In eigener Sache: Tooldoku-Website und DSGVO

In wenigen Tagen gilt europaweit einheitlich die Datenschutzgrundverordnung (DSGVO). Entsprechend überprüfen und aktualisieren wir in dieser Woche die Tooldoku-Website nochmals aktiv.

Konkret haben wir die Einbettung von Schriftarten angepasst: Unser CMS hatte offenbar bei einem der vergangenen Updates von bereits vorhandenen lokalen Schriftart-Dateien wieder auf Google Fonts umgeschaltet. Wir hoffen, dass dieser Fehler künftig nicht mehr passiert. In diesem Zuge rausgekickt haben wir die Unterstützung von sehr alten Browsern (z.B. alle Microsoft Internet Explorer vor IE 9), da sich deren Nutzung generell nicht mehr empfiehlt.

Weiterhin haben wir ein Statistik-Modul entfernt, das unnötig Nutzerdaten weiterleitete. Außerdem wurde die Datenschutzerklärung noch etwas verbessert.

DSGVO-Artikelserie (1): Die Datenschutzgrundverordnung – worum geht’s?

In den Jahren 2018 und 2019 verändern sich die Regelungen zum Datenschutz mehrmals: Ab 25. Mai 2018 muss die europäische Datenschutzgrundverordnung (DSGVO) angewendet werden, in ca. einem Jahr wird voraussichtlich die ePrivacy-Verordnung hinzukommen. Aber keine Sorge: Die neuen Regelungen sind meist gar nicht so schwierig anzuwenden. Allerdings bedeuten sie an der einen oder anderen Stelle etwas zusätzlichen Aufwand. Erfreulich ist, dass vor allem die Rechte für Bürger_innen deutlich gestärkt wurden. Die einheitliche europäische Regelung könnte darüber hinaus aus praktischen Gründen die Anbieter in anderen Teilen der Welt zur Nachahmung animieren.

Schon 1995 gab es die europäische »Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr«. Als Richtlinie musste sie noch in jedem Mitgliedsstaat in nationales Recht gegossen werden. Dadurch war das Datenschutzniveau in der Realität sehr unterschiedlich ausgeprägt. Firmen wie Facebook wählten ihren europäischen Sitz daher nicht ganz zufällig im weniger datenschutzstarken Irland.

Die neue Datenschutzgrundverordnung der EU ersetzt die alte Richtlinie und alle bisherigen nationalen Regelungen und gilt in allen Mitgliedsstaaten direkt. Nur noch wenige Details können die Staaten unterschiedlich regeln, wie z.B. den Bußgeldkatalog oder die Altersgrenze für Kinder (hier gibt es den Spielraum von 13-16 Jahren). Die DSGVO hat aber auch Auswirkungen auf andere Gesetzesformulierungen. So wurde z.B. das Sozialgesetzbuch (vor allem das SGB X – Sozialdatenschutz) an mehreren Stellen angepasst.

Was bedeutet »Datenschutz« eigentlich?

Die zwei Wortbestandteile von »Datenschutz« kann man für sich selbst gut durchdenken, indem man sich folgende Frage stellt:

  • Was wird geschützt (bestimmte Daten oder alle)
  • vor wem (böse Hacker, Firmen/Datensammler, eigenes Umfeld)
  • für wen (Teilnehmende, Verarbeiter_in)
  • und warum (Bloßstellung, Missbrauch für Anderes)
  • wie sicher (so sicher wie möglich, aber: zu sicher macht Freiheit kaputt)
  • und wie lange? (wann wird‘s gelöscht?)

»Datenschutz«, wie er hier gemeint ist, betrifft ausschließlich den Schutz personenbezogener Daten. Das heißt, Daten zu juristischen Personen (Firmen, Vereine) werden davon nicht abgedeckt. Es geht also um die Erfassung, Verarbeitung und Speicherung von Daten zu »echten Menschen«. Diese können aber als Angestellte zugleich Teil einer juristischen Person sein; auch für diese Sphäre gilt dann die DSGVO.

Nicht alle Daten zu einer Person sind in gleicher Weise schützenswert. Und es kommt auf den Kontext an: Während medizinisches Personal Details über Vorerkrankungen kennen sollte, gehen diese Daten z.B. andere Firmen gar nichts an. Auch das Bekanntwerden von Weltanschauungen oder sexuellen Orientierungen ist in manchen Zusammenhängen sehr problematisch. Was man umgangssprachlich als »sensible Daten« versteht, benennt die DSGVO in Art. 9 als »besondere Kategorien personenbezogener Daten«, die ganz besonders zu schützen sind:

  • Rassische und ethnische Herkunft,
  • politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder Gewerkschaftszugehörigkeit,
  • genetische oder biometrische Daten zur eindeutigen Identifizierung,
  • Gesundheitsdaten,
  • Daten zum Sexualleben oder der sexuellen Orientierung.

Hinzu kommt, dass strafrechtliche Daten nur unter behördlicher Aufsicht verarbeitet werden dürfen. Eine Liste über Straftäter_innen, ihre Delikte oder die verhängten Strafen, dürfen also nicht veröffentlicht werden.

Grundsätzliche Regelungen in der DSGVO

Nicht alle Ideen und Regelungen der DSGVO sind neu. Viele fanden sich auch bereits sehr ähnlich im bisherigen deutschen Bundesdatenschutzgesetz. Neu sind allerdings die möglichen Strafen bei Verstößen, die deutlich höher ausfallen als bisher.

