Was sind eigentlich Cookies und wofür werden diese Dinger gebraucht?

Immer mehr Websites blenden beim Besuch einen Cookie-Hinweis ein. Gelegentlich müssen bestimmte Cookies auch als Voraussetzung für den Seitenbesuch „akzeptiert“ werden. Doch was hat es mit diesen Cookies eigentlich auf sich?

Beispiel für einen typischen Cookie-Hinweis
Beispiel für einen typischen Cookie-Hinweis

Wie ein Seitenaufruf funktioniert

Um den Nutzen von Cookies zu verstehen, schauen wir uns zuerst einmal an, was beim Ansteuern einer Website geschieht:

Sobald man im Browser eine Internetadresse aufruft, setzt man eine ganze Fülle von Aktionen in Gang. Als Beispiel dient uns die Adresse »https://www.dbjr.de/themen/digital/«. Zuerst einmal fragt der Browser bei einem Namensserver („DNS“) nach, unter welcher IP-Adresse www.dbjr.de zu erreichen ist. IP-Adressen sind so etwas wie Telefonnummern. Sowohl Besucher*in wie auch der betreffende Server benötigen jeweils eine IP-Adresse, um miteinander zu kommunizieren. Als Endanwender*in hat man diese IP-Adresse meist automatisch vom Provider zugewiesen bekommen, sobald man sich mit dem Internet verbindet. Daher kann sich die eigene IP-Adresse auch von einem zum anderen Tag ändern.

Sobald der Browser nun die IP-Adresse von www.dbjr.de kennt (konkret lautet diese 78.46.167.129), klopft der Browser dort an und bittet um Zusendung der Ressource /themen/digital/. Als Antwort bekommt er eine HTML-Seite. Diese bildet das Grundgerüst der angezeigten Seite. Bei einer reinen Textseite wäre damit die Kommunikation zu Ende und Nutzer*in und Server gehen wieder virtuell getrennte Wege.

Allerdings besteht fast keine Internetseite nur aus Text. Im HTML-Dokument können Bilder, Videos, Schriftarten und Vieles mehr eingebunden sein. Diese muss der Browser dann selbsttätig von den Quellen herunterladen, die im HTML-Dokument genannt sind. Oft finden sich diese Daten auf dem selben Server wie das HTML-Dokument, aber sie können genauso ganz woanders im Internet hinterlegt sein: Eingebundene Youtube-Videos oder OpenStreetMap-Karten sind so ein Beispiel.

Wiedererkennen der Nutzer*in: Cookies kommen ins Spiel

Häufig möchte man auf Websites jedoch auf Daten zugreifen, die nicht öffentlich sichtbar sind. Ein Login-System hilft: Nutzerkennung und Passwort eingegeben, schon stellt der Server die benötigten Informationen zur Verfügung. Mit der bis hier beschriebenen Funktionsweise würde man allerdings für jeden Klick erneut diese Zugangsdaten eingeben müssen – das wäre eine wirklich lästige und langwierige Angelegenheit.

Um den Ablauf komfortabler zu gestalten, kommen nun Cookies ins Spiel: Mit dem Einloggen bekommt man für die aktuelle Sitzung eine eindeutige Identifikationskennung (eine Kette von Zahlen und Buchstaben) zugewiesen. Diese schickt der Server bei der Seitenauslieferung als Cookie an den Browser. Der Browser schickt diese wiederum bei jedem neuen Klick im Hintergrund als Identifikation mit. Ein Cookie ist also nichts Anderes als ein kurzes Textdokument.

Cookies werden auch für ein Warenkorbsystem eingesetzt: Unter einem zufälligen Identifikator, der noch gar nicht mit einem echten Namen verbunden sein muss, speichert der Server für eine Weile (z.B. 15 Minuten) alle ausgewählten Produkte. Sobald der Browser den Warenkorb anzeigen möchte, schickt er die Identifikationskennung an den Server, der nun den richtigen Datensatz zurückgibt.

Um die Sicherheit dieser Buchstaben-Zeichenketten zu erhöhen, kann der Serverbetreiber zusätzliche Aspekte berücksichtigen, z.B. die IP-Adresse und das Cookie in einem Datensatz verknüpfen oder zufällig wirkende Abrufe einfach abblocken. Auf diese besonderen Sicherheitsmaßnahmen gehen wir hier im Artikel aber nicht weiter ein.

Weitere typische Cookie-Einsatzzwecke sind das Hinterlegen von bevorzugter Benutzersprache oder besonderen Einstellungen wie größerer Schriftart/kontrastreicherer Darstellung.

Nachteile des Wiedererkennens: Analyse des Surfverhaltens

Das Wiedererkennen der Besucher*in kann also viele Vorteile haben. Cookies können aber auch dazu genutzt werden, um die Aktivitäten von Nutzer*innen zu verfolgen: Die Häufigkeit der Klicks, die Verweildauer und andere Aspekte des Surfverhaltens können mittels Cookies getrackt werden.

Zusätzlich kommt ins Spiel, dass viele Websites Datenquellen von außerhalb des eigenen Servers einbinden, vor allem Werbenetzwerke, Social-Media-Buttons oder Multimedia-Inhalte. Jede dieser externen Quellen könnte also bei diesem Abruf von Inhalten selbst noch ein oder mehrere Cookies setzen. Das ist nicht immer schlecht: Der Landkartendienst könnte z.B. ermöglichen, dass man ein soeben recherchiertes Restaurant auf die ganz persönliche Favoriten-Liste setzt und später wieder findet.

Das Problem: Eine Besucher*in einer Seite weiß aber wahrscheinlich vorher gar nicht, dass beim nächsten Klick auch Youtube/Google, Facebook oder ein anderes Werbenetzwerk vom Aufruf der Seite erfahren – der Browser lädt die eingebetteten Quellen aus dem HTML-Dokument ja genauso nach wie alles Andere.

Für viele Nutzer*innen ist es überraschend: Die offensichtlichen Einbettungen von Videos oder Landkarten kommen in der Realität deutlich seltener vor als andere Querverbindungen. Viel relevanter ist, dass Internetsites häufig Schriftarten von einem Schriftarten-Archiv (z.B. Google Fonts) oder Funktionsbibliotheken wie jQuery einbinden. Auch winzige, 1×1-Punkte große Bilder werden häufig eingebunden, um Zählcookies zur Reichweitenmessung in der Medienbranche zu ermöglichen. Diese im Internet sehr häufig genutzten Dienste erfahren so sehr viel mehr über das Surfverhalten von Nutzer*innen, als es den Betroffenen bewusst ist.

Und so geschieht es z.B., dass man auf einer Seite nach einem Produkt recherchiert, auf einer ganz anderen Site dann plötzlich Werbung rund um dieses Produkt angezeigt bekommt.

Exkurs: Warum Cookies, wenn es doch auch IP-Adressen gibt?

Man könnte sich nun fragen, warum Cookies eigentlich notwendig sind, wo doch jeder Anschluss auch eine eindeutige IP-Adresse hat. Tatsächlich werden IP-Adressen von Konsument*innen meist mehrfach genutzt: Der heimische oder Büro-Router/Firewall vermittelt mit einer einzigen IP-Adresse allen Datenverkehr nach draußen und verwendet wiederum im internen Netzwerk nicht-öffentliche Adressen. So können schnell mal hundert Geräte hinter einer einzigen IP-Adresse „versteckt“ sein.

Wie weiter oben schon beschrieben, ändern sich IP-Adressen aber teilweise auch über Nacht. Zugangsprovider reorganisieren ihre Netze oder kappen aus anderen Gründen nachts kurz den Zugang. Die meisten Zugriffe auf Internetdienste erfolgen heutzutage von Mobilgeräten aus. Diese wandeln häufig zwischen mehreren Netzen: vom heimischen WLAN zu LTE unterwegs und wieder zum WLAN im Zug, Café oder Seminarraum. Jedes Mal ist das Gerät mit einer anderen IP-Adresse nach außen sichtbar. Ein auf dem Gerät gespeichertes Cookie aber bleibt eindeutig.

Was man gegen unerwünschte Cookies tun kann

Zuerst die schlechte Nachricht: Traditionelle Cookies sind leider nicht die einzigen Möglichkeiten, Nutzer*innen wieder zu erkennen bzw. ihre Aktivitäten nachzuzeichnen. Heutige Browser bieten zahlreiche Offline-Funktionen wie das Zwischenspeichern von lokalen Datenbanken (“Local Storage“), die wir im Folgenden aber mit berücksichtigen werden.

Einstellungsfenster „Chronik löschen“ bei Mozilla Firefox
Im Firefox lässt sich die Chronik komfortabel löschen – Cookies und Local Storage inklusive.

Wichtig zu wissen ist, dass ein Cookie im Browser nicht von jedem beliebigen Server ausgelesen werden kann. Ein Cookie ist immer nur für den Dienst (Domain) sichtbar, der es gesetzt hat. Darum kann man (theoretisch) gut zwischen erwünschten und unerwünschten Cookies unterscheiden. Im Alltag wäre dies allerdings ein großer Aufwand, die Cookies per Hand auszusortieren. Es gibt allerdings kleine Helferprogramme, die bestimmte Arten von Tracking selbst erkennen und abwehren können.

Als ersten Schritt sollte man im Browser überprüfen, ob sogenannte „Drittanbieter-Cookies“ akzeptiert werden sollen. Hier bietet sich an diese nicht generell abzulehnen, sondern sie auf „Nur besuchte Drittanbieter“ zu beschränken. Sonst könnte es sein, dass auch gewünschte Funktionalität oft auf der Strecke bleibt.

Bildschirmfoto der Datenschutzeinstellungen von Mozilla Firefox
Datenschutz-Einstellungen am Beispiel von Mozilla Firefox. Die ganz unten befindliche „Do Not Track“-Einstellung wird allerdings zunehmend unrelevanter, da Betreiber von Websites diese inzwischen sogar als Unterscheidungsindiz zwischen Besucher*innen ihrer Website verwenden – also als Tracking-Merkmal!

Das Surfen im „privaten Modus“ oder die Einstellung, dass aller Verlauf und Daten beim Schließen des Browsers automatisch gelöscht werden, stellen eine sehr grundsätzliche Methode dar, um Cookies immer wieder los zu werden. Damit gehen dann aber auch möglicherweise gewünschten Cookies verloren – Einstellungen für häufig genutzte Websites, Cloud-Dienste o.ä.. Für Mobilgeräte gibt es dafür den Firefox Klar/Firefox Focus, der automatisch alle Surfdaten löscht, sobald er geschlossen wird. Für andere Browser gibt es Erweiterungen, die Cookies beim Verlassen einer Seite automatisch entfernen (z.B. Standard-Firefox: Cookie Auto-Delete).

Um schon während einer Surf-Session geschützt zu sein, erschweren verschiedene Add-ons ein Tracking, indem bestimmte Objekte gar nicht erst geladen werden. Inhalteblocker wie uBlock Origin (für Firefox, Chrome/Chromium, Opera) verhindern mit ständig aktualisierten Blockinglisten das Nachladen von Werbebannern und damit auch das Recht für die Werbenetzwerke Cookies zu setzen. Im Bedarfsfall kann dieser AdBlocker für einzelne Websites dann aber auch temporär oder dauerhaft deaktiviert werden.

Eine weitere Möglichkeit bieten Add-ons an, die sich besonders auf die automatische Erkennung von Tracking-Mechanismen spezialisiert haben: Besonders zu erwähnen wäre hier z.B. der Privacy Badger der EFF (Electronic Fronier Foundation), den es für Firefox, Chrome und Android gibt (https://www.eff.org/privacybadger). Ein ähnliches Tool ist das ebenfalls von Mozilla empfohlene Privacy Possum (erhältlich für Mozilla Firefox und Google Chrome).

Einen anderen Ansatz verfolgt die Erweiterung „Facebook Container“ in Firefox. Mit dieser Erweiterung werden die zum Facebook-Konzern gehörenden Dienste Instagram, Facebook und Whatsapp vom Rest der aufgerufenen Internetseiten isoliert: Während die Nutzung von Facebook ohne Probleme möglich ist, sind die Facebook-Buttons auf externen Seiten erst einmal deaktiviert – Facebook erfährt also nicht, dass man auf diesen Seiten unterwegs war.

Die hier vorgeschlagenen Erweiterungen lassen sich ohne Probleme auch parallel betreiben. Möglicherweise verändern sich aber die Erkennungsraten von Privacy Possum und Privacy Badger, je nachdem in welcher Reihenfolge sie vom Browser eingebunden werden: Was schon erkannt oder geblockt wurde, kann logischerweise nicht noch einmal erkannt werden.

Und als Betreiber*in?

Ohne es zu wissen, befördern viele Betreiber von Internetseiten das Verfolgen von Nutzer*innen durch die großen „Datenkraken“: Als Betreiber kann man die Privatsphäre der Besucher*innen schützen, indem man nicht unüberlegt externe Inhalte ohne Vorwarnung einbettet. Ein Ansatz ist z.B. dass erst der Klick auf ein Vorschaubild die Verbindung zu Youtube oder Vimeo, Instagram oder Twitter öffnet. Schriftarten können auf dem eigenen Server hinterlegt werden und müssen nicht unbedingt von Google oder anderen Archiven geladen werden; Selbiges gilt für Programmbibliotheken.

TL;DR / Zusammenfassung

Cookies sind für Login-Systeme oder Warenkorb-Funktionen wichtige technische Hilfsmittel, andererseits können sie auch zur Nutzerverfolgung eingesetzt werden. Gegen ein solches Tracking kann man sich durch Browser-Erweiterungen schützen. Website-Betreiber*innen sollten nicht unüberlegt Fremdquellen einbinden.

