In eigener Sache: Tooldoku-Website und DSGVO

In wenigen Tagen gilt europaweit einheitlich die Datenschutzgrundverordnung (DSGVO). Entsprechend überprüfen und aktualisieren wir in dieser Woche die Tooldoku-Website nochmals aktiv.

Konkret haben wir die Einbettung von Schriftarten angepasst: Unser CMS hatte offenbar bei einem der vergangenen Updates von bereits vorhandenen lokalen Schriftart-Dateien wieder auf Google Fonts umgeschaltet. Wir hoffen, dass dieser Fehler künftig nicht mehr passiert. In diesem Zuge rausgekickt haben wir die Unterstützung von sehr alten Browsern (z.B. alle Microsoft Internet Explorer vor IE 9), da sich deren Nutzung generell nicht mehr empfiehlt.

Weiterhin haben wir ein Statistik-Modul entfernt, das unnötig Nutzerdaten weiterleitete. Außerdem wurde die Datenschutzerklärung noch etwas verbessert.

DSGVO-Artikelserie (1): Die Datenschutzgrundverordnung – worum geht’s?

In den Jahren 2018 und 2019 verändern sich die Regelungen zum Datenschutz mehrmals: Ab 25. Mai 2018 muss die europäische Datenschutzgrundverordnung (DSGVO) angewendet werden, in ca. einem Jahr wird voraussichtlich die ePrivacy-Verordnung hinzukommen. Aber keine Sorge: Die neuen Regelungen sind meist gar nicht so schwierig anzuwenden. Allerdings bedeuten sie an der einen oder anderen Stelle etwas zusätzlichen Aufwand. Erfreulich ist, dass vor allem die Rechte für Bürger_innen deutlich gestärkt wurden. Die einheitliche europäische Regelung könnte darüber hinaus aus praktischen Gründen die Anbieter in anderen Teilen der Welt zur Nachahmung animieren.

Schon 1995 gab es die europäische »Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr«. Als Richtlinie musste sie noch in jedem Mitgliedsstaat in nationales Recht gegossen werden. Dadurch war das Datenschutzniveau in der Realität sehr unterschiedlich ausgeprägt. Firmen wie Facebook wählten ihren europäischen Sitz daher nicht ganz zufällig im weniger datenschutzstarken Irland.

Die neue Datenschutzgrundverordnung der EU ersetzt die alte Richtlinie und alle bisherigen nationalen Regelungen und gilt in allen Mitgliedsstaaten direkt. Nur noch wenige Details können die Staaten unterschiedlich regeln, wie z.B. den Bußgeldkatalog oder die Altersgrenze für Kinder (hier gibt es den Spielraum von 13-16 Jahren). Die DSGVO hat aber auch Auswirkungen auf andere Gesetzesformulierungen. So wurde z.B. das Sozialgesetzbuch (vor allem das SGB X – Sozialdatenschutz) an mehreren Stellen angepasst.

Was bedeutet »Datenschutz« eigentlich?

Die zwei Wortbestandteile von »Datenschutz« kann man für sich selbst gut durchdenken, indem man sich folgende Frage stellt:

  • Was wird geschützt (bestimmte Daten oder alle)
  • vor wem (böse Hacker, Firmen/Datensammler, eigenes Umfeld)
  • für wen (Teilnehmende, Verarbeiter_in)
  • und warum (Bloßstellung, Missbrauch für Anderes)
  • wie sicher (so sicher wie möglich, aber: zu sicher macht Freiheit kaputt)
  • und wie lange? (wann wird‘s gelöscht?)

»Datenschutz«, wie er hier gemeint ist, betrifft ausschließlich den Schutz personenbezogener Daten. Das heißt, Daten zu juristischen Personen (Firmen, Vereine) werden davon nicht abgedeckt. Es geht also um die Erfassung, Verarbeitung und Speicherung von Daten zu »echten Menschen«. Diese können aber als Angestellte zugleich Teil einer juristischen Person sein; auch für diese Sphäre gilt dann die DSGVO.

Nicht alle Daten zu einer Person sind in gleicher Weise schützenswert. Und es kommt auf den Kontext an: Während medizinisches Personal Details über Vorerkrankungen kennen sollte, gehen diese Daten z.B. andere Firmen gar nichts an. Auch das Bekanntwerden von Weltanschauungen oder sexuellen Orientierungen ist in manchen Zusammenhängen sehr problematisch. Was man umgangssprachlich als »sensible Daten« versteht, benennt die DSGVO in Art. 9 als »besondere Kategorien personenbezogener Daten«, die ganz besonders zu schützen sind:

  • Rassische und ethnische Herkunft,
  • politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder Gewerkschaftszugehörigkeit,
  • genetische oder biometrische Daten zur eindeutigen Identifizierung,
  • Gesundheitsdaten,
  • Daten zum Sexualleben oder der sexuellen Orientierung.

Hinzu kommt, dass strafrechtliche Daten nur unter behördlicher Aufsicht verarbeitet werden dürfen. Eine Liste über Straftäter_innen, ihre Delikte oder die verhängten Strafen, dürfen also nicht veröffentlicht werden.

Grundsätzliche Regelungen in der DSGVO

Nicht alle Ideen und Regelungen der DSGVO sind neu. Viele fanden sich auch bereits sehr ähnlich im bisherigen deutschen Bundesdatenschutzgesetz. Neu sind allerdings die möglichen Strafen bei Verstößen, die deutlich höher ausfallen als bisher.

Da die DSGVO als europaweite Verordnung noch sehr neu ist, werden in der alltäglichen Umsetzung immer wieder Situationen auftreten, die nicht klar mit dem Verordnungstext und dem neuen begleitenden Bundesdatenschutzgesetz zu klären sind. Hier sind in den kommenden Jahren zahlreiche Gerichtsentscheidungen zu erwarten, die die Auslegung weiter konkretisieren. Daher sollte man sich auf jeden Fall neben den eigentlichen DSGVO-Artikeln auch die sog. »Erwägungsgründe« (ErwG) ansehen, die der DSGVO vorangestellt sind.