Da die DSGVO als europaweite Verordnung noch sehr neu ist, werden in der alltäglichen Umsetzung immer wieder Situationen auftreten, die nicht klar mit dem Verordnungstext und dem neuen begleitenden Bundesdatenschutzgesetz zu klären sind. Hier sind in den kommenden Jahren zahlreiche Gerichtsentscheidungen zu erwarten, die die Auslegung weiter konkretisieren. Daher sollte man sich auf jeden Fall neben den eigentlichen DSGVO-Artikeln auch die sog. »Erwägungsgründe« (ErwG) ansehen, die der DSGVO vorangestellt sind.

Eigentlich ist die Umsetzung ganz einfach: Als Faustregel zur Umsetzung der DSGVO sollte man verinnerlichen, dass Betroffene jeglicher Datenverarbeitung aktiv zustimmen und über die Vorgänge Bescheid wissen müssen.

Aber welche Leitlinien finden sich nun wirklich in der DSGVO? Hier eine Zusammenfassung:

  • Transparenz der Datenverarbeitung: Die DSGVO verlangt, dass Betroffene darüber zu informieren sind, wie ihre personenbezogenen Daten verarbeitet werden. Es ist wichtig, dass die Betroffenen dabei verstehen können, was genau diese Verarbeitung umfasst, wer die Daten in irgendeiner Weise verwendet und wohin die Daten möglicherweise übertragen werden sollen. Betroffene sollen im Umkehrschluss auch verstehen, wo die Grenzen der geplanten Verarbeitungsvorgänge liegen. Alle Verarbeitungsschritte müssen daher von den Verarbeitenden vorab geklärt und dokumentiert sein. Für zusätzliche/neue Nutzungszwecke von erhobenen Daten muss explizit die Zustimmung der betroffenen Personen eingeholt werden. (Art. 5-13)
  • Recht auf Vergessenwerden und auf Berichtigung: Die Inhalte von Daten veralten zwar möglicherweise, aber sie bleiben auf Papier und digital weiter verfügbar. Betroffene bekommen daher das Recht zugesprochen, dass nicht mehr notwendige und nicht mehr genutzte Daten von den Verarbeiter_innen aktiv gelöscht werden. Auch besteht ein Recht darauf, dass falsch erhobene oder falsch verarbeitete Daten berichtigt werden. Über den Umfang und Ursprung der vorhandenen Daten kann man sich dabei jederzeit informieren lassen und kann auch die Zustimmung zur Verarbeitung jederzeit widerrufen. (Art. 15-19, 21)
  • Recht auf Datenübertragbarkeit: Gerade wenn man Dienste im Internet nutzt, in denen man als Nutzer_in Inhalte wie Texte, Fotos oder z.B. Playlisten selbst erstellt, ist man bislang häufig darauf angewiesen diesen Dienst weiter zu nutzen, um die Daten nicht zu verlieren. Ein Wechsel zu einem Alternativanbieter soll künftig leichter werden: Die hinterlegten Daten sollen möglichst automatisiert und maschinenlesbar zu erhalten sein, so dass ein Transfer woanders hin möglich wird. (Art. 20) (Das setzt natürlich voraus, dass ein anderer Dienst auch eine Importmöglichkeit vorsieht.)
  • Privacy by Design, Privacy by Default: Die Anlage von Datenverarbeitungsprozessen, z.B. einem Anmeldeformular, muss so gestaltet sein, dass nur notwendige Daten erhoben werden und standardmäßig die datenschutzfreundlichste Option für die Betroffenen voreingestellt ist. (Art. 25)
  • Kopplungsverbot: Eine Einwilligung zur weiteren Datenverarbeitung muss freiwillig sein und darf nicht zwangsweise mit anderen Aspekten verbunden werden (z.B. Gewinnspiele, deren Teilnahme nur mit künftigen Werbezusendungen möglich gemacht würde) (ErwG 43).
  • Datenminimierung: Es dürfen immer nur diejenigen Daten erhoben und verarbeitet werden, die auch tatsächlich für vorher festgelegte, eindeutige und legitime Zwecke gebraucht werden. Diese Regelung unterscheidet sich vom bisherigen Ideal der »Datensparsamkeit« des alten Bundesdatenschutzgesetzes. Zwar gilt nach wie vor, dass Daten, die nicht vorhanden sind, auch nicht missbraucht werden oder verloren gehen können, aber zugleich möchte die DSGVO auch den Weg für Big-Data-Anwendungen offenhalten: Daten, die akkumuliert analysiert werden können, schaffen ganz neue Möglichkeiten und Anwendungsszenarien. Hier ist sicherlich noch weiterer Klärungsbedarf vorhanden. Ein Geburtsdatum, das man sich »einfach so« im beruflichen Adressbuch notiert hat, würde beispielsweise der DSGVO widersprechen.
  • Verpflichtung zur Bestellung von Datenschutzbeauftragten: Hier handelt es sich eigentlich um keine neue Regelung, da sie auch im alten BDSG vorhanden war. Es gilt, dass ab 10 Personen, die jeweils bestimmte Datensätze bearbeiten können, ein_e geeignete Datenschutzbeauftragte benannt werden muss. (ErwG 97; Art. 37; § 38 BDSG-neu) Klar sollte dabei sein, dass die benannte Person aufgrund ihrer sonstigen Aufgaben keine dem Datenschutz widersprüchlichen Interessen haben sollte – als Öffentlichkeitsreferat würde man beispielsweise sicher mehr persönliche Informationen über externe Kontakte vorhalten wollen als wirklich notwendig wären.
  • Meldepflicht: Wenn Daten verloren gehen, muss binnen 72 Stunden eine Meldung bei der zuständigen Datenschutzbehörde gemacht werden (Art. 33). In der Regel liegt die Zuständigkeit bei den jeweiligen Landesdatenschutzbehörden, auch bei bundesweiten Trägern. Die 72-Stunden-Frist gilt dann, wenn durch den Datenverlust ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht, also ein materieller oder immaterieller Schaden auftreten kann.