XMPP-Sprint: Wir machen uns unabhängig von WhatsApp & Co! (29.-31. März in Berlin)

XMPP-Logo

Die SMS hat ausgedient. Abgelöst wurde sie von WhatsApp, Threema, Telegram oder dem Facebook Messenger. Diese Dienste verbindet jedoch dasselbe Problem: Man ist jeweils komplett von einem Anbieter abhängig, vertraut ihm alle Chats und manchmal sogar das Adressbuch an. Dass es auch anders geht, zeigt der offene Jabber/XMPP-Standard: Ähnlich wie bei E-Mail ist man frei in der Wahl des Servers und der verwendeten Chat-App.
Vom 29.-31. März treffen sich Entwickler*innen aus mehreren Ländern Europas beim DBJR, um gemeinsam an Konzepten zu diskutieren, an konkreten Anwendungen weiter zu arbeiten und XMPP nutzerfreundlicher zu machen.
Der »XMPP-Sprint« richtet sich an alle, die tiefer in XMPP einsteigen möchten und im besten Fall auch Programmiererfahrung mitbringen. Für Neuinteressierte bieten wir am Samstagvormittag einen Workshop zum Einstieg in XMPP und dessen Nutzung. Mitbringen: Smartphone, Tablet oder Notebook.

Für weitere Informationen und Anmeldung wendet euch an: digital@dbjr.de

Barcamptools 2.6: Mehr Kontrolle über eure Daten!

Im Einführungsjahr der DSGVO haben wir unsere Tools noch weiter darauf hin überprüft, euch die volle Kontrolle über eure Daten zu gewährleisten. Ein paar sinnvolle Funktionen hierzu haben wir nun in den »Camper«, die Software hinter barcamptools.eu eingebaut.

Konto löschen

Wenn ihr meint, dass ihr euer Barcamptools-Konto nicht mehr benötigt, so könnt ihr dies jetzt auch selbst löschen. Dazu klickt ihr oben in der Menüleiste auf euren Namen und könnt dann im Profil-Editor die Funktion zum Löschen auswählen.

Achtung: Ihr könnt dies nur tun, wenn ihr bei keinem aktiven Barcamp mehr registriert seid (d.h. das Enddatum aller Barcamps, bei denen ihr registriert wart, muss in der Vergangenheit liegen).

Wenn euer Konto dann gelöscht ist, hat dies folgende Auswirkungen:

  • Die Profildaten werden gelöscht.
  • Passwort und E-Mail werden gelöscht. Ihr könnt euch dann logischerweise nicht mehr einloggen.
  • Die Sessionvorschläge selbst bleiben erhalten, jedoch wird darunter kein Name mehr angezeigt.
  • Kommentare zu Sessionvorschlägen bleiben erhalten, als Autor*in wird aber „Nutzer*in gelöscht“ ausgegeben.
  • Auf öffentlichen Teilnehmendenlisten von alten Barcamps werdet ihr nicht mehr erscheinen.

Opt-In für Teilnehmendenlisten

Standardmäßig wird nun niemand mehr ohne Einverständnis auf öffentlichen Teilnehmendenlisten angezeigt. Ein Einverständnis hierzu wird nun bei der Registrierung zu einem Barcamp abgefragt:

(Ihr seht dieses Feld auch im Formular-Editor, könnt es aber nicht löschen).

Als Benutzer*in könnt ihr dieses Einverständnis pro Barcamp bearbeiten, indem ihr auf die Veranstaltungen klickt und dann unten in der rechten Seitenleiste auf „Meine Daten“.

Damit habt ihr also jetzt die volle Kontrolle darüber, ob ihr auf der Teilnehmerliste erscheinen wollt.

Achtung: Dies bedeutet allerdings auch, dass alle bestehenden TN-Listen nun leer sind, da wir dieses Einverständnis bislang nicht eingeholt haben.

Optimierung der Teilnehmerliste

Im Zuge des Opt-Ins für die Teilnehmenden haben wir auch die Teilnehmerliste etwas optimiert. So gibt es jetzt nur noch eine TN-Liste für das gesamte Barcamp und nicht separat für jede Veranstaltung.

Weiterhin haben wir die Profilbilder dort entfernt, da diese eh kaum genutzt wurden. Stattdessen wird nun der Name und die Organisation angezeigt, was ggf. sowieso hilfreicher ist.

Zudem gibt es nun auch eine Teilnehmerliste für Barcamps im Ticket-Modus.

Änderungen bei den Sessions

Im Bereich der Sessions wurden ein paar kleinere Veränderungen durchgeführt:

  • Die Sessionvorschläge können nun auch nach Titel sortiert werden.
  • Sessionvorschläge werden nicht mehr per Markdown formatiert. Dies wurde einerseits nur selten genutzt und andererseits gab es damit Probleme, den Gender-*-Stern zu nutzen.
  • Im Sessioneditor gibt es bei Zeitslots jetzt auch noch :15 und :45 als Vorgabe. Ihr könnt aber generell jede Zahl dort reinschreiben.

Ihr wollt loslegen mit den Barcamptools? Zur aktuellen Version geht es hier entlang.

Nextcloud: Was passiert mit Dateien, wenn ein Nutzeraccount gelöscht wird?

Nextcloud ist eine freie Software zum Teilen und gemeinsamen Bearbeiten von Dateien, Terminen, Aufgaben, zum Chatten, Videokonferieren, Zusammenarbeiten und Vielem mehr. Nextcloud skaliert dabei von kleinen Teams bis vielen tausenden Nutzer*innen – und bereits auf recht einfachen Webhosting-Paketen können kleine Organisationen und Teams schon sehr gut zusammenarbeiten. Der eigene Nextcloud-Server kann dabei hervorragend mit weiteren Nextclouds, Ownclouds und anderen interagieren: Die Vernetzung über den eigenen „Serverrand“ ist also schon mitgedacht.

Meine Daten gehören mir! Der empowernde Ansatz von Nextcloud

Nextcloud und ihr Quasi-Vorfahre ownCloud sind aus dem Gedanken entstanden, dass Nutzer*innen die Herrschaft über ihre Daten behalten sollten. Bei großen kommerziellen Anbietern werden Daten in irgendeinem Datenzentrum gespeichert (und man hat keinen Einfluss darauf wo genau das ist). Bei Nextcloud ist das anders: Man entscheidet selbst, ob man »die Cloud« bei sich zu Hause installiert oder irgendwo anders.

Dateien in Nextcloud können auf vielfältige Art freigegeben und geteilt werden: persönlich, öffentlich, Cloud-übergreifend; mit und ohne Schreibberechtigung, Ablaufdatum, Schlagwörtern und Erklärnotizen. Im Bildschirmausschnitt ein paar der Möglichkeiten.

Teams arbeiten zusammen, aber nicht für immer

Teams sind nicht beständig – mal kommen neue Personen hinzu, mal steigen Akteure wieder aus. Was bedeutet das für die Zusammenarbeit auf Basis der Nextcloud? Wenn neue Personen hinzukommen, dann ist die Sache meist recht einfach: Man holt sie neu in Gruppen (systemzentral eingerichtete Gruppen) oder Kreise (von Personen gestartete Gruppen) hinzu oder teilt ganz individuell die relevanten Dateien. Problematisch ist jedoch, wenn Personen aus einem Team aussteigen. Hier herrscht unserer Erfahrung nach viel Unsicherheit über die Daten, die in der gemeinsamen Zeit entstanden sind.

Was passiert mit Dateien, wenn ein Nutzeraccount entfernt wird?

Bildschirmdialog Nutzer entfernen

Nutzeraccounts in Nextcloud können entweder deaktiviert oder ganz gelöscht werden.

Wir haben nachgeforscht und stellen euch hier die verschiedenen Varianten vor. Grundsätzlich ist es so, dass Nutzeraccounts deaktiviert oder ganz gelöscht werden können. „Deaktiviert“ bedeutet, dass sich diese Person nicht mehr einloggen kann, die erstellten Dateien aber noch vorhanden sind – also auch für alle, mit denen etwas geteilt oder gemeinsam erstellt wurde.

Ob Daten für Teampartner*innen noch vorhanden sind, wenn ein Account komplett gelöscht wird, ist abhängig vom Speicherort.

1. Persönlich erstellte Dateien der Person: werden mit Nutzeraccount gelöscht.

2. Persönlich erstellte Dateien, die mit anderen Personen geteilt wurden: sind mit Löschung des Nutzeraccounts ebenfalls für die anderen Personen nicht mehr vorhanden.

3. Persönlich erstellte Dateien, mit anderen geteilt und von diesen bereits bearbeitet: Hier überwiegt ebenfalls, wer die Datei angelegt hat – und somit werden diese Dateien inkl. aller Bearbeitungen beim Löschen des Ursprungs-Nutzeraccounts ebenfalls gelöscht.

4. Persönlich erstellte Dateien, in einem Ordner gespeichert, der von jemandem Anderen erstellt und mit mir geteilt wurde: Hier überwiegt der Ursprung des Ordners – wenn von jemandem Anderen erstellt (und mit dem zu löschenden Account geteilt), dann bleiben die Dateien bestehen.

5. Persönlich erstellte Dateien, in einem Gruppenordner gespeichert: Auch ein Gruppenordner wurde von jemand Anderes erstellt (nämlich dem System) und daher bleiben hier erstellte Dateien unabhängig von den Personen, die die Dateien erstellt oder bearbeitet haben, bestehen.

Was also tun, wenn euch ein*e Kolleg*in verlässt?

Falls sich bei euch Fall 2 oder 3 als Problem andeutet, könnt ihr dem Verlust von Daten vorbeugen: Jemand, mit dem/der die Dateien geteilt wurden, kann sie herunterladen und dann neu (als eigene Dateien oder in einem Gruppenordner) wieder hochladen. Dieser Weg erscheint möglicherweise nicht als bequem, aber ist als kleiner Handel für den höheren Schutz der eigenen Daten durchaus zu verschmerzen.

– – –

Wir haben diese Zusammenstellung mit der aktuellsten Nextcloud-Version 14.0.3 getestet. Wen ihr andere Erfahrungen in Nextcloud-Erweiterungen (die „Apps“) gemacht habt, kommentiert und ergänzt gerne!

DSGVO-Artikelserie (4): Keine Angst vorm Datenschutz! (Präsentation)

Unsere bisher dreiteilige Artikelserie hat viel Anklang gefunden. Wir haben uns mit euren Anmerkungen und Fragen beschäftigt und die Artikelserie an mehreren Stellen ergänzt. Vielen Dank für euer Feedback!
Dem Bedarf an einer übersichtlichen Präsentation möchten wir zum Abschluss der Serie ebenfalls nachkommen. Mit dem Titel »Keine Angst vorm Datenschutz« ermöglicht die Präsentation einen vertieften Einstieg in die DSGVO und verweist auch auf damit zusammenhängende Regelungen in anderen Gesetzen. (Hinweis: Es handelt sich nicht um eine rechtliche Beratung.)

Startseite der PräsentationDie Präsentation steht als Vollbild-PDF zur Verfügung und ist wie alle Inhalte, unter einer CC-BY-Lizenz frei weiterverwendbar.

Herunterladen: 18-06-Keine-Angst-vorm-Datenschutz.pdf

DSGVO-Artikelserie (3): Die Datenschutzgrundverordnung – welche Rechte habe ich dadurch?

[Aktualisiert und ergänzt am 19.06. und 25.06.]

In den ersten beiden Teilen der Artikelreihe haben wir uns zuerst einen Überblick über die DSGVO verschafft und gingen dann im Einzelnen darauf ein, welche konkreten Maßnahmen im Feld der Jugendarbeit zu beachten sind. In Teil 3 möchten wir nun auf einen sehr wichtigen und spannenden Bereich der DSGVO eingehen: Die Rechte der/des Einzelnen zu Auskunft, Berichtigung und Löschung von personenbezogenen Daten. Wir geben konkrete Tipps, wie man diese Rechte selbst wahrnehmen und entsprechende Informationen einfordern kann.

Hinweis: Der DBJR beschäftigt keine_n Jurist_in. Alle Informationen sind nach besten Wissen zusammengetragen, können aber keine Fachberatung ersetzen.

Bewusste und unbewusste Einwilligung zur Datenverarbeitung

Rechtzeitig vor der vollen Geltung der DSGVO haben zahlreiche Anbieter von IT-Diensten nicht nur ihre Datenschutzerklärungen an die neuen Regelungen angepasst, sondern sich auch neue Einwilligungen von Nutzer_innen zur Verarbeitung ihrer personenbezogenen Daten eingeholt. Facebook hat dabei beispielsweise die Gelegenheit genutzt, von Nutzer_innen auch noch die Zustimmung zur automatischen Gesichtserkennung einzuholen. Ob alle Betroffenen auch bemerkt haben, welche Einwilligungen sie da abgegeben haben, ist nicht so sicher. Der neu konstituierte EU-Datenschutzausschuss möchte sich diesen Problemen widmen: Als erstes befasst man sich mit den veränderten Nutzungsbedingungen beim Messenger Whatsapp, das künftig mit seinem Mutterkonzern Facebook Nutzerdaten und Adressbucheinträge austauschen möchte.

Trotz des Transparenzgedankens der DSGVO wird es auch weiterhin genügend Situationen geben, zu denen man Einwilligungen zu Datenverarbeitungen gibt, deren ganze Dimension in diesem Moment noch nicht ganz klar ist: Kaufvorgänge mit Kartenzahlung, Ratenzahlungen, Mobilfunkverträge oder damit verbundene Hintergrundabfragen (und Eintragungen) bei Auskunfteien wie der Schufa sind hierfür gute Beispiele. Um den Überblick zu behalten oder erst nachträglich Einblick zu bekommen, wer welche Daten von mir verarbeitet, beinhaltet die DSGVO nützliche Regelungen:

DSGVO for you: Auskunfts-, Berichtigungs- und Löschrechte

Das Kapitel 3 der DSGVOist überschrieben mit »Rechte der betroffenen Person«. Es finden sich immerhin 12 Artikel in diesem Kapitel. Aber auch andere Abschnitte der DSGVO beinhalten Rechte für Betroffene – nämlich immer dann, wenn die Datenverarbeitenden mit den Betroffenen in Kontakt treten müssen.
So beginnt auch das Kapitel 3 damit, erst einmal die Verantwortlichen zu ermahnen ihre Kommunikation in einer leicht zugänglichen Form, in leicht verständlicher Sprache – und präzise – zu formulieren (Art. 12). Für die Datenverarbeitenden besteht die Pflicht die Informationen niederzuschreiben, außer die Person, von der die Daten verarbeitet werden, bevorzugt eine mündliche Auskunft.

