Wer heute einen Blog oder eine private Website zu einem bestimmten Thema betreiben will oder sogar einen Chatserver, sieht sich umfangreichen und unverhältnismäßigen rechtlichen Pflichten gegenübergestellt. Ich schreibe darüber, wie untragbar falsch die aktuelle Situation ist und welche konkreten Punkte man mindestens ändern muss.

Regierungen der Industriellen Welt, ihr müden Riesen aus Fleisch und Stahl, ich komme aus dem Cyberspace, dem neuen Zuhause des Geistes. Als Vertreter der Zukunft bitte ich euch aus der Vergangenheit, uns in Ruhe zu lassen. Ihr seid nicht willkommen unter uns. Ihr habt keine Souveränität, wo wir uns versammeln.

So dachte vor etwas mehr als 20 Jahren John Perry Barlow, als er die Unabhängigkeitserklärung des Cyberspace formulierte. Es gab die Hoffnung auf etwas eigenes, anarchisches, nicht von großen industriellen Konzernen geprägtes.

Doch zusätzlich zur Beeinflussung der Privatssphäre durch große international agierende Konzerne, die uns heute so viele Sorgen bereitet, ereilt uns Ungemach von einer ganz anderen Seite.

Die Privatheit wird verrechtlicht

Durch das sogenannte [Volkszählungsurteil[(https://de.wikipedia.org/wiki/Volksz%C3%A4hlungsurteil#Kernaussage) von 1983 wurde rechtlich klargestellt, dass die Informationelle Selbstbestimmung ein Grundrecht ist. Es wurde festgestellt, dass das Grundrecht die Befugnis des Einzelnen gewährleistet, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Das bedeutet, dass personenbezogene Daten über die eigene Person zu einem Rechtsgut wurden.

Das klingt zunächst erst einmal gut. Doch was bedeutet das eigentlich? Wenn ein Rechtsgut durch die Rechtsordnung geschützt werden muss, dann muss es auch die Möglichkeit dazu geben. Heißt, jeder Aspekt meiner Privatheit, der einen Personenbezug hat, muss nun hinsichtlich meiner Rechte durchsetzbar sein. Und das geht natürlich nur mit entsprechenden Eingriffsmöglichkeiten und Kontrollmöglichkeiten staatlicher Organe und auch einer zwangsdokumentierten Nachvollziehbarkeit meiner personenbezogenen Datenflüsse.

Wie war es denn vorher? Es galt das Gebot der Datensparsamkeit. Jedem, dem ich meine Daten gegeben habe, zum Beispiel meine Telefonnummer oder mein Geburtsdatum, musste ich vertrauen. Vertrauen darauf, dass meine personenbezogenen Daten nicht zu Zwecken genutzt werden, die ich nicht wünsche. Zum Beispiel für den Aufbau von Karteien für Werbeanrufe am Telefon oder zur Zusendung von Werbesendungen per Post.

DSGVO

Seit Mai 2018 gilt die DSGVO. Sie gilt quasi für alle Datenspeicherungen personenbezogener Daten, ganz oder teilautomatisiert und bei fehlender Automatisierung, wenn die Daten in einem Dateisystem erfasst werden (Aktenschrank und Taschenkalender) und sie definiert den heute in Europa geltenden Stand der Datenschutzgesetzgebung. Eine Ausnahme gibt es nur für die Ausübung rein persönlicher oder familiärer Tätigkeiten (englisch: “personal or household activity”).

Und hier kommt der große Knackpunkt. Ein Recht ist etwas, auf was ich, als natürliche Person einen Anspruch habe. Aber ein Recht kann nur über dem entgegenstehende Pflichten gewährleistet werden. Folglich müssen jetzt alle Personen in die Pflicht genommen werden, die etwas mit meinen personenbezogenen Daten tun, solange es eben nicht rein persönlich ist oder familiär.

