Öffentlichkeit

Die DSGVO und das Blogsterben: Es ist kompliziert

Die Datenschutzgrundverordnung hat für einige drastische Reaktionen gesorgt. Besonders ärgerlich: Diverse Webseiten, gerade auch von kleineren Betreiberinnen und Betreibern, wurden vom Netz genommen. Wir haben uns dieses Phänomen mal genauer angeschaut und aufgeschrieben, was wir gelernt haben.

Gemeinfrei-ähnlich freigegeben durch unsplash.com Hugues de Buyer Mimeure

Seit einem guten Monat gilt die Datenschutzgrundverordnung. Die hitzige Diskussion um die Eignung und Umsetzung des Regelwerks hat sich etwas abgekühlt, da deutlich wurde, dass weder im großen Stil Abmahnungen noch Bußgeldbescheide der Aufsichtsbehörden rausgegangen sind. Für die meisten, die nicht gerade aus Altersgründen von Twitter oder Instagram ohne Vorwarnung rausgeschmissen wurden, fühlt sich das Internet ziemlich an wie vorher. Eines aber bleibt: Der Vorwurf, dass die Datenschutzgrundverordnung mit ihren Informations- und Dokumentationspflichten überproportional Bloggerinnen und Blogger getroffen habe, während die bösen Datenkonzerne munter weitermachen dürfen oder wie im Fall von Facebook sogar den Moment des allgegenwärtigen Abnickens von Einverständniserklärungen nutzten, um die Datenverarbeitung noch auszuweiten.

Wir finanzieren uns fast vollständig aus Spenden von Leserinnen und Lesern. Unterstütze unsere Arbeit mit einer Spende oder einem Dauerauftrag.

Wir sind der Frage nachgegangen, wie sich die Datenschutzgrundverordnung (DSGVO) tatsächlich auf Blogs ausgewirkt hat. Schließlich repräsentieren Blogs auch das, was nach der beispiellosen Kommerzialisierung der letzten fünfzehn Jahre vom offenen Netz noch übrig zu sein scheint. Deshalb haben wir uns auf die Suche begeben, um das Phänomen „Blogsterben“ zu ergründen. Unsere Überzeugung ist allerdings: Man kann Webseiten DSGVO-konform betreiben – wenn man nur will und genug Zeit mitbringt. Also warum entfernen die Leute nicht einfach die ganzen Werbetracker und das Zeugs, mit denen sie ihre Leser hintenrum analysieren? Nennen sie plausible Gründe für ihre Entscheidungen oder doch eher Ausreden?

Wir beginnen mit einer von Enno Park erstellten Blog-Liste. Unabhängig davon, wie stichhaltig die einzelnen Argumente für das Dichtmachen sind, zeigt sie, dass ein „Blogsterben“ keine bloße Erfindung, sondern ein reales Phänomen ist. Wir schreiben Menschen von dieser Liste an, telefonieren mit ihnen. Zusätzlich dazu stellen wir hier im Blog einige Fragen und rufen dazu auf, uns in den Kommentaren und in Mails von den Beweggründen zu erzählen.

Unsere Kernfragen lauten: Wann hast Du zum ersten Mal von der DSGVO gehört? Welche Vorschriften haben Dich überfordert? Was für Hilfe hättest Du Dir von wem gewünscht? Wie hat sich Dein Blogverhalten in den Monaten und Jahren davor verändert? Dazu kommen einige weitere Fragen, die sich aus den Gesprächen ergeben. Am Ende haben wir die Geschichten von etwas über dreißig Blogs sowie einigen weiteren Websites zusammen. Außerdem lesen wir die mehr als dreihundert Antworten auf den Ursprungstweet von Enno Park, in denen jedoch nicht alle eingestellten Blogs zu recherchieren sind, da ein Teil in die Twitter-Privatnachrichten verlagert wurde. Hier fassen wir die uns gegebenen Antworten und Kommentare zusammen und zitieren einige der Aussagen aus E-Mails oder Telefonaten. Die hier eingeblendeten Tweets stammen aus den Antworten auf Parks Umfrage.

Bitte nichts mit Technik

Wenig überraschend ist die Situation komplexer, als es das Label „Blogsterben“ und der Blick allein auf die große Zahl der Blogs vermuten lassen. Bereits die erste Durchsicht zeigt, dass schon der Untersuchungsgegenstand vielschichtig ist. So reden wir nicht nur von „Blogs“ im engeren Sinne, sondern auch von anderen Websites wie etwa statischen digitalen Visitenkarten und einigen klassischen Foren. Welche Gründe also geben die Menschen an, die ihre Seite wegen der DSGVO vom Netz genommen haben? Wir stoßen bei unserer Recherche nicht auf eine einheitliche Erklärung, aber können doch wiederkehrende Muster ausmachen.

@wortinspektor

Eine erste Feststellung aus den Antworten lautet, dass sich viele nicht nur rechtlich, sondern auch technisch überfordert fühlten: „Alles, was mit Administration zu tun hat, überfordert mich“, ist eine in verschiedenen Abwandlungen beschriebene Reaktion auf die DSGVO-Umstellung. Welche Anforderungen konkret nicht zu erfüllen sind, können oder wollen uns aber die wenigsten beantworten. Stattdessen beschreiben viele ein generelles Gefühl der Überforderung. Einer gibt unverblümt zu: „Ich habe mich damit überhaupt nicht beschäftigt und warte auf den Termin mit der Frau, die mir sagt, was ich machen muss.“

In dieser Gemengelage wurde dann oft eine Art Nutzenabwägung vorgenommen: Wenn das Blog oder die Website nur eine kleine Leserschaft und eine geringe Frequenz neuer Inhalte hatte, dann lohnt sich die große empfundene Mühe einer Umstellung weniger, als wenn eine ganze Blog-Community besteht, die regelmäßig liest und kommentiert. Dabei spielt auch eine Rolle, dass teilweise umfängliche Archive zu den Blogs und Websites gehören, deren Inhalte mitbetrachtet werden müssten.

@MiuSuCo

Erhöht wurde der Aufwand für die meisten dadurch, dass es ihnen die Technik selbst nicht leicht gemacht hat. Es ist schließlich das große Verdienst von Blogging-Plattformen, dass sie das eigenständige Publizieren auch für jene erleichtert haben, die keine größeren technischen Kompetenzen haben. Damit stieg aber die Abhängigkeit von diesen Diensten. Gleich mehrfach wurde von unseren Gesprächspartnern das Problem beschrieben, dass die technischen Hilfen der Software-Teams bei der eigenen Blog-Software nicht rechtzeitig vorlagen, um DSGVO-konforme Einstellungen vornehmen zu können. Das gilt nach den Antworten zu urteilen vor allem für WordPress. Die meistgenutzte Blog-Anwendung spielte das zentrale DSGVO-Update erst eine gute Woche vor dem 25. Mai aus. Ein Einsender erklärt zudem frei heraus, dass er selber gar nicht wisse, „was sie [WordPress] für Daten erheben“.

Die dräuenden Abmahnanwälte

Verstärkt wurde die Dynamik durch die mediale Wahrnehmung, dass mögliche (aber unwahrscheinliche) hohe Strafen der Behörden und vor allem potenzielle Abmahnungen von windigen Anwälten den Betrieb von Webseiten zu einem geradezu unkalkulierbaren Risiko machen. Dabei mochten sich nur die wenigsten Einsenderinnen und Einsender überhaupt näher mit „eventuellen Abmahnungen beschäftigen“, etwa der Frage, ob sie selbst davon überhaupt betroffen wären. So wurde die Abmahngefahr – egal ob realistisch oder nicht – eine zentrale Begründung für das Einstellen der Blogs.

Zwar ist die grundsätzliche Möglichkeit, ein anwaltliches Schreiben an einen Rechtsverletzer zu senden, um eine vermutete Rechtsverletzung möglichst abzustellen, bevor man zu einem Gericht gehen muss, im Grunde keine so schlechte Idee. Wir berichten aber auf netzpolitik.org seit Jahren darüber, dass der deutsche Sonderweg, bereits erste Unterlassungsaufforderungen mit saftigen Kostennoten versehen zu können, in manchen Bereichen ein geradezu industrielles Geschäft mit Abmahnungen ermöglicht. Das sorgt für eine große Verunsicherung.

Gerade exponiertere Personen, mit denen wir für unsere Recherche sprachen, fürchten, dass Abmahnungen als gezielter Angriff gegen sie eingesetzt werden könnten. „Es gibt genug, die mir mal einen mitgeben wollen“, erzählt uns eine Journalistin, die ihre digitale Visitenkarte vorübergehend vom Netz genommen hat. „Ich habe mir eine ganze Reihe von Feinden gemacht, die mir das Leben schwermachen könnten“, sagt ein anderer. Ähnliches ist von einigen linken Aktivisten zu hören. Ein Autor verleiht seinem Frust in einer Mail Ausdruck:

Ich weiß, dass ich damit keinen Missbrauch betreibe, jeder vernünftige Mensch weiß das, aber ich weiß auch und habe seit Beginn der Bloggerära erlebt, dass es in Deutschland eine völlig unkontrollierte Abmahnindustrie gibt, die sich nicht einmal durch Gesetze wie das Gesetz gegen unlautere Geschäftspraktiken einschränken lässt. Und dafür habe ich keine Zeit. Was hilft es mir, in einigen Jahren vor irgendeinem Landgericht Recht zu bekommen?

Ein DSGVO-bedingter Ex-Blogger gibt in seinen Antworten noch einen scherzhaften Trick mit, wie man die lästige „Abmahnmafia“ in Deutschland loswerden könnte. Er verweist auf die Europa-Abgeordneten, die bei den Roaminggebühren dann Handlungswillen gezeigt hätten, als sie selber betroffen gewesen seien. So könne das auch bei deutschen Abgeordneten klappen, wenn sie nur genügend Abmahnungen bekämen. Wenn das jetzt ein paar Abmahnanwälte testen würden: Win-Win!

Ziemlich allein gelassen

vosshoff FAZ
Überforderung an allen Ecken und Enden: „Behörden verzweifeln am neuen Datenschutz“, titelte die FAZ vom 25. Juni 2018 auf Seite 17. Im Bild: Andrea Voßhoff (CDU), die Bundesbeauftragte für den Datenschutz.

Überraschende Antworten gab es auf unsere konkrete Frage, wann die ehemaligen Selbstpublizisten zum ersten Mal von der Datenschutzgrundverordnung gehört hätten. Die Zeitspanne reicht von mehreren Jahren vor dem Mai 2018 bis zu einer Woche – „als ich meinen Computer-Heini vor dem Urlaub angerufen habe.“ Der Computer-Heini warnte dann vor der mysteriösen DSGVO und war zum Dank erstmal die Blog-Betreuung los. So war das Abschalten für manche auch eher eine Kurzschlussreaktion: Aufgrund der Verunsicherung und im Angesicht möglicher Strafen oder Abmahnungen wurde lieber erstmal dichtgemacht.