Auskunfts- und Informationsrechte

Diese Informationen wären isoliert aber nicht ausreichend, um einzuschätzen, wie vertrauenswürdig die jeweilige Datenverarbeitung ist. Daher sind die Auskunftspflichten deutlich weiter gefasst: Was sind Verarbeitungszwecke meiner Daten? Wer bekommt meine Daten? Woher stammen die Daten, wenn sie nicht direkt bei mir erhoben wurden (also durch Weiterleitungen von anderer Stelle). Diese Auskunftsrechte bestanden auch schon nach dem alten Bundesdatenschutzgesetz. Neu hingegen ist, dass man auch über die geplante Speicherdauer informiert werden muss, oder falls dies nicht möglich ist, dann zumindest über die Kriterien für die weitere Speicherung Auskunft bekommt. Sehr aufschlussreich könnte die neue Regelung sein, dass man über das Bestehen von automatisierter Entscheidungsfindung oder Profiling aufgeklärt werden muss. Dazu hilft, die konkret genutzten Kategorien personenbezogener Daten mitgeteilt zu bekommen (ebenfalls eine neue Möglichkeit durch die DSGVO).
Im Zuge einer Datenverarbeitungsauskunft müssen Betroffene auch darauf hingewiesen werden, dass sie ein Beschwerderecht bei der zuständigen Aufsichtsbehörde haben (Art. 15 (1) f).
Nicht erst auf Nachfrage, sondern proaktiv sind Datenverarbeitende verpflichtet, die Betroffenen zu informieren, wenn durch eine Datenpanne die Verletzung des Schutzes personenbezogener Daten mit hohem Risiko (Art. 34) eingetreten ist. Dies soll zumindest die Möglichkeit eröffnen, sich als betroffene Person auf die Konsequenzen einzustellen bzw. Vorkehrungen zu treffen.

Vom Löschen und vom Vergessenwerden

Daten, die nicht mehr benötigt werden, sollten generell gelöscht werden. Diese auf den ersten Blick sinnvolle Herangehensweise erweist sich beim genaueren Hinsehen als schwierige Frage; nicht immer ist eindeutig klar, ob Daten nicht mehr entsprechend ihres Verwendungszwecks benötigt werden. Es kann gegenläufige Interessen geben, z.B. wenn eine Veranstaltung durchgeführt und abgerechnet ist, aber der Fördergeber oder das Finanzamt das Aufheben/Speichern von Unterlagen noch über Jahre hinweg erfordert. Hier tritt die Grenze des Löschrechts ein, denn rechtliche Verpflichtungen überwiegen den Wunsch nach Datenreduzierung.
Was aber immer gehen sollte: Die Berichtigung falsch verarbeiteter Daten – die nach Art. 16 auch unverzüglich umgesetzt werden muss.Unter das Recht zur Berichtigung fällt übrigens auch die Vervollständigung von fehlenden Daten, sofern man das erreichen möchte.
Die DSGVO unterscheidet recht aufgegliedert in Anlässe, weswegen eine Datenverarbeitung/-speicherung endet: Angefangen von Berichtigungen über Widerruf, Widerspruch, Einschränkungen, Löschungen bis hin zum Recht auf Vergessenwerden. Wenn Daten offensichtlich ungerechtfertigt oder falsch verarbeitet wurden und die verarbeitende Stelle Zeit hätte dies durch Überprüfung festzustellen, greift der Widerspruch. Aber auch eine Einschränkung zu bestimmten Aspekten der Datenverarbeitung kann je nach Fall gefordert werden.
Auf das Recht auf Widerspruch müssen die Betroffenen bereits zum Zeitpunkt der »ersten Kommunikation« hingewiesen werden (Art 21 (4)).

Anfragen stellen: So geht‘s

Egal man eine Auskunft oder eine Löschung erwirken möchte – oder beides –, die Anfrage sollte jeden Fall schriftlich erfolgen. Mündliche Anfragen geraten sehr leicht in absichtliche oder unabsichtliche Vergessenheit. Eine Anfrage auf Papier bleibt sichtbar und daher in Erinnerung.

Am Anfang der Anfrage sollte als Betreff oder Überschrift klar der Namen, die Nutzerkennung oder die Kundennummer benannt sein, mit der man bei der angefragten Stelle bekannt ist. »Michael Müller« gibt es vermutlich mehrere, daher ist eine Adresse oder damit verbundene Telefonnummer im Anschreiben sicherlich nützlich. Das gilt natürlich nur für Daten, die die angefragte Stelle schon zuvor kennt – Neues sollte man dabei nicht preisgeben!

Die ersten Zeilen des Anschreibens könnten ungefähr so aussehen:

Datenschutzrechtliche Selbstauskunft nach DSGVO: Name/Nutzerkennung

Sehr geehrte Damen und Herren,

nach Art. 15 DSGVO habe ich das Recht, von Ihnen eine Bestätigung darüber zu verlangen, ob Sie personenbezogene Daten über meine Person gespeichert haben. Sofern dies der Fall ist, so habe ich ein Recht auf Auskunft über diese Daten.

 

Auskunft bekommen: Welche Daten von mir sind gespeichert und was geschieht damit?

Sicherlich ist der spannendste Teil einer Anfrage, herauszufinden was die Stelle an Daten über mich eigentlich vorhält. Das können selbst von mir eingetragene Daten sein oder auch solche, die über andere Wege gesammelt wurden. Letzteres geschieht öfters als man vielleicht vermuten könnte. Freunde könnten z.B. beim Installieren ihres Messengers das Smartphone-Adressbuch mit einem Anbieter abgeglichen haben, so dass ihre Bekannten schneller gefunden werden. Im Ergebnis kennt ein solcher Anbieter dann mitunter auch Namen und Kontaktdaten von Personen, die den Dienst selbst nicht nutzt. (Nicht alle Messenger gleichen das Adressbuch im Klartext ab, manche lösen das geschützter über datenschutzfreundliche Hashes, einer Art anonymerer Quersumme.)

Einige Stellen versuchen über »Profiling« mehr über die betroffenen Personen herauszufinden. Dazu tragen sie z.B. auch Daten über die durchschnittlichen Einkommensverhältnisse in der Nachbarschaft zusammen, versuchen anhand des Namens herauszufinden woher man stammt oder sammeln Orte, an denen man oft »eingecheckt« hat: Sei es in einer Bar, einem Kino, Fitnessstudio oder Museum. Damit versuchen Anbieter die Personen künftig besser mit »treffender« Werbung zu erreichen oder überlegen auf dieser Basis, welche Services (z.B. auch Kaufangebote oder Kredite) sie anbieten möchten. Nicht erlaubt ist Profiling übrigens für Unter-16-jährige.

Eine Auskunft über die zu mir gespeicherten Daten kann z.B. so erfragt werden:

Auskunft über meine bei Ihnen gespeicherten Daten

Ich darf Sie bitten, mir gemäß Art. 15 Abs. 1 DSGVO folgende Informationen mitzuteilen:

a) Welche Daten sind über meine Person konkret bei Ihnen gespeichert oder wurden von Ihnen verarbeitet (z.B. Name, Vorname, Anschrift, Geburtsdatum, Beruf, medizinische Befunde)?

b) Was sind die Verarbeitungszwecke meiner Daten?

c) Welche Kategorien personenbezogener Daten, die bezüglich meiner Person verarbeitet werden, bestehen bei Ihnen?

d) Welche Empfänger*innen oder Kategorien von Empfänger*innen haben meine Daten durch Sie erhalten oder werden sie künftig noch erhalten?

e) Was ist die geplante Dauer für die Speicherung meiner Daten? Falls diese Auskunft aufgrund der Unbestimmtheit nicht möglich erscheint: Was sind die Kriterien für die Festlegung dieser Dauer?

f) Welche Wege bestehen, meine Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung meiner Daten, ebenso wie über mein Widerspruchsrecht gegen diese Verarbeitung nach Art. 21 DSGVO und mein Beschwerderecht bei der zuständigen Aufsichtsbehörde, wahrzunehmen?

g) Sofern die Daten nicht bei mir erhoben werden, fordere ich Sie auf, mir alle verfügbaren Informationen über die Herkunft der Daten mitzuteilen.

h) Besteht eine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO? In diesem Fall teilen Sie mir bitte aussagekräftige Informationen über die involvierte Logik und die angestrebten Auswirkungen einer derartigen Verarbeitung für meine Person mit.

i) Wurden meine personenbezogenen Daten an ein Drittland oder an eine internationale Organisation übermittelt? Bitte teilen Sie mir mit, welche geeigneten Garantien gemäß Art. 46 DSGVO im Zusammenhang mit der Übermittlung vorgesehen sind.

Bitte stellen Sie mir kostenfrei eine Kopie meiner bei Ihnen gespeicherten personenbezogenen Daten zur Verfügung. Sofern ich diesen Antrag elektronisch stelle und nichts anderes vermerke, so sind mir die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen.

 

Meine Daten löschen lassen

Es gibt sehr unterschiedliche Daten, die zu einer Person gespeichert sein können. Sehr häufig handelt es sich um Daten, die man auch auf jeden Fall dort hinterlegt haben will – ein Nutzerkonto kann ohne ein paar grundsätzliche Informationen nicht funktionieren; ein Paketversender braucht auf jeden Fall die Anschrift der Empfänger_innen. Allerdings gibt es auch Fälle, in denen man nicht (mehr) möchte, dass diese Daten weiter von der entsprechenden Internet-Plattform oder anderen Stelle vorgehalten oder weiter benutzt werden. Zuerst sollte man natürlich die zur Verfügung stehenden Werkzeuge verwenden, um z.B. ein Nutzerkonto ganz regulär zu löschen. Wenn man aber nicht sicher ist, ob das schon geholfen hat, oder wenn die angefragte Stelle die Daten eigentlich gar nicht haben sollte, dann kann eine Löschung verlangt werden. Hier ein Formulierungsvorschlag:

Löschung meiner Daten

Nach Art. 17 DSGVO verlange ich die unverzügliche Löschung meiner bei Ihnen verarbeiteten personenbezogenen Daten.

Die Voraussetzungen des Art. 17 DSGVO liegen nach meiner Ansicht vor. Sofern ich eine Einwilligung zur Verarbeitung meiner Daten erteilt habe, widerrufe ich diese hiermit, bzw. lege gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung ein. Dies gilt ebenso für das Profiling gemäß Art. 22 DSGVO. Lehnen Sie die Löschung ab, so haben Sie dies mir gegenüber zu begründen.

Sofern Sie meine personenbezogenen Daten öffentlich zugänglich gemacht haben und gemäß Art. 17 Abs. 1 DSGVO zu deren Löschung verpflichtet sind, haben Sie angemessene Maßnahmen zu ergreifen, um sämtliche Empfänger*innen meiner Daten darüber gemäß Art. 19 DSGVO zu informieren, dass ich die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien dieser personenbezogenen Daten verlangt habe.

 

Wie lange dürfen sich die angefragten Stellen Zeit nehmen und was kann passieren?

Ein Auskunftsrecht bedeutet nicht, dass die angefragte Stelle alles Andere stehen und liegen lassen muss, um die Anfrage zu bearbeiten. Allerdings gibt es klare rechtliche Regelungen: Innerhalb eines Monats muss eine Antwort formuliert werden. Falls die Antwort nicht erfolgt, kann das eine Geldbuße für die betreffende Stelle nach sich ziehen. Das würde allerdings nicht von alleine passieren: Hierzu müsste man sich an die Landesdatenschutzbehörden wenden oder mit einer Rechtsberatung sprechen, die bei den weiteren Schritten hilft.

Im Anschreiben kann man auf die rechtlichen Regelungen aber auch schon hinweisen. Möglicherweise erzeugt das bei der angefragten Stelle ein gewisses Bewusstsein für die Bedeutung deiner Anfrage. Hier ein Formulierungsvorschlag:

Fristen und Rechtsfolgen

Auskunftserteilungen müssen gemäß Art. 12 Abs. 3 DSGVO unverzüglich erfolgen, spätestens aber innerhalb eines Monats. Sollte ich innerhalb dieser Frist keine Auskunft von Ihnen erhalten, so werde ich mich an die zuständige Aufsichtsbehörde wenden. Ich mache darauf aufmerksam, dass unterlassene oder nicht vollständige Auskunftserteilungen nach Art. 83 Abs. 5 DSGVO mit einer hohen Geldbuße bedroht sind.

Am Ende sollte man nicht vergessen, die Anfrage höflich zu beenden, also z.B. mit einem »Mit freundlichen Grüßen«.

Und sonst?

Wir drücken die Daumen für die Auskunftsersuchen. Natürlich freuen wir uns über Rückmeldungen zu dieser Zusammenstellung und den Erfahrungen, die ihr gemacht habt.

Wir haben diese Tipps und die Formulierungsvorschläge für die Anfragen zu einer Datenschutzauskunft nach unserem besten Kenntnisstand zusammengestellt. Viel Vorarbeit wurde dabei von anderen Personen geleistet, unter anderem von heise.de und ursprünglich von Thoms Fassung von Framstags freundlichem Folterfragebogen.

Eine multimedial aufbereitete Website mit dem Namen »Deine Daten. Deine Rechte« können wir zum Schluss auch noch empfehlen: https://deinedatendeinerechte.de

DSGVO-Artikelserie (2): Die Datenschutzgrundverordnung – was muss ich machen?