Schreibe ich zum Beispiel Blogartikel für die Öffentlichkeit, ist das mit Sicherheit nicht mehr persönlich. Verarbeite ich dabei dynamische IP-Adressen meiner Besucher, die als personenbezogene Daten zu werten sind, ist das nicht mehr “persönlich”. Habe ich eine Cloud für meine Familie eingerichtet oder irgendeinen anderen Dienst im Web und jemand ruft diesen auf, ist das, obwohl er gar nichts mit meiner Seite und dem angedachten Zweck meiner Verarbeitung zu tun hat, nicht persönlich. Aus IP-Technik werden personenbezogene Daten

Eine Kommunikation im Web kann nun mal nur mittels IP-Adressen ausgeführt werden. Da meine Familie keine festen IP-Adressen hat, sondern, wie die meisten Menschen auch, dynamisch vom jeweiligen Anbieter täglich wechselnde Adressen zugeteilt bekommt, kann ich nicht einmal mit technischen Mitteln unerwünschte Besucher aussperren. Und selbst wenn ich das könnte, wäre dies schon eine Verarbeitung dieser IP-Adressen.

Aber was ist Verarbeitung von personenbezogenen Daten eigentlich, gesetzlich betrachtet? Die DSGVO sagt:

„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

Das heißt jede Verarbeitung ist betroffen. Es gibt im Internet keinen rein persönlichen oder familiären Auftritt (englisch: “personal or household activity”). Egal, ob ich eine Blog, eine eigene Webseite oder einen Chat-Server betreiben möchte, überall verarbeite ich unter Umständen dynamische IP-Adressen. Wenn Personen ihre personenbezogenen Daten mit mir austauschen oder meine Seite aufrufen, dann bin ich in der Pflicht, den datenschutzgesetzlichen Vorgaben Genüge zu tun.

Es gibt auch im Gesetz keine Ausnahmen, all-or-nothing. Es sollte wohl einmal Ausnahmen für Einrichtungen mit weniger als 250 Mitarbeitern geben, aber auch nur in Bezug auf die Führung eines Verfahrensverzeichnisses. Aber es gibt eine weitere Klausel im Gesetz, Art. 30 (5), die jede Hoffnung auf Entlastung zunichte macht:

“es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich …”

Ich kann niemals sicher ausschließen, dass ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht und bei jedem im Internet betrieben Auftritt werden immer und nicht nur gelegentlich Daten verarbeitet. Letzteres gilt übrigens auch für mindestens mittelgroße Firmen, die verarbeiten immer Daten, spätestens wenn sie einen Webauftritt haben.

Was bedeutet das nun

Es heißt, jeder, der im Web etwas betreibt, ist zur vollständigen Einhaltung der gesetzlichen Forderungen verpflichtet.

Jan Philipp Albrecht, der “Vater” der DSGVO, relativiert die Situation im Interview mit Sascha Lobo damit, dass er sagt, die DSGVO würde sich nicht so wesentlich vom vorherigen Gesetzesstand unterscheiden und desweiteren würden die Datenschutzbehörden auch nicht gleich mit Kanonen auf Spatzen schießen, es würde immer erst beanstandet, Strafen gäbe es nur, wenn sich nichts bewege.

Aber ich spreche hier nicht über die Behörden, ich spreche hier über das Gesetz. Und auch nicht ausschließlich über die DSGVO, sondern genau so über das vorhergehende BDSG bzw. Datenschutz, wie er heute gesetzlich verankert ist und verstanden wird.

