Irgendjemand hat Frau Merkel geweckt und ihr gesagt man solle Artikel 85 der DS-GVO endlich ziehen und sinnvolle Ausnahmeregelungen schaffen. Zum Beispiel die oft geforderten Freiheiten für Fotografen und Journalisten – immerhin schon zwei Wochen vor Inkrafttreten.
Fotografieren illegal?!
Zur Erinnerung: auch Fotografien sind Daten und entsprechend hat jeder Fotografierte Rechte nach dem Datenschutz über die er auch aufgeklärt und damit einverstanden sein muss. Ein Umstand, der das Fotografieren im öffentlichen Raum und bei frei zugänglichen Veranstaltungen quasi illegal macht.
Ob die „berechtigten Interessen“ des Fotografen höher wiegen, als die Rechte der Fotografierten werden im Einzelfall die Gerichte entscheiden müssen.
Untätigkeit der Bundesregierung
Andere EU-Länder haben schon längst entsprechende Öffnungsklauseln eingerichtet, denn genau dafür ist Artikel 85 der EU Datenschutz-Grundverordnung eigentlich gedacht.
WordPress-Spezialist und Rechtsanwalt Udo Meisen beim 13 WordPress Meetup Bonn zum Thema EU Datenschutz Grundverordnung (DSGVO) für Webworker.
Am 4. April 2018 hielt der Bonner Anwalt und WordPress-Spezialist Udo Meisen einen Vortrag zum Thema EU DSGVO für Webworker. Der Vortrag fand bei CoWorking Bonn (Danke Ralph!) im Rahmen des monatlichen Bonner WordPress-Meetup statt.
Disclaimer
Den ganzen Vortrag von Udo kann ich an dieser Stelle nicht wiedergeben, aber einige wichtige Punktegebe ich hier wieder.
Vorab: Dieser Beitrag stellt keine Rechtsberatung dar! Ich übe keinen Rechtsberuf aus und kann und darf keine Rechtsberatung leisten. Wer mehr wissen will kann einen Fachanwalt befragen oder unter Wissensschmiede.online ein etwa sechsstündiges, ausführliches Seminar zu dem Thema buchen.
EU DSGVO betrifft nicht nur elektronische Daten und nicht nur Europäer
Eine Wichtige Änderung: Das deutsche BDSG befasste sich bisher nur mit der elektronischen Datenverarbeitung. Die EU DSGVO deckt nun jede Art der Datenverarbeitung ab. Auch der „Notizblock neben dem Telefon,“ so Udo.
Auch der Wirkungsraum wurde ausgedehnt: die EU DSGVO gilt für alle europäischen Unternehmen und für alle Unternehmen weltweit, die mit EU-Bürgern zu tun haben.
Fotografen brauchen Einverständniserklärung zur Datenverarbeitung
Gleich zu Beginn dann der Oberhammer, der alle Fotografen mit einer Fotografenwebseite betrifft: Bisher genügte der branchenübliche Model-Release-Vertrag. Mit der EU DSGVO benötigt der Fotograf nun zusätzlich (und auch rückwirkend für alte Fotos!) eine Einverständniserklärung zur Datenverarbeitung durch das Model.
Damit nicht genug: Das Model darf die Einverständniserklärung jederzeit zurückziehen! Das gilt natürlich nicht nur für Models, sondern für alle Betroffene von Datenverarbeitung.
Wenn man das mal extrem weiterspinnt gibt es bald keinen Film mehr der in der EU gedreht oder gezeigt wird: Wenn ein Komparse seine Einwilligung zurückzieht muss er eigentlich herausgeschnitten werden. Hat ein Hauptdarsteller mal keinen Bock mehr… uiuiuiuiui!
Vertrag zur Auftrags(daten)verarbeitung
Webworker, die an Kundendaten gelangen können, zum Beispiel im Rahmen von Webseitenwartung oder Facebook-Betreuung, zählen zu Auftragsdatenverarbeitern. Deren Kunden müssen mit Ihnen einen Vertrag zur Auftrags(daten)verarbeitung abschließen.