Doch wenige unserer Gesprächspartner sind gänzlich unwillig, sich Datenschutzfragen im Sinne ihrer Leser zu widmen. Einige Webseiten sind schon kurz nach dem 25. Mai wieder erreichbar gewesen. Eine Mehrzahl möchte das ansonsten sehr bald in Angriff nehmen. Ein gelegentlich bloggender Journalist etwa räumt ein, dass er sich eigentlich schon viel eher hätte kümmern und „mediale Selbstverantwortung“ übernehmen müssen. Das Blog sei von ihm vor Jahren eingerichtet worden, inklusive lauter Tracking-Tools, an denen er ohnehin nicht hänge: „Irgendwann wird durchgeputzt und dieser Konstruktionsfehler aus einer anderen Zeit behoben.“

Gleichzeitig ist der Journalist aber auch verärgert darüber, dass die Grünen als „ehemals bewegungsnahe Partei“ ein solches Gesetz auf den Weg gebracht haben, das die Zivilgesellschaft vor Schwierigkeiten stelle – ohne dies wenigstens kommunikativ zu begleiten. Mindestens von der Heinrich-Böll-Stiftung hätte er ein entsprechendes Tutorial erwartet. Auch eine kirchliche Netzfrau und ein ehemaliger Pirat, der die Webseiten von zwei Schach-Vereinen offline genommen hat, weisen auf die Belastung hin, die die DSGVO besonders für diejenigen mit sich gebracht habe, die ehrenamtlich aktiv seien. Sie hätten oft nicht die Zeit, sich neben ihrem Engagement noch um rechtliche Fragen zu kümmern. Ein Autor bringt diese Kritik auf den Punkt: „Man hat Facebook gemeint und mich getroffen.“

Ein Großteil unser Gesprächspartnerinnen und -partner fühlte sich mit ihren Unsicherheiten ziemlich allein gelassen. Tatsächlich waren die Bundesregierung und die zuständigen Behörden keine große Hilfe in der Vorbereitung auf die DSGVO. Auf die Welle der Unsicherheit, die Nachfragen und Hilfesuchen zur Folge hatte, waren sie nicht ausreichend vorbereitet. Eine allen Wünschen gerecht werdende Beratung liefern sie nicht, Fragen oder Beschwerden blieben unbeantwortet, so als sei die DSGVO überraschend vom Himmel gefallen.

Ist die deutsche Blogosphäre eigentlich noch lebendig?

fahrrad-cohrt
Screenshot von fahrrad-cohrt.com

Noch eine andere Erkenntnis ist uns bei unserer Suche gekommen: Wenn wir ehrlich sind, hat ein „Blogsterben“ weit vor der DSGVO begonnen. Selbst das einst verbreitete Wort Blogosphäre ist irgendwann ausgestorben, ohne dass jemand groß Notiz nahm. Ein Gesprächspartner bemerkt, gerade die DSGVO-Diskussion in den Blogs selbst erinnere „eher an eingeschlafene Füße“. Er bedauert die große „Bereitschaft zur kommunikativen Selbsttötung“. Tatsächlich sprechen nicht wenige davon, dass die DSGVO jetzt mehr ein Anlass als ein Grund gewesen sei, ihre Seite einzustellen.

Ein Gegenbeispiel dafür ist das ehemals besonders wegen der lebhaften Kommentare vibrierende Blog Spreeblick, das in der DSGVO-Diskussion die eigene Ahnungslosigkeit geradezu zelebrierte und erst später enorm praktische WordPress-Hinweise nachschob. Doch selbst hier kamen im Blog nicht mehr als 35 Reaktionen. Insgesamt hat sich das Diskutieren schon lange zu Facebook, Medium und Twitter verlagert, wo Threads und Kommentare im Mai wuchsen.

@druHH

Das stimmt für das aktuelle Dichtmachen von Websites natürlich nicht unbedingt glücklicher, rückt das Geschehen aber in die Perspektive. Die traurige Wahrheit ist doch: Mit Facebook, Medium oder zuweilen auch Twitter bloggt es sich ungemein bequem. Warum sollte man sich da noch die Mühe machen, selbst ein Blog zu betreiben? Die Tech-Konzerne kümmern sich doch um alles Technische, die Videos, Bilder und Audio-Dateien zu integrieren, ist keine Hürde, die Aufmerksamkeitszahlen kommen auf dem Silbertablett. Wen interessiert es da, dass die eigenen Leser ein kleines Werbeopfer bringen müssen, die sind doch sowieso alle schon da? Und die paar seltsamen Menschen, die sich Facebook verweigern, müssen eben das bildschirmfüllende Overlay alle paar Minuten wegklicken, wenn sie die Texte und Bilder unbedingt lesen und sehen wollen.

Einer der Einsender formuliert es so: „Jugendliche kennen eh nur noch Plattformen.“ Von einem anderen heißt es: „Selbst hosten kommt für mich nicht in Frage.“ Damit formuliert er griffig, was auch viele andere auf unsere Fragen antworten. Gegenbeispiele sind vorhanden, aber seltener. Fakt ist für eine Mehrzahl der Menschen, die uns schrieben oder mit uns telefonierten: Wenn man seine Texte mit Bildern und Videos und Pipapo zu Facebook packt, scheinen alle DSGVO-Sorgen verschwunden. Gerade die Einsender, die eine eigene Webseite nicht technisch betreuen können oder das zeitlich gerade nicht schaffen, weichen auf bequemere Varianten aus.

Scheinlösung Facebook

Das ist natürlich nicht das, was moderne Datenschutz-Regelungen sein sollten: eine Incentivierung in Richtung der Werbe-Plattformen. Denn damit geben sich Bloggerinnen und Blogger letztlich damit zufrieden, dass der Schutz der privaten Daten der Leserschaft aus der eigenen Hand genommen wird. Und zu Ende gedacht aus Sicht des Inhaltserzeugers ist es auch nicht: Denn wenn eines Tages doch mal wegen nebulöser Verstöße gegen die nie gelesenen Nutzungsbedingungen oder wegen Brustwarzenbildern – natürlich nur weiblicher – der eigene Account gesperrt wird, kann man nur noch versuchen, mit den Klick-Formularen zu kämpfen, um die Inhalte vielleicht wieder online zu bekommen. Oh, und Upload-Filter sollen ja auch noch verpflichtend werden.

@sabineponath

Dass das Bild von Plattformen als Insel der Seeligen zudem eine Illusion ist, machte vor wenigen Wochen der Europäische Gerichtshof klar, als er feststellte, dass Betreiberinnen und Betreiber von Facebook-Seiten eine datenschutzrechtliche Mitverantwortung tragen. In der Folge hat der Jurist Malte Engeler vor wenigen Tagen bei uns im Blog darauf hingewiesen, dass es spätestens jetzt an der Zeit ist, das soziale Netz jenseits der großen Plattformen zu fördern.

Wenn wir eines aus dem Phänomen, das wir nach unserer Recherche lieber nicht mehr „Blogsterben“ nennen wollen, lernen: Ein Datenschutzgesetz allein reicht nicht – wir brauchen auch benutzerfreundliche Technik, die datenschutzkonformes und eigenständiges Publizieren ohne große Hürden möglich macht. Wenn die Europäische Union ihren eigenen Weg einer verantwortungsbewussten Digitalisierung gehen will, muss das entsprechend gefördert werden. Und der deutsche Sonderweg der Abmahnindustrie muss endlich beendet werden.

Weitersagen und Unterstützen. Danke!
78 Kommentare
  1. Mein Mitleid hält sich in dieser Frage irgendwie doch stark in Grenzen.
    Für jeden, der sich bisher auch nur ansatzweise damit beschäftigt hat, was mit den Daten seiner Nutzer passiert ändert sich so gut wie gar nichts.
    Es trifft zur Zeit diejenigen, die vorher schon keinen Plan hatten was für Datenschleudern sich unter ihren Plugins verbergen und vermutlich auch schon damals Abmahnungen nur durch Glück entgangen sind.
    Ne Datenschutzerklärung im Einklang mit Artikel 13 DSGVO kriegt jeder hin, wenn er ein bisschen nachdenkt.

    Den „Computer-Heini“ rauswerfen ist wohl der lächerlichste Teil dieses Artikels: Seit wann ist der technisch Verantwortliche für die Website derjenige, der für die inhaltliche Korrektheit der Website sorgt? Datenschutzrechtlich sinnvolle Texte verfassen ist nicht dessen Aufgabe.

      1. Die Datenschutzerklärung ist aber ein Seiteninhalt.
        Das kann man selbst machen oder einen Juristen machen lassen, aber in der IT ist das nun wirklich nicht anzusiedeln.

  2. Ich habe blog.koehntopp.de vor vielen Jahren schon aus anderen Gründen geschlossen und meine Aktivitäten nach G+ (und via Friends+Me Twitter und Facebook) verlagert.

    Vor einiger Zeit habe ich blog.koehntopp.info mit modernerer Software und in englischer Sprache neu eröffnet. Für GDPR hätte ich jedoch eine Reihe von größtenteils nicht produktiven Änderungen vornehmen müssen (angeblich Google Fonts lokal installieren, Datenschutzerklärung generieren lassen und Datenexport/Löschmimiken implementieren), die zum Teil inkompatible lokale Änderungen an Templates oder Code bedeutet hätten – was heißt, ich hätte das bei jedem runtergeladenen Update neu einpflegen müssen.

    Das war mir den Aufwand nicht wert, also hab ich das erst mal kommentarlos abgeschaltet und werde das irgendwann mit geringer Prio nachziehen.

    Oder auch nicht. Mit Uploadfiltern und Leistungsschutzrecht würde ich ja auch retroaktiv noch alle Inhalte überarbeiten müssen und würde für Kommentare meiner Nutzer haftbar. Ich denke nicht, daß das den Aufwand noch lohnt. Also bleibt der Kram vorläufig aus.

    1. Wo wir hier schon bei ehrlichen Kommentaren sind: Mir ist grade aufgefallen, dass ich Dich gelesen habe bis zum Umzug nach Google+. :{
      (Dein Link nach Google+ ist bei mir übrigens 404.)

  3. Hallo und erst mal vielen lieben dank für den interessanten Beitrag von Constanze Kurz.

    Was mich aber auch sehr schockiert hat, ist die Tatsache das so viele Menschen so wenig Leidenschaft in ihr, ich nenne es jetzt mal, Hobby stecken. Ich betreibe selber eine Webseite und es hat mich sicher nicht mehr als ne Stunde gekostet mich dafür zu informieren.
    Abgesehen davon hat man kaum etwas machen müssen wenn man nicht sämtliche verfügbaren Tracker installiert hat.

    Ich habe es mit zum Anlass genommen die Komplette Seite Google, Facebook und co frei zu machen. Auch meiner User willen, denn die haben es verdient auf meiner Seite sich bewegen zu können ohne getrackt zu werden.

    Ein wenig Leidenschaft und Engagement sollte man schon mit bringen, soweit meine Meinung.

    1. Z.B. WordPress‘ Kommentarsystem bindet in vielen Theme-Defaults Gravatar oder irgendwelche externen Smiley-Ressourcen ein. Wer das nicht auf dem Schirm hat und DSGVO-konform korrekt kommuniziert, hat schnell bereits das erste Problem. Das hat nich gar nichts mit wilden Scharen installierter Tracker zu tun. Das geht dann weiter mit Google Fonts, Session Cookies, vielleicht jQuery, nem Zählpixel der VG Wort, einem transparenten Gif-Pixel aus irgendeinem Stylesheet (zugegeben die sind selten geworden) oder einem Icon-Font für rechteckige Pfeile des Sliders oder die Lupe der Searchbox. Tausend Kleinigkeiten, die Otto-Normalwordpressklicker halt nicht auf dem Schirm hat. Wess‘ Leidenschaft das Schreiben (Texten) und nicht das Coden ist, dess‘ Probleme kann man hier doch nachvollziehen.

      1. Hallo nk,

        du zählst hier einige Sachen auf die gar nicht Betroffen sind, Cookies sind nur betroffen wenn sie Personenbezogene Daten Speichen, Session Cookies tun das für gewöhnlich nicht; außer du hast sie verändert.
        Wenn wir schon bei WordPress sind, all diese Funktionen kann man mit einer Minute Aufwand abschalten, einfach eine Zeile in die functions.php; fertig.

