere Faktoren entgegenstehen. Dazu zählen gesetzliche Aufbewahrungspflichten z.B. aufgrund von Förderangelegenheiten oder aus steuerrechtlichen Gründen. Diese Aufbewahrungsvorschriften sind stets höher zu bewerten als die Löschwünsche (Art. 17 (1) a und (3)).

Personenbezogene Daten, die von Nutzer_innen kreiert wurden, bedürfen möglicherweise auch die Einwilligung der Betroffenen – nämlich immer dann wenn man davon ausgehen kann, dass die erstellten Inhalte noch einen Wert für die Betroffenen haben. Niemand würde sich freuen, wenn ungefragt Fotos, Playlisten oder Texte gelöscht werden. Dagegen spricht auch das durch die DSGVO formulierte Recht auf Datenübertragbarkeit (Art. 20).


Dieser Artikel ist auf euer Feedback, eure Erfahrungen und Problemschilderungen angewiesen. Nutzt hierfür gerne die Kommentarfunktion. Wir werden den Artikel bei neuen Informationen aktualisieren und erweitern.

In Teil 3 der Artikelreihe beschäftigen wir uns mit den konkreten Rechten für Betroffene: Wie bekomme ich eine Auskunft von Datenverarbeitenden? Wie kann ich Berichtigungen oder Löschungen verlangen? Musterformulierungen für solche Anfragen ergänzen diesen Artikel.

In eigener Sache: Tooldoku-Website und DSGVO

In wenigen Tagen gilt europaweit einheitlich die Datenschutzgrundverordnung (DSGVO). Entsprechend überprüfen und aktualisieren wir in dieser Woche die Tooldoku-Website nochmals aktiv.

Konkret haben wir die Einbettung von Schriftarten angepasst: Unser CMS hatte offenbar bei einem der vergangenen Updates von bereits vorhandenen lokalen Schriftart-Dateien wieder auf Google Fonts umgeschaltet. Wir hoffen, dass dieser Fehler künftig nicht mehr passiert. In diesem Zuge rausgekickt haben wir die Unterstützung von sehr alten Browsern (z.B. alle Microsoft Internet Explorer vor IE 9), da sich deren Nutzung generell nicht mehr empfiehlt.

Weiterhin haben wir ein Statistik-Modul entfernt, das unnötig Nutzerdaten weiterleitete. Außerdem wurde die Datenschutzerklärung noch etwas verbessert.

DSGVO-Artikelserie (1): Die Datenschutzgrundverordnung – worum geht’s?

In den Jahren 2018 und 2019 verändern sich die Regelungen zum Datenschutz mehrmals: Ab 25. Mai 2018 muss die europäische Datenschutzgrundverordnung (DSGVO) angewendet werden, in ca. einem Jahr wird voraussichtlich die ePrivacy-Verordnung hinzukommen. Aber keine Sorge: Die neuen Regelungen sind meist gar nicht so schwierig anzuwenden. Allerdings bedeuten sie an der einen oder anderen Stelle etwas zusätzlichen Aufwand. Erfreulich ist, dass vor allem die Rechte für Bürger_innen deutlich gestärkt wurden. Die einheitliche europäische Regelung könnte darüber hinaus aus praktischen Gründen die Anbieter in anderen Teilen der Welt zur Nachahmung animieren.

Schon 1995 gab es die europäische »Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr«. Als Richtlinie musste sie noch in jedem Mitgliedsstaat in nationales Recht gegossen werden. Dadurch war das Datenschutzniveau in der Realität sehr unterschiedlich ausgeprägt. Firmen wie Facebook wählten ihren europäischen Sitz daher nicht ganz zufällig im weniger datenschutzstarken Irland.

Die neue Datenschutzgrundverordnung der EU ersetzt die alte Richtlinie und alle bisherigen nationalen Regelungen und gilt in allen Mitgliedsstaaten direkt. Nur noch wenige Details können die Staaten unterschiedlich regeln, wie z.B. den Bußgeldkatalog oder die Altersgrenze für Kinder (hier gibt es den Spielraum von 13-16 Jahren). Die DSGVO hat aber auch Auswirkungen auf andere Gesetzesformulierungen. So wurde z.B. das Sozialgesetzbuch (vor allem das SGB X – Sozialdatenschutz) an mehreren Stellen angepasst.

Was bedeutet »Datenschutz« eigentlich?