[Updates 29.05., 31.05., 13.06., 25.06., 17.07.: Weitere Abschnitte ergänzt]

Teil 1 unserer Artikelreihe stellte die DSGVO und weitere datenschutzrelevante Regelungen vor. In Teil 2 wollen wir uns nun damit beschäftigen, welche Maßnahmen gerade für die Jugendarbeit und für Jugendorganisationen mit Schwerpunkt im Digitalen zu ergreifen sind.

Es wird ernst: Nach einer zweijährigen Übergangsfrist greifen ab 25. Mai alle Vorschriften der Datenschutzgrundverordnung. Zwar ist sie bereits im Mai 2016 in Kraft getreten, allen Akteuren sollte jedoch genügend Zeit zur Vorbereitung gegeben werden. Zum Glück ändert sich im Vergleich zu den bisher schon recht ausgeprägten Datenschutzbestimmungen in Deutschland gar nicht so viel.

In der Realität bereiten sich gerade kleinere Träger und Organisationen in der Jugendarbeit erst auf den letzten Drücker auf die DSGVO vor: Oftmals ohne fachkundigen Beistand, müssen sich die Ehren- und Hauptamtlichen die Umsetzung der neuen Vorschriften erst erarbeiten. Wir wollen euch hierbei unterstützen. Leider beschäftigt der DBJR keine_n Jurist_in. Alle Informationen sind nach besten Wissen zusammengetragen, können aber keine Fachberatung ersetzen.

Sicherlich ist es sinnvoll, sich zuerst einmal um die öffentlich sichtbaren Anforderungen der DSGVO zu kümmern. Dazu gehören ein zentraler Datenschutzkontakt und das Überprüfen der Datenschutzerklärung auf den eigenen Internetauftritten.

Benennung Datenschutzkontakt und -beauftragte

Die bereits im alten Bundesdatenschutzgesetz verpflichtende Berufung von eigenen Datenschutzbeauftragten ab zehn regelmäßig mit der Datenverarbeitung betrauten Personen gilt weiterhin (bei der Verarbeitung von sensiblen Daten gilt es schon früher). Aufgrund der Auskunfts- und Löschrechte ist es aber sinnvoll, auch schon in kleineren Organisationen zumindest einen zentralen Datenschutzkontakt festzulegen. Gut erreichbar wäre dieser Kontakt z.B. mit der E-Mail-Adresse datenschutz@unsereadresse.de. Dieser Kontakt kann dann einheitlich für Websites, Anmeldeformulare und Bewerbungsverfahren angegeben werden.

Die Regelungen finden sich in Art. 37 DSGVO und § 38 BDSG-neu.

Datenschutzerklärung für den Internetauftritt

Am sichtbarsten ist sicherlich die Datenschutzerklärung (DSE) eines Internetauftritts. Die Informationspflichten sind durchaus umfangreich – die DGSVO verlangt immerhin, dass Betroffene über alle Datenverarbeitungsprozesse und die Rechtsgrundlagen für diese Verarbeitung informiert werden. Die Verpflichtung zur einer Datenschutzerklärung ergibt sich aus Art. 13 und 14.

Es empfiehlt sich, die DSE nicht im Impressum zu verstecken, sondern als eigenen Button z.B. in den Fußbereich aller Seiten einzubinden.

Folgende Aspekte sollte eine DSE umfassen:

  • Welche personenbezogenen Daten werden verarbeitet;
  • Rechtsgrundlage und Zweck der Datenverarbeitung;
  • Dauer der Speicherung;
  • Weitergabe von Daten an Dritte;
  • Verantwortliche Stellen und Kontaktmöglichkeiten;
  • Auskunfts- und Widerspruchsmöglichkeit.

Als Rechtsgrundlage zur Datenverarbeitung dient in der Regel Art. 6 (1) f. Das »berechtigte Interesse« wäre hier z.B. die Sicherheit des Betriebs der Website. Bei Kommentarfunktionen trägt hingegen auch Art. 6 (1) b – die Verarbeitung der Daten (Kommentareintrag) erfolgt ja auf Anfrage der betreffenden Person.

Auf nahezu jedem Internetauftritt werden mindestens folgende personenbezogenen Daten verarbeitet: IP-Adresse der Besucher_in, Datum und Uhrzeit des Aufrufs, Art und Umfang des Zugriffs (welche Seiten wurden aufgerufen / übertragene Datenmenge / war der Abruf erfolgreich), Selbstauskunft des Browsers (Software, Versionsnummer und Betriebssystem). Diese Daten fallen bereits beim bloßen Abruf von Seiten an und werden vom Server in der Regel in eine Log-Datei geschrieben. Diese Log-Datei kann zur Fehleranalyse oder für statistische Auswertungen herangezogen werden.

Hintergrundwissen zu IP-Adressen und zur Selbstauskunft des Browsers:

IP-Adressen sind die »Telefonnummern« des Internets – sobald ein Gerät online ist, erhält es eine solche Adresse um Daten zu versenden und empfangen zu können. Eindeutig identifizierbar sind die Geräte deswegen meist nicht, da DSL-Router oder Firewalls die öffentliche IP-Adresse vom Provider zugewiesen bekommen und das Heim- oder Büronetzwerk dahinter dann mit internen IP-Adressen vom Router versehen werden. Auch Mobilfunkbetreiber unterteilen ihre Datennetze oft in solche nicht-öffentliche Segmente. Genauso kann ein Endgerät über VPN-Verbindungen oder ähnliche Verbindungstunnel nach außen auch mit einer anderen IP-Adresse erscheinen als es eigentlich aufgrund der ursprünglichen Netzeinwahl erwartbar wäre. Kurzgesagt: Eine IP-Adresse lässt sich von außen meist nur bis zum/zur Anschlussinhaber_in zurückverfolgen und kann sich gerade bei Endgeräten täglich ändern.

Die Selbstauskunft des Browsers, technisch »User Agent«, kann von den Nutzer_innen beliebig manipuliert werden. Entsprechende Anpassungsmöglichkeiten (meist durch Erweiterungen) sind für fast alle Browser verfügbar.

Eine allgemeingültige DSE, die wirklich auf jeden Internetauftritt passt, gibt es leider nicht: Dazu sind die Angebote, Funktionen und externen Einbettungen zu unterschiedlich. Generatoren für Datenschutzerklärungen, die man im Internet findet, versuchen allerdings die Hilfesuchenden dabei zu unterstützen alle relevanten Punkte zu berücksichtigen. Aufgrund der gerade stattfindenden Veränderungen können wir derzeit keine Empfehlung für oder Warnung vor einzelnen Generatoren aussprechen. Gerade bezüglich der Einbindung von Schriftarten, Statistik- und Analysewerkzeugen liegen die Ergebnisse von Generatoren oft falsch: Es macht einen großen Unterschied, ob eine Erweiterung auf dem eigenen Server installiert ist oder bei jedem Abruf von einer fremden Quelle aus eingebunden wird. Diese Unterscheidung treffen Generatoren häufig jedoch nicht.

Datenschutzerklärungen sollten auch bisher schon Bestandteil einer guten Website sein. Anlässlich der DSGVO-konformen Überarbeitung lohnt es sich die eigene Website darauf hin zu überprüfen, ob sie dem Stand und den Möglichkeiten der Technik entsprechen. Gerade beim Aufsetzen von neuen Websites werden gerne Lösungen gesucht, die schnell zu sichtbaren Ergebnisse führen, aber nicht immer die wirklich »beste« Lösung (aus Sicht des Datenschutzes) sind. Vielleicht ist jetzt aber der richtige Zeitpunkt darüber nachzudenken, ob die Website wirklich auf externe Dienste zurückgreifen muss oder ob man aus Gründen der Sparsamkeit der Datenweitergabe nicht auch ein paar Aspekte erneuern kann: Je weniger Daten erhoben und weitergegeben werden, desto besser (und desto kürzer kann eine DSE ausfallen).

Hinsichtlich der Gestaltung von Registrierungsformularen ist zudem zu bedenken, dass Formulare eine datenschutzfreundliche Gestaltung und datenschutzfreundliche Voreinstellungen aufweisen sollen – nicht zwingend erforderliche Punkte dürfen nicht standardmäßig aktiviert sein (Art. 25).

Angesichts der sehr unterschiedlichen Umfänge bei der Verarbeitung personenbezogener Daten hat beispielsweise der DBJR bei verschiedenen Websites auch recht unterschiedliche DSE online gestellt:

Typische Ansatzpunkte für eine größere Datensparsamkeit sind:

  • Analyse- und Statistikwerkzeuge: Google Analytics und Matomo (Piwik) sind hier sehr beliebt. Der datensparsamste Weg ist dabei, einen solchen Dienst nicht extern einzubinden, sondern auf dem eigenen Server zu installieren. So verbleiben die Besucherdaten auf dem eigenen Server. Matomo (Piwik) ist als Open-Source-Anwendung hierfür bestens geeignet.
  • Schriftarten und Funktionsbibliotheken: Das Google Font Archiv bietet zahllose kostenfreie Schriften an. Aus Bequemlichkeit werden diese von Designer_innen oft direkt eingebunden. Datensparsamer ist es, die Schriftarten auf dem eigenen Server vorzuhalten. Ähnlich verhält es sich mit Funktionsbibliotheken wie jQuery oder Bootstrap. Allerdings darf man hier einen anderen relevanten Aspekt nicht übersehen: Wenn diese Bibliotheken extern über ein sog. CDN (Content Delivery Network) eingebunden sind, ist in der Regel die Ladezeit etwas reduziert und man kann stets auf die aktuellste Version zugreifen. Bei Hinterlegung auf dem eigenen Server muss man sich um Sicherheitsupdates hingegen selbst kümmern.
  • Buttons zum Teilen auf sozialen Medien: Facebook und Co bieten an, dass man ihre Teilen- und Like-Buttons direkt auf der eigenen Website einbinden kann. Wenn man den von den Anbietern zur Verfügung gestellten Code-Schnippsel jedoch unverändert verwendet, baut der Browser der Website-Besucher_innen bei jedem Aufruf bereits eine Verbindung zu diesen Anbietern auf. Eigentlich wäre dies erst nötig, wenn ein_e Besucher_in den Seiteninhalt wirklich irgendwo teilen oder empfehlen möchte. Unsere Empfehlung ist daher, solche Code-Schnippsel nicht zu verwenden, sondern selbst erstellte Buttons zu verwenden. Alternativ gibt es freie Skripte wie Shariff (www.heise.de/newsticker/meldung/Datenschutz-und-Social-Media-Der-c-t-Shariff-ist-im-Einsatz-2470103.html), die die Weitergabe ebenfalls erst auf expliziten Klick durchführen.
  • Landkarten, Videos, Diskussionsforen: Das Zurverfügungstellen von Anfahrtsbeschreibungen, Erklärvideos oder Kommentarfunktionen wird gerne über externe Dienste wie Google Maps, OpenStreetMaps, Youtube, Vimeo oder Disqus abgewickelt. Dadurch, dass man diese Dienste kaum selbst substituieren kann, stößt man hier auf ein Problem mit der DSGVO: Eigentlich sollten Nutzer_innen informiert werden, bevor externe Dienste aufgerufen werden. Ein Ausweg wäre es die Einbettung ähnlich wie Social-Media-Buttons erst auf Klick auf einen Button oder eine Grafik zu aktivieren. Da die Einbettung bisher aber gang und gäbe war, sollte man derzeit nicht überreagieren und vorläufig zumindest sicherstellen, dass die Datenschutzerklärung der Website die eingebetteten externen Dienstleister korrekt aufzählt.

    Screenshot Youtube-Einbettung

    Die etwas datenschutzfreundlichere Einbettungsvariante von Youtube

    Youtube bietet mittlerweile eine etwas datenschutzfreundlichere Variante der Video-Einbettung an: Ein Youtube-Cookie wird erst dann gesetzt, wenn das eingebettete  Video konkret abgespielt wird. Das bedeutet, dass Youtube vorher zwar die IP-Adresse der Besucher_in bekommt, aber damit nicht das Endgerät identifizieren kann: Hinter einer IP-Adresse stecken in der Regel zahlreiche Endgeräte (z.B. in einem internen Netzwerk/WLAN; nur der Router bekommt die öffentliche IP-Adresse). Grundsätzlich kann jedes Youtube-Video aucn nachträglich mit dieser etwas datenschutzfreundlicheren Version eingebunden werden, wenn man im Einbettungslink https://www.youtube-nocookie.com statt wie bisher https://www.youtube.com verwendet.

Wenn die Datenerhebung aus statistischen und Analysezwecken geschieht (also um nachvollziehen zu können, welche Seiten häufiger aufgerufen oder welche Aufrufe Fehler produziert haben), ist eine personenbezogene Vorhaltung von Daten eigentlich nicht notwendig. Eine gute Herangehensweise ist daher die Anonymisierung oder wenigstens Pseudonymisierung von Datensätzen. Das kann zum Beispiel geschehen, indem die IP-Adresse um drei Stellen (ein Byte) gekürzt wird. Damit lassen sich zwar immer noch Aussagen darüber treffen, über welchen Provider oder aus welchem Land die Zugriffe erfolgt sind, die einzelnen Besucher_innen sind aber erst einmal nicht mehr identifizierbar.

Cookies: Websites nutzen diese kleinen Textschnippsel vor allem zur Abwicklung von Registrierungs- und Login-Vorgängen, Warenkörben, Darstellungs- oder Kommentierungsfunktionen, die darauf angewiesen sind eine_n Nutzer_in über mehrere Klicks hinweg identifizierbar zu halten. Diese Session-Cookies sind in der Regel harmlos und vereinfachen die Nutzung einer Website. Problematisch wird es erst, wenn eingebundene Dienste und Werbenetzwerke Cookies mit langem Ablaufdatum setzen und daher die Betroffenen quer über viele Websites verfolgbar und analysierbar machen. Als Nutzer_in kann ich hier in den Browsereinstellungen bereits gegensteuern: Cookies können beim Beenden automatisch gelöscht werden und während des Surfens sollten nur Cookies von besuchten Drittanbietern zugelassen werden. Eine Datenschutzerklärung sollte die Herkunft und den Zweck der Cookies möglichst genau beschreiben.

