Auskunftsrecht nach DSGVO

Amateur am Werk

Ich habe von Jura soviel Ahnung wie eine Kuh vom Stricken (ok, ein bisschen mehr, da ich schon sehr viele internationale Vertragswerke lesen und beurteilen musste). Meine Analyse ersetzt also nicht die Rechtsberatung, zum Beispiel bei Martin Steiger.

Das Thema DSGVO lässt mich nicht los. Gestern Abend haben wir über das Auskunftsrecht diskutiert. Wer hat denn ein Recht aus Auskunft? Wie stelle ich sicher, dass die Person, die um Auskunft (oder Korrektur, Löschung, …) anfragt auch tatsächlich die betroffene Person ist?

Das Szenario

Ich frage mich (vielleicht zu Recht), welche Informationen ein Betreiber eines Online-Portals zu mir gespeichert hat. Also frage ich dort an, welche Daten er zu der IP Adresse 178.199.14.53 gespeichert hat. Ein Lookup dieser IP-Adresse zeigt dem Betreiber aber, dasss diese Adresse der «Swisscom (Switzerland) Ltd» gehört. Ist er zur Herausgabe der Informationen berechtigt, obwohl es auch die Daten tausender anderer Swisscom-Kunden betreffen kann (NAT – Network Address Translation, beziehungsweise CGNAT – Corporate Grade NAT, stark vereinfacht: Viele Benutzer teilen sich eine IP-Adresse und der Provider kümmert sich um den Rest).

Und was, wenn ich bösartig werde, mir die Adresse kanzlerin.merkel@gmail.com reserviere und dann diverse Hotels anfrage, welche Daten sie von mir gespeichert haben (Geburtsdatum und Geburtsort könnte ich ja noch von Wikipedia bekommen). Darf das Hotel mir die vollständigen Datensätze inklusive Übernachtungspreise, gebuchte Massagen, Pay-TV, … liefern?

Und was, wenn ich eine solche Anfrage bei einem Psychologen mache? Darf er die Patientenakten einfach so rausgeben?

Was sagt die DSGVO?

In den Gründen für die DSGVO steht folgender Absatz (64):

Der Verantwortliche sollte alle vertretbaren Mittel nutzen, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen, insbesondere im Rahmen von Online-Diensten und im Fall von Online-Kennungen. Ein Verantwortlicher sollte personenbezogene Daten nicht allein zu dem Zweck speichern, auf mögliche Auskunftsersuchen reagieren zu können.

Ich interpretiere das jetzt mal als: «Nein, Du Depp, Du sollst nicht beliebige Daten an beliebige Personen ohne Prüfung von deren Identität herausgeben.»

Aber was bedeutet das bei Anfragen? Wie kann ich das sicherstellen? Und vor allem: Wie lässt sich das mit dem Grundsatz der «Einfachheit» vereinbaren, mit denen diese Auskunft- und Weissdergeierwas-Begehren gestellt werden können sollen?

Im Artikel 12 Absatz 1 steht am Ende Folgendes:

Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.

Zunächst mal bringt «erfolgt schriftlich oder in anderer Form» den Logiker in mir an den Rand eines Nervenzusammenbruchs. Der Teil ist so sinnvoll wie «das Auto war blau oder hatte eine andere Farbe».

Aber das Wichtige ist: Wie genau wird die Identität nachgewiesen?

Was müsste ich also prüfen?

Fangen wir mal damit an, dass jemand «nur» nach einer IP-Adresse fragt: Ich müsste ihn nun eigentlich bitten, mir nachzuweisen, dass es sich um «seine» IP-Adresse handelt (die also nicht mit tausenden anderen geteilt wird). Dann bräuchte ich eine (schriftliche?) Bestätigung, dass etwaige Mitunter (zum Beispiel Ehepartner/in, Kinder) mit der Auskunft einverstanden sind. Natürlich brauche ich zur Verfifikation einen Nachweis der Identität.

Was jetzt, wenn eine Person wissen will, welche Daten zu ihr gespeichert sind. Hier kommen wir jetzt zum Nachweis der Identität: Reicht dafür eine Kopie eines offiziellen Ausweisdokumentes oder muss dieses notariell beglaubigt sein?

Wenn die Anfrage zu einer E-Mail Adresse kommt, ist das recht einfach: Auskunft nur auf Mails von der betroffenen E-Mail Adresse. Damit habe ich zumindest die valide Annahme, dass es dieselbe Person ist.

Mich beschleicht immer mehr das Gefühl, dass man hier zuviel über einen Kamm geschert hat:

  • Auskunftsrecht der Benutzer gegenüber Google, Facebook und Co.
  • Auskunftsrecht gegenüber Internetportalen
  • Auskunftsrecht gegenüber klassischem Offline-Business

Dass man das gemacht hat, ist ja auch durchaus sinnvoll: Eine Verordnung für alle ergibt mehr Sinn, als 489 Verordnungen, bei denen ich mich schon auf der Suche nach der richtigen verirre und irgendwo weinend am Strassenrand liege.

Hier entsteht aber unser Problem (als sehr einfach gestrickte Menschen, wie ich einer bin): Wir können nicht ohne Weiteres unterscheiden, was für unseren speziellen Fall gilt und was eben doch «nur» für Anwaltskanzleien, Ärzte, Pharma- / Medizintechnikunternehmen, etc. gilt (solltet Ihr in einer der genannten Branchen arbeiten: Sorry, dass ich Euch aus dem «wir» ausgeschlossen habe … und viel Spass mit der DSGVO).