Beispiele aus dem Leben

Die aktuelle Rechtslage bedeutet für alle EU-Bürger eine erhebliche Verrechtlichung und Verbürokratisierung ihres ganz normalen täglichen Kommunikationsverhaltens. Jeder Mensch hat nicht nur im häuslichen Bereich, sondern auch als Unternehmer, das Recht seine personenbezogenen Daten an andere weiter zu geben, OHNE von diesen einen besonderen Umgang damit zu verlangen und OHNE von diesem ausführlichst über die weitere Verwendung informiert zu werden. Kurz, jeder Mensch hat das Recht, sich auf beliebigen Medien und über beliebige Kanäle frei zu äußern und auszutauschen, ohne dass dieser Vorgang durch Pflichten anderer eingeschränkt oder unmöglich gemacht werden darf. Eine Meinungsäußerung kann in ihrer Freiheit auch dadurch real eingeschränkt sein, dass mein Gegenüber mir zu zu vielen Dingen verpflichtet ist.

Art. 5 Grundgesetz:

Jeder hat das Recht, seine Meinung in Wort, Schrift und Bild frei zu äußern und zu verbreiten …

und nicht

Jeder hat das Recht, seine Meinung in Wort, Schrift und Bild frei zu äußern und zu verbreiten, sofern ich von meiner Plattform/Forum/Netzwerk über meine Rechte als Betroffener aufgeklärt wurde und über den Zweck, die Rechtsgrundlage, die Speicherdauer der Verarbeitung, den Namen des für die Verarbeitung Verantwortlichen, ob die Bereitstellung meiner personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob ich verpflichtet bin, meine personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und und und

Ja, das klingt jetzt ein bisschen hergeholt. Ist es auch, aber:

• Soll ich zum Beispiel in verteilten Netzwerken mit jedem Kommunikationspartner, dem ich folge, einen Vertrag abschließen oder eine Datenschutz und Nutzungsbedingung unterzeichnen, die festlegt, was ich mit seinen und er mit meinen Daten machen darf? Zumal diese in der Regel eh öffentlich sind?
• Muss mich jeder, den ich anrufe, um Erlaubnis bitten, meine Telefonnummer und meinen Namen speichern zu dürfen und mir genau erläutern, zu welchem Zweck und bis wann er das tut?
• Darf niemand meine Visitenkarte in seinen Bürocomputer hacken, ohne mich darüber zu informieren, wann er sie wieder löscht und wozu er das überhaupt macht? Die Einwilligung in der Übergabe der Karte bedeutet nicht, dass ich nicht informiert werden muss!
• Darf ich von keinem Vereinstreffen mehr ein Foto machen, ich spreche nicht von der Veröffentlichung, sondern von der Erhebung, ohne von jedem Individuum eine schriftliche und nachweisbare Erklärung zu haben, bis wann ich die Fotos aufhebe, was ich damit mache, zu welchem Zweck ich sie nutzen werde etc…Vor allem, wenn ich vor diesen stehe?

Die DSGVO geht davon aus, dass Daten abgegrenzt sind und löschbar. Aber ist dem wirklich so? Kann ich ein Video, was einmal die Runde gemacht hat, wirklich zurückholen, indem ich es auf Youtube lösche? Kann ich beim Austausch von Daten in Peer-to-Peer-Netzwerken, also indem mildtätige Bürger anderen einen Teil ihrer Netzwerkkapazität zu Übertragungszwecken zur Verfügung stellen, die eine große Hoffnung der kleinen Leute gegenüber den Konzernen sind (Peertube, BitTorrent, …) überhaupt bestimmen, welcher Privatrechner meine Daten teilt? Und vor allem: Wenn es mir bewusst egal ist, was mit meinen Daten passiert, wie soll ich meine Kommunikationspartner von all den gesetzlichen Pflichten befreien? Ich kann es gar nicht.

Meine Kritik ist, dass die DSGVO personenbezogene Daten betrachtet, als wären es Pakete, die von einer Hand in eine andere gegeben werden. Jedesmal mit Lieferschein, Bestätigung, … Aber zu Zeiten des Internet ist es nicht unbedingt sinnvoll, von Daten in Form von einzelnen Verarbeitungen zu denken. Das Internet ist kein virtueller Aktenschrank. Daten sind keine Dinge. Daten sind etwas Abstraktes.