Exkurs: Das Recht am eigenen Bild – ein Fall für die DSGVO?

Nicht alle datenschutzrelevanten Regelungen finden sich in der DSGVO. Beispielsweise ist das Recht am eigenen Bild dort nicht explizit geregelt. Dieses Recht ist als besondere Ausprägung des allgemeinen Persönlichkeitsrechts stattdessen im Kunsturhebergesetz zu finden. Die dortigen Regelungen sind weitgehend ins Allgemeinwissen eingesickert und lassen sich folgendermaßen zusammenfassen:

  • Abbildungen einer (erkennbaren) Person dürfen nur weitergegeben werden, wenn von ihr eine Einwilligung vorliegt. Bei einer vereinbarten Entlohnung gilt diese Einwilligung als erteilt, auch wenn sie nicht separat thematisiert wurde.
  • Generell keine Einwilligung wird benötigt, wenn es sich um Personen der Zeitgeschichte handelt, wenn die abgebildeten Personen ganz offensichtlich nur als Beiwerke in einem Bild auftauchen (also klassisch ins Bild gelaufen) oder wenn es sich um große Menschenansammlungen handelt, die abgebildet werden.
  • Ein paar Sonderfälle gibt es natürlich zu beachten: »Berechtigte Interessen« dürfen nicht verletzt werden. Das würde in Fällen gelten, in denen abgebildete Personen z.B. in einem Zeugenschutzprogramm aufgenommen sind oder sie durch die Abbildung anderweitig in Gefahr gebracht würden.
  • Nach dem Tod einer Person gilt, dass noch 10 Jahre lang eine Einwilligung der Angehörigen erforderlich ist.

Ähnlich wie bei der DSGVO gilt auch hier: Die Beweislast für eine Einwilligung liegt bei denjenigen, die die Bilder verwenden wollen, nicht bei der abgebildeten Personen.

Die Einwilligung zur Datenverarbeitung

Nicht in allen Aspekten ist die DSGVO anspruchsvoller als frühere Regelungen. Für eine wirksame Einwilligung zur Datenverarbeitung ist bspw. künftig die Schriftform nicht mehr die Regel (ErwG 32). Sogar eine stillschweigende Einwilligungserklärung ist zulässig, sofern der Wille der/des Betroffenen eindeutig erkennbar ist. Das wäre z.B. der Fall, wenn man Mitglied eines Vereins wird. Dann ist davon auszugehen, dass man sicher regelmäßig über anstehende Aktivitäten eines Vereins informiert werden möchte – warum wäre man sonst beigetreten?

Im Zweifelsfalls ist es jedoch so, dass Verarbeitende eine Einwilligung der Betroffenen nachweisen müssen, daher wird eine Schriftform dennoch eher die Regel bleiben. Generell vorgeschrieben ist die Schriftform für die Verarbeitung von »besonderen« (sensiblen) personenbezogenen Daten.

Die DSGVO erwartet allerdings hinsichtlich der Einwilligung in gewisser Weise die Quadratur des Kreises: Die Erklärungen sollen in verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache vorliegen, so dass andere Sachverhalten klar zu unterscheiden sind. Andererseits sollen die Betroffenen auch umfassend informiert werden – ob eine 40seitige Datenschutzerklärung allerdings noch leicht zugänglich und verständlich bleibt, sei dahingestellt.

Einwilligungen können jederzeit widerrufen werden. Die bis dahin erfolgte Datenverarbeitung bleibt gültig, sofern sie zum Verarbeitungszeitpunkt rechtlich in Ordnung war.

Nun nochmal genau: Was alles sind personenbezogene Daten?

In der Vergangenheit mussten mehrfach Gerichte darüber befinden, was als personenbezogene Daten zu werten ist. Die DSGVO legt den Begriff sehr umfassend aus: Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. »Identifizierbar« bedeutet hierbei direkt und indirekt, insbesondere bei Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen (physisch, physiologisch, genetisch, psychisch, wirtschaftlich, kulturell oder sozial). Hinsichtlich der oft umstrittenen Einschätzung zu IP-Adressen ist die DSGVO also ganz klar – IP-Adressen werden als personenbezogene Daten eingestuft.

Auch was als möglicher Schaden für die betroffene Person zu werten ist, wird in der DSGVO erläutert (ErwG 75): Dies umfasst materielle und immaterielle Aspekte wie Diskriminierung, Rufschädigung, Identitätsdiebstahl oder einen finanziellen Verlust.

Wer muss die DSGVO befolgen?

Die DSGVO unterscheidet (im Gegensatz zum BDSG) nicht zwischen öffentlichen und nicht-öffentlichen Stellen. Hierbei bestehen aber ein paar Einschränkungen, wie Bereiche der Gefahrenabwehr, Strafverfolgung sowie allgemeiner Rechtfertigung bei öffentlichem Interesse und Ausübung öffentlicher Gewalt.

Die DSGVO greift nicht bei ausschließlich persönlicher oder familiärer Tätigkeit (ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit), z.B. bei einem rein privaten Adressbuch oder bei der privaten Nutzung sozialer Netze und ähnlicher Online-Tätigkeiten.

Die DSGVO gilt jedoch für die Verantwortlichen oder Auftragsverarbeiter, die die Instrumente für die Verarbeitung personenbezogener Daten für solche persönlichen oder familiären Tätigkeiten bereitstellen. Daher sind auch nicht-kommerzielle Angebote von Verpflichtungen aus der DSGVO betroffen.