Abgrenzung einer Datenschutzerklärung zu Datenschutz-Einwilligungen und Nutzungsbedingungen: Klar muss sein, dass eine Datenschutzerklärung auf einer Website nur den Zweck der Information der Besucher_innen hat. Lediglich die Datenverarbeitung aufgrund gesetzlicher Befugnisse ist hier aufzulisten. Keinesfalls sollte eine DSE vermischt werden mit der Einwilligung zu weiterer Datenverarbeitung oder zu allgemeinen Nutzungsbedingungen, die eher unter das Vertragsrecht fallen. Derartige Einwilligungen könnten nur im Vorfeld durch aktives Akzeptieren (durch einen Mausklick, eine Kennworteingabe oder Ähnliches) erfolgen.

Ebenfalls nicht empfehlenswert ist das Aufblähen einer Datenschutzerklärung zur Abdeckung aller weiterer Datenverarbeitungsbereiche einer Organisation. Als Besucher_in einer Website kann ich erwarten, dass ich klar und ohne Umschweife ausschließlich darüber informiert werde, was dieser Website-Besuch an Datenverarbeitungsaspekten berührt. Ein Link zu weiteren Datenschutzerklärungen für andere Bereiche ist natürlich möglich, darf aber nicht zur Verwirrung der Betroffenen führen.

Newsletter und Werbezusendungen

Für die Zusendung von Newslettern und digitaler Werbung gilt nicht erst seit der DSGVO die Regel eines doppelten Opt-in-Verfahrens. Das bedeutet, dass nach der Eintragung einer E-Mail-Adresse in einen Newsletter-Verteiler an eben diese Adresse eine E-Mail geschickt wird, in der ein Bestätigungslink zum Anklicken oder ein Bestätigungscode zur Eingabe auf der Website zu finden ist. Der Grund für dieses Vorgehen ist, dass verhindert werden soll, dass Empfänger_innen nicht von Dritten ungefragt in solche Verteiler eingetragen werden sollen. Solange ein_e Empfänger_in nicht auf diese erste Zusendung reagiert, dürfen keine weiteren Mails erfolgen, auch keine Erinnerungen! Ausschließlich eine erneute Eintragung wäre möglich.

Sollte ein_e Nutzer_in bereits in einem System mit der persönlichen Kennung eingeloggt sein, kann das Verfahren ggf. dennoch abgekürzt werden, wenn die Eintragung entsprechend dokumentiert in einer Datenbank hinterlegt wird.

Die DSGVO sieht den jederzeitigen Widerruf von Einwilligungen vor. Dementsprechend muss jede Newsletter- oder andere Zusendung einen Link mit einfach erreichbarer Abmeldemöglichkeit enthalten.

Empfänger_innen, die keiner Zusendung zugestimmt haben, könnten die E-Mails als Spam werten und rechtliche Schritte einleiten. Abmahnungen können hier auch aufgrund des Gesetzes gegen unlauteren Wettbewerbs drohen, z.B. veranlasst durch ein Konkurrenzunternehmen.

Was genau als Werbezusendung gilt, kann hier nicht ausführlich behandelt werden. Allerdings erkennt die DSGVO auch den manchmal bestehenden Graubereich: ErwG 47 behandelt »Überwiegend berechtigte Interessen« für eine Datenverarbeitung. Sobald eine »maßgebliche und angemessene Beziehung« zwischen beiden Seiten besteht, kann das bereits als Grundlage für eine Direktwerbung/-zusendung ausreichen.

Whatsapp, Telegram & Co: Kommunikation über Messenger

Screenshot Threema Verteilerliste

Messenger wie Threema bieten neben Gruppen auch Verteilerlisten an, die nur Ein-Weg-Kommunikation ermöglichen und die Abonnent_innen nicht offenlegen.

Über E-Mail werden Kommunikationspartner heute weniger erreicht als über Messenger-Kommunikation. Daher sind in vielen Zusammenhängen Gruppenchats über diese Kanäle entstanden. Grundsätzlich gelten hier dieselben Regeln wie auch in anderen Bereichen: Alles was über den rein persönlichen, familiären Kontext hinausgeht, ist DSGVO-relevant. Die Einwilligung zur Nutzung dieses Kommunikationskanals vom Gegenüber ist Voraussetzung. Während das bei Erwachsenen durch eine kurze Einwilligungsnachricht über den Messenger geschehen kann, ist bei Kindern nachzuweisen, dass Erziehungsberechtigte der Datenverarbeitung von Telefonnummer oder Messenger-ID zustimmen (siehe Abschnitt »Kinder, Jugendliche, Minderjährige?« weiter unten).
Wenn die Kommunikation nur in eine Richtung erfolgt, also ähnlich eines Newsletters nur eine Stelle versendet und sich die Empfänger_innen möglicherweise gar nicht kennen, empfiehlt es sich nicht auf Gruppenchats zurückzugreifen. Die bekannten Messenger verfügen über einen deutlich datenschutzfreundlicheren Sendekanal: Verteilerlisten, in Whatsapp auch »Broadcast« genannt.

Um die Vermischung von privatem und beruflichem Adressbuch zu vermeiden, sollte man sich als Sender_in eine nur für diesen Zweck angeschaffte SIM-Karte und ggf. ein separates Smartphone besorgen. Besonders der zum Facebook-Konzern gehörende Messenger Whatsapp ist bezüglich des Umgangs mit Adressbüchern als problematisch zu betrachten: Nicht nur werden die gespeicherten Telefonnummern zentral abgeglichen, Facebook und Whatsapp wollen darüber hinaus ihre Datensätze künftig untereinander austauschen. Somit landen selbst Personen, die nie einen dieser Dienste genutzt haben, über unbewusst handelnde Kontaktpartner in die Datenbank der Plattformen. Doch es gibt weit verbreitete Alternativen: Andere Messenger-Dienste betonen immer wieder, dass sie keine Telefonnummern auf ihre zentralen Server hochladen. Um Freunde, die den Dienst wieder zu finden, wird hierbei auf datenschutzfreundlichere Lösungen zurückgegriffen: Aus Telefonnummern werden z.B. Hashes (eine Art Quersumme aus Buchstaben und Ziffern) errechnet, die nicht mehr zurückzurechnen sind, aber zum Freunde-Abgleich immer noch nützlich sind.

Verzeichnis von Verarbeitungstätigkeiten

Die DSGVO gibt als allgemeinen Grundsatz ein Verbot mit Erlaubnisvorbehalt vor: Alle Aspekte der Datenverarbeitung (Erhebung, Abrufen, Bearbeiten und in mancher Hinsicht auch das Löschen) müssen entweder durch eine Rechtsnorm ausdrücklich erlaubt oder sogar angeordnet (z.B. Steuerrecht) oder von der betroffenen Person durch ihre Einwilligung zugelassen worden sein. Im Streitfall muss das Vorliegen dieser Einwilligung von der verarbeitenden Stelle nachgewiesen werden.

Klar, dass man in einer Organisation leicht den Überblick über alle Datenverarbeitungsprozesse verlieren kann. Aus diesem Grund findet sich in der DSGVO die Pflicht zu einem Verzeichnis der Verarbeitungstätigkeiten (Art. 30). Hier sollen alle Vorgänge einmal beschrieben werden (d.h. nicht jeder Einzelfall, sondern regelhaft die Vorgangsabläufe). Diese Pflicht tritt ein, wenn

  • ein Unternehmen oder Einrichtung mindestens 250 Mitarbeitende beschäftigt, oder
  • die Verarbeitung nicht nur gelegentlich erfolgt, oder
  • eine Verarbeitung besonderer Datenkategorien erfolgt, oder
  • die Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt.

Es kann also sein, dass bereits sehr kleine Strukturen mit wenigen Mitstreiter_innen ein solches Verzeichnis erstellen und führen müssen. Bei fest angestelltem Personal werden in der Regel Krankheitstage und zur Abgabenberechnung eine mögliche Religionszugehörigkeit verarbeitet. Da beide Informationen zu den besonderen Kategorien zählen, ist die Pflicht zu einem solchen Verzeichnis also nahezu immer gegeben.

Das Erstellen eines solchen Verzeichnisses wirkt auf den ersten Blick zwar aufwändig, hängt aber in der Umsetzung tatsächlich davon ab, wie gut die eigenen Abläufe sonst bereits strukturiert sind. Am Ende ist dieses Verzeichnis sogar sehr hilfreich für die Übergabe von Aufgaben an neue Kolleg_innen.

Das Bayerische Landesamt für Datenschutzaufsicht hat für verschiedene Organisationsstrukturen übersichtliche Muster dieser Verarbeitungsverzeichnisse herausgegeben: www.lda.bayern.de/de/kleine-unternehmen.html

Verbunden mit einem Verzeichnis der Verarbeitungstätigkeiten ist auch die mögliche Erforderlichkeit einer Datenschutz-Folgenabschätzung bei einer großen Anzahl an potenziell Betroffenen (siehe späterer Abschnitt) sowie immer auch eines IT-Sicherheitskonzepts. Dieses Sicherheitskonzept ist eigentlich unabhängig von Datenschutzfragen: Es sollte klären, welche Maßnahmen zur Absicherung von Endgeräten und Servern einmalig und regelmäßig getroffen werden. Darunter fallen z.B. regelmäßige Sicherheitsupdates, gute (lange) Passwörter, Websites mit Verbindungsverschlüsselung (https) und Zugriffsrichtlinien für gemeinsam genutzte Dateiserver.

Anmelde- und Teilnehmermanagement

Anmeldungen zu Seminaren, Camps oder anderen Veranstaltungen laufen heutzutage häufig online ab.

Hierbei müssen die Daten schon auf dem Übertragungsweg geschützt werden. Das bedeutet vor allem einmal, dass die Datenübertragung verschlüsselt stattfindet. Auf einer Website geschieht das mittels eines sogenannten SSL-Zertifikats. Zu erkennen ist die verschlüsselte Verbindung, wenn am Anfang der Adresszeile ein https:// auftaucht. Seitdem die hinter dem Browser Firefox stehende Mozilla-Stiftung die »Let‘s Encrypt«-Initiative ins Leben gerufen hat, erhält man bei den meisten Webhosting-Providern kostenlose Verschlüsselungszertifikate. Empfehlenswert ist die Herangehensweise, dass unverschlüsselte Seitenaufrufe automatisch auf die verschlüsselte Verbindung weitergeleitet werden.

Übertragungsverschlüsselung ist für Nutzenden ein guter Anfang. Blind vertrauen kann man ihr jedoch nicht – so sagt das Vorhandensein einer Verschlüsselung erst einmal nichts über die Seriosität oder die Zuverlässigkeit der empfangenden Seite aus.

Egal ob digital oder analog: Zur verbindlichen Anmeldung dürfen nur die Daten eingeholt werden, die für die Veranstaltungsdurchführung notwendig sind (Kopplungsverbot). Dadurch ist aber auch für alle Beteiligten klar: Für diese Daten muss keine weitere Einverständniserklärung zur veranstaltungsspezifischen Datenverarbeitung eingeholt werden. Diese wurde durch die Anmeldung bereits implizit gegeben.

Für möglicherweise geplante Weitergaben der Daten (an Kooperationspartner, für zu verteilende Teilnehmerübersichten o.ä.) muss allerdings das ausdrückliche OK eingeholt werden. Generell gilt, dass Einwilligungserklärungen nicht unnötig aufgebläht werden sollten. Insbesondere Datenverarbeitungen, die bereits auf Basis einer Rechtsnorm zulässig sind, bedürfen keiner zusätzlichen Einwilligung. Anmeldebögen sollten künftig ebenso wie Websites den Hinweis auf eine_n Datenschutzbeauftragte_n oder Datenschutzkontakt enthalten.

Für die weitere Verarbeitung der Personendaten gilt nach der DSGVO, dass die Verarbeiter_innen dafür Sorge tragen müssen, dass die Datensicherheit bei der Verarbeitung gewährleistet ist (Art. 32).

Nach unserem Kenntnisstand ist der Umgang mit KJP-Teilnahmelisten noch nicht vom BMFSFJ geklärt worden: Die Anforderung an eine vertrauliche Erhebung und weitere Verarbeitung der Teilnehmerdaten stellt die Träger derzeit vor ungelöste datenschutzrechtliche Fragen.

Gemäß der DSGVO haben Betroffene das Recht auf Löschung von personenbezogenen Daten. Dieses Recht überwiegt oder ersetzt jedoch nicht die vertragsrechtlichen Pflichten: Eine Löschanfrage ist keine Vertragsstornierung! Der/die Datenverarbeiter_in kann der Löschanfrage daher sogar widersprechen, wenn das Vorhalten der Daten zur Vertragserfüllung oder auf Basis anderer Rechtsnormen erforderlich ist. Dennoch sind die Verarbeitenden dazu aufgerufen, Daten selbst aktiv zu löschen, sobald sie nicht mehr gebraucht werden. In der Realität könnte dies bedeuten, dass zwar Name und Anschrift von Teilnehmenden aus abrechnungstechnischen Gründen weiter gespeichert bleiben müssen, die Essenswünsche aber bereits kurz nach der Veranstaltung gelöscht werden könnten.

Anmeldeverfahren und TN-Management sind übliche Einträge für das Verzeichnis von Verarbeitungstätigkeiten. Hier hilft es einmal gedanklich oder ganz konkret das Prozedere von der Anmeldung bis zur Abrechnung durchzuspielen.

Angebote der Jugendarbeit richten sich vor allem an Kinder und Jugendliche. Wie von Minderjährigen gültige Einwilligungen zur Datenverarbeitung eingeholt werden kann, erfahrt ihr im nächsten Abschnitt.

Kinder, Jugendliche, Minderjährige?

