Bußgelder bei Datenschutzverstößen: Angst vor einem Phantom

Der mediale Fokus auf verschärfte Sanktionsmöglichkeiten bei Datenschutzverstößen führt in die Irre und schadet dem Anliegen der DSGVO, meint der Jurist Malte Engeler. Schon bisher schöpfen die Aufsichtsbehörden die ihnen zur Verfügung stehenden Mittel nicht aus. Dass auf die Ära der Zurückhaltung nun die Zeit der Unverhältnismäßigkeit folgt, ist unwahrscheinlich.

Mann mit herumfliegenden Papier
Überforderung durch Bürokratie? Keine Panik. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Dmitry Ratushny

Man mag darüber streiten, ob die ab 25.05.2018 geltende Datenschutz-Grundverordnung (DSGVO) der große Wurf oder doch nur alter Wein in neuen Schläuchen ist. Während die einen sie als wichtigen Meilenstein würdigen und den Anpassungsaufwand eher auf dem Niveau unliebsamer Pflichtübungen wie der Steuererklärung sehen, mahnen andere, der Teufel stecke im Detail.

Dass sich Gesetze verändern, alte abgeschafft und neue erlassen werden, ist jedenfalls für Juristinnen nichts Besonderes. Üblicherweise gibt es dann ein paar Fachaufsätze, Konferenzen, Streit über Detailfragen und nach ein paar Jahren Praxis und Gerichtsentscheidungen kehrt wieder Ruhe ein. So kann es der Diskussion um die DSGVO zwar immer noch ergehen, aber derzeit sieht das Bild anders aus. Die DSGVO polarisiert. Selbst außerhalb professioneller Kreise wird auf bemerkenswert leidenschaftliche Weise darüber gestritten, ob dank ihrer die digitale Dystopie gerade noch abgewandt werden konnte oder ob sie der Anfang vom Ende des freien Netzes ist.

Das ist einerseits nicht überraschend. Immerhin erfasst die DSGVO jedwede automatisierte Verarbeitung personenbezogener Daten, die über den rein privaten Bereich hinausgeht. Und die Sorge Einzelner, dass Twitter-Unterhaltungen, Hobbyfotografie oder Blogs von einem „Bürokratiemonster“ erdrosselt werden, ist nun einmal sehr viel näher an unserer Lebensrealität, als es die vielen anderen Gesetze sind, die eher im Hintergrund mit teilweise erheblichen Folgen unseren Alltag beeinflussen.

Andererseits ist die Emotionalität, mit der die DSGVO derzeit thematisiert wird, doch auch erstaunlich. Denn Datenschutzgesetze mit einem ähnlich weitreichenden Anwendungsbereich gibt es seit Jahrzehnten und die der DSGVO zugrundliegenden Begriffe sind seit Langem etabliert: Personenbezogene Daten, Verantwortlichkeit, technische und organisatorische Maßnahmen sowie Informations- und Dokumentationspflichten kannten schon das bisherige Bundesdatenschutzgesetz (BDSG) und die alte EU-Datenschutz-Richtlinie von 1995.

Aus dem Ruder gelaufene Debatte

Was also führt jetzt dazu, dass einzelne Blogger und Entwickler anlässlich der DSGVO ihre Webseiten abschalten oder Unternehmen ihre Anwendungen dem europäischen Markt vorenthalten? Liegt all das wirklich an der DSGVO, die mit ihren kleinen, aber feinen, Ergänzungen hier und da mehr Selbstkontrolle einfordert, strengere Anforderungen stellt oder weitergehende Dokumentationspflichten auferlegt? Ja und Nein.

Natürlich wäre es unredlich, den Aufwand, den die Anpassung (oder gar ihre erstmalige Befolgung) an die DSGVO für Einzelpersonen bedeutet, leichtfertig wegzuwischen. Auch ist es berechtigt und notwendig, auf systematische Widersprüche in (neuen) Gesetzeswerken hinzuweisen, die sich daraus ergeben können, dass Vorgaben, die im Kern für große Unternehmen gedacht sind, auf jederfrau angewendet werden sollen. Trotzdem ist all das wahrlich nichts Neues. Kein Gesetz ist frei von juristischen Streitigkeiten und warum sollte das bei der DSGVO anders sein? Das Sprichwort „Zwei Juristinnen, drei Meinungen“ kommt leider nicht von ungefähr. Die Gründe für die – man muss es wohl leider so nennen – Angst vor der DSGVO, dürften daher im Kern zwei andere sein: Erstens der immens erhöhte Bußgeldrahmen, der bei Verstößen gegen die Vorgaben der DSGVO droht und zweitens die Sorge um Abmahnungen.

Während die Expertinnen bezüglich der Abmahnrisiken aber noch heiß diskutieren [PDF], ob und wie hoch die Risiken nach Geltungsbeginn der DSGVO überhaupt sind, scheint das Thema Bußgelder sehr viel greifbarer geworden zu sein. Wo das alte BDSG für formelle Fehler (z.B. einen nicht bestellten Datenschutzbeauftragter) maximal 50.000 € und für inhaltliche Verstöße (z.B. eine unerlaubte Datenweitergabe an Dritte) maximal 300.000 € Bußgeld in Aussicht stellte, sieht die DSGVO nun einen Rahmen von bis zu 4 Prozent des Jahresumsatzes beziehungsweise 20 Millionen € vor – je nachdem, was höher ist.

Rechtspolitisch ist diese Erhöhung natürlich nachvollziehbar. Soll der Sanktions- und Präventionsgedanke eines Bußgelds irgendeine Wirkung entfalten, so muss es mit der gewachsenen wirtschaftlichen Bedeutung der Datenverarbeitung Schritt halten. Auch geben derart bedrohliche Zahlen den notorisch ignorierten Datenschutzbeauftragten in den Unternehmen und Behörden handfeste Argumente, sich Gehör zu verschaffen.

Und doch ist genau hier die aktuelle Debatte heillos aus dem Ruder gelaufen. Praktisch kein Bericht über die DSGVO kommt ohne den einleitenden Hinweis auf die vier-Prozent-Grenze oder die 20-Millionen-Marke aus. Bevor überhaupt eine inhaltliche Aufarbeitung mit den jeweiligen Themen stattfindet, muss so jeder Leserin zwangsläufig das Herz in die Hose rutschen. Die DSGVO ist damit auf dem besten Weg, den in der Öffentlichkeit bisher vorhandenen Rückhalt nicht nur zu verspielen, sondern in wutschnaubendes Unverständnis, über so viel bürokratische Überforderung zu verwandeln. Die vorrangig mit Blick auf die Netzgiganten gemünzte Drohkulisse der DSGVO droht so einen immensen Kollateralschaden zu verursachen.

Anspruch und Wirklichkeit der Datenschutzaufsicht

Dr. Malte Engeler ist Richter und war zuvor stellvertretender Leiter des aufsichtsbehördlichen Bereiches im Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein. - Alle Rechte vorbehalten privat

Das ist umso bedauerlicher, weil vieles dafür spricht, dass diese Drohkulisse mindestens eine Übertreibung oder gar nur eine Fassade ist. Schaut man sich nämlich die derzeitige und vergangene Vollzugspraxis der Aufsichtsbehörden sowie deren ehemaligen und zukünftigen Befugnisse genauer an, zeigt sich, dass der einseitige Fokus auf Bußgelder nicht nur das Wohlwollen verspielen könnte, dass das Thema Datenschutz sich erarbeitet hat. Nein, diese Schieflage droht auch zu entblößen, wie schlecht es tatsächlich um den verlässlichen und flächendeckenden Vollzug der Datenschutzgesetze in Deutschland steht.

Zu diesem Ergebnis kommt man, wenn man sich vor Augen führt, welche Botschaft mit der ständigen Betonung der neuen erhöhten Bußgeldrahmen einhergeht. Jedenfalls unausgesprochen ist doch immer die Andeutung enthalten, dass der bisherige Rahmen einfach nicht hoch genug war, um dem Datenschutz zu einer effektiven Durchsetzung zu verhelfen. Der hessische Aufsichtsbehördenchef wird sogar mit den Worten zitiert: „Wir waren zahnlos und haben jetzt Zähne bekommen.“ Zwar wird das Zitat ergänzt durch ein „Das heißt nicht, dass wir bissig geworden sind“, die Botschaft ist trotzdem deutlich: „Bisher waren den Behörden die Hände gebunden, aber jetzt sind sie endlich schlagkräftig“.

Diese Darstellung könnte allerdings nicht irreführender sein, denn seit Jahren stehen den Behörden die im alten BDSG enthaltenen Bußgeldrahmen zur Verfügung. Ausgenutzt haben sie diesen jedoch nur in überschaubarer Häufigkeit und auch nur in moderater Höhe – wenn überhaupt bindende Bescheide erlassen wurden. Die Tätigkeitsberichte der Datenschutzbeauftragten enthalten zwar nur selten konkrete Angaben zur Höhe der verhängten Bußgelder. Dort, wo konkrete Zahlen zu finden sind, zeigt sich aber, dass man sich im eher unteren Mittelfeld aufhielt.