Die zwei Wortbestandteile von »Datenschutz« kann man für sich selbst gut durchdenken, indem man sich folgende Frage stellt:

  • Was wird geschützt (bestimmte Daten oder alle)
  • vor wem (böse Hacker, Firmen/Datensammler, eigenes Umfeld)
  • für wen (Teilnehmende, Verarbeiter_in)
  • und warum (Bloßstellung, Missbrauch für Anderes)
  • wie sicher (so sicher wie möglich, aber: zu sicher macht Freiheit kaputt)
  • und wie lange? (wann wird‘s gelöscht?)

»Datenschutz«, wie er hier gemeint ist, betrifft ausschließlich den Schutz personenbezogener Daten. Das heißt, Daten zu juristischen Personen (Firmen, Vereine) werden davon nicht abgedeckt. Es geht also um die Erfassung, Verarbeitung und Speicherung von Daten zu »echten Menschen«. Diese können aber als Angestellte zugleich Teil einer juristischen Person sein; auch für diese Sphäre gilt dann die DSGVO.

Nicht alle Daten zu einer Person sind in gleicher Weise schützenswert. Und es kommt auf den Kontext an: Während medizinisches Personal Details über Vorerkrankungen kennen sollte, gehen diese Daten z.B. andere Firmen gar nichts an. Auch das Bekanntwerden von Weltanschauungen oder sexuellen Orientierungen ist in manchen Zusammenhängen sehr problematisch. Was man umgangssprachlich als »sensible Daten« versteht, benennt die DSGVO in Art. 9 als »besondere Kategorien personenbezogener Daten«, die ganz besonders zu schützen sind:

  • Rassische und ethnische Herkunft,
  • politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder Gewerkschaftszugehörigkeit,
  • genetische oder biometrische Daten zur eindeutigen Identifizierung,
  • Gesundheitsdaten,
  • Daten zum Sexualleben oder der sexuellen Orientierung.

Hinzu kommt, dass strafrechtliche Daten nur unter behördlicher Aufsicht verarbeitet werden dürfen. Eine Liste über Straftäter_innen, ihre Delikte oder die verhängten Strafen, dürfen also nicht veröffentlicht werden.

Grundsätzliche Regelungen in der DSGVO

Nicht alle Ideen und Regelungen der DSGVO sind neu. Viele fanden sich auch bereits sehr ähnlich im bisherigen deutschen Bundesdatenschutzgesetz. Neu sind allerdings die möglichen Strafen bei Verstößen, die deutlich höher ausfallen als bisher.

Da die DSGVO als europaweite Verordnung noch sehr neu ist, werden in der alltäglichen Umsetzung immer wieder Situationen auftreten, die nicht klar mit dem Verordnungstext und dem neuen begleitenden Bundesdatenschutzgesetz zu klären sind. Hier sind in den kommenden Jahren zahlreiche Gerichtsentscheidungen zu erwarten, die die Auslegung weiter konkretisieren. Daher sollte man sich auf jeden Fall neben den eigentlichen DSGVO-Artikeln auch die sog. »Erwägungsgründe« (ErwG) ansehen, die der DSGVO vorangestellt sind.

Eigentlich ist die Umsetzung ganz einfach: Als Faustregel zur Umsetzung der DSGVO sollte man verinnerlichen, dass Betroffene jeglicher Datenverarbeitung aktiv zustimmen und über die Vorgänge Bescheid wissen müssen.

Aber welche Leitlinien finden sich nun wirklich in der DSGVO? Hier eine Zusammenfassung:

  • Transparenz der Datenverarbeitung: Die DSGVO verlangt, dass Betroffene darüber zu informieren sind, wie ihre personenbezogenen Daten verarbeitet werden. Es ist wichtig, dass die Betroffenen dabei verstehen können, was genau diese Verarbeitung umfasst, wer die Daten in irgendeiner Weise verwendet und wohin die Daten möglicherweise übertragen werden sollen. Betroffene sollen im Umkehrschluss auch verstehen, wo die Grenzen der geplanten Verarbeitungsvorgänge liegen. Alle Verarbeitungsschritte müssen daher von den Verarbeitenden vorab geklärt und dokumentiert sein. Für zusätzliche/neue Nutzungszwecke von erhobenen Daten muss explizit die Zustimmung der betroffenen Personen eingeholt werden. (Art. 5-13)
  • Recht auf Vergessenwerden und auf Berichtigung: Die Inhalte von Daten veralten zwar möglicherweise, aber sie bleiben auf Papier und digital weiter verfügbar. Betroffene bekommen daher das Recht zugesprochen, dass nicht mehr notwendige und nicht mehr genutzte Daten von den Verarbeiter_innen aktiv gelöscht werden. Auch besteht ein Recht darauf, dass falsch erhobene oder falsch verarbeitete Daten berichtigt werden. Über den Umfang und Ursprung der vorhandenen Daten kann man sich dabei jederzeit informieren lassen und kann auch die Zustimmung zur Verarbeitung jederzeit widerrufen. (Art. 15-19, 21)
  • Recht auf Datenübertragbarkeit: Gerade wenn man Dienste im Internet nutzt, in denen man als Nutzer_in Inhalte wie Texte, Fotos oder z.B. Playlisten selbst erstellt, ist man bislang häufig darauf angewiesen diesen Dienst weiter zu nutzen, um die Daten nicht zu verlieren. Ein Wechsel zu einem Alternativanbieter soll künftig leichter werden: Die hinterlegten Daten sollen möglichst automatisiert und maschinenlesbar zu erhalten sein, so dass ein Transfer woanders hin möglich wird. (Art. 20) (Das setzt natürlich voraus, dass ein anderer Dienst auch eine Importmöglichkeit vorsieht.)
  • Privacy by Design, Privacy by Default: Die Anlage von Datenverarbeitungsprozessen, z.B. einem Anmeldeformular, muss so gestaltet sein, dass nur notwendige Daten erhoben werden und standardmäßig die datenschutzfreundlichste Option für die Betroffenen voreingestellt ist. (Art. 25)
  • Kopplungsverbot: Eine Einwilligung zur weiteren Datenverarbeitung muss freiwillig sein und darf nicht zwangsweise mit anderen Aspekten verbunden werden (z.B. Gewinnspiele, deren Teilnahme nur mit künftigen Werbezusendungen möglich gemacht würde) (ErwG 43).
  • Datenminimierung: Es dürfen immer nur diejenigen Daten erhoben und verarbeitet werden, die auch tatsächlich für vorher festgelegte, eindeutige und legitime Zwecke gebraucht werden. Diese Regelung unterscheidet sich vom bisherigen Ideal der »Datensparsamkeit« des alten Bundesdatenschutzgesetzes. Zwar gilt nach wie vor, dass Daten, die nicht vorhanden sind, auch nicht missbraucht werden oder verloren gehen können, aber zugleich möchte die DSGVO auch den Weg für Big-Data-Anwendungen offenhalten: Daten, die akkumuliert analysiert werden können, schaffen ganz neue Möglichkeiten und Anwendungsszenarien. Hier ist sicherlich noch weiterer Klärungsbedarf vorhanden. Ein Geburtsdatum, das man sich »einfach so« im beruflichen Adressbuch notiert hat, würde beispielsweise der DSGVO widersprechen.
  • Verpflichtung zur Bestellung von Datenschutzbeauftragten: Hier handelt es sich eigentlich um keine neue Regelung, da sie auch im alten BDSG vorhanden war. Es gilt, dass ab 10 Personen, die jeweils bestimmte Datensätze bearbeiten können, ein_e geeignete Datenschutzbeauftragte benannt werden muss. (ErwG 97; Art. 37; § 38 BDSG-neu) Klar sollte dabei sein, dass die benannte Person aufgrund ihrer sonstigen Aufgaben keine dem Datenschutz widersprüchlichen Interessen haben sollte – als Öffentlichkeitsreferat würde man beispielsweise sicher mehr persönliche Informationen über externe Kontakte vorhalten wollen als wirklich notwendig wären.
  • Meldepflicht: Wenn Daten verloren gehen, muss binnen 72 Stunden eine Meldung bei der zuständigen Datenschutzbehörde gemacht werden (Art. 33). In der Regel liegt die Zuständigkeit bei den jeweiligen Landesdatenschutzbehörden, auch bei bundesweiten Trägern. Die 72-Stunden-Frist gilt dann, wenn durch den Datenverlust ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht, also ein materieller oder immaterieller Schaden auftreten kann.

Exkurs: Das Recht am eigenen Bild – ein Fall für die DSGVO?