Generell gilt das »Marktortprinzip«: Jede in der EU angebotene Tätigkeit oder Leistung, egal von wo aus diese angeboten wird, fällt unter die DSGVO. Auch Aufgaben, die durch externe Dienstleister als Auftrags(daten)verarbeitung erfolgen (Art. 28), fallen darunter.

Die unterschiedlichen Pflichten behandeln wir in Teil 2 der Artikelserie.

Das Cookie-Problem

Wer kennt es nicht: Beim Aufrufen einer Website erscheint unvermittelt eine farbige Box mit einem Hinweis wie »Wir nutzen Cookies. Hier OK klicken.«. Etwas ratlos akzeptiert man das »OK«, aber vor allem deshalb, weil die Hinweisbox Teile der eigentlich gesuchten Inhalte überdeckt. Wofür Cookies auf der betreffenden Website konkret genutzt werden, erfährt man in der Regel nicht. Eine Option zur Ablehnung der Cookies wird in nahezu keinem Fall angeboten.

Bereits 2002 hat die EU die »Datenschutzrichtlinie für elektronische Kommunikation« (ePrivacy-Richtlinie) herausgegeben, die von den Mitgliedsstaaten dann in nationale Gesetze gegossen werden sollte. In Deutschland wurde dazu mit etwas Verspätung und erst nach einem von der EU eingeleiteten Vertragsverletzungsverfahren das Telekommunikationsgesetz 2004 neu gefasst. Die ePrivacy-Richtlinie beinhaltet Mindestvorgaben für den Datenschutz in der Telekommunikation wie beispielsweise das Mithören von Telefongesprächen und das Abfangen von E-Mails zu verbieten. Diese Richtlinie wurde 2009 durch die »Cookie-Richtlinie« ergänzt, die eine ausdrückliche Einwilligung verlangt, damit Websites Cookies setzen dürfen. In Deutschland wurde diese Richtlinie jedoch offenbar nie in nationales Recht überführt, daher gilt hierzulande im Wesentlichen noch der Stand nach der ePrivacy-Richtlinie von 2002.

Derzeit wird zwischen den EU-Institutionen eine europaweit direkt geltende »ePrivacy-Verordnung« verhandelt, die die DSGVO im Bereich der Telekommunikation ergänzen soll: Zu erwarten sind klarere Regelungen zu Online-Tracking durch Cookies oder ähnliche Technologien und zu E-Mail- und Telefon-Marketing. Es ist davon auszugehen, dass hier entlang der Prinzipien der DSGVO künftig immer eine ausdrückliche Einwilligung vorausgesetzt wird, statt wie bisher im deutschem Recht das nur nachträgliche Ablehnen durch ein »Opt-out«.

Auch wird vermutlich die Unterscheidung zwischen pseudonymem und personenbezogenem Tracking aufgegeben, was das Ausspähen von Nutzer_innen zumindest erschweren wird. Ein Aussperren bei Cookie-Ablehnung soll untersagt werden; zudem sind nur noch wirklich erforderliche Cookies zulässig (bspw. für Login-Systeme, persönlich präferierten Einstellungen, Warenkorb- oder Kommentarfunktionen). Auch bei der Datenerhebung durch Drittfirmen könnte ein verbraucherfreundlicher Einwilligungsvorbehalt eingeführt werden.

Die endgültigen Regelungen der ePrivacy-Verordnung stehen noch nicht fest, da sie immer noch verhandelt werden. Ein Inkrafttreten ist daher auch nicht vor dem Frühjahr 2019 zu erwarten.

Grenzen des Datenschutzes

Die DSGVO enthält einige Regelungen, die eine Daten(weiter)verarbeitung auch ohne die sonst notwendigen Einwilligungen der betroffenen Personen erlaubt. Diese Ausnahmen sind wissenschaftliche und historische Forschungs- und Statistikzwecke oder auch ein öffentliches Interesse zur Archivierung (Art. 89).

Weiterhin umstritten ist das von der DSGVO separat vereinbarte EU-US Privacy Shield, das die Datenverarbeitung europäischer Daten durch US-amerikanische Firmen regeln sollte. Die vorherige, als Safe-Harbor-Abkommen bekannt gewordene Vereinbarung hatte der Europäische Gerichtshof 2015 für ungültig erklärt. Das an dessen Stelle getretene »Privacy Shield« umfasst seit Februar 2016 ein umfangreicheres Regelungspaket. Unter Anderem wurde eine Beschwerdestelle für EU-Bürger_innen eingerichtet. Umstrittener Kern des Privacy Shields ist jedoch, dass sich US-Unternehmen lediglich in eine Selbstverpflichtungsliste eintragen lassen müssen und damit automatisch die Anerkennung von europäischen Datenschutzbestimmungen angenommen wird – allerdings unter US-Judikative. Es ist davon auszugehen, dass auch das EU-US Privacy Shield weiter nachgebessert werden muss.

Datenschutz ist immer auch Schutz vor Datenverlust und ungewollter Datenlöschung. Allerdings hat das 2017 eingeführte Netzwerkdurchsetzungsgesetz (NetzDG) bewirkt, dass bewusst im Internet veröffentlichte Daten teilweise ohne Vorwarnung gelöscht werden: Das NetzDG verpflichtet Betreiber_innen sozialer Netzwerke ab 2 Mio. Nutzenden »offensichtlich rechtswidrige Inhalte innerhalb von 24 Stunden« nach Eingang einer Beschwerde zu löschen oder sperren (das NetzDG verschärfte § 14 Abs 2 TMG). Innerhalb dieses engen Zeitrahmens können Löschanfragen allerdings kaum ausführlich juristisch geprüft werden – die Betreiber_innen werden daher zu privatwirtschaftlichen Zensureinrichtungen und löschen vorsichtshalber zu viel als zu wenig.