Die Hamburgische Behörde nennt in ihrem Bericht [PDF] für den Zeitraum 2016 bis 2017 beispielsweise ein Bußgeld in Höhe von 15.000 €. Das Bayerische Landesamt schildert in seinem Tätigkeitsbericht [PDF] aus den Jahren 2013 und 2014, dass in diesen zwei Jahren zwar beachtliche 117 Bußgeldverfahren geführt wurden, die meisten allerdings ohne Sanktion eingestellt wurden. Nur in 37 Fällen wurde ein Bußgeld verhängt und alle Bußgelder zusammen summierten sich auf rund 200.000 €.

Davon, dass für Bagatellen Maximalbußgelder verhängt (und auch gerichtlich akzeptiert) wurden, kann also keine Rede sein. Ganz im Gegenteil, in vielen Fällen – so die Tätigkeitsberichte der Datenschutzbehörden – wurden die Bußgelder sogar noch auf eingelegten Einspruch der Beschuldigten durch die Amtsgerichte reduziert. Und bei alledem ist noch nicht einmal berücksichtigt, dass die Aufsichtsbehörden auch nach altem Recht bereits die Möglichkeit hatten, ohne Obergrenze auch den durch die Datenschutzverstöße erzielten Gewinne abzuschöpfen. Es ist mit Blick auf die bisherige Praxis der Behörden deshalb schlicht unrealistisch, ab Geltungsbeginn der DSGVO nun zum Beispiel wegen kleinsten Fehlern in einer Datenschutzerklärung, Millionenbußgelder zu fürchten.

Bußgelder müssen verhältnismäßig sein

Anzusprechen ist in diesem Zusammenhang allerdings eine Äußerung des Hamburgischen Aufsichtsbehördenleiters, der im Rahmen einer Fachtagung mit der Aussage zitiert wurde, nun alle Bußgelder entsprechend dem Verhältnis der alten und neuen Maximalsummen mit dem Faktor 67 multiplizieren zu wollen. Das passt insofern ins Bild, als dass die hamburgische Behörde – soweit ersichtlich – diejenige deutsche Aufsichtsbehörde ist, die mit der derzeit höchsten Gesamtsumme von einer Million Euro aufwarten kann. Dabei handelt es sich allerdings nicht um ein Bußgeld, sondern um ein verwaltungsrechtliches Zwangsgeld im Zusammenhang mit der Verarbeitung der Daten von Whatsapp-Nutzern durch Facebook.

Beides ändert jedoch nichts daran, dass die Bußgeldhöhe immer schon an den wirtschaftlichen und persönlichen Verhältnissen der Verantwortlichen zu messen war. Eine Hobbybloggerin wird aber nun einmal nicht automatisch wohlhabender, nur weil der maximale Bußgeldrahmen erhöht wird. Stattdessen wird auch nach der DSGVO eine im Einzelfall verhältnismäßige Bußgeldhöhe zu verhängen sein, die angesichts der wirtschaftlichen Verhältnisse der Webseitenbetreiberin eine effektive, aber keine unverhältnismäßige Wirkung entfaltet.

Der Fokus auf diesen neuen Bußgeld-Maximalrahmen erweckt den Eindruck, dass die Datenschutzbehörden nun mit eisernem Besen durch die Blogs und Webseiten fegen und sich dabei auf den Erlass von Bußgeldbescheiden konzentrieren werden. Verstärkt wird diese Wahrnehmung dadurch, dass selbst bekannte Datenschutz-Fürsprecher wie Jan-Philipp Albrecht oder Max Schrems mit geradezu martialischen Statements wie „Es wird kein Pardon geben“ und „Begging For The 4 Percent“ Stimmung machen. Und natürlich kommt eine möglichst große Verunsicherung auch all jenen entgegen, deren Rechtsberatungs- und Compliance-Dienstleistungen von diesem Mix aus Rechtsunsicherheit und Drohkulisse profitieren. Nicht ohne Zynismus sprechen einige davon, dass die DSGVO vor allem die Anwältinnen gut verdienen lässt. Die entscheidenden Akteure bei alledem ignorieren diese Stimmen jedoch: Die Aufsichtsbehörden. Sie sind es schließlich, die als Bußgeldverantwortliche die aufgebaute Drohkulisse wahr machen sollen.

Bedingt aufsichtsbereit

Eben diese Aufsichtsbehörden allerdings betonen mittlerweile immer offener, dass sie selbst noch nicht einmal fit für die Anforderungen der DSGVO sind. Der Baden-Württembergische Behördenleiter schätzte beispielsweise, dass ein Drittel der Aufsichtsbehörden gar nicht in der Lage ist , adäquat auf Verstöße zu reagieren. Die Nordrhein-Westfälische Aufsichtsbehördenleiterin musste eingestehen, vor Ende des Jahres die von der DSGVO geforderte Online-Meldemöglichkeit von Datenschutzbeauftragten gar nicht anbieten zu können und daher unterlassene Meldungen auch nicht ahnden zu wollen. Die Schleswig-Holsteinische Aufsichtsbehörde schließlich schaltete eine Woche vor Geltungsbeginn der DSGVO aus Überforderung schlicht das Telefon für Beratungsanfragen ab. Europaweit sieht es nicht viel besser aus. Wer vor diesem Hintergrund die Sorge schürt, eben diese Behörden werden ab dem 25.05.2018 in bisher ungeahnter Art und Weise zum Vollzug übergehen, stellt im Namen der Aufsichtsbehörden einen Scheck aus, den diese unter Umständen nicht werden einlösen können.

Die ständige Betonung der Bußgelder lenkt darüber hinaus auch von der Tatsache ab, dass zu den ureigenen Aufgaben der Aufsichtsbehörden gleichrangig neben der Durchführung von Bußverfahren auch die aktive Behebung von Mängeln in der Datenverarbeitung steht. Nicht allein die Ahndung vergangener Verstöße, sondern vor allem auch die Behebung bestehender Mängel gehört zu den Befugnissen der Behörden. Wenn etwa auf einem Blog das Tracking via Google Analytics nicht korrekt konfiguriert ist, kann die Aufsichtsbehörde zunächst einmal konkrete Maßnahmen anordnen, die nötig sind, um einen rechtskonformen Einsatz herzustellen. Ob daneben oder darüber hinaus überhaupt ein Bußgeld für den fehlerhaften Einsatz angemessen ist, hängt vom Einzelfall ab. Ebenso denkbar und im Ermessen der Aufsichtsbehörde steht es, dass kein Verfahren eingeleitet wird oder dass statt eines Bußgeldes nur eine Verwarnung erteilt wird.

Eine Hypothek für den Datenschutz

Und damit tritt schließlich ein letzter Aspekt zutage, der zu der durch die DSGVO ausgelösten Verunsicherung beiträgt: Die Datenschutzbehörden waren bisher schlicht für die allermeisten Bloggerinnen, Hobbyfotografinnen und App-Entwicklerinnen völlig unbekannte Akteure. Während jede Autofahrerin schon einmal in eine Verkehrskontrolle geraten oder einen Strafzettel fürs Falschparken kassiert haben dürfte, gab es im Bereich der Datenverarbeitung bisher praktisch keine flächendeckende Aufsichtstätigkeit. Die DSGVO zerrt damit in gewisser Weise auch die Aufsichtsbehörden selbst ins DSGVO-Scheinwerferlicht, an das diese sich ebenfalls erst einmal gewöhnen müssen.

Wie sie sich auf dieser auch für sie noch neuen Bühne verhalten, ist bisher nicht absehbar. Dass auf die bisherige Ära der Zurückhaltung nun die Zeit der Überreaktion folgt, ist dabei angesichts der weitgehend unveränderten Personalausstattung und strategischen Ausrichtung der meisten Behörden wahrlich nicht das naheliegende Szenario.

Ein dem widersprechendes Bild zu malen, führt daher nicht nur zu unnötiger Verunsicherung zulasten der wohlwollenden Haltung vieler Netzaffiner gegenüber dem Datenschutz. Es könnte sich auch als Eigentor erweisen, wenn durch das Wecken allzu großer Erwartungen letztlich doch nur die Defizite der deutschen Datenschutzpraxis ans Licht gebracht wurden. Damit würden die Chancen, die ein einheitlicher und europaweit koordinierter Datenschutz bedeuten, verspielt.

67 Ergänzungen

  1. Ich betreibe seit 14 Jahren ein kleines Forum für AMIGA User. Jetzt bin auch ich etwas in Panik das Projekt beenden zu müssen. Das Forum ist privat, gehört nur mir und wir haben keine Google oder Social Media Plugins. Auch kommen keine Analyse Tools zum Einsatz. Die Foren Software ist über 10 Jahre alt, Anpassungen kaum möglich und mit https funktioniert die Seite am AMIGA Computer nicht mehr, wofür sie gemacht wurde. Also abschalten?