Eigentlich ist die Umsetzung ganz einfach: Als Faustregel zur Umsetzung der DSGVO sollte man verinnerlichen, dass Betroffene jeglicher Datenverarbeitung aktiv zustimmen und über die Vorgänge Bescheid wissen müssen.

Aber welche Leitlinien finden sich nun wirklich in der DSGVO? Hier eine Zusammenfassung:

  • Transparenz der Datenverarbeitung: Die DSGVO verlangt, dass Betroffene darüber zu informieren sind, wie ihre personenbezogenen Daten verarbeitet werden. Es ist wichtig, dass die Betroffenen dabei verstehen können, was genau diese Verarbeitung umfasst, wer die Daten in irgendeiner Weise verwendet und wohin die Daten möglicherweise übertragen werden sollen. Betroffene sollen im Umkehrschluss auch verstehen, wo die Grenzen der geplanten Verarbeitungsvorgänge liegen. Alle Verarbeitungsschritte müssen daher von den Verarbeitenden vorab geklärt und dokumentiert sein. Für zusätzliche/neue Nutzungszwecke von erhobenen Daten muss explizit die Zustimmung der betroffenen Personen eingeholt werden. (Art. 5-13)
  • Recht auf Vergessenwerden und auf Berichtigung: Die Inhalte von Daten veralten zwar möglicherweise, aber sie bleiben auf Papier und digital weiter verfügbar. Betroffene bekommen daher das Recht zugesprochen, dass nicht mehr notwendige und nicht mehr genutzte Daten von den Verarbeiter_innen aktiv gelöscht werden. Auch besteht ein Recht darauf, dass falsch erhobene oder falsch verarbeitete Daten berichtigt werden. Über den Umfang und Ursprung der vorhandenen Daten kann man sich dabei jederzeit informieren lassen und kann auch die Zustimmung zur Verarbeitung jederzeit widerrufen. (Art. 15-19, 21)
  • Recht auf Datenübertragbarkeit: Gerade wenn man Dienste im Internet nutzt, in denen man als Nutzer_in Inhalte wie Texte, Fotos oder z.B. Playlisten selbst erstellt, ist man bislang häufig darauf angewiesen diesen Dienst weiter zu nutzen, um die Daten nicht zu verlieren. Ein Wechsel zu einem Alternativanbieter soll künftig leichter werden: Die hinterlegten Daten sollen möglichst automatisiert und maschinenlesbar zu erhalten sein, so dass ein Transfer woanders hin möglich wird. (Art. 20) (Das setzt natürlich voraus, dass ein anderer Dienst auch eine Importmöglichkeit vorsieht.)
  • Privacy by Design, Privacy by Default: Die Anlage von Datenverarbeitungsprozessen, z.B. einem Anmeldeformular, muss so gestaltet sein, dass nur notwendige Daten erhoben werden und standardmäßig die datenschutzfreundlichste Option für die Betroffenen voreingestellt ist. (Art. 25)
  • Kopplungsverbot: Eine Einwilligung zur weiteren Datenverarbeitung muss freiwillig sein und darf nicht zwangsweise mit anderen Aspekten verbunden werden (z.B. Gewinnspiele, deren Teilnahme nur mit künftigen Werbezusendungen möglich gemacht würde) (ErwG 43).
  • Datenminimierung: Es dürfen immer nur diejenigen Daten erhoben und verarbeitet werden, die auch tatsächlich für vorher festgelegte, eindeutige und legitime Zwecke gebraucht werden. Diese Regelung unterscheidet sich vom bisherigen Ideal der »Datensparsamkeit« des alten Bundesdatenschutzgesetzes. Zwar gilt nach wie vor, dass Daten, die nicht vorhanden sind, auch nicht missbraucht werden oder verloren gehen können, aber zugleich möchte die DSGVO auch den Weg für Big-Data-Anwendungen offenhalten: Daten, die akkumuliert analysiert werden können, schaffen ganz neue Möglichkeiten und Anwendungsszenarien. Hier ist sicherlich noch weiterer Klärungsbedarf vorhanden. Ein Geburtsdatum, das man sich »einfach so« im beruflichen Adressbuch notiert hat, würde beispielsweise der DSGVO widersprechen.
  • Verpflichtung zur Bestellung von Datenschutzbeauftragten: Hier handelt es sich eigentlich um keine neue Regelung, da sie auch im alten BDSG vorhanden war. Es gilt, dass ab 10 Personen, die jeweils bestimmte Datensätze bearbeiten können, ein_e geeignete Datenschutzbeauftragte benannt werden muss. (ErwG 97; Art. 37; § 38 BDSG-neu) Klar sollte dabei sein, dass die benannte Person aufgrund ihrer sonstigen Aufgaben keine dem Datenschutz widersprüchlichen Interessen haben sollte – als Öffentlichkeitsreferat würde man beispielsweise sicher mehr persönliche Informationen über externe Kontakte vorhalten wollen als wirklich notwendig wären.
  • Meldepflicht: Wenn Daten verloren gehen, muss binnen 72 Stunden eine Meldung bei der zuständigen Datenschutzbehörde gemacht werden (Art. 33). In der Regel liegt die Zuständigkeit bei den jeweiligen Landesdatenschutzbehörden, auch bei bundesweiten Trägern. Die 72-Stunden-Frist gilt dann, wenn durch den Datenverlust ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht, also ein materieller oder immaterieller Schaden auftreten kann.

Exkurs: Das Recht am eigenen Bild – ein Fall für die DSGVO?