        Und wer ein wenig sucht findet auch ganz schnell kompetente Hilfe:
        Hier mal zwei Beispiele.
        https://www.kuketz-blog.de/wordpress-ip-adresse-der-kommentatoren-anonymisieren/
        https://www.kuketz-blog.de/wordpress-cookie-consent-anzeige-loswerden/

          1. Ist das dann auch eine Minute Aufwand? ;-) Es geht hier nicht um diejenigen, die „einfach eine Zeile Code in die functions.php“ schreiben, sondern um Häkel-Tanja, Kuchen-Steffi, meine-Lieblingsbücher-Philipp und das chronisch überbelegte und finanziell unterversorgte Tierheim aus Hinterhausen.

            „Es hat mich keine Stunde Aufwand gekostet, mich zu informieren“ und “ im Code rumbasteln dauert nur eine Minute“ sind nun wirklich keine hilfreichen Kommentare in dieser Diskussion.

    2. Getrackt wird immer und alles. Ob du willst oder nicht. Kannst du nichts gegen tun. Das sollte jeder aus dem Nsa- Thema vor einigen Jahren gelernt haben. Und die Jungs interessieren sich nicht für die dsgvo.

      1. Faktisch falsch, und wer das in der Pauschalität behauptet, hat noch nicht viele Wortpressen betreut. Es ist teils ein Extremgefummel bis unmöglich, externe Ressourcen eines Themes lokal nicht nur zu hosten, sondern auch von dort zu holen. Die Diskussion krankt unter anderem auch daran, dass viele Leute zu glauben scheinen, ihre drei Häkchen in nem twenty seventeen seien Standard, was eine Seite respektive backend kann und bietet.

    3. Ich kann Aussagen wie „es hat mich sicher nicht mehr als ne Stunde gekostet mich dafür zu informieren“ nicht so ganz glauben. Ich beschäftige mich jetzt seit 2 Monaten fast jeden Tag mit der DSGVO, und habe noch immer keine Ahnung, was ich nun eigentlich konkret tun muss.

      Eigentlich ist mein Fall ja ganz simpel: Ich habe mehrere kleine Open-Source-Software-Projekte auf den einschlägigen Seiten wie Github oder SourceForge. Die Projekte erscheinen auf jenen Seiten im Standardlayout, zusätzlich habe ich auch einige HTML-Seiten (mit API-Dokumentation und Ähnlichem) hinterlegt. Eigentlich also ein Standardfall, der sich meines Erachtens auch analog außerhalb der Software-Entwicklung wiederfinden lässt.

      Dennoch …

      … was ist nun mit diesen HTML-Seiten? Ich binde nichts Externes ein und habe keinerlei Kenntis darüber, von welchen IP-Adressen aus die Projektwebseiten besucht wurden. Ich habe auch keine Werbebanner oder sonst etwas zur Generierung von Einnahmen. Da zum Abruf der Webseiten natürlich IP-Adressen vom Hoster verarbeitet werden, muss ich wohl dennoch einen Vertrag zur Auftragsverarbeitung haben. Und da geht es schon wieder los mit der Unklarheit: Die einen Hoster sagen mir, dass ein individueller Vertrag laut ihrer Rechtsabteilung die einzig gesetzeskonforme Lösung sei, die anderen, dass eine Anpassung der Hoster-weiten Privacy Policy vollkommen ausreichend sei und generell keine individuellen Verträge zur Auftragsverarbeitung geschlossen würden. Was denn nun?

      Und was ist mit E-Mails? Die einen E-Mail-Anbieter bieten (allerdings nur für Business-Kunden?!) Verarbeitungsaufträge für das E-Mail-Hosting an, die anderen berufen sich darauf, dass sie ohnehin den Auflagen des TKG unterliegen und daher die DSGVO keine Anwendung finde.

      Was ist mit den Projektrepräsentationen im Standardlayout der jeweiligen Open-Source-Hoster? Die einen vermuten, ich bin dort „Processor“ (aber eine explizite Weisung zur Verarbeitung von personenbezogenen Daten – beispielsweise bem Empfang weitergeleiteter E-Mails – wird mir von den jeweiligen Hostern nicht erteilt). Andere vermuten, der Open-Source-Hoster und ich seien auf jenen Seiten gemeinsame Verantwortliche – aber wo bringe ich auf Webseiten, deren Layout ich in vielen Fällen gar nicht beeinflussen kann, meinen Teil der Datenschutzerklärung unter, die ich in dem Fall ja wohl bräuchte?

      Nach diesem Muster stellen sich leider zahlreiche offene Fragen, und es ist äußerst frustrierend (nicht zuletzt, *weil* es gerade meiner „Leidenschaft“ derart im Weg steht), allenfalls auf zukünftig denkbare Gerichtsurteile verwiesen zu werden, aber nirgendwo eine klare Auskunft zu bekommen, was denn nun eigentlich in einem Standardfall wie dem beschriebenen konkret getan werden muss.

  4. Das gibt so ziemlich meine Erfahrungen im Bekannten- und Freundeskreis wieder. Ich persönlich hatte Unterstützung durch die Hosting-Genossenschaft, in der ich seit ein paar Jahren bin. Ohne diese Rückendeckung hätte ich mein Sudelbuch, das ich seit 1998 betreibe, möglicherweise ebenfalls vorübergehend vom Netz genommen. Mein Fazit habe ich mal hier aufgeführt. https://www.sudelbuch.de/2018/05/25/gemeinsam-rocken-wir-die-dsgvo/

    Was mich enttäuscht, ist die uns allen wohlbekannte Tatsache, dass die meisten Menschen nur ganz kurzfristige Schmerzvermeidung betreiben, anstatt sich grundsätzlich mit einem Problem auseinanderzusetzen. Die großen Tech-Konzerne haben uns leider alle furchtbar träge gemacht. Und phantasielos. Was vielleicht noch schlimmer ist.

    Ich weiß nicht, wie oft ich in meinem Blog für eine gemeinschaftlich betriebene Infrastruktur getrommelt habe. Wie wollen wir jemals unabhängig werden, wenn wir uns dermaßen an die kommerziellen – und verführerisch kostenlosen – Plattformen binden?

    1. Jeder hat doch die Möglichkeit frei zu wählen wohin er geht, wenn man seinen Lesern etwas gutes tun möchte, setzt man seinen Block, sein Forum oder was auch immer selber auf und gibt ihnen damit die Kontrolle über ihre Daten.

    1. Also Lutz, Du musst aber jetzt doch mal zugeben, dass Du auf der nach oben offenen Nerd-Skala ganz schön weit oben residierst. :}
      Ich fand es auch kein Hexenwerk, ich mag meine Leser aber auch.

        1. Lass es prüfen. Bitte.

          Ich kopiere gern die Antwort auf Deinen Kommentar in meinem Blog auch hierher:

          Die Rechte stehen dem Nutzer aus gesetzlichen Gründen zu. Die nochmal aufzuzählen, ist widersinnig. Dazu gibt es tonnenweise Grundsatzurteile bzgl. AGBs, die die Rechtslage (oft fehlerhaft) wiederholen.

          Bzgl. der Scans/etc. hast Du falsche Vorstellungen. Es sind *meine* Programme auf *meiner* Webseite. Was sie tun steht an der jeweiligen Stelle. So kann man z.B. nach ungesicherten NTP Servern scannen oder eine DNS Anfrage quer durchs Netz unter Berücksichtigung von DNSSEC nachverfolgen. Das so etwas existiert, gebe ich an. Was es im Detail macht, gehört an die betreffende Stelle und nicht generisch wiederholt.

          PS: https://twitter.com/JanAlbrecht/status/998542556634996737

    2. Na ja, wenn man natürlich, wie Jan Albrecht (s.u.), Daten nichtverarbeitend verkürzen kann, dann ist es schon irgendwie Hexenwerk.

      Aber egal – wenn man dann noch nicht weiß oder ignoriert, wie TCP/IP funktioniert, dann ist man in der Tat fast schon fertig … mit der Märchenerzählung.

      Guxtu:

      https://www.janalbrecht.eu/datenschutz/
      (abgerufen Thu Jun 28 15:19:19 CEST 2018)
      it. 7:

      „Es erfolgt keine […] Verarbeitung der ungekürzten IP-Adressen.“

  5. Ungeachtet dessen, dass der Artikel ein paar gute Punkte macht:
    “ Also warum entfernen die Leute nicht einfach die ganzen Werbetracker und das Zeugs, mit denen sie ihre Leser hintenrum analysieren?“
    …das ist recht einfach: weils die Geschichte finanziert. Ich hatte bislang ein paar Blogs, die eben den Server bezahlt hatten, und in guten Zeiten noch das eine oder andere Werkzeug, ohne das ich die eine oder andere später verbloggte Geschichte nicht hätte machen können usw.
    Ich hatte urlaubsbedingt Adsense über die DSGVO-Einführung abgestellt, inzwischen wieder (ohne targeted ads) wieder scharf. Von einem „trägt sich“ kann seitdem keine Rede mehr sein, vom gelegentlich mal was außer der Reihe über haben schon gar nicht.
    In meinem Fall spielts (inzwischen) keine Rolle, ich kanns mir leisten und es ist mir egal. Wer nicht beliebig was über hat und eben auch mal jenseits der gehosteten Plattformen an was rumspielen kann, scheint mir halt im Regen zu stehen. Whatever, lernen die Kiddies halt Instagram-Pinwände zuzuhauen und Influencer-Marketing zu machen.

  6. „Was mich aber auch sehr schockiert hat, ist die Tatsache das so viele Menschen so wenig Leidenschaft in ihr, ich nenne es jetzt mal, Hobby stecken.“

    Naja, lohnend ist das nicht. Das ist ja nicht inhaltlich produktiv, sondern technische Zeitverschwendung, und noch dazu nicht nachhaltig – mit dem LSR und den Upload-Filtern geht der ganze Tanz dann wieder von vorne los.

    Leute, die ihr Blog zur GDPR abgeschaltet haben tun gut daran, das erst mal aus zu lassen bis die Copyright-Reform durch ist. Und dann muß man mal sehen, was kommt, denn eventuell kann man die letzten 20 Jahre Content retroaktiv an die neuen Anforderungen anpassen. Das wird sicher Freude machen.

    1. …und ganz besonders bis zur e-Privacy-Richtlinie. Ich denke, spätestens dann können wir eh die Bürgersteige hochklappen. Dann haben wir noch die Bigplayer und ein paar spendenfinanzierte Blogs, dies sich erlauben können, und wahrscheinlich heißts dann wieder, naja, der Rest war auch schon letztes Jahr tot.

    2. Ich kann mich jetzt zwar irren, aber meiner Meinung nach gilt z.B. das in der Copryright-Reform enthaltene LSG eben nicht rückwirkend (alternativ wird es sonst dagegen Klagen vor Gericht geben, das Gesetze im allgemeinen sowie so nicht rückwirkend erlassen werden können).

  7. Liebe Constanze, Lieber Ingo,

    Ihr thematisiertet

    „Also warum entfernen die Leute nicht einfach die ganzen Werbetracker und das Zeugs, mit denen sie ihre Leser hintenrum analysieren?“

    So dünn geschichtet, wie es jene Problemsetzung impliziert, ist der Anwendungsbereich der DSGVO nicht.

    „Verarbeitung“ von personenbezogenen Daten iSd DSGVO ist nicht auf deren langfristige Speicherung, Weitergabe, Verdichtung etc. beschränkt, sondern meint jede Art von Verarbeitung, nämlich

    „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;.“ (DSGVO Art. 4 Ziffer 2)
    Somit sind insbesondere sogar Prozesse mit transienten Verarbeitungsergebnissen eingeschlossen.

    Zu den „personenbezogenen Daten“ wiederum zählen nach Ansicht der Rspr. eben auch IP-Adressen.