    1. @aPEX:
      Ohne HTTPS – ja, bitte abschalten. Den du stellst ganz klar und eindeutig die Sicherheit deiner User WISSENTLICH unter Gefahr. Jeder der Zugriff auf den Traffic hat kann diesen lesen(personenbezogenen Daten), modifizieren und die Browser deiner User angreifen.
      Das ist dir sicherlich bekannt und wenn nicht, dann ist es dir jetzt bekannt.
      Würdest du nun die Seite weiter betreiben, würdest du willentlich einen Rechtsbruch begehen.

    2. Ändere den Inhaber deiner Domain in „Mir Egal, Machtnix straße 15, 8050 Dubai“
      Und verzichte auf deutsches Recht

    3. Gerade heute habe ich eine ähnliche Befürchtung von einem anderen Forumbetreiber gehört. Ich halte das für überängstlich. Mein Rat (als Betreiber einer mittelgroßen Portal-Platform) wäre: Stell eine Datenschutzerklärung ein, inspiriert durch eine der vielen Online-Vorlagen die man zur Zeit überall findet, und beschreib die Dinge in einfachen Worten wie sie sind. Deine User werden die Transparenz danken. Abmahn-Kanzleihen werden wohl nach fehlenden Datenschutzerklärungen suchen, aber dass sie vorhandene Datenschutzerklärungen im Detail auf Richtigkeit prüfen ist m.E. nicht zu erwarten, dafür haben auch unterbezahlte Rechtsanwälte keine Zeit. Weis auf Freiwilligkeit, Risiken, Auskunftsrechte und Löschmöglichkeiten hin, und alles ist gut, denke ich. So werde ich das jedenfalls halten. Bangemachen gilt nicht, ich finde die DSGVO im Kern eine gute Sache. (und wer jetzt auf meiner Webseite nachsieht: Nein, das ist noch nicht die entgültige Version sondern eine sehr alte. Die neue kommt bald.)

  2. Ich bekomme aktuell mit wie viele (zu viele) alte Homepages für den AMIGA Computer abgeschaltet werden. Die Seiten sind zum Teil 20 Jahre alt, wurden kaum geupdatet, standen aber immer zur Verfügung und werden nun gelöscht. Der Kollateralschaden der hier entsteht ist noch gar nicht abzuschätzen, denn selbst wenn dieses #!% Gesetz wieder geändert wird, werden die Besitzer einer alten Seite diese nicht wieder reaktivieren. :-( Die Politik hat es schon geschafft das Netz nachhaltig zu zerstören, die Auswirkungen haben wir aber noch nicht mitbekommen. Als Privatperson überfordert mich das Thema trotz 10 Punkte Guides und Generatoren und kein Anwalt konnte mir bisher helfen den Status im Falle einer AMIGA Homepage zu klären.
    Jetzt wird das Gedenken an diesen großartigen Computer aus unserem Gedächtnis getilgt und ich will gar nicht wissen wieviel zigtausend andere Seiten das betreffen wird.

    1. Es gibt eine einfache Lösungsmöglichkeit: Anonymisierung der Beiträge und Abschalten des Loggings von IP-Adressen.

    2. @aPEX:
      Kollateralschaden?? Diese unsichere Seiten gehören geupdatet oder abgeschaltet. HTTPS Zertifikate kosten dank lets encrypt nichts. So kann der finanzielle Aspekt also nicht von Bedeutung sein.
      Es ist auch kein Kollateralschaden wenn Schuhverkäufer bei kleine Kinder heutzutage die Röntgengeräte aus den ca 70er verwenden diese abschaffen müssten. Es wäre eine Straftat diese heute zu verwenden und das ist auch richtig so.
      Etwas gefährliches am Leben zu erhalten weil man es lieb geworden hat ist mutwilliges Schaffen einer Gefahrensituation und gehört geahndet.

      1. Es ist halt etwas bloedsinnig, bei derartigen oeffentlichen Forenseiten grossartig von Unsicherheit zu schwafeln. Das ist so aehnlich wie Ausweiszwang im Cafe, denn jedes Gespraech muss beweisfest dokumentiert werden.

      2. Der Kollateralschaden ist nicht der Verlust unsicherer Datenverarbeitung, sondern das Goodwill der Laien, die sich von der DSGVO überfordert fühlen und dann ggf. Datenschutz mit Bürokratie und sinnloser Förmelei gleichsetzen.

      3. Die wenigen persönlichen Daten, die Benutzer eines Onlineforums dort in der Regel hinterlegen, sind (bis auf wenige Ausnahmen wie E-Mail-Adresse und IP) in der Regel ohnehin für die Veröffentlichung bestimmt. Da hat man ja normalerweise nichtmal den richtigen Namen. In sofern finde ich jetzt nicht, dass es grob unverantwortlich ist hier (zumal aus technischen Gründen!) kein https zu verwenden.

        Man könnte ja vielleicht erreichen, dass http für bestimmte Browser noch ermöglicht wird, und alle anderen werden automatisch auf https weitergeleitet. Beispiel: Nur wenn man einen User Agent-String sendet, der auf Amiga-Browser schließen lässt, dann wird nicht redirected. Oder man packt auf jede Seite mindestens eine Ressource (unsichtbares Bild oder so), die von https geladen wird, und die beim Laden einen HSTS-Header setzt, so dass moderne Browser nach dem ersten Request automatisch nur noch https anfragen.

        In jedem Fall finde ich es schade, wenn sich jetzt viele alte Amiga-Seiten zum Schließen genötigt sehen. Ich stand selbst vor der Frage, ob ich nun ein älteres Community-Forum (ohne Amiga-Bezug) schließen soll, aber habe mich dagegen entschieden. Statt dessen investieren ich jetzt die nötige Arbeit, um die Seite möglichst DSGVO-konform zu gestalten – soweit man das als Nicht-Anwalt eben hinbekommen kann, und selbst die sind sich in vielen Sachen vermutlich noch nicht einig.

        Ich würde mich freuen, wenn andere das auch versuchen anstatt hinzuwerfen. Viele Maßnahmen die ich getroffen habe waren ohnehin sinnvoll, und manches was die DSGVO vorschreibt und was sich vielleicht erstmal abschreckend anhört (Auftragsverarbeitungsvertrag mit dem Hoster? https einrichten?) ist deutlich einfacher als man zuerst denken mag.

        Übrigens, https ist wie ich gerade gelesen habe wohl schon seit 2016 Pflicht wenn man persönliche Daten erhebt (durch das Telemediengesetz). So manche anderen Sachen bei denen viele jetzt Panik bekommen gelten auch schon länger. Was ändert sich also jetzt was da angeht für deine Seite?

        Also würde ich Raten: ruhig bleiben, Probleme so gut es mit vertretbarem Aufwand geht abstellen (insbesondere solche, die man auf der Seite sofort erkennen kann, wie eine fehlende Datenschutzerklärung) und abwarten. Ich halte es für unwahrscheinlich, dass jetzt eine riesige Klagewelle mit horrenden Bußgeldern auf kleine Communityseiten losrollt.

        1. @medo

          Zitat:
          Die wenigen persönlichen Daten, die Benutzer eines Onlineforums dort in der Regel hinterlegen, sind (bis auf wenige Ausnahmen wie E-Mail-Adresse und IP) in der Regel ohnehin für die Veröffentlichung bestimmt. Da hat man ja normalerweise nichtmal den richtigen Namen. In sofern finde ich jetzt nicht, dass es grob unverantwortlich ist hier (zumal aus technischen Gründen!) kein https zu verwenden.

          Antwort:
          Völlig falsch!!! Login mit Benutzername und Passwort ohne https ist eindeutig grob fahrlässiges Handeln. PN-Nachrichten in Foren die PN(Private Nachricht) heißen, durch ein http login alle bisherigen Nachrichten für jedermann der den Traffic mitliest zugänglich macht(man hat danach das login-passwort) ist eindeutig strafbar.
          Zudem denkt der https-user durch das senden einer PN an anderen User, dass die Kommunikation privat ist. Ist sie aber eben nicht und ist von jedermann im traffic abgreifbar, da der https user nicht weiß ob der andere user http oder https nutzt.
          Hört bitte auf irgendwelche Workarounds für unsichere Systeme zu bauen damit die Systeme weiterhin eindeutig unsicher betrieben werden können. Das ist fahrlässig, da mit Wissen vorsätzlich Unsicherheit eingebaut wird!

          1. Vielleicht ist das auch eine Frage der Erwartungshaltung. Wenn ich irgendwo ein privat gehostetes Communityforum nutze, gehe ich generell davon aus dass das unsicher ist, ob jetzt https dransteht oder nicht. Solange das allen klar ist (kann man ja auch bei Registrierung dick drauf hinweisen) kann sich doch jeder selber entscheiden, ob er sich darauf einlassen will.
            Ich beziehe mich hier explizit nicht auf die Rechtslage, das ist lediglich meine Meinung dazu. Wenn eine Gruppe von erwachsenen Leuten ihrem Hobby nachgehen will und sich damit selbst einem gewissen Risiko aussetzt, dann sollen sie das bitteschön tun. Oder soll man den Leuten zu ihrem eigenen Schutz alles verbieten was ihnen schaden könnte?