Nicht alle datenschutzrelevanten Regelungen finden sich in der DSGVO. Beispielsweise ist das Recht am eigenen Bild dort nicht explizit geregelt. Dieses Recht ist als besondere Ausprägung des allgemeinen Persönlichkeitsrechts stattdessen im Kunsturhebergesetz zu finden. Die dortigen Regelungen sind weitgehend ins Allgemeinwissen eingesickert und lassen sich folgendermaßen zusammenfassen:

  • Abbildungen einer (erkennbaren) Person dürfen nur weitergegeben werden, wenn von ihr eine Einwilligung vorliegt. Bei einer vereinbarten Entlohnung gilt diese Einwilligung als erteilt, auch wenn sie nicht separat thematisiert wurde.
  • Generell keine Einwilligung wird benötigt, wenn es sich um Personen der Zeitgeschichte handelt, wenn die abgebildeten Personen ganz offensichtlich nur als Beiwerke in einem Bild auftauchen (also klassisch ins Bild gelaufen) oder wenn es sich um große Menschenansammlungen handelt, die abgebildet werden.
  • Ein paar Sonderfälle gibt es natürlich zu beachten: »Berechtigte Interessen« dürfen nicht verletzt werden. Das würde in Fällen gelten, in denen abgebildete Personen z.B. in einem Zeugenschutzprogramm aufgenommen sind oder sie durch die Abbildung anderweitig in Gefahr gebracht würden.
  • Nach dem Tod einer Person gilt, dass noch 10 Jahre lang eine Einwilligung der Angehörigen erforderlich ist.

Ähnlich wie bei der DSGVO gilt auch hier: Die Beweislast für eine Einwilligung liegt bei denjenigen, die die Bilder verwenden wollen, nicht bei der abgebildeten Personen.

Die Einwilligung zur Datenverarbeitung

Nicht in allen Aspekten ist die DSGVO anspruchsvoller als frühere Regelungen. Für eine wirksame Einwilligung zur Datenverarbeitung ist bspw. künftig die Schriftform nicht mehr die Regel (ErwG 32). Sogar eine stillschweigende Einwilligungserklärung ist zulässig, sofern der Wille der/des Betroffenen eindeutig erkennbar ist. Das wäre z.B. der Fall, wenn man Mitglied eines Vereins wird. Dann ist davon auszugehen, dass man sicher regelmäßig über anstehende Aktivitäten eines Vereins informiert werden möchte – warum wäre man sonst beigetreten?

Im Zweifelsfalls ist es jedoch so, dass Verarbeitende eine Einwilligung der Betroffenen nachweisen müssen, daher wird eine Schriftform dennoch eher die Regel bleiben. Generell vorgeschrieben ist die Schriftform für die Verarbeitung von »besonderen« (sensiblen) personenbezogenen Daten.

Die DSGVO erwartet allerdings hinsichtlich der Einwilligung in gewisser Weise die Quadratur des Kreises: Die Erklärungen sollen in verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache vorliegen, so dass andere Sachverhalten klar zu unterscheiden sind. Andererseits sollen die Betroffenen auch umfassend informiert werden – ob eine 40seitige Datenschutzerklärung allerdings noch leicht zugänglich und verständlich bleibt, sei dahingestellt.

Einwilligungen können jederzeit widerrufen werden. Die bis dahin erfolgte Datenverarbeitung bleibt gültig, sofern sie zum Verarbeitungszeitpunkt rechtlich in Ordnung war.

Nun nochmal genau: Was alles sind personenbezogene Daten?

In der Vergangenheit mussten mehrfach Gerichte darüber befinden, was als personenbezogene Daten zu werten ist. Die DSGVO legt den Begriff sehr umfassend aus: Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. »Identifizierbar« bedeutet hierbei direkt und indirekt, insbesondere bei Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen (physisch, physiologisch, genetisch, psychisch, wirtschaftlich, kulturell oder sozial). Hinsichtlich der oft umstrittenen Einschätzung zu IP-Adressen ist die DSGVO also ganz klar – IP-Adressen werden als personenbezogene Daten eingestuft.

Auch was als möglicher Schaden für die betroffene Person zu werten ist, wird in der DSGVO erläutert (ErwG 75): Dies umfasst materielle und immaterielle Aspekte wie Diskriminierung, Rufschädigung, Identitätsdiebstahl oder einen finanziellen Verlust.

Wer muss die DSGVO befolgen?

Die DSGVO unterscheidet (im Gegensatz zum BDSG) nicht zwischen öffentlichen und nicht-öffentlichen Stellen. Hierbei bestehen aber ein paar Einschränkungen, wie Bereiche der Gefahrenabwehr, Strafverfolgung sowie allgemeiner Rechtfertigung bei öffentlichem Interesse und Ausübung öffentlicher Gewalt.

Die DSGVO greift nicht bei ausschließlich persönlicher oder familiärer Tätigkeit (ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit), z.B. bei einem rein privaten Adressbuch oder bei der privaten Nutzung sozialer Netze und ähnlicher Online-Tätigkeiten.

Die DSGVO gilt jedoch für die Verantwortlichen oder Auftragsverarbeiter, die die Instrumente für die Verarbeitung personenbezogener Daten für solche persönlichen oder familiären Tätigkeiten bereitstellen. Daher sind auch nicht-kommerzielle Angebote von Verpflichtungen aus der DSGVO betroffen.

Generell gilt das »Marktortprinzip«: Jede in der EU angebotene Tätigkeit oder Leistung, egal von wo aus diese angeboten wird, fällt unter die DSGVO. Auch Aufgaben, die durch externe Dienstleister als Auftrags(daten)verarbeitung erfolgen (Art. 28), fallen darunter.

Die unterschiedlichen Pflichten behandeln wir in Teil 2 der Artikelserie.

Das Cookie-Problem

Wer kennt es nicht: Beim Aufrufen einer Website erscheint unvermittelt eine farbige Box mit einem Hinweis wie »Wir nutzen Cookies. Hier OK klicken.«. Etwas ratlos akzeptiert man das »OK«, aber vor allem deshalb, weil die Hinweisbox Teile der eigentlich gesuchten Inhalte überdeckt. Wofür Cookies auf der betreffenden Website konkret genutzt werden, erfährt man in der Regel nicht. Eine Option zur Ablehnung der Cookies wird in nahezu keinem Fall angeboten.