Im alten Datenschutzrecht existierte keine Regelung, die sich explizit auf Kinder bezog. Die DSGVO erkennt allerdings an, dass auch Kinder mittlerweile IT-Dienstleistungen nutzen (wollen) und zählt daher in Art. 8 eine Reihe von Bedingungen auf, wie Einwilligungen von Minderjährigen eingeholt werden können. Der Art. 8 beleuchtet dabei ausdrücklich nur Angebote, die im digitalen Bereich liegen und sich direkt (auch) an Kinder wenden.

Ab 16 Jahre können Kinder/Jugendliche künftig ihre Einwilligung zu einer Verarbeitung ihrer personenbezogenen Daten selbst rechtmäßig abgeben. (Diese Altersgrenze kann laut DSGVO mit nationalstaatlichen Regelungen bis auf 13 Jahre herabgesetzt werden, wie es bspw. in der Niederlande der Fall ist.) Darunter, also in Deutschland mit 15 Jahren oder jünger, müssen Erziehungsberechtigte entweder der vom Kind gemachten Einwilligung ebenfalls zustimmen oder die Einwilligung selbst für das Kind abgeben. In den der DSGVO vorgeschalteten Erwägungsgründen findet sich unter ErwG 38 allerdings zusätzlich der Hinweis, dass eine Einwilligung durch Erziehungsberechtigte nicht erforderlich sein sollte, wenn sich Präventions- und Beratungsangebote direkt an Kinder wenden.

Diejenigen, die diese Daten verarbeiten, sind verpflichtet angemessene Anstrengungen zu unternehmen, um festzustellen, ob die Einwilligung rechtmäßig ist – und sie müssen dies auch dokumentieren. Diese Regelung ist, auch wegen ihres Hinweises auf »angemessene Anstrengungen« unter »Berücksichtigung der verfügbaren Technik« Art. 8 (2), nicht ganz trennscharf auszulegen. Manche IT-Dienste, wie z.B. der Anbieter des Messengers Whatsapp, haben daher beschlossen ihren Dienst nicht mehr für Unter-16-Jährige anzubieten. Andere wiederum versuchen eine (belastbare) Einwilligung durch Nennung einer elterlichen E-Mail-Adresse oder einer anderen Kontaktmöglichkeit einzuholen. Im Zweifelsfall ist weiterhin die herkömmliche Schriftform durch Unterschrift oder durch PostIdent-Verfahren geboten.

Es ist nicht davon auszugehen, dass künftig jede Newsletter-Anmeldung eine Altersabfrage beinhalten muss – zur Erinnerung: Der Art. 8 listet die Bedingungen ausdrücklich für Angebote auf, die sich direkt an Kinder wenden.

Unter Verweis auf ErwG 38 stellen alle uns bekannten Quellen fest, dass ein Profiling (automatisierte Profil-/Entscheidungsfindung) von Kindern nicht zulässig ist.

Wichtig ist zu berücksichtigen, dass die DSGVO natürlich nur den Datenschutzaspekt reguliert. Ob und wie Minderjährige Verträge schließen können, ist jeweils in anderen Gesetzen geregelt. Bezüglich oben genannter Beratungs- und Präventionsangebote stellen sich neben den Fragen des Datenschutzes schnell auch solche des Kindeswohls. Daher sollten in solchen Fällen unbedingt das SGB VIII (Kinder- und Jugendhilfe-Gesetz) und weitere Rechtsquellen zurate gezogen werden. Bei Gefährdungssituationen sollte unbedingt das Jugendamt kontaktiert werden.

Adress- und Mitgliederverwaltung

Von einem neuen Kontakt eine Visitenkarte zugesteckt bekommen – die darf ich doch in die allgemeine Adressverwaltung übertragen, nicht? Die Antwort lautet leider, dass das davon abhängt, mit welcher Intention die Karte übergeben wurde. Im Minimalfall dürfen die Kontaktdaten nur für einen genau definierten Vorgang genutzt werden. Daher sollte bei der Übergabe ein gewisser Konsens darüber herrschen, mit welchem Zweck die Visitenkarten gerade ausgetauscht wurden. Ähnliches gilt für personenbezogene Daten von betrieblichen Kooperationspartnern. Wenn es für die weitere Zusammenarbeit nicht erforderlich ist die Namen der Mitarbeitenden oder weitere Daten auf der Gegenstelle personenbezogen vorzuhalten, sollten diese auch nicht ohne vorherige Nachfrage in einer Adressverwaltung auftauchen. Häufig betroffen sind davon im Jugendarbeitsbereich z.B. Geburtstage oder eigentlich private Mobilrufnummern.

Bei einer Mitgliederverwaltung könnte es wiederum berechtigte Gründe geben, weswegen die geordnete Verarbeitung des Geburtsdatums geboten ist (altersmäßige Gruppen, oder die Höhe des Mitgliedsbeitrags) (ErwG 44).

Auch auf Websites veröffentlichte Mitarbeitenden-Profile dürfen nicht ohne Einwilligung für beliebige Zwecke abgegriffen und weiterverwendet werden. In der Regel werden diese personenbezogen Daten auf einer Website veröffentlicht, um für konkrete Anliegen Ansprechpersonen zu nennen. Eine Einwilligung zu unaufgeforderter Zusendung allgemeinen Marketingmaterials kommt damit nicht zum Ausdruck.

Zur Erinnerung: Das rein private Adressbuch, das ohne wirtschaftlichen oder beruflichen Bezug geführt wird, fällt nicht unter die strengen Regeln der DSGVO.

Personal- und Finanzverwaltung

Dieser Artikel beschäftigt sich vor allem mit digitalen Aspekten. Dennoch sollte man nicht vergessen, dass die DGSVO auch für den nicht-digitalen Bereich gilt. Personalakten oder die Lohnbuchhaltung sind in der Regel mindestens auch in Papierform zweitorganisiert und abgelegt. Die Anforderungen an Zugriffsrichtlinien und angemessene Maßnahmen zum Schutz (inkl. ungewolltem Verlust) greifen also hier gleichermaßen.

Die Datenverarbeitung im Beschäftigungskontext wird in der DSGVO in Art. 88 eher allgemein beschrieben und erst durch § 26 BDSG-neu genauer erläutert.

Die Arbeitsbereiche von Personal- und Lohnverwaltung sind oft nicht vollständig von anderen Büros abgetrennt. Dadurch vergrößert sich die Gefahr, dass Besucher_innen Daten von anderen Beschäftigten einsehen oder sogar verändern können. Arbeitsverträge oder die Personalakten werden von der Lohnbuchhaltung in der Regel nicht benötigt, daher sollten sie auch von voneinander separiert gelagert oder verarbeitet werden, selbst wenn nicht davon auszugehen ist, dass Personalabmahnungen oder ähnliche Vorgänge ausgespäht werden könnten. Druckaufträge mit Personaldaten sollten ebenfalls nur geschützt vor Zugriff von Dritten ausgeführt werden.

Wenn Bewerber_innen, die bei der aktuellen Runde nicht eingestellt werden, für spätere Ausschreibungen kontaktiert werden sollen, können sie ihre Einwilligung hierzu erklären. Dies kann für beide Seiten vorteilhaft sein.

Verträge zur Auftragsverarbeitung

Externe Dienstleister, wie z.B. Webhosting-Provider, EDV-Support fürs Büro, die Lohnbuchhaltung oder auch Tagungshäuser kommen im Rahmen ihrer Tätigkeiten kurzfristig oder regelmäßig in Kontakt mit personenbezogen Daten eurer Organisation. Hierzu zählen bereits IP-Adressen, Personalnummern, die zentrale Backup-Verwaltung, der Zugriff auf den Newsletter-Verteiler oder auf Teilnehmerlisten. In solchen Fällen wäre eine Vereinbarung zur Auftragsverarbeitung zu schließen (Art. 28). Diese Regelung existierte bereits vor der DSGVO und hieß früher »Vertrag zur Auftragsdatenverarbeitung (AV-Vertrag)«.

Für Datenschutzverletzungen können diese Auftragsverarbeitenden haftbar gemacht werden, wenn sie sich Fehler zurechnen lassen müssen.

Datentransfer in Drittländer (außerhalb der EU)

Datenschutzerklärungen auf Websites müssen eine Information darüber beinhalten, wenn Daten in Drittländer übermittelt werden. Aber auch andere digitale Produkte sind in dieser Hinsicht dokumentationspflichtig gegenüber denjenigen, deren Daten damit verarbeitet werden sollen: Mit Microsoft Office 365, Dropbox, Google Drive oder ähnlichen Diensten werden personenbezogene Daten möglicherweise außerhalb Deutschlands oder sogar außerhalb der EU, dem Geltungsbereich der DSGVO, verarbeitet. Zum Geltungsbereich ist neben dem im 1. Teil unserer Artikelreihe schon erwähnten »Marktortprinzip«, das die Einhaltung der DSGVO von jedem Anbieter weltweit einfordert, solange er personenbezogene Daten aus Europa verarbeitet, auch noch gut zu wissen, dass bestimmten Staaten ein kompatibles Datenschutzniveau zugestanden wird. Die Europäische Kommission hat hierfür sogenannte »Angemessenheitsbeschlüsse« (adequacy decisions) gefasst. Diese Liste umfasst derzeit die Staaten oder Gebiete von Andorra, Argentinien, Färöer, Guernsey, Isle of Man, Israel, Jersey, Neuseeland, die Schweiz, Uruguay, kommerzielle Einrichtungen in Kanada und, in Einschränkungen auf das »Privacy Shield«, die USA (Quelle: https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_de). Auch mit Japan und Südkorea sind solche Übereinkommen geplant.

In der DSGVO finden sich die Regelungen in Kapitel 5 (Art. 44 – 50) und in ErwG 101 und 102.

Datenschutz-Folgenabschätzung

Um die möglichen Gefahren, die mit der Datenverarbeitung (und damit verbundener Pannen) entstehen, schon im Vorfeld im Blick zu haben, erfordert das DSGVO in manchen Fällen eine Datenschutz-Folgenabschätzung nach Art. 35. Vorneweg: Diese ist bei kleinen Vereinen oder einfachen Website-Anbietern in der Regel nicht relevant. Die DSGVO macht die Erforderlichkeit abhängig von einer großen Zahl möglicher Betroffener, wozu auch eine »regional« große Anzahl Betroffener gehören kann. Lesenswert ist hierzu der (ErwG 91), der die Erforderlichkeit einer Datenschutz-Folgenabschätzung beleuchtet. Hier wird auch noch einmal auf das Personen-Profiling eingegangen, also automatisierte Verfahren zur Personen-Einschätzung.

Um mögliche Gefahren für personenbezogene Daten frühzeitig zu reduzieren, sollte man stets die Möglichkeiten der Pseudonymisierung (ErwG 28) und Anonymisierung von Daten nutzen, ebenso ist die zum Einsatz kommende Absicherung z.B. durch eine IT-Sicherheitsrichtlinie zu dokumentieren und auch der physische Zugang zu reglementieren (Art. 32).

Die DSGVO verweist bei Schutzanforderungen den »aktuellen Stand der Technik«. Was bedeutet das? Hierbei ist nicht der »allerletzte Schrei an Sicherheitstechnik« gemeint, sondern gut eingeführte, allgemein verfügbare und übliche Sicherheitsverfahren.

Umgang mit Datenschutzverletzungen

Datenpannen sind stets unerfreulich. Die DSGVO verlangt, dass solche Datenverluste, -manipulationen oder ungewollte Veröffentlichungen bei den Datenschutzbehörden gemeldet werden. Auch bei einem reinen Datenverlust, also selbst wenn erst einmal niemand Drittes Zugriff auf die verlorenen Daten bekommen hat, ist eine Meldung erforderlich. Diese Meldepflicht gilt binnen 72 Stunden, selbst bei Feiertagen oder Abwesenheiten.

Die Personen, deren Daten betroffen sind, müssen ebenso umgehend informiert werden, wenn ein »hohes Risikos für die persönlichen Rechte und Freiheiten« droht (Art. 34 (1)). Eine gute Vorsorge kann man treffen, indem schon vorher die Geräte und Speicher verschlüsselt wurden, wie sie mittlerweile jedes Betriebssystem standardmäßig anbietet. Auch sollte klar sein, dass entsprechende Aufbewahrungsorte (Räume, Schränke) entsprechend zugangsbeschränkt sind.

Wie die Meldung konkret auszusehen hat, ist in Art. 33 beschrieben. Es bietet sich an, intern bereits vorab zu klären, wie der Meldeprozess mit oder ohne einem/-r internen Datenschutzbeauftragten ablaufen würde.

Eine Übersicht aller im Meldefall zuständigen Landesdatenschutzbeauftragten findet sich auf der Website der Bundesbeauftragten: www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html

Anfragen zu Auskunft, Berichtigung und Löschung

Ganz allgemein: Personen, von denen personenbezogene Daten verarbeitet werden, haben ein Recht zur Auskunft, Berichtigung und Löschung. Einwilligungen können jederzeit widerrufen werden. Auf diese Rechte gehen wir im Detail in Teil 3 der Artikelreihe ein.

Für die Verarbeitenden ist es jedoch vorgeschrieben, dass sie Anfragen von Betroffenen entsprechend innerhalb eines Monats nach Eingang beantworten. Nur in Ausnahmefällen kann diese Frist verlängert werden (Art. 12 (3)). Diese Auskunftspflicht besteht übrigens auch, wenn zu der betreffenden Person keine Daten (mehr) verarbeitet oder gespeichert werden – dafür fällt dann die Antwort deutlich kürzer aus.

Löschen, löschen, löschen!?