  3. Wie ist das bei privaten, nichtkommerziellen auf WordPress.com gehosteten Blogs, die anonym ohne Impressum und Datenschutzerklärungen online sind? Wie sollten da Bußgelder erhoben werden wenn es keine Daten über die Schreiber des Blogs gibt?

    1. @Pete
      Das geht nun mal nicht. Seiten wie z.B. das alte kino.to (kann jetzt von mir gefahrlos genannt werden, da abgeschaltet) und dessen moderne Klone halten sich auch nicht an dir DSGVO, da sie anonym betrieben werden. Die halten sich einfach an gar keine Gesetze. Deswegen suchen fachkundige Leute nach deren Betreiber und die bekommen dann Besuch von z.B. dem Sondereinsatzkommando wenn man die aufgespürt bekommt.

      1. Ich hatte konkret nach von WP gehosteten Blogs gefragt, nicht nach Mega Seiten wie kino.to. WordPress wird wohl eher Seiten schlicht löschen als das sich in D irgendein Sondereinsatzkommando wg eines popeligen Wald und Wiesen Blogs in Bewegung setzt….

      2. „Und wenn ich nicht selber hoste, sondern auf Seiten wie WordPress.com blogge?

        Du meinst ob die Haftung dann auf den Betreiber übertragen wird? Nein – ihr beide seid haftbar. Das sieht folgendermaßen aus: Aus Sicht des Betreibers handelt es sich bei dir um User Generated Content. Und du bist direkt verantwortlich. Das heißt grundsätzlich: Wenn man ein Problem mit einem Blogbeitrag von dir hätte, und du ein Impressum hast, dann kann ich mich direkt an dich wenden, und abmahnen. Wenn du jetzt aber keine Adresse angegeben hast, dann kann ich mich an den Betreiber der Seite wenden. Den kann ich zwar nicht abmahnen, ihm aber eine kurze Frist von wenigen Tagen setzen und dazu verpflichten, den Beitrag oder Inhalt zu entfernen. Und dann beantrage ich gleichzeitig Auskunft über die Person. Die Großen in Übersee geben keine Daten raus, aber sie löschen die Inhalte. Letztendlich bist du in der Verantwortung. Aber der Vorteil ist: Du kannst dich besser anonymisieren. Das heißt, wenn du falsche Angaben machst bei der Anmeldung, dann wird es natürlich schwierig, rauszubekommen wer dahinter steckt.“

        https://blog.wpde.org/2013/09/16/interview-anwalt-thomas-schwenke-blogs-gefahr-abmahnung.html

      3. @anonynus Nix für ungut, aber tut ihre Blödheit eigentlich weh? was sie Müllposten ist ja wirklich abenteuerlich.. Wenn du eine Seite anonym betreiben willst dann KANNST DU DAS AUCH! Njala oder eine whoisprotection machens möglich und da kommt kein SEK oder dergleichen, so wie sie fantasieren.. Es sei denn, sie begehen keine Odnungswidrigkeiten (nichts anderes ist ein Verstoss gegen die DSGVO) sondern Kapitalverbrechen… Nun gut.. Dann kanns mit richterlicher Genehmigung eventuell eine Ausforschung geben – sofern die dann gelingt..

  4. Dass die Datenschutzbehörden ebenfalls überfordert sind und keine echte Gefahr für KMUs darstellen, glaube ich sofort. Aber soll ich mich darauf wirklich verlassen? Was ist von einem Gesetz zu halten, dass nicht zu 100% eingehalten werden kann (Handwerker die kein WhatsApp mehr nutzen dürfen; Firmen, die Bewerbungen wieder auf Papier haben wollen) und trotzdem mit drakonischen Strafen droht. Welches Demokratieverständnis haben die Leute, die sich solche praxisfernen Gesetzen ausdenken?

    1. @Tom
      Die sind nicht praxisfern. Schau dir z.B. Artikel 82 der DSGVO an.
      Du wirst erkennen, dass die Leute die das Gesetz geschaffen haben ein tolles Verständnis von Rechtsstaat und Demokratie haben. Den wenn dir etwas unrechtes passiert, kannst du das selbst ahnden. Damit du nicht nur Aufwand hast und weil dir natürlich ein Schaden entstanden ist, steht dir wie z.B. Schmerzensgeld wenn dir jemand ins Gesicht schlägt eine entsprechende Entschädigung zusätzlich zu den kompletten Anwalts- und Gerichtsgebühren zu.

  5. Sie schreiben im Abschnitt „Bedingt aufsichtsbereit“:

    „… die von der DSGVO geforderte Online-Meldemöglichkeit von Datenschutzbeauftragten ….“

    Mich würde interessieren aus welchem Artikel der DSGVO abgeleitet wird dass die Meldung von Datenschutzbeauftragten an die zuständigen Behörden online zu erfolgen hat.
    Artikel 37 Absatz 7 kann es ja nicht sein. Da steht nur dass die Kontaktdaten der Aufsichtsbehörde mitzuteilen sind aber keine Details in welcher Art das zu geschehen hat. Die Meldung könnte also auch auf postalischem Weg erfolgen. Oder habe ich etwas übersehen ?

    1. Die „geforderte Moeglichkeit“ heisst nicht, dass es online erfolgen muss, sondern dass es online erfolgen koennen muss. Niemand muss es online tun, aber die Behoerde muss die Moeglichkeit bieten, es online zu tun,.

      1. Ergaenzend: waere fuer die Einrichtungen nicht witzig, wenn jetzt zehntausende von Organisationen ihren Datenschutzbeauftragen formlos schriftlich meldeten…

      2. Ergaenzend: die Behoerden haben allerdings verstaendlicherweise kein Interesse daran, jetzt zehntausende von formlosen schriftlichen Meldungen zu bekommen…

    2. Hallo Walter,

      anders als das BDSG verlangt die DSGVO zwingend die Meldung der Datenschutzauftragten an die Aufsichtsbehörden. Einige haben dafür eine Online-Möglichkeit eingeführt, aber – und insofern ist der Satz tatsächlich misslungen – einen konkreten Meldeweg via Online-Formular sieht die DSGVO dafür nicht verbindlich vor. Stattdessen sind Meldungen natürlich auch schriftlich (oder je nach Genügsamkeit des Gesprächspartners auch via Telefon) möglich. In diesem Sinne hätte ich den Satz besser aufspalten sollen, um klarzustellen, dass die Meldung durch die DSGVO a) gefordert wird und b) einige DPAs dafür einen Online-Kanal aber noch nicht eröffnet haben, obwohl das die erklärte Absicht der Behörden ist. Von daher: Danke für die Nachfrage und Sorry für die Unklarheit.

      Übrigens hat auch das BayLDA heute angekündigt, diesen Weg vorerst nicht bieten zu können und will dafür „im Gegenzug“ ebenfalls von der Ahndung der Nichtmeldung bis Ende August absehen (https://www.lda.bayern.de/de/dsb-meldung.html).

      Beste Grüße

      Malte Engeler

  6. Ergaenzend: waere fuer die Einrichtungen nicht witzig, wenn jetzt zehntausende von Organisationen ihren Datenschutzbeauftragen formlos schriftlich meldeten…

  7. Ich glaube die Masse der zigtausende kleinen Seitenbetreiber befürchtet nicht Bußgelder der Behörden. Problematisch sind parasitär agierende Anwaltskanzleien etc., die diese Verstöße quasi automatisiert abfischen können. Die sitzen seit 2 Jahren in den Startlöchern und dürften bestens vorbereitet sein. Für gut verdienende Unternehmen und Webseiten sind die dagegen eher übliches Beiwerk zum Geschäft. Die wie so oft unfähigen und untätigen Behörden interessieren vermutlich niemanden ernsthaft.

    Dass Sie als Richter ganz entspannt sind, ist nachvollziehbar ;-)

    1. Aber eigentlich gar nicht mal so schlecht. Wann wird wohl eine Behörde anfangen per automatisches Script durch die Seiten durch zu gehen, zu analysieren ob zb google analytics illegal eingebunden ist um dann den Betreiber zu ermitteln und ab zu mahnen? Vermutlich niemals.
      Ich mag dieses stalking-werkzeug von Google nicht aber das breitet sich wie die Pest aus. Und wie viele Benutzer analysieren den Website-traffic ob die ungewollt zu Google geschickt werden?
      Ich gönne der Abmahnindustrie die viele Millionen die man damit verdienen könnte. Dafür steht am Ende auf jede legal betriebene Homepage wo die Daten wirklich hin fließen und der „normale“ user kann dann in den Website-Bedingungen lesen wo die Website alles irgendwelche Daten hin leitet – proven by Abmahnindustrie.