Nicht alle datenschutzrelevanten Regelungen finden sich in der DSGVO. Beispielsweise ist das Recht am eigenen Bild dort nicht explizit geregelt. Dieses Recht ist als besondere Ausprägung des allgemeinen Persönlichkeitsrechts stattdessen im Kunsturhebergesetz zu finden. Die dortigen Regelungen sind weitgehend ins Allgemeinwissen eingesickert und lassen sich folgendermaßen zusammenfassen:

  • Abbildungen einer (erkennbaren) Person dürfen nur weitergegeben werden, wenn von ihr eine Einwilligung vorliegt. Bei einer vereinbarten Entlohnung gilt diese Einwilligung als erteilt, auch wenn sie nicht separat thematisiert wurde.
  • Generell keine Einwilligung wird benötigt, wenn es sich um Personen der Zeitgeschichte handelt, wenn die abgebildeten Personen ganz offensichtlich nur als Beiwerke in einem Bild auftauchen (also klassisch ins Bild gelaufen) oder wenn es sich um große Menschenansammlungen handelt, die abgebildet werden.
  • Ein paar Sonderfälle gibt es natürlich zu beachten: »Berechtigte Interessen« dürfen nicht verletzt werden. Das würde in Fällen gelten, in denen abgebildete Personen z.B. in einem Zeugenschutzprogramm aufgenommen sind oder sie durch die Abbildung anderweitig in Gefahr gebracht würden.
  • Nach dem Tod einer Person gilt, dass noch 10 Jahre lang eine Einwilligung der Angehörigen erforderlich ist.

Ähnlich wie bei der DSGVO gilt auch hier: Die Beweislast für eine Einwilligung liegt bei denjenigen, die die Bilder verwenden wollen, nicht bei der abgebildeten Personen.

Die Einwilligung zur Datenverarbeitung

Nicht in allen Aspekten ist die DSGVO anspruchsvoller als frühere Regelungen. Für eine wirksame Einwilligung zur Datenverarbeitung ist bspw. künftig die Schriftform nicht mehr die Regel (ErwG 32). Sogar eine stillschweigende Einwilligungserklärung ist zulässig, sofern der Wille der/des Betroffenen eindeutig erkennbar ist. Das wäre z.B. der Fall, wenn man Mitglied eines Vereins wird. Dann ist davon auszugehen, dass man sicher regelmäßig über anstehende Aktivitäten eines Vereins informiert werden möchte – warum wäre man sonst beigetreten?

Im Zweifelsfalls ist es jedoch so, dass Verarbeitende eine Einwilligung der Betroffenen nachweisen müssen, daher wird eine Schriftform dennoch eher die Regel bleiben. Generell vorgeschrieben ist die Schriftform für die Verarbeitung von »besonderen« (sensiblen) personenbezogenen Daten.

Die DSGVO erwartet allerdings hinsichtlich der Einwilligung in gewisser Weise die Quadratur des Kreises: Die Erklärungen sollen in verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache vorliegen, so dass andere Sachverhalten klar zu unterscheiden sind. Andererseits sollen die Betroffenen auch umfassend informiert werden – ob eine 40seitige Datenschutzerklärung allerdings noch leicht zugänglich und verständlich bleibt, sei dahingestellt.

Einwilligungen können jederzeit widerrufen werden. Die bis dahin erfolgte Datenverarbeitung bleibt gültig, sofern sie zum Verarbeitungszeitpunkt rechtlich in Ordnung war.

Nun nochmal genau: Was alles sind personenbezogene Daten?

In der Vergangenheit mussten mehrfach Gerichte darüber befinden, was als personenbezogene Daten zu werten ist. Die DSGVO legt den Begriff sehr umfassend aus: Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. »Identifizierbar« bedeutet hierbei direkt und indirekt, insbesondere bei Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen (physisch, physiologisch, genetisch, psychisch, wirtschaftlich, kulturell oder sozial). Hinsichtlich der oft umstrittenen Einschätzung zu IP-Adressen ist die DSGVO also ganz klar – IP-Adressen werden als personenbezogene Daten eingestuft.

Auch was als möglicher Schaden für die betroffene Person zu werten ist, wird in der DSGVO erläutert (ErwG 75): Dies umfasst materielle und immaterielle Aspekte wie Diskriminierung, Rufschädigung, Identitätsdiebstahl oder einen finanziellen Verlust.

Wer muss die DSGVO befolgen?

Die DSGVO unterscheidet (im Gegensatz zum BDSG) nicht zwischen öffentlichen und nicht-öffentlichen Stellen. Hierbei bestehen aber ein paar Einschränkungen, wie Bereiche der Gefahrenabwehr, Strafverfolgung sowie allgemeiner Rechtfertigung bei öffentlichem Interesse und Ausübung öffentlicher Gewalt.

Die DSGVO greift nicht bei ausschließlich persönlicher oder familiärer Tätigkeit (ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit), z.B. bei einem rein privaten Adressbuch oder bei der privaten Nutzung sozialer Netze und ähnlicher Online-Tätigkeiten.

