In eigener Sache: Warum die neue DSGVO nervt
Seit heute gilt in der EU die neue Datenschutzgrundverordnung, kurz DSGVO. Das Thema ist in den Medien sehr präsent, weshalb ich hier nicht groß erklären möchte, worum es dabei geht. Kurz gefasst vereinheitlicht diese Verordnung die die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen. Bei Interesse könnt ihr bei SPIEGEL Online mehr erfahren.
Dieser Beitrag ist einfach nur ein persönlicher Kommentar zur neuen Verordnung aus Sicht eines Beitreibers eines kleinen Blogs. Er hat nichts mit dem eigentlichen Inhalt dieses Blogs zu tun, aber ich habe mich die ganze Woche damit rumgeschlagen. Da ich von der Verordnung inzwischen ziemlich genervt bin, möchte ich kurz darüber schreiben.
Datenschutz gerne, aber bitte richtig
Ich bin selbst ein großer Befürworter von strengeren Datenschutzbestimmungen und finde die Idee einer vereinheitlichten Verordnung sehr gut. Die bisherigen Regelungen reflektierten zudem auch nicht mehr die aktuellen Herausforderungen beim Thema Datenschutz und Privatsphäre, gerade im Bereich der sozialen Netzwerke und Big-Data-Anwendungen.
Die praktische Umsetzung dieser eigentlich unterstützenswerten Idee ist aber nicht gut gelungen. Ich vertrete diese Meinung, weil man die DSGVO technikunabhängig formuliert hat und das Resultat extrem vage ist. Konkret wird kaum definiert, welche Daten wie behandelt werden müssen.
Stattdessen sind die Formulierungen so vage gehalten, dass sich selbst Experten beispielsweise immer noch nicht einig sind, ob für Tracking-Cookies ein Opt-In erforderlich ist. Cookies sind kleine Dateien, die auf eurem Computer gespeichert werden, damit eine Website euch beim nächsten Besuch wiedererkennt. Cookies können persönliche Einstellungen speichern, euch personalisierte Inhalte anzeigen usw. Aus datenschutzrechtlicher Sicht sind Cookies also ein zentrales Thema. Wenn dazu tatsächlich ein Opt-In erforderlich ist, müsstet ihr jedes Mal ausdrücklich zur Verwendung von Cookies zustimmen – standardmäßig würden Websites also ohne Cookies arbeiten müssen. Dass solche zentralen Fragen nicht geklärt sind, ist für mich unverständlich.
Wie ich die DSGVO umgesetzt habe
Das erschwert dann selbst für kleine Blogger wie mich die Umsetzung dieser Verordnung. Ich verwende auf dieser Website zwar keine eigenen Cookies, aber ein paar WordPress-Plugins und Google Analytics tun das, um z.B. die Besucherentwicklung zu analysieren oder einfach nur, damit ihr in der Kommentarfunktion nicht jedes Mal eure Daten erneut eingeben müsst.
Die meisten dieser Dinge sind noch relativ einfach mit Disclaimern in der Datenschutzerklärung und einem DSGVO-konformen Update des entsprechenden Plugins, z.B. für die Kommentarfunktion oder den Newsletter, zu lösen.
Wenn man sich aber ein bisschen detaillierter mit dem Thema auseinandersetzt, stellt man fest, dass man gar nicht weiß, welche Plugins eigentlich nicht DSGVO-konform sind. Auf BoardingArea schützen wir beispielsweise die Kommentarfunktion mit einem Spam-Filter (80-90% aller Kommentare sind ohne Zweifel Spam). Wenn ihr zum ersten Mal einen Kommentar hinterlasst, muss ich diesen trotzdem manuell freischalten. Die Seite merkt sich aber eure Email-Addresse und euren Namen, und ab eurem zweiten Kommentar werden diese automatisch freigeschaltet – sofern sie durch den Spam-Filter kommen, natürlich. Was den Schutz eures Namens und eurer Email-Addresse angeht, ist die Verordnung noch einfach zu interpretieren. Für den Spam-Filter werden aber logischerweise IP-Addressen gespeichert. Leider definiert die DSGVO nicht, wie man damit umgehen muss.
Eure IP-Addresse wird ja schließlich bei jedem Aufruf einer Website verarbeitet. Sonst wüsste der Server nämlich gar nicht, wohin er die Website schicken soll. Auf Nach Irgendwo wird von BoardingArea in den USA gehostet. Auch hier ist mir weiterhin unklar, ob das DSGVO-relevant ist.
Das Ganze geht bis in die lächerlichsten Details: Selbst für automatisch generierte Emojis ist ein Absatz in der Datenschutzerklärung nötig.
Fazit
Fragen über Fragen… Die Umsetzung der DSGVO ist aus Sicht eines Webseitenbetreibers der Horror. Ich möchte gar nicht wissen, wie aufwändig das bei einem größeren Unternehmen ist. Hoffentlich werden die vielen Unklarheiten Punkte bald offiziell geklärt. Ich habe hier nur ein paar Beispiele genannt, zu denen ich widersprüchliche Informationen gefunden habe.
Von nun an geht es wieder um Flugzeuge, Meilen und Punkte. Darauf einen DSGVO-konformen Emoji: 😉