    Das macht in der Konsequenz z.T. auch durchaus DS-Sinn, z.B. um eben Tracking via IP-Adresse mit zu umfassen. Nur reisst andererseits gerade deren pauschale Klassifizierung als pb Daten ein Loch in die Rechtssicherheit des Betriebes einer Webauftritts, und zwar wegen der gemeinsamen Verantwortung von Verantwortlichen und Auftragsverarbeitern (AV) prinzipiell unabhängig davon, ob nun der eigene organisatorische Zugriff nur der der Nutzers eines Basic Plan auf wordpress.com oder der der Betreiberin/des Betreibers eines ganzen Racks in einem RZ ist: Es werden IP-Adressen iSd DSGVO „verarbeitet“.

    IP-Adressen können dabei eben nicht – wie z.B. kein geringerer als Jan Albrecht es seiner aktuellen DSE zufolge zu glauben scheint – nur verkürzt verarbeitet werden, sondern bei Socket-Connects, in Routern und in Firewalls durchaus idR ungekürzt und auch nicht anderweitig anonymisiert „verarbeitet“.

    Und selbst wenn der „Auftragsverarbeiter“ externe IP maskiert und intern e.g. auf 10./8 resp. fd00::/8 hin und zurück mapped, dann führt eben jener letztlich eine Tabelle, in die hinein die originale IP der/des Betroffenen „verarbeitet“ wurde.

    Dabei hilft es auch nicht, wenn z.B. in Gutachten wie

    http://www.daten-speicherung.de/wp-content/uploads/Surfprotokollierung_2011-07-29_Sachverst_an_LG.pdf

    auf S. 7 ausführt wird:

    „Hier ist eine Speicherung der IP-Adresse nicht notwendig. Vielmehr kann ein derartiger Angriffsversuch unmittelbar durch die Firewalls des zu schützenden IT-Svstems abgewehrt werden, indem dort vermerkt wird, daß alle IP-Pakete von der Absender-IP-Adresse 1.2.3.4 verworfen und nicht in das eigentliche Kernnetz des IT-Systems weitergeleitet werden. “

    Wieso „Vermerke“ keine Speicherung sind und was eigentlich ein „eigentliches Kernnetz“ sein soll, lasse ich hier einmal dahingestellt, denn schon der Abgleich mit jenen „Vermerken“ in den Firewalls ist wiederrum ein „Verarbeiten“ iSd DSGVO, und zwar insbesondere eines, das für den Inhaber der gematchten IP-Adresse ganz praktisch erhebliche unangenehme Weiterungen nach sich ziehen kann.

    Gleiches gilt übrigens auch für das Speichern kryptographisches Einweg-Hashes. Zwar kriegt man die IP-Adresse nicht mehr extrahiert, aber der Zustand des Systems reflektiert, dass Paket(e), die von der IP-Adresse einer/s Betroffenen stammten, verworfen wurden.

    Und auch der Eintrag jenes Hashes in eine Blacklist könnte, insbesondere in D, bei der behördlichen Verfolgung der/des Betroffenen genutzt werden – wenn es matched, ist es ein Indiz.

    Gerade im Wesentlichen theoretische Möglichkeiten im Zshg mit behördlichem Tun waren eine der Hauptüberlegungen des EuGH bei der Klassifikation – sogar dynamischer – IP-Adressen als pb Datum.

    Insofern sind die Ausführungen der TU Dresden zwar angreifbar, aber dennoch Teil der Rechtslage.

    Über Verarbeitungen nun sind Besucher der Webpräsenz („Betroffene“ im Duktus der DSGVO) zu informieren, und es sind Verarbeitungsverzeichnisse zu führen.

    Wie nun soll ein/e Nicht-ITler/in über jene Verarbeitungen „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ (DSGVO Art. 12 Abs 1) so informieren, dass sowohl technisch kundige Gerichtsgutachter jenes als vollständig und korrekt goutieren, als auch technisch gänzlich unkundige „betroffene Personen“ (ebd.) jenes überhaupt verstehen?

    Und wie soll er/sie jenes überhaupt für DS-Behörden geeignet dokumentieren? Die Ausrede „Gelegentlichkeit“ via Art.30 Abs 5 verfängt nicht – Websites und die Infrastruktur der AV dahinter verarbeiten IP-Adressen nicht nur gelegentlich, sondern idR 24/7. Also muss er/sie „ran“.

    Und solange er/sie mit seinem/ihrem AV gemeinsam verantworlich ist, kann man nicht ernsthaft erwarten dass er/sie die Vereinbarung mit dem AV einfach so als Glaubensbasis nimmt und fachblind durchreicht.

    Summa Summarum: Auch wenn Blogger/in X solche Überlegungen nicht selbst anstellt, sondern sich nur aus dem Bauch heraus mit seinem Blog rechstunsicher fühlt. so ist jenes Abschalten aus jenem Bauchgefühl hier in Anbetracht der Über- und Durchgriffigkeit der DSGVO alles andere als laienhafte Unvernunft und Panik, sondern leider oft die einzig praktikable Lösung.

    Ja! Ich weiß! TL;DR. :)

    Würde mich umso mehr über Antworten freuen!

    Mit freundlichen Grüßen

    1. Das ist natürlich flapsig formuliert, es war auch nicht die Absicht, den Aufwand und die Unsicherheiten kleinzureden. Wir hatten das zunächst im Artikel sogar drin, weil wir ein bisschen darüber geschrieben hatten, wie wir selber mit der DSGVO zu kämpfen hatten. Das haben wir aber dann wieder aus dem Artikel entfernt, weil er ohnehin schon recht lang wurde.
      Es betraf mich selber auch sehr direkt, da ich mehrere Blogs mit verschiedenen technischen Lösungen betreue und recht viel Aufwand damit hatte. Ich hab natürlich auch hart an der Deadline gearbeitet, wie immer..

      Für mich war und ist Offline-Nehmen aber keine Lösung. Ich muss etwa bei offenen Kommentaren und in Fragen der IT-Sicherheit auch permanent daran arbeiten, die Webseiten im Blick zu haben und zu updaten, ich muss auch rechtliche Regeln kennen und mich ständig informieren. Was jetzt an der DSGVO so anders sein soll als an vielen anderen Regelungen, die ich zu beachten haben, sehe ich nicht. Ich hatte es früher schon geschrieben: Ich denke, dass vor allem die Furcht diesmal größer war.

      1. „Das ist natürlich flapsig formuliert, es war auch nicht die Absicht, den Aufwand und die Unsicherheiten kleinzureden. “

        Tut Ihr aber. Hier schon wieder:

        „Was jetzt an der DSGVO so anders sein soll als an vielen anderen Regelungen, die ich zu beachten haben, sehe ich nicht. Ich hatte es früher schon geschrieben: Ich denke, dass vor allem die Furcht diesmal größer war.“

        Selbstverständlich existiert ein qualitativer Unterschied dazwischen, ob eine VO nur iwelche Aufwände erzeugt oder ob sie praktisch nicht umsetzbar ist.

        Ich habe bislang keine DSE gesehen, bei der mir nicht auf den ersten Blick Unstimmigkeiten (s.z.B.o. zu Jan Albrechts DSE) oder Auslassungen aufgefallen wären – insb. zum Thema Firewalling, DoS-Protection etc. Und da ist nicht breit gestreute Nachlässigkeit oder gar Koinzidenz am Werk, sondern das liegt in der DSGVO selbst begründet., insbesondere iVm jenem EuGH Urteil zur Personenbezug von IP-Adressen, wie oben von mir dargestellt.

  8. Ich betreibe eine Website, auf der ich Google Adsense nutzte, und ich war zufrieden mit den Einnahmen. Da ich jedoch stark verunsichert bin, und da ich mich erst um andere Vermarktungsmöglichkeiten bemühen muss, fällt es mir im Moment schwer, neue Ratgeber und Nachrichten zu schreiben. Wahrlich, die Seite verwahrlost im Moment. Aber geschlossen habe ich die Seite nicht. Ich hoffe nämlich, dass ich Adsense bald wieder ohne Furcht nutzen kann.

  9. Am Ende ist das alles wenig überraschend.

    Ich meine, wir haben die Anforderungen zum Beispiel bei Autos auch erhöht und das war gut, hatte aber den Nebeneffekt, daß Leute in der Praxis nicht mehr ihre eigenen Autos bauen, sondern bei einem großen Oligopolanbieter kaufen. Es wäre seltsam, beim Internet und Veröffentlichungen im Internet etwas anderes zu erwarten.

    Oder bei Mailservern und ähnlichen Dingen, for that matter – das Mailprodukt von Google ist sehr viel professioneller und zuverlässiger als jedes Mailprodukt, daß man sich als Hobbyist selbst löten kann und man braucht es auch nicht zu betreiben. Man kann einfach „Mail haben“. Und so kommt es dann, daß am Ende 40% aller Email weltweit Google-intern sind.

    1. Ich seh das ähnlich, aber mir fallen natürlich Gegenbeispiele ein, etwa bei der Regulierung von Nahrungsmitteln.
      Was Google-Mail angeht, weiß man schlicht etwas über jemanden, wenn er sich für diesen Anbieter entscheidet. Aber man weiß auch etwas über eine Person, wenn sie mit einem SUV vorfährt.

      1. Völlig unironisch: was weiss man denn da? Und was wüsste man bei a) eigener Domain, b) protonmail, c)outlook und d)gmx?
        (…persönlich halte ich es für sehr Kaffeesatz, da direkt mal zu interpretieren…)

        1. Man weiß als erstes, dass der Nutzer nicht nur für sich selbst, sondern auch für seine Kommunikationspartner akzeptabel findet, dass unverschlüsselte Inhalte der Mails von Google auch inhaltlich ausgewertet werden (im Kern für Google ads). Das ist auch weithin bekannt, so dass man zumindest annehmen kann, der Nutzer akzeptiert das wissentlich für sich und seine Kommunikationspartner. Alternativ ist es ihm egal (also wenn er es nicht weiß). Schreibt mir beispielsweise ein Berufsgeheimnisträger per Gmail (auch verdeckt) und unverschlüsselt, behandle ich ihn entsprechend. Bei bestimmten Berufsgruppen würde ich dann auch keine Geschäftsbeziehungen eingehen, etwa bei Anwälten, Ärzten oder Steuerberatern.

          Ich mag jetzt grad nicht die vier Beispiele alle durchgehen, aber sicher ist das bei anderen Werbe-Anbietern (yahoo usw.) vergleichbar, nur bei einigen nicht so bekannt. Generell denke ich, dass viele Leute mittlerweile schon drauf achten, in welchen privaten und beruflichen Bereichen sie zu welchen Anbietern greifen.

          1. Ja sehe ich genauso; die meisten sehen nur „kostenlos“ im sinne von wir zahlen kein Geld dafür, das sie aber nicht nur mit ihren eigenen Daten zahlen sondern mit allen die mit ihnen zu tun haben, das wird meistens ignoriert und das natürlich sehr zum Leidwesen aller beteiligter.

            Im Beruflichen Umfeld ist so was für mich ein no-go und ein Ausschlusskriterium für denjenigen.

          2. …und die Frage ist, nach welchen Kriterien. Afelia schrieb ja schon nebenan mal, dass sie die DSGVO eben nicht *vor dem Staat* schützt (und ich impliziere mal, dass das aus Bürgerrechtsperspektive ein vollkommen unterbelichtetes Thema ist in dem Zusammenhang). Ich halte es grade für Berufsgeheimnisträger für deutlich problematischer, ggf. eine schön abschnorchelbare Mailbox beim United Internet Homepagebaukasten der Wahl zu haben denn bei Google oder MS. Um mich selber zu zitieren – wenn Bayern um meine psychische Verfassung weiß, wollen sie mich einknasten können, wenns Google weiß, versuchen sie mir nicht mal, nen Strick zu verkaufen.
            Und gerade in dem Kontext halte ich das gern genommene Gmail-Bashen für, nun ja, tendenziell verschobene Risikowahrnehmung und würde mich hüten, fix mit Zuschreibungen bei der Hand zu sein.