      1. Und wer hat dabei einen Vorteil. Niemand außer der Abmahnindustrie. Der Nutzer wusste es vorher oder es interessiert ihn auch heute nicht. Der Seitenbetreiber zahlt, ergänzt etwas Text und ansonsten bleibts wie gehabt. Und die Kraken bekommen weiterhin ihre Daten. Alles andere ist illusorisch. Welche Nutzer bis auf Sie vielleicht, liest den Kram und sagt dann „Ih, ich such mir eine saubere Seite oder verzichte.“? Keiner!

      2. Und wer hat dabei einen Vorteil. Niemand außer der Abmahnindustrie. Der Nutzer wusste es vorher oder es interessiert ihn auch heute nicht. Der Seitenbetreiber zahlt, ergänzt etwas Text und ansonsten bleibts wie gehabt. Und die Kraken bekommen weiterhin ihre Daten. Alles andere ist illusorisch. Welche Nutzer bis auf Sie vielleicht, liest den Kram und sagt dann „Ih, ich such mir eine saubere Seite oder verzichte.“? Keiner!

    2. Hallo Leser,

      ich habe – auf ausdrücklich Bitte der Redaktion hin – extra noch einen Hinweis auf die Abmahnproblematik aufgenommen. Bitte genau lesen ;)

      Das Risiko der Abmahnungen beschreibt die von mir verlinkte Rechtsanwältin mEn sehr treffend als nicht Null, aber überschaubar. Im Übrigen hat mein Beruf nichts damit zu tun. Ich betreibe bzw. administriere selbst diverse Blogs/Webseiten und bin genauso Anwender und „potentielles Abmahnopfer“ wie alle hier. Außerdem betreiben auch Gerichte Webseiten und in der Justiz wirbelt die DSGVO aktuell ebenso viel durcheinander…

      Gruß

      Malte Engeler

      1. Auch wenn Sie als Richter und Seitenbetreiber potentielles Abmahnopfer sind – für Sie wäre eine Abmahnung nicht viel mehr, als jede andere Akte oder Schreiben auf dem Tisch. Das gilt so aber wohl kaum für die Mehrzahl der Bevölkerung. Und Behörden mit Webseiten, können die Sache nun wirklich gelassen sehen – was soll denen denn passieren, außer vielleicht ein paar Überstunden für deren Admins?! Im übrigen wollte ich Sie mit meinem Beitrag nicht ärgern, sondern lediglich meine Meinung bezüglich der denkbaren Gefahren und deren jeweiliger Priorität plus Eintrittswahrscheinlichkeit für die Mehrzahl der Betroffenen zum Ausdruck bringen. Und ja, die Gefahr für jedermann durch Bußgelder wurde (anderswo) übertrieben, die durch Abmahnungen wird hier im Beitrag m.E. unterschätzt. Nur mal so, Stichwort legaltech, da fällt hinten bei Langeweile und passender Gelegenheit halt eine Abmahnwelle heraus.

        PS. Doppelung oben gern löschen, Netzpolitik arbeit wohl auch gerade an der Umsetzung, da kann sowas passieren ;-)

  8. Die Aufsichtsbehörde Schleswig-Holstein hat nicht – wie im Text behauptet – das Telefon abgeschaltet, sondern es ist so, wie es unter dem angegebenen Link steht: Die Telefonberatung ist zurzeit eingeschränkt (https://www.datenschutzzentrum.de/artikel/1226-.html, Stand 16.05.2018).
    Das passiert zum Beispiel, wenn mehr Personen anrufen, als Telefonate entgegengenommen werden können. Daher der Hinweis, dass man schriftlich durchkommt (z.B. mit dem asynchronen Medium E-Mail) und dort auch die Anfragen stetig bearbeitet werden.

    Dennoch ist die Beobachtung korrekt: Die Anfragewelle zur DSGVO, gespeist von Panik und Angst, ist eine Überforderung. Nur eben kein Grund, das Telefon abzuschalten oder aufzugeben.

    1. E-Mail? Ist das denn datenschutz-konform?
      Also, ich verlasse mich jetzt doch lieber auf Brief und Telefon…Ist ja ohnehin wohl der Zweck dieser wirren Gesetzgebung.

      1. Nein, der Zweck ist, dass du verantwortungsvoll mit den Daten deiner Nutzer umgehst. Wenn du das nicht kannst und willst, solltest du keine Nutzerdaten erheben.

      2. @Gerd
        Aber selbstverständlich ist das Datenschutz-Konform. Erstell dir übers Tor Netzwerk eine völlig anonyme E-Mail Adresse und verwende anschließend von hier:
        https://www.datenschutzzentrum.de/impressum/

        den PGP public key um deine Anfrage (ohne HTML) zu verschlüsseln.
        Hier der direkte Link zum public key: https://www.datenschutzzentrum.de/uploads/uld/uld.asc

        Am Telefon wärst du eher trackbar/abhörbar, da sehr viel einfacher der Zusammenhang zum Anrufer getroffen werden könnte.

  9. Vorsicht,
    denn einerseits gibt es bereits die Praxis wie neue erhebliche Bestrebungen und Aktivitäten der EU, zumindest die „großenpoesen (vor allem bei Anwendern erfolgreichen) Internetgiganten aus den schlimmpoesen USA“ mit immer neuen Milliardenstrafzahlungen reihum abzuzocken – sozsuagen als „Ausgleich“ zu den (angeblich) „nicht gezahlten Steuern“ – andererseits bietet das deutsche Wettbewerbsrecht wie auch die Umsetzung der Stoererhaftung hierzulande einiges an Betätigungsfeldern für Abmahner und klagefreudige Konkurrenten. Die Politik hierzulande will die sog. „Verbraucherschützer“ mehr und mehr zu einer staatlichen, behoerdlichen Instanz verkneten und durch die Hintertür mit stetig neuen Befugnissen ausstatten.

    Die Risiken sind mit der DSGVO gestiegen und ihre teils widersprüchliche, enorm dehnbare Auslegung schafft in der Praxis mehr Rechtsunsicherheit, als sie allen Beteiligten Rechtssicherheit verschafft.

    Ich sehe die DSGVO mittel- bis langfristig nicht als Fortschritt – auch wenn sie momentan vielleicht einige dazu bewogen hat, ihre Datenschutzverpflichtungen genauer anzuschauen. Ginge es dem Staat ernsthaft um den Schutz der informationellen Selbstbestimmung seiner Untertänlinge, würde er bei sich selbst anfangen (die ausgeprägte Datenschutzmißachtung im oeffentlichen Sektor ist haarstäubend – nicht nur in de IT. Jeder Unternehmer hätte längst echte probleme, wenn er nur annähernd derart handeln würde). Doch da gibt es so gut wie keine Debatte – stattdessen krakeelt man von einer Art Versklavung durch Google, facebook und Co., weil die doch ernsthaft (wie vertraglich vereinbart, aber freilich nie gelesen…) passende Werbung anzeigen. Das ist – mit Verlaub – politischer Quark. Informationelle Selbstbestimmung hatte hierzulande noch nie eine echte Lobby und hat auch nicht viel mit dem zu tun, was hierzulande als „hochheiliger Datenschutz“ angepriesen wird und wo tatsächlich oft das Gegenteil drin ist: noch mehr staatliche Überwachbarkeit und Gängelung.

  10. @Niels
    Könntest du etwas nennen? Juristisch konform vorformulierte Gesetze wie du sie dir vorstellst wären praktisch. Aktuell lese ich nur gemecker über die jetzige Situation, aber kein konkreten Vorschlag.

  11. @Dr. Malte Engeler:
    Wie hoch wäre ihrer Meinung nach die Höhe der nach Artikel 82 DSGVO einforderbaren Entschädigungen? Meiner Meinung nach müssen diese ebenfalls abschreckend usw. sein. Somit müssten die gleiche Summen gelten wie auch sonst im Gesetz angegeben (4% usw – Artikel 83 DSGVO).

  12. Guten Tag,

    und vielen Dank für diesen Artikel!

    Was mich bei der DSGVO besonders stört, ist, dass sie zwar ungemein viele Menschen direkt betrifft, aber praktisch keinerlei Hilfen bei der Umsetzung gegeben wurden. So muss man sich als Website-Betreiber durch unzählige hilfreiche, aber ohne jegliche rechtliche Garantie erstellte Beiträge durchackern, mit Anmerkungen wie der „vermuteten Gefahr, damit gegen die DSGVO zu verstoßen“, gewichtet von „gering“ bis „wahrscheinlich“. Überall lese ich von großer Unsicherheit.

    Warum gibt es nicht bspw. ein Muster für eine Datenschutzerklärung, wie sie sich die Kommission vorstellt? Inklusive Beispiele zu den gängigsten Praktiken (Cookies, Benutzer-Registrierung und Login, Google Analytics und Maps, Youtube-Einbindung, Affiliate-Programme u.v.a.)? Dann könnte man sich daran orientieren und einigermaßen auf der sicheren Seite fühlen. Warum gibt es keine Stelle, an die man sich kostenfrei mit rechtlichen Fragen richten kann? Wieso gibt es nicht einmal ein Verzeichnis der Aufsichtsbehörden, wo diese doch so wichtig sind? Stattdessen muss man raten, ob nun die BfDI verantwortlich ist, oder der Datenschutz der Länder, oder irgendeine andere Behörde.