Bereits 2002 hat die EU die »Datenschutzrichtlinie für elektronische Kommunikation« (ePrivacy-Richtlinie) herausgegeben, die von den Mitgliedsstaaten dann in nationale Gesetze gegossen werden sollte. In Deutschland wurde dazu mit etwas Verspätung und erst nach einem von der EU eingeleiteten Vertragsverletzungsverfahren das Telekommunikationsgesetz 2004 neu gefasst. Die ePrivacy-Richtlinie beinhaltet Mindestvorgaben für den Datenschutz in der Telekommunikation wie beispielsweise das Mithören von Telefongesprächen und das Abfangen von E-Mails zu verbieten. Diese Richtlinie wurde 2009 durch die »Cookie-Richtlinie« ergänzt, die eine ausdrückliche Einwilligung verlangt, damit Websites Cookies setzen dürfen. In Deutschland wurde diese Richtlinie jedoch offenbar nie in nationales Recht überführt, daher gilt hierzulande im Wesentlichen noch der Stand nach der ePrivacy-Richtlinie von 2002.

Derzeit wird zwischen den EU-Institutionen eine europaweit direkt geltende »ePrivacy-Verordnung« verhandelt, die die DSGVO im Bereich der Telekommunikation ergänzen soll: Zu erwarten sind klarere Regelungen zu Online-Tracking durch Cookies oder ähnliche Technologien und zu E-Mail- und Telefon-Marketing. Es ist davon auszugehen, dass hier entlang der Prinzipien der DSGVO künftig immer eine ausdrückliche Einwilligung vorausgesetzt wird, statt wie bisher im deutschem Recht das nur nachträgliche Ablehnen durch ein »Opt-out«.

Auch wird vermutlich die Unterscheidung zwischen pseudonymem und personenbezogenem Tracking aufgegeben, was das Ausspähen von Nutzer_innen zumindest erschweren wird. Ein Aussperren bei Cookie-Ablehnung soll untersagt werden; zudem sind nur noch wirklich erforderliche Cookies zulässig (bspw. für Login-Systeme, persönlich präferierten Einstellungen, Warenkorb- oder Kommentarfunktionen). Auch bei der Datenerhebung durch Drittfirmen könnte ein verbraucherfreundlicher Einwilligungsvorbehalt eingeführt werden.

Die endgültigen Regelungen der ePrivacy-Verordnung stehen noch nicht fest, da sie immer noch verhandelt werden. Ein Inkrafttreten ist daher auch nicht vor dem Frühjahr 2019 zu erwarten.

Grenzen des Datenschutzes

Die DSGVO enthält einige Regelungen, die eine Daten(weiter)verarbeitung auch ohne die sonst notwendigen Einwilligungen der betroffenen Personen erlaubt. Diese Ausnahmen sind wissenschaftliche und historische Forschungs- und Statistikzwecke oder auch ein öffentliches Interesse zur Archivierung (Art. 89).

Weiterhin umstritten ist das von der DSGVO separat vereinbarte EU-US Privacy Shield, das die Datenverarbeitung europäischer Daten durch US-amerikanische Firmen regeln sollte. Die vorherige, als Safe-Harbor-Abkommen bekannt gewordene Vereinbarung hatte der Europäische Gerichtshof 2015 für ungültig erklärt. Das an dessen Stelle getretene »Privacy Shield« umfasst seit Februar 2016 ein umfangreicheres Regelungspaket. Unter Anderem wurde eine Beschwerdestelle für EU-Bürger_innen eingerichtet. Umstrittener Kern des Privacy Shields ist jedoch, dass sich US-Unternehmen lediglich in eine Selbstverpflichtungsliste eintragen lassen müssen und damit automatisch die Anerkennung von europäischen Datenschutzbestimmungen angenommen wird – allerdings unter US-Judikative. Es ist davon auszugehen, dass auch das EU-US Privacy Shield weiter nachgebessert werden muss.

Datenschutz ist immer auch Schutz vor Datenverlust und ungewollter Datenlöschung. Allerdings hat das 2017 eingeführte Netzwerkdurchsetzungsgesetz (NetzDG) bewirkt, dass bewusst im Internet veröffentlichte Daten teilweise ohne Vorwarnung gelöscht werden: Das NetzDG verpflichtet Betreiber_innen sozialer Netzwerke ab 2 Mio. Nutzenden »offensichtlich rechtswidrige Inhalte innerhalb von 24 Stunden« nach Eingang einer Beschwerde zu löschen oder sperren (das NetzDG verschärfte § 14 Abs 2 TMG). Innerhalb dieses engen Zeitrahmens können Löschanfragen allerdings kaum ausführlich juristisch geprüft werden – die Betreiber_innen werden daher zu privatwirtschaftlichen Zensureinrichtungen und löschen vorsichtshalber zu viel als zu wenig.

Nützliche (und verlässliche) Informationsquellen

DSGVO:
https://dsgvo-gesetz.de
mit hilfreichen Verlinkungen zu den Erwägungsgründen und der neuen Fassung des BDSG

Umfassendes Infoportal der Datenschutzbehörden:
https://www.lda.bayern.de/de/datenschutz_eu.html
mit Kurzanleitungen, interaktivem Selbsttest, Vorlagen

Hilfestellung für kleine Unternehmen und Vereine:
https://www.lda.bayern.de/de/kleine-unternehmen.html

Hinweis: Der DBJR beschäftigt keine_n Jurist_in. Alle Informationen sind nach besten Wissen zusammengetragen, können aber keine Fachberatung ersetzen.

Wir möchten euch einladen auch die Kommentarfunktion aktiv zu nutzen, eure Erfahrungen, Fragen und Probleme mit uns und allen Leser_innen zu teilen.

In Teil 2 der Artikelreihe beschäftigen wir uns mit konkreten Umsetzungsmaßnahmen, die für das Feld der Jugendarbeit und für Jugendorganisationen anstehen. Tipps und Materialien sollen die Umsetzung erleichtern.