    2. @Kris, kann man diese Naivität irgendwie erwerben, oder wird das als Berufskrankheit für Leute die mit großen Datenbanken arbeiten anerkannt?

      Gmail ist kein Produkt (und wer schon mal die Suchfunktion in der eigenen Inbox benutzt hat, zweifelt auch die Professionalität an). Das ist ein Dienst den Google anbietet um möglichst genau zu erfahren mit wem du vernetzt bist. Und den gibt’s deshalb umsonst, weil Google mit den Daten, die sie über dich lagern – dankenswerterweise nicht teilen – Geschäfte mit Werbetreibenden macht. Viel Geschäfte mit denen sie viel Geld umsetzen und verdienen.

      Da saß nicht jemand in einer Ideensitzung und sagte: Hey, lasst uns einen kostenlosen email Dienst anbieten. Weil wir es können. Sondern: Wie kann man feststellen was unsere Datenlieferanten sonst so treiben?

    3. Das Gefährdungsszenario ist doch ein vollkommen anderes.

      Bei Autos besteht das Problem, dem wir begegnen müssen, in physikalischen Effekten, die in bestimmten Situationen ungünstige Auswirkungen haben. Wir können diese physikalischen Effekte nicht beeinflussen, aber wir können die Situationen, in denen diese Effekte ihre ungünstigen Auswirkungen entfalten, vermeiden. Fahrzeugseitig schaffen wir das, indem wir in vielen Aspekten hohe Anforderungen an die Beschaffenheit der Fahrzeugkomponenten haben. Und dadurch, dass nicht jeder sein vollkommen selbergebautes Fahrzeug fährt, sondern es nur eine relativ kleine Auswahl an Fahrzeugherstellern gibt, lässt sich auch noch halbwegs gut ein Überblick behalten, ob beispielsweise ein gegebenes Fahrzeug bei einer Kontrolle nun den Vorschriften entspricht oder nicht.*

      Die DSGVO hat andererseits das Ziel, den Missbrauch persönlicher Daten zu verhindern. Einer der Ansatzpunkte, es gar nicht dazu kommen zu lassen, ist freilich das Prinzip der Datenvermeidung, zu der auch gehört, keine allzu großen Häufungen unterschiedlicher personenbezogener Daten entstehen zu lassen, die vielleicht zu vom Benutzer unerwünschten Zwecken kombiniert werden könnten. Hierzu ist es aber gerade nicht zielführend,

      *Davon abgesehen habe ich große Zweifel daran, ob es überhaupt so ist, wie du beschrieben hast. Ohne genaue Einblicke in diese „Szene“ zu haben, habe ich doch den Eindruck, dass es durchaus auch kleinere Unternehmen gibt, die zum Beispiel Lkw-Anhänger für Auftraggeber individuell anpassen. Das geht dann schon in die Richtung, dass sich Leute „ihre eigenen [Fahrzeuge] bauen“. Und davon abgesehen dürften die rein rechtlichen Hürden gegenüber den materiellen, um ein funktionstaugliches Fahrzeug herstellen zu können, in einem ganz anderen Verhältnis stehen als bei Webseiten.

  10. Als Computerheini folgendes beitragen. Aus meiner Sicht (Einzelunternehmer, Entwickler, Hoster) die DSGVO ein ärgerlicher Reinfall und die Analyse: „trifft die kleinen, während die bösen ‚Größeren‘ munter weitermachen dürfen“ trifft voll zu. Das ganze ist und bleibt in seiner Regelung wieder mal Wunschdenken an Realitäten vorbei.

    Ich könnte mich schwarz ärgern als Ex-Pirat dass man es so echt geschafft hat Datenschutz als antiquierten Mist da stehen zu lassen!!
    Die Leute nutzen alle seit Jahren das Netz wie ist; ohne Datenschtuz! Anstatt ihnen den Vorteil zu zeigen und sie nach und nach anzuleiten,
    wurde ihnen das per Einlauf verabreicht und sie dabei allein gelassen. Die Leute hatten aus ihrer Sicht keine Probleme, sie bekamen sie erst dadurch!
    Weil plötzlich Datenschutz mit größtmöglicher Bedrohungskulisse für jedermann anstelle der Giganten; die haben Jahre, Zweigniederlassungen und Anwaltsheere dazwischen.
    Der Frisör, der Fahrrad-Shopbetreiber, der Stuerberater, die Zahnarztpraxis, etcpp haben jetzt aber die Abmahn-Hunde an der Hacke!

    Ist das jetzt alles die Schuld von Jan Philipp Albrecht, den Datenschutzaktivisten, der EU, der deutschen Regierung?
    Njein aber alle waren daran beteiligt und keiner will am Ende dafür auch nur irgendwie verantwortlich sein.

    Auf der einen Seite:

    Gleichgültigkeit und entspannte ignoranz mit dem wohigne wissen das einem nicht viel passieren kann.

    Ich selbst habe Mittelständler erlebt die ‚Datenreichtümer‘ hatten oder schlicht die DSGVO bisher ignoriert haben und vor denen dann die Landesdatenschützer kapituliert haben.
    Und die Moral davon?: Datenschutz = eine Spammail mehr.

    Der Vorteil dieser ’schwarzen‘ Schafe? Mindestens Bi-national oder schlicht mit Kanzlei im Hintergrund, die Abmahner und Datenschutzbeauftragte abschreckt weil beschäftigt.
    Melden macht frei. Direkt an /bin/false….. Fuck yeah!!!

    Ich durfte mir Dinge anhören wie: ‚ist halt organisierte Kriminalität, passiert halt, muss man als Routine betrachten‘ oder bei einem anderen ‚alle 2 Jahre wird einem halt der Laden auf gemacht‘ oder
    ‚machen wir, wenn es Akut wird, dann hält die Rechtsabteilung das auf und minimal‘. Oder mein Evergreen im letzten halben Jahr: ‚… ist doch egal. Sagen sie mir mal, wer das nachher durchschauen soll‘.

    Auf der anderen Seite:

    Panik; den letzten beißen die Hunde.

    habe ich selbst im Zuge der DSGVO etwa 5-8% (die Zahl ist genau, nur die Kategorisierung debattierbar) meiner Kunden verloren, die :
    * entweder bis auf weiteres Dicht gemacht haben. (2%)
    * oder auf ein absolutes Minimum herunter gefahren haben (4%)
    * direkt alles gekündigt haben (1%)

    Das sind die gesetzes des Marktes. Keine Sau interessiert sich ein Jahr vorher für die Möglichkeit einer ungenauen Dringlichkeit. Und nur die, die eine (Investitions-)Sicherheit haben tun das überhaupt.
    Die anderen gehen zu jemanden der sich Unsicherheit leisten kann. Herdentrieb.

    Was in gottes Namen hat man sich denn dabei gedacht? Quelle surprise!

    Das ging doch voll an der Realität vorbei:

    Blogs/Seiten/Shops basieren heute in der breite Masse auf Open-Source Grundsystemen um die kosten zu niedrig zu halten. Zumeist kombiniert mit günstigsten Templates, an denen möglichst wenige Anpassungen vor genommen wurden. D.H die Software und die Templates/Plgins stammen zu 90% aus juriskdiktionen die von strengen Datenschutz nie etwas gehört haben. Selbst wenn sich das zukünftig ändern sollte, basieren die meisten Seiten z.Z darauf oder haben entsprechende Abhängigkeiten.

    Wer soll das prüfen wenn nicht der Computerheini/heidi? Und wer soll das dann abschließend beurteilen?
    Wer soll entscheiden wie viel Geld man dafür aufwendet wenn man dafür schon ne Rechtsberatung bräuchte.
    Und wenn sich dann noch Rechtsanwälte und Datenschutzbeauftragte widersprechen?!
    Bis jetzt ist nichtmal klar was hinreichend ist um einem vor Abmahungen zu schützen.
    Davon Hauptsächlich beeinträchtigt sind aber kleine und kleinste.

    > Wann hast Du zum ersten Mal von der DSGVO gehört?

    Anfang 2017? Seit Mitte 2017 jenfalls bin ich damit befasst. Akut wurde es Ende 2017.
    Mehrfache Ansprache des Themas bis Februar war Ergebnislos.
    Im Februar 2018 habe ich alle Kunden (zwangsweise weils keiner kaufen wollte) auf Let’s Encrypt SSL um gestellt.
    Mitte März alle Kunden die es wollten die Webfonts lokal abgelegt, Analytics gegen Mamato getauscht oder IPs anonymisiert etcpp…
    Trotz langer Vorbereitung, war es am Schluss 20/7 Arbeit in der Woche vor in Kraft treten der DSGVO und seit dem Feuerwehr.
    Für mich hat sich der Aufwand nicht gerechnet, und hätte er es, wären noch mehr Kunden weg gelaufen.

    > Welche Vorschriften haben Dich überfordert?

    Welche nicht? Wie viele der Vorschriften waren denn mal wirklich sicher?
    Datenschutzseite und SSL waren direkt klar. Alles andere?

    Mitte Febrauar dachte ich ich sei einiger maßen Bilde und hätte mich eingearbeitet.
    Mitte April hatte ich nach X Geprächen und Schulungsterminen nur die Gewissheit das keiner Gewissheiten hatte.

    > Was für Hilfe hättest Du Dir von wem gewünscht?

    Wie wäre es denn mal mit gesicherten Aussagen der Apologeten was den hinreichenden Umfang der notwendigen Massnahmen angeht? So mit Beispielen?
    Oder einfach nur mal Aussagen was ‚jetzt definitiv sicheres vorgehen‘ war zum Zeitpunkt X ?
    Oder mal ne Spendensammlung der üblichen Aktivistengruppen für die Verteidigung bei den ersten ungerechtfertigten Abmahnungen?
    Für alles andere wird ja gesammelt. Für massnahmen die der Verbesserung der Akzeptanz dienen eher nicht so…

    Oder einfach mal, dass nicht jede Panikmeldung von X-Datenschutzaktivisten wiederholt wird; im Sinne der guten Sache.

    1. Also ich vermisse schon irgendwie die Hoster, die jetzt offensiv damit Werbung machen, dass sie ihre Angebote DSGVO-konform gemacht haben.

      Habe z.B. spontan mal bei Strato im kleinsten Hostingpaket für 4 Euro/Monat das bereitgestellte WordPress mit Webbkoll getestet. Da werden direkt nach der einfachen Installation mit 3 Klicks die Fonts von Google geladen.

      Da hat Strato seine Hausaufgaben nicht gemacht. Entweder präsentieren sie mir dazu den notwendigen Abschnitt für die Datenschutzerklärung, oder noch viel besser, sie bauen das Paket so um, dass die Fonts lokal gehalten werden.

      Dass das Thema DSGVO überhaupt so eingeschlagen ist, schiebe ich ja auf die CA-Geschichte.

      Und das ist auch gut so und führt hoffentlich zum lange überfälligen Umdenken der Digitalbranche zum Umgang mit persönlichen Daten.

      Da ist es dann auch nur ehrlich und folgerichtig, wenn jeder Blogschreiber oder Seitenbetreiber die Sache hinwirft, wenn er nie vorhatte sich aktiv an der Erfassung persönlicher Daten zu beteiligen nun aber gewahr werden musste, dass er durch die bereitgestellten Tools zum aktiven Mittäter der Datensammler wurde.

  11. Kurze Ergänzung zu meinem Rant: Ich habe nicht das kostenlose SSL versucht zu verkaufen, aber versucht den Aufwand die Seite auch voll kompatibel zu machen.

  12. Als würde es nur um die Werbetracker gehen?! Es geht doch schon mit eingebubdenen YouTube Videos los. Beziehe ich mich in einem Artikel auf einen Tweet und binde diesen ein, habe ich keine Kontrolle und keiner kann zu 100 Prozent zusichern das ab dem Moment noch alles seinen geregelten Weg geht.