Bisherige ADV-Verträge, beispielsweise mit Google, Webhostern oder Newsletterdiensten, müssen jeweils neu abgeschlossen werden, da die EU DSGVO ausführlichere Angaben verlangt.
Webfonts/Google-Fonts
Das nächste Thema dürfte wieder 99% aller WordPress-Nutzer treffen: Webfonts, die durch Webseiten von externen Servern automatisch heruntergeladen werden fallen ebenfalls unter die EU DSGVO, da hier IP-Adressen und andere Informationen der Nutzer übertragen werden. Dementsprechend müsste der Nutzer sich vorher aktiv („Opt-in“) einverstanden erklären.
Eine einfache, für jeden WordPress Betreiber praktikable Lösung ist derzeit immer noch nicht in Sicht. Von Google ist keine Unterstützung zu erwarten, da man sich hier nicht von der DSGVO betroffen fühlt. Auch bei vielen, vorwiegend US amerikanischen WordPress Core-Entwicklern hat man teilweise wenig Verständnis für „europäische Probleme.“ America First ist ein übles Gift…
Datenschutz-Generatoren
Im Zusammenhang mit Google Webfonts kam Udo auch auf die, teils kostenpflichtigen, Generatoren für Datenschutzerklärungen zu sprechen. Grundsätzlich spricht nichts dagegen, da diese Generatoren einen Großteil der Fälle abdecken. Udo selbst bietet den Teilnehmern seines Vortrags eine kostenfreie Alternative.
Bei den Generatoren im Internet wird bei zumindest einem Anbieter (Ja, der dessen Agenturpartner ich bin) ein Passus verwendet, wonach es ein „berechtigtes Interesse“ zur Nutzung von Google Webfonts gibt. Das legalisiert nach Art 6 Abs.1 lit.f DSGVO deren Einsatz. Dieses Interesse, nämlich die „einheitliche und ansprechende Darstellung des online Angebotes“ sieht Udo bedenklich, da es DSVGO-konforme Alternativen gibt. „Immerhin,“ so sagt er, „wird der Nutzer über den Einsatz von Google Webfonts informiert.“
Google Chome warnt vor nicht-SSL Seiten
Mit dem nächsten größeren Update wird Google in seinem Browser Chrome aktiv vor Webseiten warnen, die nicht komplett SSL-verschlüsselt sind. Die Maßnahme war schon länger bekannt und wird nun bald umgesetzt. Außerdem, und das ist schon lange umgesetzt, stehen unverschlüsselte Seiten im Ranking der Google-Suche schlechter da.
Viele deutsche Immobilienmakler betroffen
Betroffen von Googles Maßnahme werden unter anderem viele Immobilienmakler sein, die Ihre Webseite für viel Geld bei der Kölner Firma FlowFact beauftragt haben. FlowFact bietet meines Wissens derzeit keine Vollverschlüsselung der Makler-Seite an. Die Makler haben aber auch keine Möglichkeit andere Dienstleister einzusetzen, weil FlowFact alles abgeschottet hat.
Wenigstens ein Damokles-Schwert bleibt den meistenWebworkern erspart
Solange ein Betrieb nicht mehr als 250 Mitarbeiter hat, keine sensiblen personenbezogene Daten verarbeitet oder die Datenverarbeitung nicht das Kerngeschäft ist, braucht dort kein Verfahrensverzeichnis geführt zu werden. Immerhin etwas, denn davor hat es mich echt gegruselt. Nichts desto trotz, ich nehme den Datenschutz ernst und werde meine Prozesse dementsprechend noch mal prüfen.
Konsequenz für mich
Kunden von Thomas Blüm – Web & Consulting müssen einen A(D)V-Vertrag mit mir abschließen. Das gilt auch für Bestandskunden mit Wartungsvertrag und Kunden, deren Facebook-Seiten ich betreue.