    Auch dem viel zitierten „Abmahnwahn“ einen Riegel vorzuschieben hätte man ins Auge fassen können. Soweit ich sehe hat fast niemand Angst, von einer Aufsichtsbehörde abgemahnt zu werden, es ist eigentlich immer nur von den „besonders beliebten“ Anwälten die Rede, die sich auf einfache Weise ihre Mandantenlosigkeit finanzieren möchten. Die Kommission hätte hier eine Ausnahme von dieser Praxis erarbeiten können, was dann wiederum als Vorlage hätte dienen können, diese zwielichtigen Machenschaften irgendwann einmal ganz zu unterbinden.

    Diese Unsicherheit wird dafür sorgen, dass bisherige Datenschutzerklärungen noch viel umfangreicher werden, um ja alles zu beachten und nichts falsch zu machen. Wie bei vielen AGB werden diese Texte dann einfach nicht mehr von den Benutzern gelesen, sondern nur noch abgenickt, was absolut der Grundidee des DSGVO zur Information des Benutzers widerspricht.

    Das Ganze wirkt durch die gewählte Vorgehensweise – viele Vorschriften, keinerlei Hilfen – leider auf mich wie eine Arbeitsbeschaffungsmaßnahme für Juristen. Und damit meine ich nicht in erster Linie die „Abmahner“, sondern die vielen Fachleute, die in den letzten Wochen neue Datenschutzerklärungen ausarbeiten durften und für ihre beratende Tätigkeit ordentlich kassieren konnten.

    Beste Grüße,

    Peter Lessing

    1. Das Netz ist doch voll von Vorlagen. Ich hatte jedenfalls kein Problem, einen ganzen Blumenstrauß von Vorlagen zu finden. Die Kernaussage ist aber doch:

      Daten haben sparsam erhoben zu werden,
      sind vor unberechtigtem Zugriff zu schützen,
      eine Verarbeitung darf nur mit Zustimmung erfolgen,
      und die Art der Erhebung und Verarbeitung ist in klarer Sprache in der Datenschutzerklärung zu dokumentieren.

      Alt-Nutzer der Site sollten auf die neue Datenschutzerklärung hingewiesen werden, Neu-Nutzer sowieso.

      Natürlich sind wir hier in einem Forum für — ich sach mal — extrem sicherheitsbewusste Admins. Das kann jeder halten wie er will. Ich jedenfalls betreibe keinen Server für Online-Banking, werde also mit Sorgfalt und Augenmaß operieren und mich nicht in Paranoia versetzen lassen.

  13. An sich finde ich verbesserten Datenschutz immer gut.
    Nur bei der aktuellen Problematik stört mich das hier bewußt ein Szenario geschaffen wurde, welches zumindest nicht ausschließt das massenhaft Kleingewerbetreibende und Ähnliche einem nicht unerheblichen Abmahnrisiko ausgesetzt werden.
    Grundsätzlich sehe ich selber das Risiko einer wettbewerbsrechtlichen Abmahnung als niedrig an.
    Aber es stehen schon die üblichen Verdächtigen in den Startlöchern, um es einfach mal zu probieren.
    Die Höhe der zu erwartenden Abmahnung wird aktuell in Anwaltskreisen auf 600 € geschätzt.
    Dabei ist erst mal egal ob die Abmahnung berechtigt ist. Das muss im Zweifelsfall ein Gericht klären.
    Das Kalkül der Abmahner ist so, das bei dieser Höhe der Forderung die meisten Betroffenen den Gang vor Gericht oder sogar schon die Einschaltung eines eigenen Anwaltes scheuen.
    Ist erst mal ein strafbewehrte Unterlassungserklärung unterschrieben ist die Forderung anerkannt.
    Üble Abzocke also.
    Aus meiner Sicht sollte man immer, selbst bei bestehenden Mängeln an der eigenen Webpräsenz, selber juristischen Rat suchen sobald man von so einer Abmahnung betroffen ist.
    Es ist zu erwarten, das schon einfache Abwehrmaßnahmen wie ein Antwortschreiben durch einen beauftragten Anwalt, der die Forderung bestreitet, schon reichen wird um den Elan der Abzocker zu bremsen.
    Wichtig zur Vermeidung sind zwei Dinge, eine gültige Datenschutzerklärung und das die Seite https verschlüsselt ist.
    Da die einschlägigen Kanzleien auf das schnelle Geld aus sind wird keine tiefgreifende Prüfung der Seiten erfolgen, sondern mit Crawlern das Web nach Webseiten mit Schwachstellen in diesem Bereich durchsucht werden.
    Wer jetzt sagt die hatten zwei Jahre Zeit hat grundsätzlich recht.
    Allerdings sind die wenigsten von denen IT-Experten. Dafür stehen die im täglichen Überlebenskampf ohne IT- und Rechtsabteilung.
    Der Schaden den Klempner Meier bei Verstoß gegen den Datenschutz anrichten kann ist auch in keiner Weise mit zum Beispiel Facebook oder Google vergleichbar.

  14. Echter Datenschutz wäre doch, wenn im WWW überhaupt keine Daten abgegriffen würden, es sei denn, ich stimme dem speziell zu. Ich gehe ja auch nicht in den Supermarkt und zeige an der Kasse meinen Ausweis vor.

    Die ganze Debatte ist doch so was von verlogen!

    Bekomme ich dann ab nächste Woche keine Spams mehr, mit meinem Namen und Anschrift?
    Selbst wer einfach nur Windows nutzt mit Internetzugang gibt unwissentlich Daten preis, da hab ich aber noch keinen Browser aktiviert. Von Facebook und Co ganz zu schweigen. Egal wie ich mich im Netz bewege, irgendetwas bleibt immer hängen. Und davor schützt mich nun die DSGVO? Soll ich also beim Besuch jeder Seite erst einmal den Datenschutz studieren, um dann evtl. dem einen oder anderen zu widersprechen? Wem nützt das? Ausser der Abmahnindustrie? Selbst die IHK NRW konnte mir keine schlüssige Auskunft über DSGVO geben, insbesondere über Datenschutzbeauftragte und verwies auf eine PDF von 2010.

    Informationelle Selbstbestimmung? Ja klar, wenn ich jede Seite danach akribisch analysiere, was für Daten evtl. über meinen Besuch anfallen und ob das „ok“ für mich ist. Die Datenschutz-Disclaimer enthalten mittlerweile mehr Text als die gesamte Webseite. Da macht das Surfen Freude und man fühlt sich gleich viel sicherer… Merkt noch irgendeiner irgendetwas? :-(

    Wir brauchen keine DSGVO , sondern es sollte von vornherein verboten sein irgendwelche Besucherdaten zu speichern. Es sei denn, ich gebe sie freiwillig, z.Bsp. beim Kauf im Shop. Das nenne ich mal Datenschutz…

    1. “es sollte von vornherein verboten sein irgendwelche Besucherdaten zu speichern. Es sei denn, ich gebe sie freiwillig“

      Genau das ist bereits die Rechtslage. Das Problem ist die bisherige Praxis, die pauschale Zustimmung zu allem möglichen durch einen erzwungenen klick auf “zustimmen“ unter einer vollkommen unverständlichen, viel zu allgemeinen Datenschutzerklärung zu erschleichen. Die Zustimmung zu Datenverarbeitung, die für die eigentliche Funktion des Dienstes nicht nötig wäre, zur Bedingung für dessen Nutzung zu machen, DAS müsste verboten sein.

  15. Hallo,

    danke für diesen Artikel. Ich war schon wirklich in Sorge ob ich die Fotos zur Taufe meiner Enkelin in einem Fotobuch zusammenfassen darf, oder ob ich nun von jedem Gast, einschließlich des Pfarrers, eine schriftliche Einverständniserklärung brauche.

    mit besten Grüssen
    Renate Schultze

    1. Hallo Renate,

      die ersparte Zeit für Sorgenmachen investierst du jetzt einfach in den Umzug in Whatsapp zu Signal oder Threema (oder für die Einrichtung von PGP oder oder …) und wir haben Win Win ;)

      Gruß
      Malte Engeler

    1. Hallo Peter,

      sie soll Sprachmuster und stereotype Geschlechterrollen aufdecken. Der generische Feminim im Gastbeitrag geht einzig auf mich, nicht auf die Redaktion hier zurück.