    Das ist aber das Internet, wir binden Inhalte ein und teilen diese, ich fühle mich seit der DSGVO total beschnitten und habe mit jeden neuen Post mehr Schiss in der Buxe als früher auf Kinox.to

  13. Meiner Meinung nach tragen beim Thema DSGVO viele Webseiten und Blogs zur totalen Verunsicherung von Bloggern und Privatpersonen bei (nein, netzpolitik ist nicht damit gemeint).

    Gemeint sind die Webseiten und Blogs, die monatelang die DSGVO quasi nur mit 20 Millionen Euro Strafe angekündigt haben, die erzählen, man könne jetzt auch Vater, Mutter, Freunde und Tochter anzeigen, weil diese WhatsApp nutzten, die erzählen, Webseiten, die Cookies ohne Einverständnis setzen, seien illegal. Wegen der DSGVO habe ich inzwischen so viel Schrott gelesen, dass es teils in den Augen brannte.

    Erst wurde die DSGVO wochenlang gehypt: Weil man kann jetzt alle bösen US-Unternehmen abmahnen und hat Millionen neuer Rechte. Die Monate vor Anwendung dann Ernüchterung: OMG, die DSGVO gilt ja auch für mich kleine Privatperson mit meiner Webseite.

    Fakt bleibt: Einige Artikel in der DSGVO sind solange vage und reine Auslegungssache, bis es Gerichtsurteile gibt. Damit muss man leben und faktisch ist das auch mit vielen Gesetzgebungen so. Bloß der Trubel um andere Verordnungen und Richtlinien war nie so groß wie jetzt und sicher auch nicht die Gerüchteküche. Die meisten Rechte, die es jetzt „neu“ gibt, hatten Deutsche, Österreicher, Niederländer usw. schon mit ihren nationalen Datenschutzgesetzen.

  14. Viele ungewerbliche Blogs dürften doch theoretisch sich auf 2c/Erwägungsgrund 18 beziehen ( und sogar Impressum weglassen) weil die Meinungsfreiheit in Internet auch anonym sein darf…

    Die Folgen sieht man hier – genau deshalb gibts das Grundgesetz – und als konsequenz für Hobby Seiten es nur noch ohne Gewinn Absicht zu machen ist halt okay – ganz oder gar nicht – entweder finanziert man es quer und hält sich an die DSGVO oder man machts als „Ich zeige meine Katzen“ Seite ( nur halt mit anderen Themen die von der Meinungsfreiheit geschützt sind)

    Und wenn jetzt Leute kommen die sagen: das sehen Juristen Senders dann ist es Zeit das sowas nach Karlsruhe getragen wird und ein für alle Mal die Meinungsfreiheit entweder frei bleibt oder untergraben wird durch dieses System – ich tippe aber Ersteres…

  15. Vielen Dank für den interessanten Artikel, der mich nun doch ein wenig verunsichert hat. Ich hatte vor in Blogging und Webseite so richtig einzusteigen und nun weiß ich wieder nicht so richtig.

    Ich hatte vor ohne Analytics Tracking und direkt mit Anzeigen von Amazon, etc. zu arbeiten. Dann wäre ich ja fein heraus.

    Bei den Anzeigen muss ich dann nachfragen, ob da etwas getrackt wird. Könnte ich auch zuschaltbar machen mit Anfrage „Willst Du sehen, was Amazon dazu anbietet? Danke — Dass die Deine Daten klauen ist doch wohl klar?“ oder so.

    Aber das mit den IP-Adressen, die bei Fonts (wirklich?) und Gifs eventuell mitgespeichert werden könnten, ist schon beunruhigend. Dann sollte ich wohl besser alle Mediasachen selber hosten.

    Meine Fotos sind bei Flickr. Tracken die einen Zugriff? Könnte ich das überhaupt unterbinden?

    Mein Tracking wollte ich per javascript und localStorage implementieren. Das wäre dann ohne Cookies, aber mit Einträgen in meine MariaDB. Die Einträge wären ohne IP-Absender und würden nur Zeitstempel und URL umfassen. Ist das nun personenbezogen oder anonym? In der Datenbank wäre dann vermerkt, dass ein browser mit eingeschaltetem javascript eine URL angezeigt hat. Kann mir da ein Strick draus gedreht werden?

    Na ja, vielleicht lass ich das dann doch besser sein.

  16. Facebook als Blog-Alternative nutzen? Ehrlich? Dann sollte man lieber gleich mit dem bloggen aufhören, denn mal ganz abgesehen von dem nicht vorhandenem Kommentar-Niveau – was Facebook mit den Inhalten im Rahmen Ihrer kruden Content-Filter anstellt – ist einfach lächerlich.
    Ja, das bloggen ist schwerer geworden – weil kaum noch Leser kommentieren. Früher hatte man einen Beitrag veröffentlicht und kaum 1 Stunde später war der erste sachliche – zum Teil auch witzige Kommentar da. Ich habe damals Beiträge geschrieben bei denen über 100 Kommentare verfasst wurden.
    Heute habe ich bei einem Beitrag mit über 10.000 Aufrufen weder einen Kommentar, noch 1 Like, noch sonst irgendwas zählbares, was mir ein positives Feedback vermitteln würde, einen guten Beitrag geschrieben zu haben.
    Und mal ganz davon abgesehen halte ich die DSGVO für das dämlichste, was sich die Gesetzgeber in den letzten Jahren haben einfallen lassen – noch dämlicher als das Verbot doppelschlitziger Toaster.
    Grade bei Nischenbloggern mit kaum monetärem Hintergrund oder privaten Blogs kann ich verstehen, dass die Inhaber aufgrund des Risikos eines finanziellen Abmahndesasters ihre Blogs vom Netz nehmen.
    Monetär erfolgreiche Blogs werden hingegen ihre Blogs DSGVO-Konform gestalten.
    Darunter leidet natürlich die Blogospähre: bloss weil ein Blog bekannt ist, bedeutet es nicht, dass er gut ist. Ich habe genüged Blogs gesehen, bei denen quasi nur die Presseerklärung zu Produkten etwas umgeschrieben wurde und schon ging das als Test durch. Und dann schreiben die einen noch von dem anderen ab und verzapfen zum Teil die gleichen rosaroten Werbeversprechen, sodass Produkte gehypted werden, die eher auf den Sondermüll gehören als in einen Privathaushalt.
    Soll so die Zukunft des Internets aussehen?
    Es wird Zeit das Gesetz anzupassen. Man könnte ja Betreiber, die unter einer bestimmten Anzahl von Zugriffen liegen von der DSGVO befreien. Der ganze personenbezogene Datensammelhumbug ist doch dort gar nicht relevant.
    Ich kann über mein Matomo-Tool auch nicht erkennen, ob der Besucher Max Mustermann ist oder Heinz Müller. Das kann nur sein Internet-Provider.

  17. Die einzige Änderung an meiner Homepage war, schneller Logfiles zu löschen/rotieren und die Logfiles mit GnuPG zu verschlüsseln (logrotate).

  18. @SanDre – richtig – aber ab wann zählt gewerblich? Schon ein einziger Affiliate-Link kann dein Projekt als „gewerblich“ zählen lassen. Einige kennen diese Codezeilen nicht mal in Amazon und kopieren diese fleißig auf ihre eigenen Webseiten in Verlinkungen mit. Ist eine Empfehlung zum Kauf eines Spieles schon gewerblich?

    Darf ich noch ein Spotify-Album einbetten? Warum muss ich eine Cookie löschen Funktion eingebaut haben wenn doch jeder Browser diese Funktion bietet? Fragen über Fragen…

  19. Moin,

    Ich habe meine Blogs und meine eigenen Webseiten* vorrübergehend offline genommen.
    Ich bin keine studierte IT-lerin und die Blogs waren/sind ein Hobby. Schnell und unkompliziert. Evtl. oldschool – aber das ist mir egal.
    Ich selber schalte keine Werbung und habe überhaupt gar kein Interesse daran damit Geld zu verdienen.
    Damit scheine ich mich scheinbar von 99.999999% aller BloggerInnen zu unterscheiden.
    Meine Blogs laufen NICHT auf eigenem Webspace – und dementsprechend kann ich wenig bis gar nichts an den ganzen Trackingsachen verändern. Das was ich ausmachen konnte habe ich ausgemacht. Es war nicht alles so einfach und intuitiv, es kostete einiges an Zeit, weil manche Einstellung hier – und andere da waren, die eine aber das andere wieder anschaltete etc.

    Ich hätte gerne seitens des Anbieters einfache und klare Wege gehabt um alles dsgvo-konform zu machen. Denn selbst der Anbieter kann und will nicht wirklich Auskunft geben über das was er mit Daten macht, und was die Firmen die Werbung schalten mit den eventuell gesammelten Daten machen.
    Und da ich mich genau da furchtbar allein gefühlt habe habe ich erstmal alles ausm Netz genommen.

    Das ist alles Stand Anfang/Mitte Mai 2018, vielleicht hat sich bis heute noch mehr getan – ich hatte bisher nicht wirklich Zeit mich damit zu beschäftigen.

    Der Vorwurf man könne doch in sein Hobby durchaus mehr Zeit investieren: mein Hobby ist das Schreiben. Nicht die technische und rechtliche Kenntnis darüber wie und wo ich es wie machen darf. Genau dafür hatte ich die Sachen fremdgehostet. Zumal ich ja auch überhaupt nicht daran dachte irgendwie Geld zu verdienen. Mir reichen meine paar LeserInnen.

    Eigener Webspace kostet Geld. Nicht viel – aber es kostet.
    Ich muss mich darum kümmern, welchen Anbieter ich nehme etc. – das kostet Zeit.
    Dann muss ich schauen wie ich welche Software wie da drauf bekomme. Nochmal: viele Leute haben von sowas null Ahnung. Und sie wollen davon auch keine Ahnung haben. Und es kostet Zeit.
    Und dann muss ich schauen was ich wie wo ausmachen kann um alles DSGVO-konform zu halten. Das kostet Zeit – und erfordert Ahnung.
    Das sind viele Hürden für die kleine 08/15-Blogperson, die doch einfach nur n bissi Rezepte schreiben oder ihren Alltag beschreiben will.

    Ich habe mich viel damit beschäftigt, habe viel recherchiert. Und ich bin mehrfach an meine Grenzen gestoßen. Einfach weil alles was ich fand nicht für den 08/15-Blogger gemacht war. Ich hatte das Gefühl dass meine Art zu bloggen und zu schreiben nicht „normal“ oder „üblich“ ist – und sich entsprechend kein „Fachmensch“ dazu irgendwie geäussert hat. Und dass es nicht schade drum ist wenn solche kleinen BloggerInnen ihre Blogs einstampfen.
    Und das was mir der Anbieter des Blogs angeboten hat war voller Hürden, nicht leicht zu finden – und liess mich unsicherer zurück als vorher.

    Jedesmal wenn ich das arrogante „Gott, hostet das doch selber, ist doch alles ganz einfach, macht halt alles aus und heult nicht, was wollt ihr eigentlich“ höre und lese werde ich wütend. Das sind alles Leute mit Plan und Ahnung und Zeit und Geld. Und die die ganzen kleinen Blogs eh völlig unwichtig, uninteressant und unnötig finden, weil, die sind ja nicht monetär ausgerichtet oder nicht hip oder sonstwas.

    Ich hatte die Freiheit einfach so losschreiben zu können sehr genossen. Ich hielt genau das für die Stärke des Internets: dass jeder Mensch genau dazu die Chance hat. Dass es Platz für alle gibt: die kleinen und die großen Blogger. Ohne wirkliche Hürden.
    Und vor allem in dem Bereich der (Selbst)Hilfe-Blogs war das sehr sehr toll.
    Mir fehlt es im Moment sehr, ich würde gerne schreiben und mein Blog füllen.
    Ich fühle mich genau dieser Freiheit beraubt.