Artikelserie zur Datenschutzgrundverordnung (DSGVO)

Symbolfoto(Foto Evan Kirby | Unsplash)

Ab dem 25. Mai greift die neue Datenschutzgrundverordnung (DSGVO). Damit gelten europaweit erstmals einheitlich dieselben Regeln zum Datenschutz. Das ist zuerst einmal eine gute Sache: Firmen und andere Anbieter können sich nicht mehr einseitig auf die ihnen genehmste Regelung zurückziehen.
Zugleich stellt die Umsetzung der DSGVO alle Betroffenen, darunter auch Verbände und die Jugendarbeit, vor große Herausforderungen. In einer dreiteiligen Artikelserie wollen wir einen Überblick über die Datenschutzsituation durch die DSGVO und damit verbundener Regelungen geben, Tipps zur Umsetzung in der Jugendarbeit zusammentragen und die Auskunfts-, Berichtigungs- und Löschrechte für alle Betroffenen vorstellen.

1) Die Datenschutzgrundverordnung – worum geht’s?
2) Die Datenschutzgrundverordnung – was muss ich machen? verfügbar ab 23. Mai
3) Die Datenschutzgrundverordnung – welche Rechte habe ich dadurch? verfügbar ab 29. Mai

Vorab: Der DBJR beschäftigt keine_n Jurist_in. Alle Informationen sind nach besten Wissen zusammengetragen, können aber keine Fachberatung ersetzen.

Wir möchten euch einladen die Kommentarfunktion aktiv zu nutzen, eure Erfahrungen, Erkenntnisse, Fragen und Probleme mit uns und allen Leser_innen zu teilen.

Antragsgrün 3.8.3: Entpackprobleme unter Windows behoben

Eine Fehlerbehebungsversion von Antragsgrün ist erschienen. Der Installer von der Vorgängerversion konnte unter Windows nicht korrekt entpackt werden. Zudem wurde ein Problem mit der PDF-Erstellung behoben.

Parallel schreitet die Entwicklung von Antragsgrün 3.9 mit großen Schritten voran. Eine der wichtigsten Verbesserungen ist dabei der Auto-Updater, der es künftig viel einfacher ermöglichen wird, eine Antragsgrün-Installation auf dem aktuellen Stand zu halten. Überarbeitet wird auch die Editierfunktion für Orga- und andere redaktionelle Hinweise.

Das komplette (englische) Changelog befindet sich wie immer unter https://github.com/CatoTH/antragsgruen/blob/v3/History.md. Ein fertiges Installationspaket für Webhostings kann heruntergeladen werden unter https://www.hoessl.eu/antragsgruen/antragsgruen-3.8.3.tar.bz2.

Datenschutzfreundliche Alternativen zu Facebook & Co

Nicht erst seit den beiden jüngsten Datenskandalen rund um Facebook (Stichwort „Cambridge Analytica“, sowie Sammlung von SMS- und Anrufdaten) überlegen sich Viele, was eigentlich mit den eigenen Fotos, Nachrichten und „Gefällt mir“-Bewertungen passiert, nachdem sie einmal ins Netz gelangt sind. Eine Kontrolle darüber, wer auf Seiten der Dienstebetreiber private Nachrichten mitliest, ist aus Nutzersicht nicht möglich (s. z.B. „Microsoft liest heimlich Skype-Chats mit”). Ob Daten je wieder gelöscht werden können, scheint unsicher („Dropbox gesteht jahrelange Speicherung gelöschter Dateien“, „Facebook does not erase user-deleted content“).

Oft ist auch die Abgrenzung zwischen Komfortfunktionen und Datenausspähung nicht so einfach vorzunehmen. Wer will schon alle Freunde einzeln mit Telefonnummer, Profilbild, E-Mail-Adresse und Messenger-ID ins Smartphone eintippen, wenn die Übertragung auch automatisiert vonstatten gehen kann?

Eine Sache ist also klar: Ganz ohne Datenweitergabe sind öffentlicher Austausch und private Kommunikation nicht machbar. Aber es gibt Möglichkeiten, zumindest die Datenpreisgabe ein wenig einzudämmen.

Symbolbild zum Artikel (Foto: Marvin Meyer | Unsplash.com)

Die dezentrale Gemeinschaft: Eine „Föderation“ im sozialen Netzwerk

Seit mehreren Jahren versuchen verschiedene Entwickler_innen, eine solide Basis für soziale Netzwerke zu erfinden, die Werkzeuge zum Teilen von Inhalten mit dem Bedürfnis für Privatheit in Einklang bringen. Das soll vor allem dadurch gelingen, dass man die Hoheit über die eigenen Daten am besten gar nicht hergibt. Stattdessen könnte ein eigener Server aufgesetzt werden, der wiederum das eigene soziale Netzwerk beherbergt. Dabei gibt es natürlich die Auswahl zwischen „selbst hosten oder mitbenutzen“.

Dieser Lösungsansatz alleine würde natürlich zu kurz greifen: Wenn jede_r nur den eigenen Server bedient, wie wäre dann ein Austausch von Bildern und Nachrichten möglich? Die Antwort ist, dass sich Server verbinden lassen, über eine sogenannte „Föderation“. Als Nutzer_in muss ich mich dabei nur insoweit umgewöhnen, dass ich die Freunde nicht nur über den Namen, sondern mit einer Kennung ähnlich einer E-Mail-Adresse finde. Das Format wirkt vertraut und ist auch für Neulinge eingängig: name@server – und schon ist man in Kontakt (vorausgesetzt man wurde nicht geblockt 😉).

Dieser dezentrale Ansatz findet immer mehr Eingang in die verschiedensten Open-Source-Plattformen und löst zugleich ein weiteres Problem: Bei Diensten wie Facebook, Google+, Whatsapp und Anderen ist man mehr oder weniger an die spezifische Herstellersoftware gebunden. Als Nutzer_in gibt es kaum Möglichkeiten sich die Funktionen und das Aussehen selbst zusammenzustellen oder gar auf alternative Produkte auszuweichen. Nach einem Wechsel der Plattform sind bei den marktbeherrschenden Diensten auch alle dortigen Kontakte verloren.