Die DSGVO gilt jedoch für die Verantwortlichen oder Auftragsverarbeiter, die die Instrumente für die Verarbeitung personenbezogener Daten für solche persönlichen oder familiären Tätigkeiten bereitstellen. Daher sind auch nicht-kommerzielle Angebote von Verpflichtungen aus der DSGVO betroffen.

Generell gilt das »Marktortprinzip«: Jede in der EU angebotene Tätigkeit oder Leistung, egal von wo aus diese angeboten wird, fällt unter die DSGVO. Auch Aufgaben, die durch externe Dienstleister als Auftrags(daten)verarbeitung erfolgen (Art. 28), fallen darunter.

Die unterschiedlichen Pflichten behandeln wir in Teil 2 der Artikelserie.

Das Cookie-Problem

Wer kennt es nicht: Beim Aufrufen einer Website erscheint unvermittelt eine farbige Box mit einem Hinweis wie »Wir nutzen Cookies. Hier OK klicken.«. Etwas ratlos akzeptiert man das »OK«, aber vor allem deshalb, weil die Hinweisbox Teile der eigentlich gesuchten Inhalte überdeckt. Wofür Cookies auf der betreffenden Website konkret genutzt werden, erfährt man in der Regel nicht. Eine Option zur Ablehnung der Cookies wird in nahezu keinem Fall angeboten.

Bereits 2002 hat die EU die »Datenschutzrichtlinie für elektronische Kommunikation« (ePrivacy-Richtlinie) herausgegeben, die von den Mitgliedsstaaten dann in nationale Gesetze gegossen werden sollte. In Deutschland wurde dazu mit etwas Verspätung und erst nach einem von der EU eingeleiteten Vertragsverletzungsverfahren das Telekommunikationsgesetz 2004 neu gefasst. Die ePrivacy-Richtlinie beinhaltet Mindestvorgaben für den Datenschutz in der Telekommunikation wie beispielsweise das Mithören von Telefongesprächen und das Abfangen von E-Mails zu verbieten. Diese Richtlinie wurde 2009 durch die »Cookie-Richtlinie« ergänzt, die eine ausdrückliche Einwilligung verlangt, damit Websites Cookies setzen dürfen. In Deutschland wurde diese Richtlinie jedoch offenbar nie in nationales Recht überführt, daher gilt hierzulande im Wesentlichen noch der Stand nach der ePrivacy-Richtlinie von 2002.

Derzeit wird zwischen den EU-Institutionen eine europaweit direkt geltende »ePrivacy-Verordnung« verhandelt, die die DSGVO im Bereich der Telekommunikation ergänzen soll: Zu erwarten sind klarere Regelungen zu Online-Tracking durch Cookies oder ähnliche Technologien und zu E-Mail- und Telefon-Marketing. Es ist davon auszugehen, dass hier entlang der Prinzipien der DSGVO künftig immer eine ausdrückliche Einwilligung vorausgesetzt wird, statt wie bisher im deutschem Recht das nur nachträgliche Ablehnen durch ein »Opt-out«.

Auch wird vermutlich die Unterscheidung zwischen pseudonymem und personenbezogenem Tracking aufgegeben, was das Ausspähen von Nutzer_innen zumindest erschweren wird. Ein Aussperren bei Cookie-Ablehnung soll untersagt werden; zudem sind nur noch wirklich erforderliche Cookies zulässig (bspw. für Login-Systeme, persönlich präferierten Einstellungen, Warenkorb- oder Kommentarfunktionen). Auch bei der Datenerhebung durch Drittfirmen könnte ein verbraucherfreundlicher Einwilligungsvorbehalt eingeführt werden.

Die endgültigen Regelungen der ePrivacy-Verordnung stehen noch nicht fest, da sie immer noch verhandelt werden. Ein Inkrafttreten ist daher auch nicht vor dem Frühjahr 2019 zu erwarten.

Grenzen des Datenschutzes

Die DSGVO enthält einige Regelungen, die eine Daten(weiter)verarbeitung auch ohne die sonst notwendigen Einwilligungen der betroffenen Personen erlaubt. Diese Ausnahmen sind wissenschaftliche und historische Forschungs- und Statistikzwecke oder auch ein öffentliches Interesse zur Archivierung (Art. 89).