    Ich werde die Blogs irgendwann auf meinen webspace schieben, wenn ich Ruhe und Muße dazu habe.

    Wie ich das dann mit einem sehr persönlichen Blog lösen werde bei dem auf keinen Fall eine Verbindung zu meiner Person bestehen darf weiss ich noch nicht. Dort kann es kein Impressum geben. Allerdings möchte ich es auch nicht aufgeben. Mir wird bestimmt irgendwann eine Lösung einfallen…

    Es ist alles gar nicht so einfach und „mal so eben“ geregelt wie es viele verkaufen wollen.

    K.

    *Die Webseiten sind offline weil das von mir benutzte cms nicht dsgvo-konform einzurichten war und ich das ganze zum Anlass nehme beide Webseiten komplett neu zu gestalten. Aber auch hier: es kostet Zeit und Wissen welches ich im Moment noch nicht habe.

  20. Ich selber betreibe eine Website, habe aber von PHP etc absolut keine Ahnung. Einfach alles mit den Assistenten über WordPress installiert.
    DSGVO konform zu werden war genauso leicht wie SSL zu installieren, für WordPress gibt es einfach für ALLES ein Plugin.
    Wer das nicht schafft und daran scheitert ein paar Klicks zu machen, Sachen wie Google Fonts lokal auf dem eigenen Server zu speichern, sollte auch keine Website betreiben dürfen! Diese machen einfach nicht die einfachsten Sachen um die Daten der Nutzer zu sichern.
    Und wer erst ein paar Tage vorher groß aufgeschriehen hat zwecks DSGVo und eine Verlängerung möchte, ihr hattet 2 Jahre Zeit!

    1. Wer xy nicht kann sollte keine Website betreiben dürfen.
      Bingo.
      Manche wollen einfach nur schreiben, und es einer handvoll Leute zugänglich machen. Die wollen keine große Site erstellen, sich nicht den Kopf machen, kein Geld ausgeben.

      Es wäre mal eine Maßnahme nicht die zu bashen, die das nicht können oder wollen – sondern Lösungen zu finden dass auch solche Leute frei ihre Blogs führen können – fremdgehostet.

      K.

      1. @tempovoager:
        Irgendwer sollte Geld bereitstellen, damit du kostenlos und ohne dir einen Kopf machen zu müssen, deine Meinung im Internet veröffentlichen kannst?

        1. Es geht an der Stelle nicht nur um Meinungen sondern auch um Know-How, das auf ganz vielen Seiten im Internet angeboten wird. Die Schreiber sind oft nicht technikaffin genug um sich sicher mit den hohen Anforderungen der DSGVO auseinanderzusetzen und gehen dann einfach den Weg hin zu einem sicheren Hafen ala Facebook.

          1. Um den Inhalt geht es gar nicht, sondern um das aufgezeigte Anspruchsdenken.

            Wenn ich öffentlich meinem Hobby als Blogschreiber nachgehen will, dann kostet das Geld und erfordert die Einhaltung von Auflagen wie die allermeisten Hobbys auch, denen man in der Öffentlichkeit nachgeht. Wer Ahnung hat, oder sie sich aneignet, der zahlt dann eben weniger für sein Hobby als derjenige, der alles machen lässt.

          2. Welches Anspruchsdenken? Facebook bietet doch genau diese kostenfreie Plattform für Inhalte an. Das ist kein Anspruch sondern die Realität. Die Frage ist eben nur, ob es gesellschaftlich sinnvoll ist, dies alles zentral auf wenigen Plattformen zu haben oder ob es besser wäre, die dezentrale Wissens- und Meinungslandschaft aufrecht zu erhalten.

          3. Menschen opfern teils große Teile ihrer Freizeit, um für Mitmenschen unterhaltsame, interessante oder vielleicht auch nützliche Materialien bereitzustellen. Sie verlangen keinerlei Gegenleistung dafür und bekommen meist nicht einmal eine Rückmeldung. Statt dessen sollen sie zu dem bereits erbrachten Einsatz nun auch noch umfangreichen Dokumentations- und Kennzeichnungspflichten nachkommen.

            Auch das ist eine Art von Anspruchsdenken.

      2. Nein.
        Ich hätte gerne, dass der Anbieter mir die nötigen Infos relativ einfach zur Verfügung stellt. Damit ich meine BesucherInnen darüber infomieren kann was mit ihren Spuren auf meinen Blogs passiert.
        Mehr nicht.
        Und mein Anbieter hat es mir absolut nicht leicht gemacht. Benutzerfreundlich ist anders.

        Und – selbst wenn der Anbieter sagt „hei, zahl uns einmalig 10Euro und wir geben Dir nen vorgefertigten Text den Du einbauen kannst“ – ich behaupte es wäre für einige wirklich eine Alternative zum komplizierten Selberhosten.

        Dass ich, wenn ich bei kostenlosen Anbietern meinen Kram lagere natürlich mit meinen Daten bzw den Daten meiner LeserInnen bezahle ist klar. Aber wenigstens sollen meine BesucherInnen WISSEN wie und wo – und dann selber entscheiden ob sie es möchten oder nicht. Gibt ja genug Möglichkeiten wenn sie denn gewollt sind.

  21. Ich konnte aus gesundheitlichen Gründen längere Zeit nicht bloggen und fange jetzt wieder damit an.
    Klar, ich habe mich über die DSGVO geärgert und mache das noch heute, denn einen allgemein verständlichen Gesetzestext gibt es da einfach nicht und selbst Juristen legen einzelne Artikel des Gesetzes unterschiedlich aus. Rechtssicherheit wird es erst nach einigen Gerichtsurteilen geben. Ich hoffe nur inständig, dass die Entscheidungen nicht vom OLG Hamburg getroffen werden, das sich in den letzten 20 Jahren ja eher als weniger hilfreich für Blogger gezeigt hat.

    Natürlich könnte ich auch auf einem Social Network „bloggen“, allerdings stören mich dabei ein paar Dinge:
    1. Kommentatoren müssten sich erst einen Account zulegen. Ich selbst bin bspw. nicht bei Facebook und dessen Tochterunternehmen, da ich eine tiefe Antipathie gegen Mark Zuckerberg und seine Aussagen zur Privatsphäre habe.

    2. Ich gebe Kontrolle sowohl über meine Inhalte, als auch über die der Besucher/Kommentatoren ab. Ich habe weder Lust darauf, dass soziale Netzwerke plötzlich der Meinung sind, ein Beitrag von mir wäre nicht regelkonform und müsste gelöscht werden, noch lasse ich zu, dass ein soziales Netzwerk darüber entscheidet, wer bei mir kommentiert und wer nicht.

    3. Ich hatte früher von Zeit zu Zeit Gastblogger. Mal war das ein anderer Blogger, mal war es ein Jurist oder auch mal ein Journalist. Auch das ist eine Sache, die auf den sozialen Netzwerken nicht möglich ist.

    Alles in allem bin ich mit dem Blog einfach freier und flexibler, habe mehr Möglichkeiten und mache mich nicht so abhängig.
    Besucherzahlen waren mir ohnehin immer egal und promoten kann ich kann ich die Artikel auch auf Twitter und G+.

    Oder kurz zusammengefasst:
    Mir ist die Unabhängigkeit des eigenen Blogs wichtig, das lasse ich mir auch von den Polit-Bürokraten nicht kaputt machen.

  22. Die Blogs dieser Welt sind genau wie so ziemlich alle Pressewebseiten nicht von ungefähr mit Tools zur Datenerfassung für Dritte gespickt. Die Betreiber möchten nämlich Geld damit verdienen und sei es nur, dass sie ihr Hobby darüber finanzieren möchten.

    Damit bewegt man sich aber im kommerziellen Umfeld und es ist ganz normal, dass verschärfte Auflagen dazu führen, dass sich kleinere Unternehmungen dem nicht stellen wollen und schließen.

    Ohne Berücksichtigung kommerzieller Interessen machen Fragen wie:
    „Also warum entfernen die Leute nicht einfach die ganzen Werbetracker und das Zeugs, mit denen sie ihre Leser hintenrum analysieren?“
    weder für Blogger noch für eine Pressewebseite Sinn.

    BTW: Seit wann ist netzpolitik.org frei von diesen „Zutaten“? Bis vor Kurzem hieß es doch noch, dass man darauf nicht verzichten kann, weil darüber ein großer Teil der Leser aus den sozialen Netzwerken gekommen wäre. Gibt es schon Ergebnisse über die Entwicklung der Zugriffszahlen?

    1. Was genau meinst du? Wir haben Accounts in den Sozialen Netzwerken, über die wir unsere Artikel verbreiten. Darüber kommt Traffic. Dafür brauchen wir aber kein Google Analytics oä auf unserer Seite einzubinden. Hatten wir auch noch nie.

  23. Hmm, was ich mich frage: wie viele dieser Blogger sind kommerziell unterwegs. Hier in den Kommentaren lese ich von AdSense-Werbung, VG Wort-Zählpixel und dergleichen mehr. Das sind eh kommerzielle Blogs, die auf wesentlich mehr achten müssen als die Feierabend-Tagebuchblogger – zu denen ich mich zähle.
    Ich jedenfalls würde genau deshalb niemals auch nur 1 Cent für irgendwas nehmen, ich binde keine Werbung ein, keine Tracker, nichts. Und auch Gravatar, den ich eigentlich ganz cool fand, habe ich entfernt, als ich die Kommentierung abgeschaltet habe (hat eh keine/r genutzt).
    Also, was habe ich gemacht? Kontaktformular entfernt, Piwik endlich mal rausgeworfen (das mich eh nicht interessiert hat) und ne neue Datenschutzerklärung generiert.
    Ab jetzt gehe ich einfach Risiken ein, mit UWG kriegt man mich nicht und der Landes DSB wird Besseres zu tun haben, als mir Ärger zu bereiten.

  24. Da mein Arbeitgeber schon zahlreiche unbegründete Abmahnungen wegen seiner Internetpräsenz bekommen hat und damit zeitaufwändige Anwaltsbesuche verbunden sind/waren, war ich auch so frei meinen Blog „vom Markt“ zu nehmen, Es ist völlig egal ob der Blog DSGVO konform ist oder nicht, entscheidend ist doch der Ärger den man hat wenn erst eine saftige Abmahung eingetrudelt ist und man sich neben Broterwerb und Familie auch noch damit beschäftigen darf. Abmahner können abmahnen wie sie wollen, sie haften effektiv nicht für falsche Unterstellungen!

  25. Der Code meines Blogs war zu Beginn komplett per Hand geschrieben, sogar das Kommentarsystem. Für die DSGVO hätte ich vieles umbauen müssen. Das war mir zu (zeit)aufwendig. Stattdessen habe ich alles mit WordPress neu aufgebaut und das Theme soweit zurechtgeschnitten, dass es so Datenschutzkonform ist, wie man es auf ausgeloggt.de erwarten würde. Somit hatte ich die Werkzeuge um Besucher/innen zu ermöglichen ihre Daten komplett abzurufen/löschen, wie es von Gesetz gefordert ist. Es handelt sich dabei zwar ausschließlich um Kommentare (bei denen nichtmal die IP in meiner Datenbank landet), aber auch darauf haben Besucher/innen ein Recht.

    Der Gedanke den Blog zu schließen kam mir auch kurz in den Sinn. Wirklich ganz kurz. Aber dafür macht mir das Projekt viel zu viel Spaß.

  26. Bei WordPress ist für viele nicht-technikaffine-Blogger das Problem , dass man nicht weiß, was diverse Addns hintenrum überhaupt machen.

    Beispielsweise beliebt sind WordPress-Security-Plugins. Wenn dies z.b. zur Vermeidung/Erkennung von DDOS-Port80-Attacken die Zugriffe bei einem Drittanbieterserver loggen oder gegenprüfen, ist das zB nicht auf Anhieb klar.