Nützliche (und verlässliche) Informationsquellen

DSGVO:
https://dsgvo-gesetz.de
mit hilfreichen Verlinkungen zu den Erwägungsgründen und der neuen Fassung des BDSG

Umfassendes Infoportal der Datenschutzbehörden:
https://www.lda.bayern.de/de/datenschutz_eu.html
mit Kurzanleitungen, interaktivem Selbsttest, Vorlagen

Hilfestellung für kleine Unternehmen und Vereine:
https://www.lda.bayern.de/de/kleine-unternehmen.html

Hinweis: Der DBJR beschäftigt keine_n Jurist_in. Alle Informationen sind nach besten Wissen zusammengetragen, können aber keine Fachberatung ersetzen.

Wir möchten euch einladen auch die Kommentarfunktion aktiv zu nutzen, eure Erfahrungen, Fragen und Probleme mit uns und allen Leser_innen zu teilen.

In Teil 2 der Artikelreihe beschäftigen wir uns mit konkreten Umsetzungsmaßnahmen, die für das Feld der Jugendarbeit und für Jugendorganisationen anstehen. Tipps und Materialien sollen die Umsetzung erleichtern.

Artikelserie zur Datenschutzgrundverordnung (DSGVO)

Symbolfoto(Foto Evan Kirby | Unsplash)

Ab dem 25. Mai greift die neue Datenschutzgrundverordnung (DSGVO). Damit gelten europaweit erstmals einheitlich dieselben Regeln zum Datenschutz. Das ist zuerst einmal eine gute Sache: Firmen und andere Anbieter können sich nicht mehr einseitig auf die ihnen genehmste Regelung zurückziehen.
Zugleich stellt die Umsetzung der DSGVO alle Betroffenen, darunter auch Verbände und die Jugendarbeit, vor große Herausforderungen. In einer dreiteiligen Artikelserie wollen wir einen Überblick über die Datenschutzsituation durch die DSGVO und damit verbundener Regelungen geben, Tipps zur Umsetzung in der Jugendarbeit zusammentragen und die Auskunfts-, Berichtigungs- und Löschrechte für alle Betroffenen vorstellen.

1) Die Datenschutzgrundverordnung – worum geht’s?
2) Die Datenschutzgrundverordnung – was muss ich machen? verfügbar ab 23. Mai
3) Die Datenschutzgrundverordnung – welche Rechte habe ich dadurch? verfügbar ab 29. Mai

Vorab: Der DBJR beschäftigt keine_n Jurist_in. Alle Informationen sind nach besten Wissen zusammengetragen, können aber keine Fachberatung ersetzen.

Wir möchten euch einladen die Kommentarfunktion aktiv zu nutzen, eure Erfahrungen, Erkenntnisse, Fragen und Probleme mit uns und allen Leser_innen zu teilen.

Datenschutzfreundliche Alternativen zu Facebook & Co

Nicht erst seit den beiden jüngsten Datenskandalen rund um Facebook (Stichwort „Cambridge Analytica“, sowie Sammlung von SMS- und Anrufdaten) überlegen sich Viele, was eigentlich mit den eigenen Fotos, Nachrichten und „Gefällt mir“-Bewertungen passiert, nachdem sie einmal ins Netz gelangt sind. Eine Kontrolle darüber, wer auf Seiten der Dienstebetreiber private Nachrichten mitliest, ist aus Nutzersicht nicht möglich (s. z.B. „Microsoft liest heimlich Skype-Chats mit”). Ob Daten je wieder gelöscht werden können, scheint unsicher („Dropbox gesteht jahrelange Speicherung gelöschter Dateien“, „Facebook does not erase user-deleted content“).

Oft ist auch die Abgrenzung zwischen Komfortfunktionen und Datenausspähung nicht so einfach vorzunehmen. Wer will schon alle Freunde einzeln mit Telefonnummer, Profilbild, E-Mail-Adresse und Messenger-ID ins Smartphone eintippen, wenn die Übertragung auch automatisiert vonstatten gehen kann?

Eine Sache ist also klar: Ganz ohne Datenweitergabe sind öffentlicher Austausch und private Kommunikation nicht machbar. Aber es gibt Möglichkeiten, zumindest die Datenpreisgabe ein wenig einzudämmen.

Symbolbild zum Artikel (Foto: Marvin Meyer | Unsplash.com)

Die dezentrale Gemeinschaft: Eine „Föderation“ im sozialen Netzwerk

Seit mehreren Jahren versuchen verschiedene Entwickler_innen, eine solide Basis für soziale Netzwerke zu erfinden, die Werkzeuge zum Teilen von Inhalten mit dem Bedürfnis für Privatheit in Einklang bringen. Das soll vor allem dadurch gelingen, dass man die Hoheit über die eigenen Daten am besten gar nicht hergibt. Stattdessen könnte ein eigener Server aufgesetzt werden, der wiederum das eigene soziale Netzwerk beherbergt. Dabei gibt es natürlich die Auswahl zwischen „selbst hosten oder mitbenutzen“.

Dieser Lösungsansatz alleine würde natürlich zu kurz greifen: Wenn jede_r nur den eigenen Server bedient, wie wäre dann ein Austausch von Bildern und Nachrichten möglich? Die Antwort ist, dass sich Server verbinden lassen, über eine sogenannte „Föderation“. Als Nutzer_in muss ich mich dabei nur insoweit umgewöhnen, dass ich die Freunde nicht nur über den Namen, sondern mit einer Kennung ähnlich einer E-Mail-Adresse finde. Das Format wirkt vertraut und ist auch für Neulinge eingängig: name@server – und schon ist man in Kontakt (vorausgesetzt man wurde nicht geblockt 😉).