Bereits in den Anfangstagen des Internets wurden die Grundlagen für eine dezentrale Vernetzung und Freiheit bezüglich der konkret eingesetzten Software gelegt: Jede_r kann für sich selbst entscheiden, welches E-Mail-Programm man nutzen möchte, mit welchem Webbrowser man sich auf Websites bewegt oder über welche Anwendung man an den Chats im IRC teilnimmt. Abgeschlossene Plattformen mit festem „App-Ökosystem“ sind daher eher eine Entwicklung aus kommerziellen Interessen heraus.

 

Open Source to the rescue! Friendica, Diaspora und Hubzilla

Mittlerweile gibt es mehrere freie Entwicklungen, die die Nachfolge von Facebook & Co. antreten wollen. Seit 2010 wird das Projekt »Diaspora*« vorangetrieben, für das sich aktuell ungefähr 650.000 Nutzer_innen eingeschrieben haben. Die verteilten Server, „Pods“, laufen auf der Computersprache Ruby. Da dies auf günstigen Webhostings eher nicht verfügbar ist, kann man sich alternativ »Friendi.ca« und »Hubzilla« ansehen. Diaspora verfügt derzeit als einziges der genannten Projekte auch über eine deutschsprachige (Erklär-)Website.

Die Vorteile der freien Wahl der Plattform, die aufgrund der Föderation auch mit den anderen Plattformen in Austausch treten kann, sind zugleich gelegentlich auch deren Nachteil: Jedes Softwareprojekt hat seine Stärken und Schwächen. Während möglicherweise bei einem der Projekte die Erweiterbarkeit durch jederzeit neue Plugins im Vordergrund steht, verlegt sich das andere vielleicht auf besondere Freiheiten für nomadische Profile. Die „eierlegende Wollmilchsau” bekommt man (derzeit) leider noch nicht.

Auch nicht ganz einheitlich ist die Benennung von eigentlich den selben Dingen: Während die verteilten Server bei Diaspora* als „Pods“ bezeichnet werden, nennt sie die freie Twitter-Alternative aus Jena, »Mastodon«, ganz technisch einfach „Instanzen“. (Eine Einführung zu Mastodon findet sich bei bento.)

Wem der konkrete Einstieg in eigene Server und föderierte Plattformen noch etwas zu kompliziert erscheint, kann sich auch bei nicht-gewinnorientierten, genossenschaftlich organisierten Social-Media-Plattformen registrieren. Eine davon ist die in Berlin angesiedelte Community von »Wechange.de«. Hier liegt der Fokus aber deutlich auf Vernetzung von thematisch aufgestellten Gruppen. Immerhin über 17.000 engagierte Personen tummeln sich mittlerweile auf dieser Plattform.

 

Dateien austauschen, Projekte managen: Nextcloud / Owncloud

Auf ein föderiertes Konzept setzen auch die populären „Clouds zum Eigenbau“, Nextcloud und sein Ahn Owncloud. Beide stellen in der fast überall zu betreibendenen Grundausstattung einen praktischen Ersatz für Dateiaustausch-Dienste wie Dropbox oder Google Drive dar und sind mit allen Arten von Betriebssystemen nutzbar. Sie können durch eigene oder zentrale Plugins erweitert werden, so dass auch ein selbst verwalteter Terminfinder (wie Doodle), Videotelefonate (Skype, Hangouts, Facetime) oder Projektmanagement-Werkzeuge zur Verfügung stehen.

 

Der Einstieg in diese neue Welt der eigenen Social-Media-Föderation ist nicht ganz leicht. Eine gewisse Lernkurve muss man in Kauf nehmen. Aber es lohnt sich!

Antragsgrün 3.8: Überschriften ändern, Texte vergleichen, Verfahrensvorschläge [Update 28.03.]

Nach mehrmonatiger Vorbereitungszeit ist mittlerweile Antragsgrün 3.8 erschienen: Nur eine Woche nach Version 3.8.0 konnte noch ein kleines Update auf 3.8.1 [Update 28.03.: 3.8.2] veröffentlicht werden. Wir beschreiben die Versionen in einem Rutsch:

Praktische neue Funktionen: Überschriften und Datum ändern, Texte vergleichen

Oft nachgefragt und endlich auch verfügbar: Änderungsanträge für den Titel eines Dokuments sind nun auch in der Laschenansicht sichtbar.

Bildschirmfoto zur Laschenansicht bei Änderungen zur Überschrift.

Beispiel der Laschenansicht bei Änderungseingaben zum Dokumenttitel

Das Veröffentlichungsdatum eines Antrags kann nun in der Verwaltung bearbeitet werden.

Nach dem Ersetzen eines Antrags durch eine neue Version, z.B. durch das Zusammenführen von Änderungsanträgen, gibt es nun eine Ansicht, die beide Versionen der Anträge vergleicht. Auf diese Weise ist es viel einfacher zu sehen, was sich tatsächlich geändert hat.

Verfahrensvorschläge und abhängige Änderungen

Ganz neu ist die Möglichkeit interne und auch öffentlich sichtbare Verfahrensvorschläge zum dem Umgang mit Anträgen und Änderungsanträgen einzustellen. Dies ist über die Verwaltungsoberfläche beim Aufruf des entsprechenden Texts oben im Kopfbereich möglich.

  • Admins einer Veranstaltung können das vorgeschlagene Verfahren für einen Antrag / eine Änderung verwalten. Dazu gehört das Setzen eines Statusvorschlags und einer modifizierten Version des Änderungstexts.
  • Antragstellende könen über diesen Vorschlag informiert werden und diesem optional zustimmen.
  • Anträge und Änderungsanträge können zu Abstimmungsblöcken zusammengefasst werden, um anzugeben, welche sich im Falle einer Abstimmung gegenseitig ausschließen.
  • Das vorgeschlagene Verfahren und die Abstimmungsblöcke werden optional auf einer eigenen Seite veröffentlicht.
Bildschirmfoto zur neuen Funktion »Verfahrensvorschlag«

Im Bereich »Verfahrensvorschlag« können verschiedene Optionen zum Status ausgewählt werden. Entsprechend ändern sich auch die verfügbaren Optionen, z.B. für einen internen oder öffentlich sichtbaren Kommentar oder für gemeinsam abzustimmende Blöcke.