      Beste Grüße
      Malte

  16. Mal was ganz anderes: wie funktioniert eigentlich die genderisierte Grammatik auf dieser Seite. Juristinnen statt Juristen – nicht mal mit großem „I“? Also bei unbestimmten Personen durchgehend die weibliche Endung? Und wie kommen dann die Blogger und Entwickler in den Text hinein? Und, Entschuldigung: Ein Sprichwort ist gerade deshalb ein Sprichwort, weil es sich gerade nicht in seinem Wortlaut verändert. Wer aus dem „Teufel“ der im Detail steckt, eine „Teufelin“ machen will, hat wohl verpasst, dass aus „Wer den Pfennig nicht ehrt, ist des Talers nicht wert“, niemals ein Satz mit „Mark“ wurde, und schon gar nicht einer mit „Cent“ und „Euro“. Schauerlich.

    1. Hey Petra, wir haben gar keine „genderisierte Grammatik auf dieser Seite“, sondern Autoren, die selber entscheiden, ob und wie sie gendern. Dieser spezielle Beitrag hier ist zudem (wie gekennzeichnet) ein Gastbeitrag, entsprechend hat der Autor das höchstselbst entschieden.

    2. Hallo Peter,

      es ist work in progress und glücklich bin ich auch noch nicht immer bzw. oft rutscht mir der gewohnt männliche Stereotyp durch.

      Gruß
      Malte Engeler

  17. Nur, um nicht als allzu pentrant dazu stehen: Ich, der Peter, der am 24.5. um 00.11 Uhr kommentiert habe, bin nicht derselbe Peter, der am 23.5. kommentiert hat. Mir war nicht aufgefallen, dass jemand mit demselben Nickname zuvor kommentiert hatte – und zufälligerweise mit derselben inhaltlichen Ausrichtung.
    (…und eigentlich heißen wir ja eh beide Petra hier…)

  18. @Peter: Sie sind ein echter Experte, was? haben es echt drauf, die wahren Problematiken zu benennen, die die Welt nach vorne bringen.
    Chapeau!

    1. Mmmh…. ein Jurist schreibt über Datenschutzgesetze und hält es dabei für nötig, aus einem Teufel eine Teufelin zu machen. Wer verkennt hier die Problematik um die es geht?

  19. @derdeet:
    Sind es nicht zwanghafte Genderisierung und andere PC-Hysterien, die von den wahren Problem(atik?)en ablenken, die die Welt runterziehen?

  20. Während wir hier uns mit *Reden über* IT-Sicherheit beschäftigen, wird anderorts sich mit *echter* IT-Sicherheit beschäftigt. Es ist ja alles gut und schön, wenn ich *theoretisch* alles beachte um Daten sicherer zu machen, aber kein Server wird in realitas sicherer dadurch, dass ich Berge von Papier beschreibe und das ist das, worin sich die hektische Betriebsamkeit um die DSGVO erschöpft. Während Europa sich mit dem Beschreiben von Papier *über* IT-Sicherheit beschäftigt, beschäftigen sich andere Länder mit echter IT-Sicherheit. Kleines Beispiel, nur so, ich habe mich neulich bei einer israelischen Tageszeitung im Onlineforum angemeldet. Das Passwort, welches ich sonst hier immer und überall problemlos nutze und welches in nahezu 95% aller Fälle als „stark“ eingestuft wird, erhielt dort plötzlich die Einstufung „schwach“. Höha! Nur ein kleines Indiz dafür, dass unser level von Sicherheit eher mit gefühlter, denn echter IT-Sicherheit zu tun haben könnte. Da nützen mir alle Datenschutzerklärungen der Welt nichts. Seit Jahren haben wir es versäumt, in der IT-Sicherheit echte Expertise aufzubauen und beschäftigen uns nun statt dessen lieber damit, uns gegenseitig Datenschutzerklärungen zuzuschicken und uns Strafen anzudrohen, wenn wir nicht genug Papier beschreiben. Hat in meinen Augen was von Tragikkomödie.

    1. @Ira Levant
      Danke für deine Aussage „Warum fangen wir überhaupt an etwas zu verbessern, wenn doch eh alles doof ist“.
      So eine wenig nützliche Aussage kommt eh irgendwann unter den meisten Beiträgen als Kommentar.

  21. @anonynous
    Danke für Deine differenzierte Antwort. Mein Beitrag hatte mitnichten den Inhalt, dass „eh alles doof“ sei. Wer lesen kann, ist klar im Vorteil. Meiner bescheidenen Meinung zufolge werden und wurden hier in Heißluftistan aus durchaus korrekten Beobachtungen leider die falschen Schlussfolgerungen gezogen und die falschen Aktionen ( ->DSGVO) angeleiert. Operativ hektisch mit dem Gesetzbuch wedeln hilft halt nicht viel, wenn der Straftäter mir schon längst alles abgenommen hat. Da kann ich vorher noch soviele Prozesse beschrieben haben, dass grundsätzlich die unfreundliche Eigentumsübertragung untersagt und mit Strafe bedroht ist. Wenn meine Daten futschikatto sind oder sonstwie kompromittiert, weil ich es zugelassen habe, dass die möglicherweise nicht ganz so freundliche Gegenseite erheblich höheres technisches Knowhow und Ausrüstung hat, als ich, dann ist das alles- genau: heiße Luft.
    Mich föhnen schlecht gemachte Gesetze wie die DSGVO an, die aussschließlich operative Hektik und Wind verbreiten, alle über einen Kamm scheren und völlig nutzloses Betriebsamkeit entfachen für minimalen Effekt. Wenn ich dann zusätzlich, als Mensch, der auch mal rechts und links schaut und nicht nur in mein kleines Europbiotop, sehe, womit sich ander , tech-affine Nationen außerhalb EUs beschäftigen, dann kann man schon ein wenig ins Grübeln kommen, ob diese Beschäftigung mit Bürokratie das ist, was uns das digitale Überleben sichern wird. Ich habe da massive Zweifel.
    Best,

  22. Sorry, aber nach der 3. weiblichen Form in Folge muss ich leider davon ausgehen, dass Frau Dr. Malte Engeler tiefliegende Probleme hat, und kann diese Autorin nicht mehr ernst nehmen.

  23. Eine grob fehlerhafte Regelung in vielerlei Hinsicht !
    Ich bin einer der glücklichen Menschen, die ihre Internetseite vor einiger Zeit abgeschaltet haben, weil ich keine Lust hatte, den Beruf (RA und StB) länger als nötig auszuüben. Und ehe ich ein Datenschutzkonzept aufstelle, höre ich lieber ganz auf.
    1. Zu den weniger glücklichen gehören z.B. kleine Leute, die über das Internet ein paar Zimmer an Touristen vermieten wollen oder den Mut hatten, für ihren kleinen, von Amazon fast erdrosselten Laden eine Internetseite zu unterhalten, über die man bestellen kann. Für die gilt: Sie leisten sich bisher von ihrem 3 bis vierstelligen Monatsgewinn keinen ständigen Kontakt zum Anwalt (auch für Datenschutzrecht), sind also von der Mitte Mai einsetzenden Presseberichterstattung total überrascht worden. Sie können dann nur der Empfehlung der lokalen Behörden folgen und die Internetseite abschalten – oder sich eine teure Beratung leisten, um Kundendaten weiterhin zu speichern.
    2. Zu den Unglücklichen gehören auch die nicht öffentlichrechtlich unterbeschäftigten Internet-User, denen von allen Seiten jewerils 10 bis 20 seitige (Siehe das Muster der DFN Stabstelle Recht in Münster) Datenschutzerklärungen um die Ohren gehauen werden, die sie wahrscheinlich nach wenigen Semestern Studium auf ihre Richtigkeit überprüfen und deren Wahlrechte kritisch ausüben könnten.
    3. Den Datenmissbrauch durch die Mächtigen verhindert das Theater wohl kaum, da diese sich vo Kunden idR alles durch genehmigen lassen; schönstes (schhlimmstes) Beispiel die Mitteilung von WhatsApp, alle Daten zur Weiterverwertung an Facebook zu verschenken.
    4. Wenn man wirklich wirksam etwas ändern wollte, würde man die notwenige Datenspeicherung erlauben und die nicht notwendige (und – weitergabe) von einer konkreten kurzen + knappen Genehmigung abhängig machen. Aber wie wir das vom Finanzmarkt kennen (mein früherer Beruf und dann Hobby in Brüssel), wird lieber viel Papier mit vielen Schlupflöchern produziert.
    5. Das Argument, dass die Strafpraxis ja bisher lasch sei, ist für die Zukunft nicht belastbar und hilft dem nicht, der sich rechtmäßig verhalten will. Auch eine Unfallflucht kostet ja beim ersten mal nur ca. 20 Tagessätze; also das Strafgesetzbuch bitte nicht ernst nehmen ?
    Ich bin seit ca. 40 Jahren Mitglied anerkannt demokratischer Parteien (FDP/CDU/Grün), aber wie lange ich Regelungswut ohne Realitätssinn noch unterstütze, weiss ich nicht.