Dieser dezentrale Ansatz findet immer mehr Eingang in die verschiedensten Open-Source-Plattformen und löst zugleich ein weiteres Problem: Bei Diensten wie Facebook, Google+, Whatsapp und Anderen ist man mehr oder weniger an die spezifische Herstellersoftware gebunden. Als Nutzer_in gibt es kaum Möglichkeiten sich die Funktionen und das Aussehen selbst zusammenzustellen oder gar auf alternative Produkte auszuweichen. Nach einem Wechsel der Plattform sind bei den marktbeherrschenden Diensten auch alle dortigen Kontakte verloren.

Bereits in den Anfangstagen des Internets wurden die Grundlagen für eine dezentrale Vernetzung und Freiheit bezüglich der konkret eingesetzten Software gelegt: Jede_r kann für sich selbst entscheiden, welches E-Mail-Programm man nutzen möchte, mit welchem Webbrowser man sich auf Websites bewegt oder über welche Anwendung man an den Chats im IRC teilnimmt. Abgeschlossene Plattformen mit festem „App-Ökosystem“ sind daher eher eine Entwicklung aus kommerziellen Interessen heraus.

 

Open Source to the rescue! Friendica, Diaspora und Hubzilla

Mittlerweile gibt es mehrere freie Entwicklungen, die die Nachfolge von Facebook & Co. antreten wollen. Seit 2010 wird das Projekt »Diaspora*« vorangetrieben, für das sich aktuell ungefähr 650.000 Nutzer_innen eingeschrieben haben. Die verteilten Server, „Pods“, laufen auf der Computersprache Ruby. Da dies auf günstigen Webhostings eher nicht verfügbar ist, kann man sich alternativ »Friendi.ca« und »Hubzilla« ansehen. Diaspora verfügt derzeit als einziges der genannten Projekte auch über eine deutschsprachige (Erklär-)Website.

Die Vorteile der freien Wahl der Plattform, die aufgrund der Föderation auch mit den anderen Plattformen in Austausch treten kann, sind zugleich gelegentlich auch deren Nachteil: Jedes Softwareprojekt hat seine Stärken und Schwächen. Während möglicherweise bei einem der Projekte die Erweiterbarkeit durch jederzeit neue Plugins im Vordergrund steht, verlegt sich das andere vielleicht auf besondere Freiheiten für nomadische Profile. Die „eierlegende Wollmilchsau” bekommt man (derzeit) leider noch nicht.

Auch nicht ganz einheitlich ist die Benennung von eigentlich den selben Dingen: Während die verteilten Server bei Diaspora* als „Pods“ bezeichnet werden, nennt sie die freie Twitter-Alternative aus Jena, »Mastodon«, ganz technisch einfach „Instanzen“. (Eine Einführung zu Mastodon findet sich bei bento.)

Wem der konkrete Einstieg in eigene Server und föderierte Plattformen noch etwas zu kompliziert erscheint, kann sich auch bei nicht-gewinnorientierten, genossenschaftlich organisierten Social-Media-Plattformen registrieren. Eine davon ist die in Berlin angesiedelte Community von »Wechange.de«. Hier liegt der Fokus aber deutlich auf Vernetzung von thematisch aufgestellten Gruppen. Immerhin über 17.000 engagierte Personen tummeln sich mittlerweile auf dieser Plattform.

 

Dateien austauschen, Projekte managen: Nextcloud / Owncloud

Auf ein föderiertes Konzept setzen auch die populären „Clouds zum Eigenbau“, Nextcloud und sein Ahn Owncloud. Beide stellen in der fast überall zu betreibendenen Grundausstattung einen praktischen Ersatz für Dateiaustausch-Dienste wie Dropbox oder Google Drive dar und sind mit allen Arten von Betriebssystemen nutzbar. Sie können durch eigene oder zentrale Plugins erweitert werden, so dass auch ein selbst verwalteter Terminfinder (wie Doodle), Videotelefonate (Skype, Hangouts, Facetime) oder Projektmanagement-Werkzeuge zur Verfügung stehen.

 

Der Einstieg in diese neue Welt der eigenen Social-Media-Föderation ist nicht ganz leicht. Eine gewisse Lernkurve muss man in Kauf nehmen. Aber es lohnt sich!

ePartool: Mindestvoraussetzungen aktualisiert (PHP 7.1, MySQL 5.7, Verschlüsselung)

In wenigen Tagen erscheint das ePartool mit Unterstützung von regionalen Beteiligungsrunden (Landkarten-Funktionen) sowie Neuerungen bei den Abstimmungsmöglichkeiten (verschiedene Designs und Ja/Nein-Abstimmungen). Diese weitreichenden Änderungen haben wir zum Anlass genommen, die Mindestvoraussetzungen an das ePartool zu aktualisieren.

Wir empfehlen serverseitig den Umstieg auf PHP 7.1, das im Dezember 2016 erschienen ist. PHP 7.0 wird offiziell vom Hersteller noch bis Dezember 2018 gepflegt, jedoch werden wir das ePartool nur noch auf mindestens PHP 7.1 testen. Auch hinsichtlich der Datenbank empfehlen wir euch eine Aktualisierung. Der MySQL-Server 5.7 erschien bereits im Oktober 2015 – auch hier werden wir ältere Versionen nicht mehr in Tests berücksichtigen.