Aktualisierter Unterbau

Antragsgrün ist jetzt kompatibel mit PHP 7.2. Wir empfehlen auf jeden Fall mindestens das im Dezember 2016 erschienene PHP 7.1 einzusetzen, da mit älteren Versionen Fehler auftreten können.

Neu hinzugekommen ist die Unterstützung für Mailjet als E-Mail-Service. Dadurch ist es nun möglich an größere Mail-Verteiler Nachrichten zu versenden, falls dies auf dem eigenen Server nicht möglich ist.

Entfernt wurde die Unterstützung für OpenSlides 1; Antragsgrün unterstützt künftig nur OpenSlides 2.1 oder neuer.

Fehlerbehebungen

Zahlreiche kleinere Probleme wurden behoben, u.a.

  • Ein Fehler in der Zeilennummerierung nach manuellen Zeilenumbrüchen wurde behoben.
  • „Alle Änderungen akzeptieren/ablehnen“ wird nur beim Zusammenführen von Änderungen angezeigt, wenn es tatsächlich Änderungen zum Zusammenführen gibt.
  • Das Entfernen anderer Administratoren aus einer Abfrage war mit einigen Browsern nicht möglich.
  • Die Stilvorlagen (CSS) sind etwas umfangreicher geworden, da sie auf Spezialfälle in Browsern mehr eingehen (Hersteller-Präfixe). Dadurch wird die Seitengröße etwas erhöht, aber auch die Browser-Kompatibilität.
  • Der „Antrag stellen“-Button in der Tagesordnung funktionierte nicht, wenn der_die Nutzer_in nicht angemeldet war.
  • Beim Download der PDF-Sammlung von Anträgen / Änderungen ging manchmal die Dateierweiterung verloren.
  • Beim Zusammenführen von Änderungen in einen Antrag, der bereits „NEU“ / „NEW“ im Präfix hatte, konnte das Programm wegen inkonsistenter Behandlung von Groß-/Kleinschreibung abstürzen.
  • Die Generierung von Open Document ist jetzt etwas toleranter gegenüber nicht unterstützten HTML-Tags.
  • Wenn ein Admin ein Benutzerkonto im Backend angelegt hat, funktionierte das Senden von E-Mails an diese_n Nutzer_in nicht.

Das komplette (englische) Changelog befindet sich wie immer unter https://github.com/CatoTH/antragsgruen/blob/v3/History.md. Ein fertiges Installationspaket für Webhostings kann heruntergeladen werden unter https://www.hoessl.eu/antragsgruen/antragsgruen-3.8.2.tar.bz2.

Für Mutige: ePartool 4.9.0 zum Ausprobieren [+ Update 14.03.]

Heute veröffentlichen wir die Vorabversion v4.9.0 des ePartool. Sie beinhaltet große Neuerungen, darunter die im Dezember vorgestellte Möglichkeit für ortsbasierte Beteiligungsrunden, neue Voting-Varianten (Sterne, Herzen, Ja/Nein-Umfragen) und die neue vertikale Ansicht von Reaktionen und Wirkung.

Die aktuelle Version 4.9.0 hat leider noch ein paar bekannte Probleme, u.a. ist die Installation in einem Unterverzeichnis nicht möglich. Kommende Woche werden wir ein fehlerbereinigtes Release vorlegen und die neuen Funktionen in einem ausführlichen Artikel vorstellen.

[Update 14.03.] Mittlerweile liegt Version 4.10.1 vor, die mehrere Probleme mit dem Installer behoben hat.

Das aktuelle Installationspaket findet ihr wie immer auf der Seite »Download / Installation«.

ePartool: Mindestvoraussetzungen aktualisiert (PHP 7.1, MySQL 5.7, Verschlüsselung)

In wenigen Tagen erscheint das ePartool mit Unterstützung von regionalen Beteiligungsrunden (Landkarten-Funktionen) sowie Neuerungen bei den Abstimmungsmöglichkeiten (verschiedene Designs und Ja/Nein-Abstimmungen). Diese weitreichenden Änderungen haben wir zum Anlass genommen, die Mindestvoraussetzungen an das ePartool zu aktualisieren.

Wir empfehlen serverseitig den Umstieg auf PHP 7.1, das im Dezember 2016 erschienen ist. PHP 7.0 wird offiziell vom Hersteller noch bis Dezember 2018 gepflegt, jedoch werden wir das ePartool nur noch auf mindestens PHP 7.1 testen. Auch hinsichtlich der Datenbank empfehlen wir euch eine Aktualisierung. Der MySQL-Server 5.7 erschien bereits im Oktober 2015 – auch hier werden wir ältere Versionen nicht mehr in Tests berücksichtigen.

Zu guter Letzt gibt es nun eine verpflichtende Mindestanforderung an das ePartool: Die Übertragungsverschlüsselung (https) ist Voraussetzung für das Funktionieren der Landkarten-Funktionen. Hierfür wird ein sogenanntes SSL-Zertifikat benötigt, was allerdings bei Installationen der letzten Jahre auch schon längst üblich gewesen sein sollte: Ihr schützt doch sicherlich die Daten und Passwörter eurer Nutzer_innen, nicht?

Bei Fragen zu den Umstellungen helfen wir euch gerne weiter.

Barcamptools 2.5: E-Mails, Session-Favoriten, Sessionplan und Liste der eigenen Barcamps

Wir haben die Camper-Software weiter entwickeln lassen: Auf barcamptools.eu läuft jetzt die aktuelle Version 2.5. Im Folgenden stellen wir euch die wesentlichen Neuerungen vor.