Definitionssache

Personenbezogene Daten sind gesetzlich definiert als:

alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen;

Aber Daten beziehen sich nie auf Personen. Daten sind Nullen und Einsen. “Beziehen” ist ein Verb, das heißt, es handelt sich hierbei um einen Vorgang. Und der findet zeitlich genau dann statt, wenn diese Daten gelesen werden und ein Mensch die Möglichkeit hat, einen Bezug herzustellen. Der Mensch bezieht also die Daten auf eine Person, wenn er entsprechende Bezugspunkte hat.

1. Beispiel: Wenn ein Administrator eine dynamische IP-Adresse sieht, weiß er, dass dies u.U. ein personenbezogenes Datum sein kann. Ihm fehlt aber der Bezugspunkt, weil er diese Zuordnung vom Provider einfach nicht hat.
2. Beispiel: Ein Europäer ließt einen chinesischen Namen. Er weiß aber nicht, dass das ein Name und somit personenbezogen ist, weil er kein Chinesisch kann.
3. Beispiel: Daten liegen verschlüsselt vor. Obwohl es ggf. “personenbezogene Daten” sind, kann kein Bezug hergestellt werden.

Ich kann es auch anders sagen: Personenbezogen sind Daten immer nur, wenn der Personenbezug hergestellt wurde. Von nichtentschlüsselten Daten kann nicht gesagt werden, dass ein Personenbezug besteht.

Aktuell ist der Begriff aus meiner Sicht viel zu weit gefasst, da fast alle Informationen in irgendeiner Weise auf Personen bezogen werden können. Ein Schafswollteppich? Herr Mayr mag die, das Foto könnte aus seiner Wohnung sein: Personenbezug.

Ist alles schlecht?

Nein, es ist nicht alles schlecht - nie ist alles schlecht. Aber die momentane Gesetzgebung hat eine klare Ausrichtung auf Firmen und hat die kleinen Leute und Organisationen komplett vergessen. Ich kann das sagen, weil ich sowohl eigene Server und Webseiten betreibe, wie auch in einer gemeinnützigen Organisation arbeite, in welcher wir aufgrund unserer Größe einen Datenschutzbeauftragten brauchen, der uns mit allen Leistungen momentan 250 € im Monat kostet (bei einer Organisationsgröße von 15 Mitarbeitern!!!).

Zusätzlich hat das Uns-fit-Machen für den Datenschutz hunderte Stunden gekostet - ausschließlich für Einarbeitung in Datenschutzthemen und die DSGVO, schriftliche Prozesse, Dokumentation (z.B. Verfahrensverzeichnis und TOMs) und Information, wie z.B. eine korrekte und auf unsere konkreten Verarbeitungen zugeschnittene Datenschutzerklärung. Unsere Datenschutzerklärung ist im letzten Vierteljahr 87 mal abgerufen worden, vermutlich hauptsächlich von mir beim Schreiben und Ändern und unserem Datenschutzbeauftragten. Mit Verlaub, eine Farce. Kaum jemand liest das. Ein Informationsrecht, was kaum jemand wahr nimmt.

Verantwortung für unser Handeln zu übernehmen ist gerade im Zeitalter des Internet sehr wichtig. Freiheit kann aber nicht nur durch Verbote und Regularien eingeschränkt werden, sondern auch durch die Vergesetzlichung unseres natürlichen Verhaltens.

Das deutlichste Beispiel ist wohl der schwedische “Beischlafvertrag”, ob mündlich oder schriftlich, ohne den Sex miteinander zu haben seit Mitte 2018 in Schweden Vergewaltigung!!! ist, auch in der Ehe. Wo ist da das Vertrauen in den Menschen und darin, dass er angemessenes Verhalten auch ohne Gesetz und Strafe zustande bringt? Sollte der intimste Bereich zwischen zwei Menschen in dieser Form Gegenstand einer gesetzlichen Regelung sein? Hilft ein mündliches Ja - und weil nein, schützt eine schriftliche Regelung irgendwen? Und vor was? Es ist ein Wahnsinn, dass soetwas passieren kann.