Meine AGB werde ich kurzfristig dahingehend ändern, dass der Auftraggeber für Webseiten alle erforderlichen Angaben für das Impressum und die Texte für die Datenschutzerklärung liefern muss.
Google Webfonts bleiben vorerst leider ein ungelöstes Thema für mich. Mehrere Teilnehmer des Vortrages haben jedoch angeregt dies zu einem Thema für ein künftiges Meetup zu machen.
Thomas Blüm – Web & Consulting ist jetzt Agenturpartner von eRecht24. Als Agenturpartner kann ich für meine Kunden unter Anderem ab sofort DSVGO-konforme Datenschutzerklärungen für die Webseite erstellen – und zwar ohne Werbung für einen Generator oder eine Rechtsanwaltskanzlei!
Kleingedrucktes
Auch wenn eRecht24 von „rechtssicheren Webseiten“ spricht: Die Einbindung der von mir generierten Datenschutzerklärung erfolgt ausschließlich auf eigenes Risiko, eine Haftung kann nicht übernommen werden. Bei konkreten Fragen lassen Sie sich bitte von einem spezialisierten Rechtsanwalt beraten.
Update
Ich habe die Agenturpartnerschaft mit eRecht24 inzwischen beendet und arbeite im Bedarfsfall mit dem Bonner Rechtsanwalt Udo Meisen.
Die Europäische Datenschutzgrundverordnung (DSGVO) tritt Ende Mai 2018 in Kraft. Laut Marc Nilius, Herausgeber des Newsletters „WP Sicherheit“ (einer der wenigen Newsletter, die ich abonniert habe) ist auch WordPress selbst davon betroffen, denn die DSGVO fordert, dass die personenbezogenen Daten der Nutzer nach dem „aktuellen Stand der Technik“ vor Angreifern geschützt werden.
Zum aktuellen Zeitpunkt ist WordPress nicht vollständig DSGVO-konform, es erfasst unötig Daten.
WordPress/Automattic arbeitet daran
Deswegen beschäftigt sich nun ein Team von Freiwilligen mit dieser Problematik. Automattic und WooCommerce (die Jungs und Mädels hinter WordPress) haben angekündigt, Ihre Produkte bis zum Inkrafttreten der DSGVO anzupassen.
Unabhängig davon, denken Sie daran, auch Ihre Datenschutzerklärung an die neuen Anforderungen der DSGVO anzupassen!
Justitia, die Göttin der Gerechtigkeit. Foto: Pixel2013, Lizenz: CC0 1.0
Bürokratie wohin man schaut
Wenn ich mir die Entwicklung zum Verbraucher- und Datenschutz im Internet so betrachte, dann wird es mittelfristig darauf hinauslaufen, daß auf Webseiten mehr Pflichtinformationen und Erklärungen stehen müssen, als eigentlicher Inhalt. Dazu kommen ordnerweise schriftliche ADV-Verträge mit Hostern, Facebook, Google und so weiter. Gesetze und Verordnungen, die es mal auf Bundes- und mal auf EU-Ebene gibt – mir fallen da spontan wenigstens Fünf ein – sind unklar und schwammig formuliert. Haben Sie schonmal eine EU Verordnung gelesen? Wenn ich so meine AGB verfassen würde, die wären null, nichtig und mit sicherheit abmahnfähig.
Es reicht jedoch nicht, Gesetze zu kennen und zu befolgen, man muss auch noch die Interpretationen in den Urteilen der Gerichte kennen! Dabei müssen unscharf formulierte Gesetze nicht sein. Die Gesetzgebung hat sehr wohl möglichkeiten Gesetze so zu verfassen, dass Sie relativ einfach den aktuellen Gegebenheiten angepasst werden können.
Gesetzgeber überlassen es den Richtern…
In Artikel 20 des Grundgesetzes ist eine Gewaltenteilung vorgesehen. Aber die gesetzgebende Legislative, an der ich mich eigentlich orientieren könnte, überlässt die Gesetzgebung im Detail dann doch der Judikative: Die Auslegung schwammig formulierter Gesetze wird dem mehr oder minder vorhandenen Fachwissen einzelner Personen, nämlich den Richtern, überlassen!