Weiterhin umstritten ist das von der DSGVO separat vereinbarte EU-US Privacy Shield, das die Datenverarbeitung europäischer Daten durch US-amerikanische Firmen regeln sollte. Die vorherige, als Safe-Harbor-Abkommen bekannt gewordene Vereinbarung hatte der Europäische Gerichtshof 2015 für ungültig erklärt. Das an dessen Stelle getretene »Privacy Shield« umfasst seit Februar 2016 ein umfangreicheres Regelungspaket. Unter Anderem wurde eine Beschwerdestelle für EU-Bürger_innen eingerichtet. Umstrittener Kern des Privacy Shields ist jedoch, dass sich US-Unternehmen lediglich in eine Selbstverpflichtungsliste eintragen lassen müssen und damit automatisch die Anerkennung von europäischen Datenschutzbestimmungen angenommen wird – allerdings unter US-Judikative. Es ist davon auszugehen, dass auch das EU-US Privacy Shield weiter nachgebessert werden muss.

Datenschutz ist immer auch Schutz vor Datenverlust und ungewollter Datenlöschung. Allerdings hat das 2017 eingeführte Netzwerkdurchsetzungsgesetz (NetzDG) bewirkt, dass bewusst im Internet veröffentlichte Daten teilweise ohne Vorwarnung gelöscht werden: Das NetzDG verpflichtet Betreiber_innen sozialer Netzwerke ab 2 Mio. Nutzenden »offensichtlich rechtswidrige Inhalte innerhalb von 24 Stunden« nach Eingang einer Beschwerde zu löschen oder sperren (das NetzDG verschärfte § 14 Abs 2 TMG). Innerhalb dieses engen Zeitrahmens können Löschanfragen allerdings kaum ausführlich juristisch geprüft werden – die Betreiber_innen werden daher zu privatwirtschaftlichen Zensureinrichtungen und löschen vorsichtshalber zu viel als zu wenig.

Nützliche (und verlässliche) Informationsquellen

DSGVO:
dsgvo-gesetz.de
mit hilfreichen Verlinkungen zu den Erwägungsgründen und der neuen Fassung des BDSG

Umfassendes Infoportal der Datenschutzbehörden:
www.lda.bayern.de/de/datenschutz_eu.html
mit Kurzanleitungen, interaktivem Selbsttest, Vorlagen

Hilfestellung für kleine Unternehmen und Vereine:
www.lda.bayern.de/de/kleine-unternehmen.html

Hinweis: Der DBJR beschäftigt keine_n Jurist_in. Alle Informationen sind nach besten Wissen zusammengetragen, können aber keine Fachberatung ersetzen.

Wir möchten euch einladen auch die Kommentarfunktion aktiv zu nutzen, eure Erfahrungen, Fragen und Probleme mit uns und allen Leser_innen zu teilen.

In Teil 2 der Artikelreihe beschäftigen wir uns mit konkreten Umsetzungsmaßnahmen, die für das Feld der Jugendarbeit und für Jugendorganisationen anstehen. Tipps und Materialien sollen die Umsetzung erleichtern.

Artikelserie zur Datenschutzgrundverordnung (DSGVO)

Symbolfoto(Foto Evan Kirby | Unsplash)

Ab dem 25. Mai greift die neue Datenschutzgrundverordnung (DSGVO). Damit gelten europaweit erstmals einheitlich dieselben Regeln zum Datenschutz. Das ist zuerst einmal eine gute Sache: Firmen und andere Anbieter können sich nicht mehr einseitig auf die ihnen genehmste Regelung zurückziehen.
Zugleich stellt die Umsetzung der DSGVO alle Betroffenen, darunter auch Verbände und die Jugendarbeit, vor große Herausforderungen. In einer dreiteiligen Artikelserie wollen wir einen Überblick über die Datenschutzsituation durch die DSGVO und damit verbundener Regelungen geben, Tipps zur Umsetzung in der Jugendarbeit zusammentragen und die Auskunfts-, Berichtigungs- und Löschrechte für alle Betroffenen vorstellen.

1) Die Datenschutzgrundverordnung – worum geht’s?
2) Die Datenschutzgrundverordnung – was muss ich machen?
3) Die Datenschutzgrundverordnung – welche Rechte habe ich dadurch?

Vorab: Der DBJR beschäftigt keine_n Jurist_in. Alle Informationen sind nach besten Wissen zusammengetragen, können aber keine Fachberatung ersetzen.

Wir möchten euch einladen die Kommentarfunktion aktiv zu nutzen, eure Erfahrungen, Erkenntnisse, Fragen und Probleme mit uns und allen Leser_innen zu teilen.