Wenn ich jemandem personenbezogene Daten gebe und er muss mich daraufhin über vielerlei Aspekte der Verwendung meiner Daten informieren und mich über meine Rechte aufklären, ist das nicht fast das Gleiche?

Was wäre wichtig?

Im Folgenden schlage ich einige Änderungen vor, die dafür sorgen könnten, das die momentan unhaltbare Situation sich zum Guten ändern könnte, ohne das Kind mit dem Bade auszuschütten:

• Klare gesetzliche definierte Entlastung von nicht-kommerziellen Organisationen (Vereine, NGOs, …) und nicht-kommerziell handelnden Einzelpersonen, was bürokratische Pflichten und damit Kosten angeht. Dabei auch genaue Definition, was “kommerzielles Handeln” bedeutet.
• Definition von wenigen gesetzlich festgelegten generellen Schutzbedarfsklassen, statt nur “personenbezogen” und “besonderer Schutzbedarf”. Abgestufte gesetzliche Informations- und Dokumentationspflichten je nach Einstufung statt all-or-nothing.
• Dabei besonders klare Definition was “öffentliche” bzw. “veröffentlichte” personbezogene Daten sind. Verarbeitungen, die ausschließlich solche Daten verarbeiten, weitestgehend von Informations- und Dokumentationspflichten ausschließen, nicht jedoch vom “Recht auf Vergessen”.
• Jeder Mensch muss im Rahmen der Informationellen Selbstbestimmung auch darüber bestimmen können, dass seine personenbezogenen Daten nicht geschützt werden sollen und folglich diesen nicht zu schützenden personenbezogenen Daten dann auch keine gesetzlichen Pflichten von Verarbeitern folgen. ER muss auch über diesen Aspekt seiner Informationen selbst bestimmen können.
• Ausweitung besonderer Bestimmungen, wie z.B. Telekommunikation durch Ländergesetze, auf weitere Bereiche, wie z.B. Soziale Netzwerke oder Webserverbetrieb. Es ist nicht einzusehen, warum Telekommunikationsunternehmen personenbezogene Daten ohne Betrachtung durchleiten dürfen, der Empfang einer dynamischen IP-Adresse auf einem Netzwerkserver aber eine Verarbeitung darstellt
• Besondere Behandlung von mit starken kryptografischen Mitteln verschlüsselten Daten. Die meisten Datentransfers personenbezogener Daten sind heute verschlüsselt. Verschlüsselte und für den Verarbeiter nicht lesbare Daten müssen anders behandelt werden, als offenliegende.
• Änderung der Behandlung dynamischer IP-Adressen als personenbezogene Daten, gff. über eine Ausnahmeregelung. Quasi niemand außer Telekommunikationsunternehmen, kann nur anhand einer IP-Adresse herausfinden, um welche Person es sich handelt und gerade diese momentane gesetzliche Einstufung macht jede Netzwerktechnik zur Datenverarbeitung, selbst ohne Logging.
• Eine Abschaffung der Klausel des Deutschen BDSG, indem bestimmt wird, dass ein Datenschutzbeauftragter zu benennen ist, sobald mehr als 10 Mitarbeiter ständig personenbezogene Daten verarbeiten. Die Tatsache, dass Mitarbeiter IP-Telefone haben, am Bildschirm arbeiten und E-Mails beantworten, ist sicherlich kein wesentlicher Faktor um zu bestimmen, ob eine Organisation einen Datenschutzbeauftragten bestellen sollte, oder nicht. Es ist völlig außer acht gelassen, was es für Daten sind, an Qualität und Quantität. Eine durch und durch unzureichende und willkürlich wirkende Regel.
• Und vor allem: Macht nicht den Datenschutz, aber die gesetzlichen Verpflichtungen so, dass man klar feststellen kann, ob man sie erfüllt hat, oder nicht.