    Ein guter Beitrag zum Thema
    https://www.blogmojo.de/wordpress-plugins-dsgvo/

  27. Richtig, WordPress ist eine tolle Sache, aber um der täglich steigenden Anzahl an Brute-Force Attacken Herr zu werden, benötigt man Security Plugins, zumindest kenne ich als Leihe keinen anderen Weg, und selbst hier waren Plugins dabei die bis zum Tag X kein DSGVO Konform versprechen konnten, teilweise sogar bis heute nichts geändert haben. Mein Blog ist ebenfalls komplett Werbefrei, ich nutze einzig Count per Day um meine Besucherzahlen sehen zu können, trotzdem habe ich noch einen Haufen anderer Plugins am laufen, die alle dafür sorgen, dass mir das Bloggen Spaß macht, ich andere Inhalte wie Twitter / Spotify / YouTube usw. einfügen kann, zum Beispiel nutze ich „Better delete Revision“ – „Disqus“ – „WP Bandcamp“ – „öffentliche Vorschau“ – „random content“ usw. – vieles davon nutze ich weil ich eben keine Ahnung vom programmieren habe und mein eigentlich schönes Themen damit aufwerten kann, aber kann ich sicherstellen daß diese Plugins nicht heimlich Daten senden? Nein, dass kann keiner in meinen Augen.

    Ich kann diese Kommentare auch nicht verstehen: das doch alles so einfach sein soll und wer das nicht kann so es halt sein lassen…

    Selbst meine Facebook Fanseite habe ich abgestellt, aus Angst hier an den Pranger gestellt zu werden, dabei nutze ich Facebook um meine Reichweite zu erhöhen und nicht um irgendwelche Daten meiner Leser abgreifen zu können. Wir machen in meinen Augen gerade Internet 2.0 kaputt, wir zerstören Sozial Media, ich möchte Twitter / Facebook und Co Einbetten dürfen, und DIE sollten dazu verpflichtet sein sorgfältig mit eingebunden Inhalten-Besucher umzugehen, und nicht wir kleinen die das im guten Sinne einarbeiten.

    1. Ich hatte glücklicherweise von Anfang an eine Website und einen Blog, über den das scharfe Adlerauge meines Webprogrammierers wachte (kein wordpress). Von daher trackte bei mir nichts, außer Google analytics, das ich jetzt auch noch rausgeworfen habe, trotz deren Zusicherung, sie würden die IP anonymisieren.

      Mich hat die DSGVO einige Nächte an Arbeit gekostet – ich hätte die Arbeit abgeben können, wollte ich aber nicht, Weil ich selber durchblicken wollte, was da nötig ist. Abschalten war für mich keine Option, hatte allerdings auch die Sachkenntnis meines Webprogrammierers im Kreuz, machte mich nächtelang über YT-Videos schlau und habe einen preiswerten Onlinekurs bei einer Datenschützerin besucht. Was bleibt sind aber immer noch offene Stellen, wie das einbinden von YT-Videos, die Fanpage etc. Klar, ich habe überall das „Mögliche“ getan, aber wir werden sehen, ob uns das nicht doch irgendwann auf die Füße fällt.

      Was mir aber wirklich leid tut ist, dass offenbar viele kreative Blogs vom Netz gegangen sind. Ich hoffe, das die alle noch – oder wieder – einen Weg zurückfinden werden. Ich finde, das sollten wir nicht zulassen: Die intellektuelle Verödung, die dadurch dem Netz droht. Vielleicht erzeugt die DSGVO neue Blogsoftware, die gesetzeskonform funktioniert, so dass wir bald wieder die alte Vielfalt im Netz haben.

    2. Hast du die Seite gelöscht oder nur stillgelegt? Wenn sie stillgelegt ist, kannst du sie wieder aktivieren. Schau auf Facebook mal nach dem Namen Keese-Haufs, die ist Rechtsanwältin und legt sehr gut klar, weshalb wir – zumindest jetzt nicht – die Fanseiten nicht abschalten müssen.

  28. Ich betreibe im Grunde eine kommerzielle Website, und mich würde interessieren, wie es anderen Bloggern, Websitebetreibern geht, die personalisierte Werbung als Einnahmequelle verwenden und jetzt hierfür die aktive Zustimmung der Leser benötigen. Ich dachte immer, nur die kommerziellen Blogs und Websites schliessen ihre Pforten, wenn die Einnahmen einbrechen und sie nicht mehr davon leben können, dann muss man ja gezwungenermassen einer anderen Arbeit nachgehen. Ich nutze das uralte NetObjects Fusion, habe dadurch keine Cookies, nur durch die eingebundene Werbung. Deshalb war ich erstaunt zu lesen, dass so viele private und kleine Hobby- oder Nebenberufs-Blogs schliessen, wenn es doch auch gute Möglichkeiten ohne Cookies gibt, zu bloggen. Aber die Sache mit den IP-Adressen ist mir neu, dann müssten ja alle Seiten im Netz jetzt eine Opt-In-Lösung anbieten, das wäre ja das reinste Chaos im Internet, wenn jeder User erst einmal sein aktives Einverständnis geben müsste, ob er damit einverstanden wäre, dass seine IP-Adresse übermittelt wird. Ich kenne mich hier technisch nicht aus, aber wird nicht automatisch immer die IP-Adresse mitgeliefert, wenn man surft? Übrigens, ein Statistik Tool habe ich nur vor Jahren kurz benutzt, das wurde schnell langweilig. Schade finde ich nur, dass man sich im Moment nicht sicher sein kann, wie die rechtliche Lage bei Facebook Fanseiten und dem Einbinden von YouTube Videos aussieht. Ich habe die Videos gerne eingebunden. Jetzt fange ich an, sie selber auf meinen Webspace zu laden. Bilder von Drittanbietern habe ich nie genutzt, da dies ohnehin sehr unsicher ist, wegen dem Urheberrecht. Aber bitte, optisch bin ich ja eine Niete, ich bin blind. Liebe Grüsse an alle.

  29. Du musst sogar bei einer reinen weißen Seite – einer leeren Seite eine Datenschutzbestimmung haben, da, wie du schon richtig angemerkt hast, immer zur Kommunikation die IP Adresse eines Besuchers übertragen wird, und sei es nur zu deinem Webhoster, mit dem musst du jetzt auch noch einen ADV Vertrag abschließen, also nachträglich, um DSGVO Konform zu sein.

    In dem Video hier wird das etwas besser erklärt (gleich der erste Punkt!)

    https://youtu.be/RZB67nZmXWg

  30. Ich sag’s wie es ist, allein das lesen von solchen Artikeln und rauszufinden, warum und weshalb und vor allem WAS man machen muss, ist für jemanden der sich eigentlich nur um die Technik kümmern möchte, ein Riesengraus.

    Ich habe mühevoll über viele, viele Jahre eine Plattform programmiert, die für ca. 100 Menschen nützliche Dinge unter einem Dach bietet, die es so in der Form sonst nicht gibt.

    Ich wurde bereits wegen Urheberschutz abgemahnt und weil unklar war ob die Forumshaftung in dem Fall zieht oder nicht bezahlt. Der Anwalt meinte, das Risiko wäre zu gross. Folge: 1000 Euro weg. Ich mach das Ehrenamtlich.

    Folge: Gesetze wälzen, Einschätzungen verstehen und interpretieren, Texte in die Seite einbauen, die sowieso nur Anwälte lesen. Und Einschränkungen für User programmieren.

    Die Seite nutzt natürlich Daten. Aber anders als Standardblogs und vieles ist über Jahre (seit 2002) gewachsen und enthält Fehler, wie z.b. ein Benachrichtigungsystem für die Teilnehmer, wo 2002 niemand an eine Bestätigungsmail gedacht hat (weil das ganze mehr oder weniger intern ist/war)

    Folge: Ich habe keinen blassen Schimmer was ich nun machen muss. Aktuell ist die Seite ohne Datenschutzerklärung. Weil ICH keine Daten verarbeite und auch keine externen Tracker o.ä. auf der Seite einbinde.

    Im Grunde könnte ich das auch so schreiben, aber ich bin nicht sicher ob das DSGVO Konform ist: „wir verarbeiten Daten nur zum Betrieb der Seite“.

    Das Problem ist, durch diese Verordnung werden Laien mit Juristenkauderwelsch überfordert. Es fehlen völlig klare Regeln und Aussnahmen für private und Ehrenamtliche Angebote im Internet. Das war auch bei anderen Vorschriften vorher schon so.

    Die Folge ist letztendlich, dass am Schluss nur noch die Angebote übrig bleiben, von denen die sich anwaltlich beraten lassen können.

    Ich habe – wie ich schonmal hier irgendwo schrieb – kein Vertrauen in die Zukunft des Internets. Wir sollten uns auf eine ähnliche Entwicklung wie die beim Radio oder TV einstellen. Es werden nur staatliche und durch Großkonzerne kontrollierte Angebote im Netz übrig bleiben. Und wer einem 08/15 Nutzer über die Schulter schaut, wird exakt das zu 90% im Browserverlauf vorfinden.

  31. Sehr guter Beitrag und spannende Diskussion hier.

    Die Frage ist doch die: Wer sollte weshalb wen abmahnen und was sollte das Kosten. Ich rate nur jedem, auf Abmahnungen, weil er angeblich auf seinem ganze normalen Blog irgendeine Scheiße mit (welchen) Daten (überhaupt) baut, nicht zu reagieren und es auf einen Gerichtstermin ankommen zu lassen. Zunächst mal ist die Beweisführung, dass es Datenmissbrauch vorliegt und jemand Schaden erlitten hat, kaum möglich. Außerdem geht es um die Verhältnismäßigkeit.

    Die Datenschützbehörde soll bei Beschwerden helfen und ermahnen. Aber doch bitte nicht bei einem ganz normalen Webblog. Dann können wir das gesamte Netz komplett abschalten.

  32. Hier in Deutschland / Europa klagen die einen oder anderen über die DSGVO.

    Kalifornien hat sich die Regelung zum Vorbild genommen – und am letzten Donnerstag (28.06.2018) den „California Consumer Privacy Act“ verabschiedet.

    California just passed one of the toughest data privacy laws in the country

    https://www.theverge.com/2018/6/28/17509720/california-consumer-privacy-act-legislation-law-vote

    Bei Golem: Kalifornien erhält Datenschutz nach europäischem Vorbild

    https://www.golem.de/news/dsgvo-kalifornien-erhaelt-datenschutz-nach-europaeischem-vorbild-1806-135221.html

    Bürger hatten damit gedroht, ein Volksbegehren zur Wahl im November durchzusetzen und daraufhin dem Parlament ein Ultimatum bis zum Donnerstag gestellt, selbst ein entsprechendes Gesetz zu verabschieden.

    Das wurde von beiden Kammern einstimmig verabschiedet und vom Gouverneur unterzeichnet. Bürger haben einen Anspruch darauf, zu erfahren, welche Daten gespeichert werden. Es gibt das Recht, Daten löschen zu lassen. Das soll 2020 in Kraft treten, so daß es eine 1,5 – jährige Übergangsfrist gibt.

    Damit sind zwei Entwicklungen denkbar: Entweder orientieren sich die anderen US-Bundesstaaten an Kalifornien, damit hätten die USA eine ähnliche Regelung wie die EU.

    Oder es droht ein Flickenteppich von unterschiedlichsten Einzellösungen. Ein Graus für jedes Unternehmen. Bei denen es naheliegt, daß sie freiwillig die weitestgehende Regelung implementieren.

    Was umgekehrt auch bedeutet: Es gibt für einzelne Bundesstaaten nur begrenzt Gründe, die dortigen Bürger schlechter als anderswo zu stellen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.