Besonders das Landgericht Köln tut sich da mit Fehlentscheidungen hervor. Wenn Zurückrudern mal olympisch wird, dann werden die Kölner gute Chancen auf eine Goldmedaille haben. Als Beispiel sei das sogenannte RedTube-Verfahren genannt (24.01.2014, Az. 209 O 188/13, das den Beschluss der Kammer vom 19.09.2013 wegen Rechtsverletzung im ersten Urteil kassiert,) sowie das Pixelio-Urteil (30.01.2014, Az. 14 O 427/13, bestätigt vom OLG Köln).
…aber Internet und Recht ist Neuland für viele Richter
Aber auch andere Gerichte beweisen regelmäßig, dass Einzelpersonen oder Minigremien bei den Gerichten nicht dazu geeignet sind, die Arbeit der Legislative zu übernehmen. Mehr als die Hälfte aller Gesetze werden im fachlich zuständigen Ministerium auf Referatsebene erarbeitet und vom Justizministerium überprüft, bevor das Kabinett darüber abstimmt und den Entwurf dem Bundestag zu den Lesungen weiterleitet.
Absoluter Irrsinn und bisheriger Höhepunkt war die Informationspflicht nach der ODR-Verordnung (EU), die seit dem 9. Januar 2016 gilt. Die OS-Plattform, über die gemäß ODR-Verordnung informiert werden muss, war überhaupt noch nicht in Betrieb. Erst für den 15. Februar 2016 war die Inbetriebnahme vorgesehen. Die Mehrheit Webseitenbetreiber verstoßen nicht absichtlich gegen Gesetze und Vorschriften, Sie sind meist unwissend oder einfach überfordert! Wo soll der Wahnsinn dieser Bürokratie noch hinführen? Nichts gegen Impressumspflichten und den Datenschutz, ich bin fachkundiger Datenschutzbeauftragter und kämpfe auch dafür! Aber, kann man das nicht besser lösen?
Privacy Bots sollen Nutzer schützen
Die Deutsche Telekom AG arbeitet seit Anfang 2017 an einem Privacy Bot (https://www.telekom.com/de/medien/medieninformationen/detail/telekom-startet-wettbewerb-zu-privacy-bots-481806). Der Privacy-Bot soll die Datenschutzhinweise von Internetdiensten scannen und mit den Voreinstellungen des Nutzers abgleichen. Bestehende Wahlmöglichkeiten bei den Datenschutzeinstellungen sollen so leichter im Sinne des Verbrauchers genutzt werden. Der Bot soll sich dabei nicht nur an einzelne Anbieter wie Facebook, Amazon oder Reiseportale richten, sondern für sämtliche Dienste nutzbar sein. Für viele Webseiten und Webshops ohne ordentliche oder verbraucherunfreundliche Datenschutzerklärung brechen dann schlechte Zeiten an, denn der Verbraucher kann bei der Suche mit aktivierten Privacy Bot solche Seiten gezielt ausblenden.
Aber es gibt im Netz doch Generatoren für sowas! Ja, sicher… nur, was nutzen „anwaltlich geprüfte“ Impressum- oder Datenschutzerklärungsgeneratoren – für die übrigens kaum einer der Anwälte haften will – wenn kein Nutzer versteht was darin steht? Jeder der Generatoren formuliert andere Textbausteine, Webseitenbetreiber ergänzen oder streichen nach individuellem rechtsempfinden. Außerdem fehlen gerade bei den Datenschutzerklärungen etliche Angaben zu den Daten, die in den Logfiles des Hosters gespeichert werden. Nachtigall ick hör dir trapsen… denn nur die wenigesten Hoster arbeiten komplett ohne Logfiles.
Kein Meckern ohne Vorschläge!