Naheliegend ist jetzt der Gedanke, dass man schnell alle verarbeiteten Daten löscht, die nicht mehr gebraucht werden. Aber auch hier gibt es ein paar Aspekte zu bedenken:

Gelöscht sind Daten erst dann, wenn sie nicht mehr ohne Weiteres wieder hergestellt werden können. Neben dem Papierkorb eines Betriebssystem sollte man sich dabei insbesondere auch über bestehende Backup-Sicherungen Gedanken machen. Gerade dort schlummern Daten, die ansonsten gelöscht wurden, noch eine Weile vor sich hin und sind dadurch weiter gespeichert. Automatisierte Backup-Systeme, die z.B. Daten für 14 Tage zur Not-Wiederherstellung sichern, sind sicherlich nicht allzu problematisch. Bei Sicherungen, die hingegen monatelang im Schrank herumliegen, sieht die Sache schon anders aus. Eigentlich besteht hier ebenfalls Löschpflicht, wenn Daten wirklich »vergessen« werden sollen.

Ein häufiges Problem in Organisationen stellen die im Laufe der Zeit entstehenden »Schattendatenhaltungen« dar. Paradebeispiele hierfür sind exportierte Teilnahmelisten oder Listen von Allergien oder Nahrungsunverträglichkeiten der Teilnehmenden. Diese Art von Datenverzeichnissen werden häufig aus guten Gründen kurzfristig erstellt – manchmal mittels Ausfilterung unnötiger Daten sogar aus einem Datenschutzgedanken heraus –, jedoch im weiteren Verlauf der geregelten Datenhaltung nicht mehr ausreichend beachtet. Es empfiehlt sich daher für diese Listen ebenso einen klaren Hinterlegungsort und ein Löschdatum festzulegen (eventuell schon im Dateinamen!).

Der Löschbereitschaft können jedoch andere Faktoren entgegenstehen. Dazu zählen gesetzliche Aufbewahrungspflichten z.B. aufgrund von Förderangelegenheiten oder aus steuerrechtlichen Gründen. Diese Aufbewahrungsvorschriften sind stets höher zu bewerten als die Löschwünsche (Art. 17 (1) a und (3)).

Personenbezogene Daten, die von Nutzer_innen kreiert wurden, bedürfen möglicherweise auch die Einwilligung der Betroffenen – nämlich immer dann wenn man davon ausgehen kann, dass die erstellten Inhalte noch einen Wert für die Betroffenen haben. Niemand würde sich freuen, wenn ungefragt Fotos, Playlisten oder Texte gelöscht werden. Dagegen spricht auch das durch die DSGVO formulierte Recht auf Datenübertragbarkeit (Art. 20).


Dieser Artikel ist auf euer Feedback, eure Erfahrungen und Problemschilderungen angewiesen. Nutzt hierfür gerne die Kommentarfunktion. Wir werden den Artikel bei neuen Informationen aktualisieren und erweitern.

In Teil 3 der Artikelreihe beschäftigen wir uns mit den konkreten Rechten für Betroffene: Wie bekomme ich eine Auskunft von Datenverarbeitenden? Wie kann ich Berichtigungen oder Löschungen verlangen? Musterformulierungen für solche Anfragen ergänzen diesen Artikel.

In eigener Sache: Tooldoku-Website und DSGVO

In wenigen Tagen gilt europaweit einheitlich die Datenschutzgrundverordnung (DSGVO). Entsprechend überprüfen und aktualisieren wir in dieser Woche die Tooldoku-Website nochmals aktiv.

Konkret haben wir die Einbettung von Schriftarten angepasst: Unser CMS hatte offenbar bei einem der vergangenen Updates von bereits vorhandenen lokalen Schriftart-Dateien wieder auf Google Fonts umgeschaltet. Wir hoffen, dass dieser Fehler künftig nicht mehr passiert. In diesem Zuge rausgekickt haben wir die Unterstützung von sehr alten Browsern (z.B. alle Microsoft Internet Explorer vor IE 9), da sich deren Nutzung generell nicht mehr empfiehlt.

Weiterhin haben wir ein Statistik-Modul entfernt, das unnötig Nutzerdaten weiterleitete. Außerdem wurde die Datenschutzerklärung noch etwas verbessert.

DSGVO-Artikelserie (1): Die Datenschutzgrundverordnung – worum geht’s?

In den Jahren 2018 und 2019 verändern sich die Regelungen zum Datenschutz mehrmals: Ab 25. Mai 2018 muss die europäische Datenschutzgrundverordnung (DSGVO) angewendet werden, in ca. einem Jahr wird voraussichtlich die ePrivacy-Verordnung hinzukommen. Aber keine Sorge: Die neuen Regelungen sind meist gar nicht so schwierig anzuwenden. Allerdings bedeuten sie an der einen oder anderen Stelle etwas zusätzlichen Aufwand. Erfreulich ist, dass vor allem die Rechte für Bürger_innen deutlich gestärkt wurden. Die einheitliche europäische Regelung könnte darüber hinaus aus praktischen Gründen die Anbieter in anderen Teilen der Welt zur Nachahmung animieren.

Schon 1995 gab es die europäische »Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr«. Als Richtlinie musste sie noch in jedem Mitgliedsstaat in nationales Recht gegossen werden. Dadurch war das Datenschutzniveau in der Realität sehr unterschiedlich ausgeprägt. Firmen wie Facebook wählten ihren europäischen Sitz daher nicht ganz zufällig im weniger datenschutzstarken Irland.

Die neue Datenschutzgrundverordnung der EU ersetzt die alte Richtlinie und alle bisherigen nationalen Regelungen und gilt in allen Mitgliedsstaaten direkt. Nur noch wenige Details können die Staaten unterschiedlich regeln, wie z.B. den Bußgeldkatalog oder die Altersgrenze für Kinder (hier gibt es den Spielraum von 13-16 Jahren). Die DSGVO hat aber auch Auswirkungen auf andere Gesetzesformulierungen. So wurde z.B. das Sozialgesetzbuch (vor allem das SGB X – Sozialdatenschutz) an mehreren Stellen angepasst.

Was bedeutet »Datenschutz« eigentlich?

Die zwei Wortbestandteile von »Datenschutz« kann man für sich selbst gut durchdenken, indem man sich folgende Frage stellt:

  • Was wird geschützt (bestimmte Daten oder alle)
  • vor wem (böse Hacker, Firmen/Datensammler, eigenes Umfeld)
  • für wen (Teilnehmende, Verarbeiter_in)
  • und warum (Bloßstellung, Missbrauch für Anderes)
  • wie sicher (so sicher wie möglich, aber: zu sicher macht Freiheit kaputt)
  • und wie lange? (wann wird‘s gelöscht?)

»Datenschutz«, wie er hier gemeint ist, betrifft ausschließlich den Schutz personenbezogener Daten. Das heißt, Daten zu juristischen Personen (Firmen, Vereine) werden davon nicht abgedeckt. Es geht also um die Erfassung, Verarbeitung und Speicherung von Daten zu »echten Menschen«. Diese können aber als Angestellte zugleich Teil einer juristischen Person sein; auch für diese Sphäre gilt dann die DSGVO.

Nicht alle Daten zu einer Person sind in gleicher Weise schützenswert. Und es kommt auf den Kontext an: Während medizinisches Personal Details über Vorerkrankungen kennen sollte, gehen diese Daten z.B. andere Firmen gar nichts an. Auch das Bekanntwerden von Weltanschauungen oder sexuellen Orientierungen ist in manchen Zusammenhängen sehr problematisch. Was man umgangssprachlich als »sensible Daten« versteht, benennt die DSGVO in Art. 9 als »besondere Kategorien personenbezogener Daten«, die ganz besonders zu schützen sind:

  • Rassische und ethnische Herkunft,
  • politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder Gewerkschaftszugehörigkeit,
  • genetische oder biometrische Daten zur eindeutigen Identifizierung,
  • Gesundheitsdaten,
  • Daten zum Sexualleben oder der sexuellen Orientierung.

Hinzu kommt, dass strafrechtliche Daten nur unter behördlicher Aufsicht verarbeitet werden dürfen. Eine Liste über Straftäter_innen, ihre Delikte oder die verhängten Strafen, dürfen also nicht veröffentlicht werden.

Grundsätzliche Regelungen in der DSGVO

Nicht alle Ideen und Regelungen der DSGVO sind neu. Viele fanden sich auch bereits sehr ähnlich im bisherigen deutschen Bundesdatenschutzgesetz. Neu sind allerdings die möglichen Strafen bei Verstößen, die deutlich höher ausfallen als bisher.

Da die DSGVO als europaweite Verordnung noch sehr neu ist, werden in der alltäglichen Umsetzung immer wieder Situationen auftreten, die nicht klar mit dem Verordnungstext und dem neuen begleitenden Bundesdatenschutzgesetz zu klären sind. Hier sind in den kommenden Jahren zahlreiche Gerichtsentscheidungen zu erwarten, die die Auslegung weiter konkretisieren. Daher sollte man sich auf jeden Fall neben den eigentlichen DSGVO-Artikeln auch die sog. »Erwägungsgründe« (ErwG) ansehen, die der DSGVO vorangestellt sind.

Eigentlich ist die Umsetzung ganz einfach: Als Faustregel zur Umsetzung der DSGVO sollte man verinnerlichen, dass Betroffene jeglicher Datenverarbeitung aktiv zustimmen und über die Vorgänge Bescheid wissen müssen.

Aber welche Leitlinien finden sich nun wirklich in der DSGVO? Hier eine Zusammenfassung:

  • Transparenz der Datenverarbeitung: Die DSGVO verlangt, dass Betroffene darüber zu informieren sind, wie ihre personenbezogenen Daten verarbeitet werden. Es ist wichtig, dass die Betroffenen dabei verstehen können, was genau diese Verarbeitung umfasst, wer die Daten in irgendeiner Weise verwendet und wohin die Daten möglicherweise übertragen werden sollen. Betroffene sollen im Umkehrschluss auch verstehen, wo die Grenzen der geplanten Verarbeitungsvorgänge liegen. Alle Verarbeitungsschritte müssen daher von den Verarbeitenden vorab geklärt und dokumentiert sein. Für zusätzliche/neue Nutzungszwecke von erhobenen Daten muss explizit die Zustimmung der betroffenen Personen eingeholt werden. (Art. 5-13)
  • Recht auf Vergessenwerden und auf Berichtigung: Die Inhalte von Daten veralten zwar möglicherweise, aber sie bleiben auf Papier und digital weiter verfügbar. Betroffene bekommen daher das Recht zugesprochen, dass nicht mehr notwendige und nicht mehr genutzte Daten von den Verarbeiter_innen aktiv gelöscht werden. Auch besteht ein Recht darauf, dass falsch erhobene oder falsch verarbeitete Daten berichtigt werden. Über den Umfang und Ursprung der vorhandenen Daten kann man sich dabei jederzeit informieren lassen und kann auch die Zustimmung zur Verarbeitung jederzeit widerrufen. (Art. 15-19, 21)
  • Recht auf Datenübertragbarkeit: Gerade wenn man Dienste im Internet nutzt, in denen man als Nutzer_in Inhalte wie Texte, Fotos oder z.B. Playlisten selbst erstellt, ist man bislang häufig darauf angewiesen diesen Dienst weiter zu nutzen, um die Daten nicht zu verlieren. Ein Wechsel zu einem Alternativanbieter soll künftig leichter werden: Die hinterlegten Daten sollen möglichst automatisiert und maschinenlesbar zu erhalten sein, so dass ein Transfer woanders hin möglich wird. (Art. 20) (Das setzt natürlich voraus, dass ein anderer Dienst auch eine Importmöglichkeit vorsieht.)
  • Privacy by Design, Privacy by Default: Die Anlage von Datenverarbeitungsprozessen, z.B. einem Anmeldeformular, muss so gestaltet sein, dass nur notwendige Daten erhoben werden und standardmäßig die datenschutzfreundlichste Option für die Betroffenen voreingestellt ist. (Art. 25)
  • Kopplungsverbot: Eine Einwilligung zur weiteren Datenverarbeitung muss freiwillig sein und darf nicht zwangsweise mit anderen Aspekten verbunden werden (z.B. Gewinnspiele, deren Teilnahme nur mit künftigen Werbezusendungen möglich gemacht würde) (ErwG 43).
  • Datenminimierung: Es dürfen immer nur diejenigen Daten erhoben und verarbeitet werden, die auch tatsächlich für vorher festgelegte, eindeutige und legitime Zwecke gebraucht werden. Diese Regelung unterscheidet sich vom bisherigen Ideal der »Datensparsamkeit« des alten Bundesdatenschutzgesetzes. Zwar gilt nach wie vor, dass Daten, die nicht vorhanden sind, auch nicht missbraucht werden oder verloren gehen können, aber zugleich möchte die DSGVO auch den Weg für Big-Data-Anwendungen offenhalten: Daten, die akkumuliert analysiert werden können, schaffen ganz neue Möglichkeiten und Anwendungsszenarien. Hier ist sicherlich noch weiterer Klärungsbedarf vorhanden. Ein Geburtsdatum, das man sich »einfach so« im beruflichen Adressbuch notiert hat, würde beispielsweise der DSGVO widersprechen.
  • Verpflichtung zur Bestellung von Datenschutzbeauftragten: Hier handelt es sich eigentlich um keine neue Regelung, da sie auch im alten BDSG vorhanden war. Es gilt, dass ab 10 Personen, die jeweils bestimmte Datensätze bearbeiten können, ein_e geeignete Datenschutzbeauftragte benannt werden muss. (ErwG 97; Art. 37; § 38 BDSG-neu) Klar sollte dabei sein, dass die benannte Person aufgrund ihrer sonstigen Aufgaben keine dem Datenschutz widersprüchlichen Interessen haben sollte – als Öffentlichkeitsreferat würde man beispielsweise sicher mehr persönliche Informationen über externe Kontakte vorhalten wollen als wirklich notwendig wären.
  • Meldepflicht: Wenn Daten verloren gehen, muss binnen 72 Stunden eine Meldung bei der zuständigen Datenschutzbehörde gemacht werden (Art. 33). In der Regel liegt die Zuständigkeit bei den jeweiligen Landesdatenschutzbehörden, auch bei bundesweiten Trägern. Die 72-Stunden-Frist gilt dann, wenn durch den Datenverlust ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht, also ein materieller oder immaterieller Schaden auftreten kann.