Zu guter Letzt gibt es nun eine verpflichtende Mindestanforderung an das ePartool: Die Übertragungsverschlüsselung (https) ist Voraussetzung für das Funktionieren der Landkarten-Funktionen. Hierfür wird ein sogenanntes SSL-Zertifikat benötigt, was allerdings bei Installationen der letzten Jahre auch schon längst üblich gewesen sein sollte: Ihr schützt doch sicherlich die Daten und Passwörter eurer Nutzer_innen, nicht?

Bei Fragen zu den Umstellungen helfen wir euch gerne weiter.

Heute ist „Safer Internet Day“

Am zweiten Tag der zweiten Woche des zweiten Monats findet jährlich der „Safer Internet Day“ statt. Die Zielsetzung an diesem „Tag für mehr Internetsicherheit“ ist über Aktionen und Informationen eine langfristige Sensibilisierung und Stärkung der Medienkompetenz für die Gefahren im Internet zu fördern. Mit jährlich wechselnden Schwerpunkten wird eine Bandbreite von Themen abgedeckt: „Safer“ kann das Internet ja in vielerlei Hinsicht sein.

Im Jahr 2018 steht der Aktionstag in Deutschland unter dem Motto »Alles Unter Kontrolle?!«. Es soll darum gehen, wie souverän und selbstbestimmt wir alle eigentlich online unterwegs sind.

Logo des Safer Internet Day 2018 [Quelle: saferinterneday.org]

Logo des Safer Internet Day 2018 [Quelle: saferinterneday.org]

Damit der Safer Internet Day nicht nur ein Tag von Pressemitteilungen bleibt, fördern die Europäische Union und verschiedene Ministerien eine Vielzahl von Online-Angeboten, die von Telefonberatung und Jugendschutzmaßnahmen über eine Internet-Beschwerdestelle bis hin zu Fortbildungsangeboten für Kinder, Jugendliche und Erwachsene reichen. Einen guten Einstieg bzw. Übersicht über die verschiedenen Angebote gibt es unter der Adresse www.saferinternet.de. Einen großen Pool an Angeboten, sortierbar nach Sprachen und Altersspanne der jeweiligen Zielgruppe, gibt es unter www.saferinternetday.org/web/sid/resources/gallery.

Keine Chance für Hetze dank der »Internet-Beschwerdestelle«

Als Lesezeichen setzen kann man sich dabei auch die „Internet-Beschwerdestelle“, die sich um Inhalte in Deutschland und weltweit kümmert. Dabei klärt die Website auch über die Art der Inhalte und über die Verfahrenswege auf, die nach eine Beschwerde getätigt werden. Los geht’s auf: internet-beschwerdestelle.de

ePartool 4.7.0: Anonym Beitragen

Mit der heute veröffentlichten ePartool-Version 4.7.0 haben wir die Fähigkeiten für anonym stattfindende Beteiligungsrunden deutlich verbessert: In den Einstellungen einer Beteiligungsrunde kann nun ausgewählt werden, ob Beiträge anonym oder mit Angabe von persönlichen Daten (Name, E-Mail-Adresse usw.) übermittelt werden sollen.

Bisher konnten anonyme Beteiligungsrunden nur durchgeführt werden, indem die Teilnehmenden eine vorgegebene Standardmailadresse eintrugen. Nun entfällt dieser Schritt.

Die Einstellungen für anonymes Beitragen finden sich unter »Daten der Teilnehmenden«

Anonym übermittelte Beiträgen müssen wie bisher von den Veranstalter_innen der Beteiligungsrunde manuell im Backend freigeschaltet werden, bevor sie öffentlich sichtbar werden. Unverändert ist auch, dass Beiträge nach außen immer anonym angezeigt werden, egal ob persönliche Daten mit übermittelt wurden oder nicht.

Hilfe für nicht abgeschlossene Beiträge

Darüber hinaus sind Beiträge in nicht-anonymen Beteiligungsrunden, die noch nicht von Teilnehmenden bestätigt wurden, schneller für die Redaktion/Admins einsehbar: Sie sind anonym als Beiträge im Backend vorhanden und können ggf. manuell freigeschaltet werden. Unabsichtlich verloren gegangene Beiträge sollten damit der Vergangenheit angehören.

Nutzeroberfläche weiter entschlacken

Internetnutzung hat sich seit den Anfängen des ePartool deutlich verändert: Während anfangs nahezu alle Zugriffe von Desktop-Rechnern erfolgten, sind mittlerweile die mobilen Nutzer_innen mit entsprechend kleineren Bildschirmen in der Mehrheit. Dieser veränderten Situation tragen wir immer wieder durch kleine Anpassungen und Reduktion der Nutzeroberfläche Rechnung. In Version 4.7.0 haben wir den im Seitenkopf aller Unterseiten vorhandenen Textlink zur Startseite entfernt. Mittlerweile klicken Nutzer_innen intuitiv auf das große Seitenlogo, um zur Startseite zurückzukehren. Daher sehen wir in der Reduktion keine Einschränkung für die Barrierefreiheit oder Zugänglichkeit.

Reduktion des Seitenkopfes auf Unterseiten

Installation und Upgrade

Installations- und Updatepakete sind über die Seite Download / Installation erhältlich. Allerdings muss beim Upgrade von der Version 4.5.x und 4.6.0 auch noch manuell ein Datenbankupdate ausgeführt werden:

ALTER TABLE `cnslt` ADD `anonymous_contribution` tinyint(1) NULL;
UPDATE `cnslt` SET `anonymous_contribution` = 0;
ALTER TABLE `cnslt` CHANGE `anonymous_contribution` `anonymous_contribution` tinyint(1) NOT NULL;
ALTER TABLE `cnslt` ADD `anonymous_contribution_finish_info` text NULL;

Tool-Tipp: Mit »DeepL Translator« gut verständlich übersetzen

Zwar ist es schon eine Weile her, als automatische Übersetzungsdienste „Bill Clinton“ noch falsch als „Rechnung Clinton“ ins Deutsche übertrugen, von Perfektion sind die bekannten Übersetzer von Google und Microsoft Bing trotzdem noch weit entfernt.