Ein konkreter Vorschlag, der zumindest einen Teil der Probleme lösen könnte, aber trotzdem nur Flickschusterei an einer ungenauen und unübersichtlicher Gesetzgebung ist: Es sollte von der EU oder vom Bund, als den Verursachern dieses Chaos, einen rechtsverbindlichen Impressum- und Datenschutzgenerator geben. Der sollte eine einheitliche Seite generieren, die vom Verbraucher als auch von einem Privacy Bot leicht ausgewertet werden kann. Das hab ich übrigens auch der Telekom schon vorgeschlagen. Dessen Funktion könnte der Browser übernehmen. Für den Webseitenbetreiber sollte eine Checkliste generiert werden, die klar sagt welche Gesetze relevant sind, welche Verträge abzuschließen sind und welche Maßnahmen nach dem IT-Sicherheitsgesetz zu ergreifen sind.
Willkommen bei Kafka 2.0
Dann kann auch gleich der tägliche Sicherheitsscan für Webseiten durch die Initiative-S eingerichtet werden. Dieses Projekt vom ECO-Verband, gefördert durch das BMWi, scannt Webseiten täglich auf Schadsoftware und informiert den Betreiber bei verdächtigen Vorkommnissen. Damit dürfte auch eine der Pflichten aus dem IT-Sicherheitsgesetz abgedeckt sein. Möglicherweise, denn genau formuliert sind die meines Wissens nicht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI), hauptverantwortlich für die Umsetzung dieses Gesetzes, verweist auf Anfrage zurück ans Innenministerium.
Letztlich bin ich dann doch fündig geworden. Bei den BSI-Veröffentlichungen zur Cyber-Sicherheit findet sich ein Maßnahmenkatalog mit Empfehlungen für Internet-Dienstleister zur „Absicherung von Telemediendiensten nach Stand der Technik“ (https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_125.pdf)
Ich hatte bereits einige Male über die Informationspflichten nach dem Verbraucherstreitbeilegungsgesetz vom April 2016 informiert. Da ich immer wieder auf Webseiten stoße, auf denen diese (und andere) Pflichten nicht umgesetzt wurden, weise ich gerne darauf hin. Immerhin drohen bei Nichtbeachtung Abmahnungen und Kosten in Höhe von mehreren tausend Euro.
Seit Februar 2017 gelten nun neue Informationspflichten für alle Unternehmer, die Allgemeine Geschäftsbedingungen verwenden oder eine Webseite unterhalten: Sie müssen den Verbrauchern Auskunft darüber geben, ob sie bereit oder auf Grund bestimmter Regelungen verpflichtet sind, an Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen. Falls ja, dann mit Namen und Kontaktdaten der Schlichtungsstelle. Falls nein, dann müssen Sie auch über die Nichtteilnahme informieren!
Worum es mir heute geht: Es gibt eine Ausnahme von diesen Informationspflichten. Bisher habe ich auf den einschlägigen Seiten keine genauen Infos dazu gefunden, aber jetzt bin ich bei der Handwerkskammer zu Köln fündig geworden: „Unternehmer, die zehn oder weniger Personen beschäftigen (dabei entscheidet die Kopfzahl der Beschäftigten), sind von dieser Pflicht ausgenommen!“
Der Zentralverband des Deutschen Handwerks (ZDH) hat in einem Merkblatt die wichtigsten Informationen übersichtlich zusammengefasst. Dieses Merkblatt erhalten Sie unter anderem bei der Handwerkskammer zu Köln: Link.
Hinweis: Dieser Beitrag ist, wie alle meine Newsbeiträge und Informationen, keine Rechtsberatung!
Ich hatte bereits einige Male über die Informationspflichten nach dem Verbraucherstreitbeilegungsgesetz vom April 2016 informiert. Da ich immer wieder auf Webseiten stoße, auf denen diese (und andere) Pflichten nicht umgesetzt wurden, weise ich gerne darauf hin. Immerhin drohen bei Nichtbeachtung Abmahnungen und Kosten in Höhe von mehreren tausend Euro.