Exkurs: Das Recht am eigenen Bild – ein Fall für die DSGVO?

Nicht alle datenschutzrelevanten Regelungen finden sich in der DSGVO. Beispielsweise ist das Recht am eigenen Bild dort nicht explizit geregelt. Dieses Recht ist als besondere Ausprägung des allgemeinen Persönlichkeitsrechts stattdessen im Kunsturhebergesetz zu finden. Die dortigen Regelungen sind weitgehend ins Allgemeinwissen eingesickert und lassen sich folgendermaßen zusammenfassen:

  • Abbildungen einer (erkennbaren) Person dürfen nur weitergegeben werden, wenn von ihr eine Einwilligung vorliegt. Bei einer vereinbarten Entlohnung gilt diese Einwilligung als erteilt, auch wenn sie nicht separat thematisiert wurde.
  • Generell keine Einwilligung wird benötigt, wenn es sich um Personen der Zeitgeschichte handelt, wenn die abgebildeten Personen ganz offensichtlich nur als Beiwerke in einem Bild auftauchen (also klassisch ins Bild gelaufen) oder wenn es sich um große Menschenansammlungen handelt, die abgebildet werden.
  • Ein paar Sonderfälle gibt es natürlich zu beachten: »Berechtigte Interessen« dürfen nicht verletzt werden. Das würde in Fällen gelten, in denen abgebildete Personen z.B. in einem Zeugenschutzprogramm aufgenommen sind oder sie durch die Abbildung anderweitig in Gefahr gebracht würden.
  • Nach dem Tod einer Person gilt, dass noch 10 Jahre lang eine Einwilligung der Angehörigen erforderlich ist.

Ähnlich wie bei der DSGVO gilt auch hier: Die Beweislast für eine Einwilligung liegt bei denjenigen, die die Bilder verwenden wollen, nicht bei der abgebildeten Personen.

Die Einwilligung zur Datenverarbeitung

Nicht in allen Aspekten ist die DSGVO anspruchsvoller als frühere Regelungen. Für eine wirksame Einwilligung zur Datenverarbeitung ist bspw. künftig die Schriftform nicht mehr die Regel (ErwG 32). Sogar eine stillschweigende Einwilligungserklärung ist zulässig, sofern der Wille der/des Betroffenen eindeutig erkennbar ist. Das wäre z.B. der Fall, wenn man Mitglied eines Vereins wird. Dann ist davon auszugehen, dass man sicher regelmäßig über anstehende Aktivitäten eines Vereins informiert werden möchte – warum wäre man sonst beigetreten?

Im Zweifelsfalls ist es jedoch so, dass Verarbeitende eine Einwilligung der Betroffenen nachweisen müssen, daher wird eine Schriftform dennoch eher die Regel bleiben. Generell vorgeschrieben ist die Schriftform für die Verarbeitung von »besonderen« (sensiblen) personenbezogenen Daten.

Die DSGVO erwartet allerdings hinsichtlich der Einwilligung in gewisser Weise die Quadratur des Kreises: Die Erklärungen sollen in verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache vorliegen, so dass andere Sachverhalten klar zu unterscheiden sind. Andererseits sollen die Betroffenen auch umfassend informiert werden – ob eine 40seitige Datenschutzerklärung allerdings noch leicht zugänglich und verständlich bleibt, sei dahingestellt.

Einwilligungen können jederzeit widerrufen werden. Die bis dahin erfolgte Datenverarbeitung bleibt gültig, sofern sie zum Verarbeitungszeitpunkt rechtlich in Ordnung war.

Nun nochmal genau: Was alles sind personenbezogene Daten?

In der Vergangenheit mussten mehrfach Gerichte darüber befinden, was als personenbezogene Daten zu werten ist. Die DSGVO legt den Begriff sehr umfassend aus: Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. »Identifizierbar« bedeutet hierbei direkt und indirekt, insbesondere bei Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen (physisch, physiologisch, genetisch, psychisch, wirtschaftlich, kulturell oder sozial). Hinsichtlich der oft umstrittenen Einschätzung zu IP-Adressen ist die DSGVO also ganz klar – IP-Adressen werden als personenbezogene Daten eingestuft.

Auch was als möglicher Schaden für die betroffene Person zu werten ist, wird in der DSGVO erläutert (ErwG 75): Dies umfasst materielle und immaterielle Aspekte wie Diskriminierung, Rufschädigung, Identitätsdiebstahl oder einen finanziellen Verlust.

Wer muss die DSGVO befolgen?

Die DSGVO unterscheidet (im Gegensatz zum BDSG) nicht zwischen öffentlichen und nicht-öffentlichen Stellen. Hierbei bestehen aber ein paar Einschränkungen, wie Bereiche der Gefahrenabwehr, Strafverfolgung sowie allgemeiner Rechtfertigung bei öffentlichem Interesse und Ausübung öffentlicher Gewalt.

Die DSGVO greift nicht bei ausschließlich persönlicher oder familiärer Tätigkeit (ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit), z.B. bei einem rein privaten Adressbuch oder bei der privaten Nutzung sozialer Netze und ähnlicher Online-Tätigkeiten.

Die DSGVO gilt jedoch für die Verantwortlichen oder Auftragsverarbeiter, die die Instrumente für die Verarbeitung personenbezogener Daten für solche persönlichen oder familiären Tätigkeiten bereitstellen. Daher sind auch nicht-kommerzielle Angebote von Verpflichtungen aus der DSGVO betroffen.

Generell gilt das »Marktortprinzip«: Jede in der EU angebotene Tätigkeit oder Leistung, egal von wo aus diese angeboten wird, fällt unter die DSGVO. Auch Aufgaben, die durch externe Dienstleister als Auftrags(daten)verarbeitung erfolgen (Art. 28), fallen darunter.

Die unterschiedlichen Pflichten behandeln wir in Teil 2 der Artikelserie.

Das Cookie-Problem

Wer kennt es nicht: Beim Aufrufen einer Website erscheint unvermittelt eine farbige Box mit einem Hinweis wie »Wir nutzen Cookies. Hier OK klicken.«. Etwas ratlos akzeptiert man das »OK«, aber vor allem deshalb, weil die Hinweisbox Teile der eigentlich gesuchten Inhalte überdeckt. Wofür Cookies auf der betreffenden Website konkret genutzt werden, erfährt man in der Regel nicht. Eine Option zur Ablehnung der Cookies wird in nahezu keinem Fall angeboten.

Bereits 2002 hat die EU die »Datenschutzrichtlinie für elektronische Kommunikation« (ePrivacy-Richtlinie) herausgegeben, die von den Mitgliedsstaaten dann in nationale Gesetze gegossen werden sollte. In Deutschland wurde dazu mit etwas Verspätung und erst nach einem von der EU eingeleiteten Vertragsverletzungsverfahren das Telekommunikationsgesetz 2004 neu gefasst. Die ePrivacy-Richtlinie beinhaltet Mindestvorgaben für den Datenschutz in der Telekommunikation wie beispielsweise das Mithören von Telefongesprächen und das Abfangen von E-Mails zu verbieten. Diese Richtlinie wurde 2009 durch die »Cookie-Richtlinie« ergänzt, die eine ausdrückliche Einwilligung verlangt, damit Websites Cookies setzen dürfen. In Deutschland wurde diese Richtlinie jedoch offenbar nie in nationales Recht überführt, daher gilt hierzulande im Wesentlichen noch der Stand nach der ePrivacy-Richtlinie von 2002.

Derzeit wird zwischen den EU-Institutionen eine europaweit direkt geltende »ePrivacy-Verordnung« verhandelt, die die DSGVO im Bereich der Telekommunikation ergänzen soll: Zu erwarten sind klarere Regelungen zu Online-Tracking durch Cookies oder ähnliche Technologien und zu E-Mail- und Telefon-Marketing. Es ist davon auszugehen, dass hier entlang der Prinzipien der DSGVO künftig immer eine ausdrückliche Einwilligung vorausgesetzt wird, statt wie bisher im deutschem Recht das nur nachträgliche Ablehnen durch ein »Opt-out«.

Auch wird vermutlich die Unterscheidung zwischen pseudonymem und personenbezogenem Tracking aufgegeben, was das Ausspähen von Nutzer_innen zumindest erschweren wird. Ein Aussperren bei Cookie-Ablehnung soll untersagt werden; zudem sind nur noch wirklich erforderliche Cookies zulässig (bspw. für Login-Systeme, persönlich präferierten Einstellungen, Warenkorb- oder Kommentarfunktionen). Auch bei der Datenerhebung durch Drittfirmen könnte ein verbraucherfreundlicher Einwilligungsvorbehalt eingeführt werden.

Die endgültigen Regelungen der ePrivacy-Verordnung stehen noch nicht fest, da sie immer noch verhandelt werden. Ein Inkrafttreten ist daher auch nicht vor dem Frühjahr 2019 zu erwarten.

Grenzen des Datenschutzes

Die DSGVO enthält einige Regelungen, die eine Daten(weiter)verarbeitung auch ohne die sonst notwendigen Einwilligungen der betroffenen Personen erlaubt. Diese Ausnahmen sind wissenschaftliche und historische Forschungs- und Statistikzwecke oder auch ein öffentliches Interesse zur Archivierung (Art. 89).

Weiterhin umstritten ist das von der DSGVO separat vereinbarte EU-US Privacy Shield, das die Datenverarbeitung europäischer Daten durch US-amerikanische Firmen regeln sollte. Die vorherige, als Safe-Harbor-Abkommen bekannt gewordene Vereinbarung hatte der Europäische Gerichtshof 2015 für ungültig erklärt. Das an dessen Stelle getretene »Privacy Shield« umfasst seit Februar 2016 ein umfangreicheres Regelungspaket. Unter Anderem wurde eine Beschwerdestelle für EU-Bürger_innen eingerichtet. Umstrittener Kern des Privacy Shields ist jedoch, dass sich US-Unternehmen lediglich in eine Selbstverpflichtungsliste eintragen lassen müssen und damit automatisch die Anerkennung von europäischen Datenschutzbestimmungen angenommen wird – allerdings unter US-Judikative. Es ist davon auszugehen, dass auch das EU-US Privacy Shield weiter nachgebessert werden muss.

Datenschutz ist immer auch Schutz vor Datenverlust und ungewollter Datenlöschung. Allerdings hat das 2017 eingeführte Netzwerkdurchsetzungsgesetz (NetzDG) bewirkt, dass bewusst im Internet veröffentlichte Daten teilweise ohne Vorwarnung gelöscht werden: Das NetzDG verpflichtet Betreiber_innen sozialer Netzwerke ab 2 Mio. Nutzenden »offensichtlich rechtswidrige Inhalte innerhalb von 24 Stunden« nach Eingang einer Beschwerde zu löschen oder sperren (das NetzDG verschärfte § 14 Abs 2 TMG). Innerhalb dieses engen Zeitrahmens können Löschanfragen allerdings kaum ausführlich juristisch geprüft werden – die Betreiber_innen werden daher zu privatwirtschaftlichen Zensureinrichtungen und löschen vorsichtshalber zu viel als zu wenig.

Nützliche (und verlässliche) Informationsquellen

DSGVO:
dsgvo-gesetz.de
mit hilfreichen Verlinkungen zu den Erwägungsgründen und der neuen Fassung des BDSG

Umfassendes Infoportal der Datenschutzbehörden:
www.lda.bayern.de/de/datenschutz_eu.html
mit Kurzanleitungen, interaktivem Selbsttest, Vorlagen

Hilfestellung für kleine Unternehmen und Vereine:
www.lda.bayern.de/de/kleine-unternehmen.html

Hinweis: Der DBJR beschäftigt keine_n Jurist_in. Alle Informationen sind nach besten Wissen zusammengetragen, können aber keine Fachberatung ersetzen.

Wir möchten euch einladen auch die Kommentarfunktion aktiv zu nutzen, eure Erfahrungen, Fragen und Probleme mit uns und allen Leser_innen zu teilen.

In Teil 2 der Artikelreihe beschäftigen wir uns mit konkreten Umsetzungsmaßnahmen, die für das Feld der Jugendarbeit und für Jugendorganisationen anstehen. Tipps und Materialien sollen die Umsetzung erleichtern.

Artikelserie zur Datenschutzgrundverordnung (DSGVO)

Symbolfoto(Foto Evan Kirby | Unsplash)

Ab dem 25. Mai greift die neue Datenschutzgrundverordnung (DSGVO). Damit gelten europaweit erstmals einheitlich dieselben Regeln zum Datenschutz. Das ist zuerst einmal eine gute Sache: Firmen und andere Anbieter können sich nicht mehr einseitig auf die ihnen genehmste Regelung zurückziehen.
Zugleich stellt die Umsetzung der DSGVO alle Betroffenen, darunter auch Verbände und die Jugendarbeit, vor große Herausforderungen. In einer dreiteiligen Artikelserie wollen wir einen Überblick über die Datenschutzsituation durch die DSGVO und damit verbundener Regelungen geben, Tipps zur Umsetzung in der Jugendarbeit zusammentragen und die Auskunfts-, Berichtigungs- und Löschrechte für alle Betroffenen vorstellen.

1) Die Datenschutzgrundverordnung – worum geht’s?
2) Die Datenschutzgrundverordnung – was muss ich machen?
3) Die Datenschutzgrundverordnung – welche Rechte habe ich dadurch?
4) »Keine Angst vorm Datenschutz« (Workshop-Präsentation)

Vorab: Der DBJR beschäftigt keine_n Jurist_in. Alle Informationen sind nach besten Wissen zusammengetragen, können aber keine Fachberatung ersetzen.

Wir möchten euch einladen die Kommentarfunktion aktiv zu nutzen, eure Erfahrungen, Erkenntnisse, Fragen und Probleme mit uns und allen Leser_innen zu teilen.