Ändern der E-Mail-Adresse

Profilanzeige bei den barcamptools

Das Profil des Camper-Programmierers Christian Scholz

Es ist nun endlich möglich, die eigene E-Mail-Adresse zu ändern. Dazu geht ihr einfach auf euer Profil und dort befindet sich ein Button zum Ändern der E-Mail-Adresse. Diese muss natürlich zunächst noch per Double-Opt-in bestätigt werden: Ihr bekommt eine E-Mail zugesandt, in der ihr per Bestätigungsklick der Änderung zustimmt.

Ändern der Reply-To-Adresse bei Newslettern

Ihr könnt als Barcamp-Admin jetzt auch eine eigene Reply-To-Adresse für den Newsletter setzen. Damit könnt ihr sicherstellen, dass Feedback auf eure Aussendungen auch wieder bei euch ankommen. Im Newsletter-Screen habt ihr dazu einen neuen Button, der euch eine Mailadresse setzen lässt. Auch diese muss natürlich zunächst freigeschaltet werden. Löschen könnt ihr sie natürlich auch wieder.

Eigene Newsletter-Absende-Adresse setzen

Session-Favoriten

Als Teilnehmende könnt ihr im Sessionplan jetzt Sessions für euch als Favoriten markieren. Unter dem Sessionboard findet ihr außerdem einen Button, mit dem ihr die Anzeige auf „nur Favoriten“ umschalten könnt.

Sessionfavoriten setzen

Session-Plan druckenSessionplan ausdrucken

Als Barcamp-Administrator könnt ihr in der Sessionverwaltung nun nicht nur Blätter mit Raum- und Zeiten drucken, sondern euch auch den Sessionplan pro Raum als PDF ausgeben lassen. Diesen könnt ihr dann z.B. an die einzelnen Räume hängen.

Dazu müsst ihr dies einfach in dem Dropdown unten auswählen.

 

Liste meiner Veranstaltungen auf der StartseiteDie Liste eurer Barcamps

Schlussendlich gibt es nun auch eine Liste der Barcamps, an denen ihr teilgenommen habt oder teilnehmen werdet. Diese findet ihr direkt auf der Startseite, wenn ihr eingeloggt seid unter „Meine Veranstaltungen“ (ggf. etwas runterscrollen, wenn viele Barcamps aktiv sein sollten).

 

Was ist eigentlich… eine „Lootbox“?

Eine „Lootbox“ ist ein virtuelles Objekt in Videospielen, das Spieler_innen für andere virtuelle Gegenstände einlösen können – eine Art Schatzkiste also. Der Inhalt ist in der Regel vorher nicht bekannt: Das können z.B. Werkzeuge oder Waffen zur weiteren Nutzung im Spiel sein oder eine Anpassung oder Kostümierung des Charakters, den man spielt. Eine Lootbox kann man sich mit realem Geld kaufen. Eine andere Möglichkeit ist, sich die Lootbox innerhalb des Spiels zu erspielen, indem man Kämpfe gewinnt oder Rätsel löst, sogenannte „Quests“. Manchmal erhält man Lootboxen auch als Teil einer Promotionsaktion außerhalb eines Spiels.

Lootbox Symbolbild

(Foto: Tim Evans | unsplash.com/photos/Uf-c4u1usFQ)

Welche Gegenstände ein Charakter aus einer Lootbox erhält, berücksichtigt normalerweise nicht, was er gerade brauchen kann. Allerdings lassen sich die über die Lootbox erhaltenen Gegenstände mit anderen Spielern handeln oder tauschen.
Lootboxen werden aufgrund ihres Glücksspielcharakters teils kritisch gesehen. Der Versuch, Lootboxen zu erringen oder sich durch den Erwerb vorher nicht bekannter Gegenstände einen Vorteil zu verschaffen, kann den Suchtfaktor eines Spiels erhöhen. Spieler_innen kritisieren die Entwickler von zum Teil hochpreisigen Spielen, wenn diese durch die Lootboxen weitere Investitionen nötig machen (sogenannte „Pay-to-win-Elemente“). Auch der Tausch oder Handel von durch Lootboxen gewonnenen Gegenstände in echtes Geld oder gegen andere, wertvolle Gegenstände ist mitunter problematisch.

Erstmalig in Erscheinung traten Lootboxen zirka im Jahr 2007, wie z.B. im chinesischen Computerspiel „ZT Online“. Oft werden für diese „Beuteboxen“ auch andere Ausdrücke verwendet, wie „booster pack“, „loot crate“ oder „prize crate“.

Beurteilung und Kritik der Lootboxen unterscheidet sich stark von Spiel zu Spiel, je nachdem, wie wichtig die erhaltenen Gegenstände für den weiteren Spielverlauf sind und wie die jeweiligen Inhalte errungen werden können. Die Unterhaltungssoftware Selbstkontrolle (USK) hat diesem Thema auf ihrer Website einen Abschnitt unter dem Aspekt „Jugendschutz“ gewidmet: www.usk.de/service/lootboxen-und-jugendschutz/.

In mehreren Staaten unterliegen Lootboxen den jeweiligen Glücksspielgesetzen (vgl. Übersicht in der englischen Wikipedia). Apple hat im Frühjahr für Anwendungen in seinem App Store mittlerweile vorgeschrieben (developer.apple.com/app-store/review/guidelines/, Abschnitt 3.1.1), dass eine Transparenz über die tatsächlichen Gewinnchancen hergestellt werden muss: Spieler_innen müssen darüber informiert werden, wie hoch die Wahrscheinlichkeit ist bestimmte Gegenstände in Lootboxen zu finden. Noch einen Schritt weiter geht der Jugendmedienschutz in Deutschland: Die WELT AM SONNTAG meldet, dass die Kommission für Jugendmedienschutz der Landesmedienanstalten aufgrund der Ergebnisse einer Untersuchung der Universität Hamburg derzeit ein gänzliches Verbot von Pay-to-win-Elementen und Lootboxen prüft.