Fazit

Ich kann positiv sehen, dass die DSGVO insbesondere durch die “Publikumswirksamkeit” der hohen Strafandrohungen eine öffentliche Bewusstheit für Datenschutz gebracht hat. Insbesondere schön an der DSGVO finde ich, dass sie gut lesbar ist. Viel besser, als zum Beispiel altes und neues BDSG.

Meine persönliche Euphorie ist untergegangen in der damit verbundenen Bürokratie und dem klaren Bewusstsein, dass all die hunderte Stunden Mühen und Kosten in der Erfüllung gesetzlicher Anforderungen die Sicherheit unserer Systeme um nur ganz wenige Cent erhöht haben. Und dies war genauer gesagt die Entfernung von Trackern, die wir unbewusst verwendet haben und eine Datenschutzschulung, die ich gehalten habe. In einem halben Jahr haben wir eine einzige Person gehabt, die eine Anmerkung zu unserer Datenschutzerklärung hatte.

Alle weiteren Sicherheitsmaßnahmen haben wir vollkommen unabhängig von der DSGVO durchgeführt, Verschlüsselungen und Zertifikate überprüft, Systeme ausfallsicherer gemacht, Backups eingerichtet und getestet, Deployments automatisiert, angedrohte Selbstmorde der Polizei gemeldet - übrigens ganz ohne schriftlichen Prozess.

Ich bin für Wahrhaftigkeit. Wenn wir sagen, das Tracking von Personen und das Erstellen von Profilen daraus ist nicht gut, dann sollte man es verbieten. Verbieten ist einfach und es hat Kraft. Es zeigt einen Standpunkt. Zu sagen, es ist schlecht, aber man darf die Menschen nicht bevormunden und jeder muss im Zweifel zustimmen können, dass er seine Daten gegen Dienstleistungen verkauft, wie zum Beispiel bei bestimmten Krankenversicherungen, das finde ich scheinheilig. Jeder nicht ganz Zurückgebliebene, der heute Facebook benutzt, weiß, dass er diese Dienstleistung nicht geschenkt bekommt und mit seinen Daten bezahlt. Haben endlose Datenschutzerklärungen daran etwas geändert?

Ich bin auch für Wahrhaftigkeit, als dass ich das Recht auf Informelle Selbstbestimmung außerordentlich schätze. Aber Informelle Bestimmung ist nicht Informelle Selbstbestimmung. Warum muss ich einen Betroffenen über seine Rechte aufklären und somit Staatsaufgaben übernehmen, wenn jedes andere Gesetz gilt, sogar ohne, dass ich es kenne?

Hat die DSGVO hinsichtlich der Erkenntnisse durch die Leaks von Snowden in Bezug auf Privacy Shield etwas geändert? Hat der deutsche Staat Rechtssicherheit durchgesetzt, indem er Privacy shield aufkündigt? Leute, die DSGVO ist jetzt über drei Jahre in Kraft!

Hindert die DSGVO mit Privacy-by-Default unseren Innenminister Seehofer daran, von einer beliebig möglichen Mitlesemöglichkeit bei Messengern und Sprachassistenten zu träumen?

Aber zu guter Letzt: Hat unsere sorgfältig ausgearbeitete Datenschutzerklärung oder die DSGVO dazu geführt, dass mehr Menschen den Datenschutz lieben und ihn sich auf die Fahne schreiben? Die Antwort lasse ich offen. Weiterführende Links

• Stellungnahme des Landesbeauftragten für den Datenschutz und die Informationsfreiheit, Dr. Stefan Brink, gegenüber dem Innenausschuss des Deutschen Bundestags zum 2. Datenschutz-Anpassungs- und Umsetzungsgesetz EU (BT-Drucksache 19/4674 vom 1. Oktober 2018)
• Ein Jahr DSGVO: die Kritik bleibt - Capital
• Warum die neue DSGVO die Falschen am härtesten trifft