  24. „Während die Expertinnen bezüglich der Abmahnrisiken aber noch heiß diskutieren [PDF], ob und wie hoch die Risiken nach Geltungsbeginn der DSGVO überhaupt sind“, hat unsere Firma die erste Abmahnung bereits erhalten!
    Obwohl wir uns alle erdenkliche Mühe gegeben haben, alles richtig zu machen, wie zum Beispiel die Datenschutzerklärung durch einen Anwalt verfassen zu lassen, hat ein winziger Fehler des Programmierers (-Google Fonts vom Google Server geladen-)zu dieser Abmahnung geführt.
    Vielen Dank ihr Eurokratinnen!

  25. Sehr geehrter Herr Dr. Engeler,

    Sie schrieben:

    „Die Gründe für die – man muss es wohl leider so nennen – Angst vor der DSGVO, dürften daher im Kern zwei andere sein: Erstens der immens erhöhte Bußgeldrahmen, der bei Verstößen gegen die Vorgaben der DSGVO droht und zweitens die Sorge um Abmahnungen.“

    —-

    Das ist – einmal mehr in Sachen DSGVO – eine Psychologisierung der Problematik, die an den juristischen und informationstechnischen Mängeln der DSGVO glatt vorbeigeht.

    Es sind keine Phobien, die Verantwortliche – u.a. auch übrigens sie selbst in Ihrer DSE – z.B. dazu veranlassen, auf die „Verarbeitung“ von IP-Adressen einzugehen, sondern eben die DSGVO.

    Es ist auch keine Phobie, sondern IT-Fachwissen, dass auf einem Server (iSv Gerät) idR nicht nur ein Webserver (iSv Prozess, Software) läuft, sondern auch aus Gründen der Datensicherheit auch sog. Firewalls, die gar nicht funktionieren könnten, ohne IP-Pakete – und somit auch das pb Datum IP-Adresse – iSd DSGVO zu „verarbeiten“.

    Es ist ferner keine Phobie, sondern Fachwissen, dass die RZ von Auftragsverarbeitern nicht arbeiten könnten, ohne dass weitere vorgelagerte Geräte (Router etc idR mit weiteren Firewalling-Funktionen) im Einsatz sind, die IP-Adressen „verarbeiten“.

    Es ist ferner keine Phobie, zu vermuten, dass die bei Bußgeldverfahren beteiligten Juristen, Verwaltungsfachleute etc, mit der technischen Beschreibung der Funktion eines Webservers oder einer Firewall von industrial Strength idR heillos überfordert wären, und jene deshalb bei ihre Vorabüberlegungen und auch Rechtsauslegungen idR gar nicht einbeziehen.

    Es ist ferner keine Phobie, sondern physikalisches Grundwissen, dass sich Information in diesem Universum nicht instantan, sondern maximal mit LIchtgeschwindigkeit ausbreitet und dass Zeit nicht rückwärts läuft. Somit ist es auch keine Phobie, sondern ein Faktum, dass der Gesetzgeber etwa bei der Formulierung „zum Zeitpunkt der Erhebung dieser Daten“ in Bezug auf das pb Datum „IP-Adresse“ nicht nur informationstechnische Gegebenheiten, sondern sogar Schulphysik ausser acht liess – der Information des Besuchers via DSE ist zumindest die transiente Verarbeitung der IP-Adresse des Aufrufers der DSE denknotwendig vorgelagert und kann nicht erst „zu dem Zeitpunkt“ erfolgen.

    In diesem Viereck zwischen praktischer Unmöglichkeit, objektiver Unmöglichkeit, legislativen Defiziten und judikativem und behördlichem Nichtwissen nun verorten Sie Kritik an der DSGVO ins Psychologische und rufen gleichzeitig dazu für das Weitere dazu auf, auf Vernunft, Mäßigung und inhärente Trägheit bei den Behörden innerhalb dieses Vierecks zu vertrauen.

    Das ist vielleicht bequem, und letztlich kann es Gesetzgeber ja erstmal egal sein, wenn da das Blogsterben einsetzt, Existenzen wegen Kleinkram in DSE vernichtet werden, die Meinungsvielfalt im Internet schwindet, der Rechtspositivismus unterhöhlt wird, und Rechtssicherheit behördlicher Allmacht weicht.

    Nur sollte sich auch jenen mindestens die Frage stellen, wie der ganze Politik- und Verwaltungspparat eigentlich noch finanziert werden wird, wenn digitales Leben in Europa unter einem Berg von Verfahrensverzeichnissen, E-Mail Denunzierungen und Bußgeldbescheiden begraben sein wird.

    Nicht wahr?

    Mit freundlichen Grüßen

    1. Lieber Achon Narravi,

      danke für den lesenswerten und fachkundigen Kommentar, aber meine Antwort lautet: Nicht wahr, Nein.

      Die von Ihnen beschriebenen „Unmöglichkeiten“ gibt es nicht. Wenn Sie von IP-Adressen und den vielen Stellen schreiben, in denen Sie verarbeitet werden müssen, dann stellen Sie ganz richtig fest, dass der Anwendungsbereich der DSGVO eröffnet ist. Damit ist allerdings juristisch nicht viel gesagt. Für alle von Ihnen beschriebenen Anwendungsfälle gibt es schließlich mehr oder weniger konkrete und (sicher im Detail immer diskutierbare) rechtliche Vorgaben, die die Datenverarbeitung regeln/erlauben/steuern. Die DSGVO mag streng sein, aber sie ist nicht (jedenfalls nicht grundsätzlich) realitätsfern.

      Was die Frage des „Zeitpunkts der Erhebung“ angeht, rennen Sie bei mir als Hobby-Physiker offene Türen ein, aber ich muss Sie auch hier enttäuschen. Die juristische Welt erfasst die physikalische immer nur näherungsweise. Sehe Sie sich etwa den „Stromdiebstahl“ an, der regulatorisch nur notwendig wurde, weil Strom kein körperlicher Gegenstand im Rechtssinne ist. Als Hobby-Physiker will ich aufgrund der Welle-Teilchen-Dychotomie da durchaus Widerspruch anmelden, aber als Jurist ist mir natürlich klar, dass man Elektronen-Quanten eben nicht so einfach als Sachen im Rechtssiche erfassen kann.

      Herzl. Grüße

      1. Sehr geehrter Herr Dr. Engeler,

        ich danke für Ihre Ausführungen!

        Vorab: Sie schrieben von einer „juristische[n] Welt“. Jener rhetorischen Figur mangelt es nicht an einer skurrilen Ästhetik – und auch in der Kunst kam nach der Psychologisierung im Surrealimus ja alsbald das Absurde – aber jene Evolution wollen wir doch bitte in unserer Dialektik nicht nachvollziehen! Einverstanden?

        Zur Sache:

        Sie schrieben

        „Die von Ihnen beschriebenen „Unmöglichkeiten“ gibt es nicht.“

        Doch, Herr Dr. Engeler. In diesem Universum ist instantane oder gar – mindestens abseits pathologischer Patches der Raumzeit – zeitinverse Informationsausbreitung eine objektive Unmöglichkeit. Und wenn der Gesetzgeber sich zu Formulierungen wie „teilt […] zum Zeitpunkt der Erhebung [..] mit“ versteigt, dann ist das keiner imaginären „juristischen Welt“ entnommen, sondern schlicht und einfach eine Formulierung, unter die Wirklichkeit nicht subsummiert werden kann, und die somit einem Rechtspositivismus wesensfremd sein sollte.

        Ferner ist es praktisch unmöglich, Datensicherheit in RZ und auf Servern zu gewährleisten und gleichzeitig die DV dabei so flach zu halten, dass die Erklärung der DS-rechtlichen Aspekte der einschlägigen DV-Prozesse noch „in einer klaren und einfachen Sprache“ – i.e. in einer eben auch für IT-fachfremde Betroffene klaren und einfachen Sprache – erfolgen könnte.

        Wenn Verantwortliche, wie es sich meiner Wahrnehmung nach in der DSE-Praxis aktuell einbürgert, natürlich nur auf das Log des eigenen Apache (oder al.) resp. virtual Host abstellen, dann erscheint das naturgemäß alles sehr einfach. Ist es systemisch aber nicht; vgl. etwa meine obigen Ausführungen zum Firewalling.

        Insgesamt nehme ich an GDPR/DSGVO wahr, dass da Regelfälle der durch die VO mitregulierten DV nicht systematisch eingearbeitet resp. durchdacht wurden.

        Statt dies aber nun nachzubessern – oder, dass jenes zumindest konsequent udn geschlossen von der Jurisprudenz gefordert würde – wird versucht, die DV auf Krampf und z.T. mit ans Absurde grenzender Semantik irgendwie in den Rahmen der defizitären Bemühungen von Jan Albrecht et al. hineinzupressen.

        Da Ihnen daran sicherlich nicht gelegen ist – und auch, um den Kreis hier zu schließen – sei hier also nochmal angemerkt, dass das Bemühen, Kritik an GDPR/DSGVO als psychologisches Phänomen zu erklären, hier zwar unter dem Aspekt von Schopenhauers eristischer Dialektik wertvoll ist, aber zur Wahrheitsfindung idS nicht beiträgt.

        Mit freundlichen Grüßen

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.