Das neue Angebot des in Deutschland beheimateten Unternehmens DeepL, das auch das bekannte Onlinewörterbuch Linguee betreibt, setzt nun auf neuronale Netzwerke und bietet einen komfortablen und sehr hochwertigen, automatischen Übersetzungsdienst an: Der kostenlose »DeepL Translator« ist erreichbar unter https://www.deepl.com/translator.

Unsere stichprobenartigen Tests ergaben, dass auch Texte mit Jugendarbeitsbezug gut lesbar in verschiedene Sprachen übertragen wurden. Sicherlich ist die automatische Übersetzung noch deutlich von einer muttersprachlichen Übersetzung zu unterscheiden, allerdings blieben die geprüften Textbeispiele im Gegensatz zu anderen Diensten gut verständlich. Falsch übersetzte Begriffe stellen bei DeepL ebenfalls kein Problem dar: Einfach auf ein falsch übersetztes Wort klicken und schon erhält man vom System mehrere Alternativvorschläge zur Auswahl.

Datenschutz: Wie bei allen kostenlos zur Verfügung stehenden Diensten im Netz muss man sich bewusst sein, dass die übertragenen Daten (also eure Texte) auf einem euch nicht bekannten Server verarbeitet und dort gespeichert werden können.

Bisher sind die Sprachen Deutsch, Englisch, Französisch, Italienisch, Niederländisch, Polnisch und Spanisch verfügbar. Im Zweifelsfall muss die Ausgangssprache nicht ausgewählt werden, sondern wird automatisch erkannt. Als weitere Sprachen angekündigt sind bereits Portugiesisch, Russisch, Japanisch und Mandarin.

ePartool 4.6.0: Sharing is caring!

Schon länger auf unserer Erledigungsliste stand die Überarbeitung der »Share«-Funktion. Dahinter verbarg sich seit mehreren Jahren eine Verbindung zu den Social-Media-Diensten Facebook, Google+ und Twitter. Allerdings war diese Funktion noch nicht sonderlich gut umgesetzt. Nicht nur, dass die Buttons langsam reagierten, sie waren zudem nicht einheitlich gestaltet und nicht zuletzt mit einem Datenschutzproblem behaftet. Bereits der Klick auf den »Share«-Button stellte eine Verbindung zu den Social-Media-Diensten her, auch wenn man gar nicht auf diese alle zugreifen wollte.

Mit der der ePartool-Version 4.6.0 wurde das Design dieser Funktion überarbeitet. Erst wenn ihr wirklich aktiv auf einen Dienst klickt, werdet ihr damit verbunden. Die nächste Version des ePartool wird voraussichtlich Ende der ersten Septemberwoche erscheinen und vor allem eine bessere Unterstützung für anonyme Beteiligungsrunde beinhalten.

Hier die alte und neue Share-Funktion im Vergleich:

Installations- und Updatepakete sind über die Seite Download / Installation erhältlich.

Tool-Tipp: Große Dateien versenden mit send.firefox.com

Kurz mal einen Videoclip vom letzten Projektwochenende verschicken oder Druckvorlagen an eine Agentur schicken? E-Mail eignet sich leider für große Dateien nicht, so dass oft der Weg über Clouddienste wie Dropbox oder Google Drive gewählt wird. Diese Dienste sind allerdings nicht nur datenschutztechnisch umstritten (siehe z.B. hier und hier), auch setzen sie stets auch einen festen Nutzeraccount voraus.
Die gemeinnützige Mozilla-Stiftung, die allgemein vor allem durch Entwicklung des Firefox-Browsers und Thunderbird-Mailprogramms bekannt ist, bietet im Rahmen ihrer „Experiments“ einen neuen Dienst im Testbetrieb an: Dateien bis 1 GB Größe können ohne vorherige Anmeldung direkt übers Netz verschickt werden.

Dazu begibt man sich auf send.firefox.com, schiebt per Drag & Drop die zu versendende Datei in den Browser und und erhält einen bis zu 24 Stunden lang gültigen Link, der nur noch an den/die Empfänger_in weitergeleitet werden muss. Danach werden die Dateien wieder automatisch gelöscht.

Screenshot send.firefox.com

Die übersichtliche Seite send.firefox.com ist auch auf Deutsch verfügbar

Datenschutz: Die Dateien werden auf Servern der Mozilla-Stiftung bis zum Abruf durch den/die Empfänger_in zwischengespeichert. Theoretisch könnte die Stiftung oder Andere, die euren Link unbefugt erhalten, auf die Dateien zugreifen. Um die zu versendende Datei zusätzlich abzusichern, kann man sie vor dem Upload z.B. über ein populäres, sicheres Packprogramm wie 7zip in ein passwortgeschütztes ZIP oder 7z-Archiv packen. Das Vorgehen über ein ZIP-Paket bietet sich auch an, wenn ihr auf einen Schwung viele Dateien (z.B. Fotos) versenden wollt.

Keine Datenschutzbedenken mehr: Selbst einen Send-Server betreiben

Die zugrundeliegende Software entwickelt Mozilla als Open-Source-Tool. Die Entwicklung erfolgt offen zugänglich über Github (https://github.com/mozilla/send). Dort findet sich auch eine Erklärung, wie man selbst einen Send-Server aufbauen und für eigene Bedarfe in einem Projekt oder der eigenen Organisation betreiben kann.