Oder um das gestern gesagte zu wiederholen: Es scheint alles nicht so grausam zu sein, wie vermutet.

Beim Studium der Texte (ich bin jetzt offiziell Schriftgelehrter. Moment, ich ergänze schnell mein CV) ist mir übrigens noch etwas zum Datenschutzvertreter mit Niederlassung in der EU untergekommen. Über das Thema habe ich die letzten Tage auch intensiv nachgegrübelt.

OT: Wann braucht man einen Datenschutzbeauftragten mit Niederlassung in der EU?

Hierzu steht eine wunderschöne Ausnahme in Artikel 27 Absatz 1a

eine Verarbeitung, die gelegentlich erfolgt, nicht die umfangreiche Verarbeitung besonderer Datenkategorien im Sinne des Artikels 9 Absatz 1 oder die umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt und unter Berücksichtigung der Art, der Umstände, des Umfangs und der Zwecke der Verarbeitung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt

Dort (Artikel 9 Absatz 1) steht Folgendes (in den Absätzen danach werden die Ausnahmen aufgeführt. In diesen Ausnahmefällen werden solche kritischen Daten gespeichert und dann braucht man einen Vertreter in der EU):

Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

Wenn ich das jetzt richtig interpretiere, braucht's im Regelfall für Schweizer Websites keinen Vertreter in der EU.

DSGVO Clusterfuck

Amateur am Werk

Ich habe von Jura soviel Ahnung wie eine Kuh vom Stricken (ok, ein bisschen mehr, da ich schon sehr viele internationale Vertragswerke lesen und beurteilen musste). Meine Analyse ersetzt also nicht die Rechtsberatung, zum Beispiel bei Martin Steiger.

Zunächst mal eine Entwarnung: Es ist wohl alles nicht so schlimm, wie viele vermuten. Bei einigen ist es der Wunsch, einem (ahnungslosen) Kunden eine Beratung zu verkaufen, bei anderen einfach die Angst vor juristischen Dokumenten und Halbwissen aus dem Internet. Bei mir war es das Zweitere, als ich mit dem Artikel angefangen habe. Inzwischen bin ich recht entspannt und auf allfällige Abmahnungen sehr gespannt.Generell ist der Gedanke hinter der DSGVO (DatenSchutz-GrundVerOrdnung) ja ein guter. Man will den Bürger (also mich) davor schützen, dass alle möglichen Leute absichtlich oder versehentlich meine Daten irgendwie speichern, verarbeiten und weitergeben. Wobei ich den Grundverdacht habe, dass damit speziell Google und Facebook in Ihre Grenzen gewiesen werden sollen. Der Grundgedanke ist also ein guter und die Absicht ist gut. Das gilt aber auch, wenn man einen Pinguin vom Hochhaus wirft, weil man hofft, dass er in dieser Situation sicher fliegen lernt.Was ich weniger gut finde, ist, dass es Juristenprosa ist, die ein nicht-Jurist eher schwer versteht, deren Text vier Wochen vor dem Inkrafttreten nochmal geändert wird und die in jedem (EU)-Land unterschiedlich umgesetzt wird. Neben dem sicheren Gefühl, dass die Beschliessenden mehr Ahnung von Rechtstexten als vom Internet haben, komme ich mir ein wenig verarscht vor, wenn man eine Verordnung erlässt, die international gültig ist (in der Schweiz muss ich die Scheisse auch mit machen), aber in jedem Land (in dem ein Onlinenutzer online nutzt) anders gehandhabt wird. Damit müssen sich alle Anbieter von Onlinezeugs beschäftigen … auch in nicht-EU-Ländern.Zum Beispiel melden sich derzeit viele europäische Anwaltskanzleien (man könnte sagen: Der Bodensatz der Juristerei) in der Schweiz für Newsletter an, in der Hoffnung, dann ab dem 25.05. Abmahnungen verschicken zu können. Hat man bereits ein Double-Opt-In (der Benutzer wird also explizit gefragt, ob er sich extremst sicher ist, dass er diesen Newsletter unbedingt haben will), wird der Newsletter dann nicht bestellt, da es ja keine Chance auf eine Abmahnung gibt.Aber genug des Rants. Weil es heute ein Feiertag ist und ich grade Zeit habe, beschäftige ich mich eben jetzt mit dem DSGVO Clusterfuck und diversen Artikeln und Informationen dazu.

Meine Informationsquellen zur DSGVO

Ich starte mal in der Schweiz: Der EDÖB (geil, oder? Das heisst Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) hat eine Informationsseite zu dem Thema, mit einem sehr schönen PDF, das den Sachverhalt recht gut darstellt (und nur elf Seiten hat).Martin Steiger von Steiger Legal hat viele Publikationen (nicht nur) zum Thema DSGVO, unter anderem «Warum sich Schweizerinnen und Schweizer um die DSGVO kümmern sollten». Was Onlinerecht angeht ist Martin Steiger generell ein Held. Er kann allgemeinverständlich informieren, hat gute Ideen und ist für die Gemeinschaft da.Und zuletzt noch eine Quelle aus Bayern. Es ist bezeichnend, das ausgerechnet Bayern (Bayern!) eine umfangreiche Handreichung für ihre kleinen Unternehmen und Vereine online gestellt hat. Hier kann man sich sehr spezifisch informieren, zum Beispiel als Kfz-Werkstatt oder Beherbergungsbetrieb. Coole Sache.

Und warum bin ich betroffen?

Naja, vermutlich bin ich es nicht. Eine Ausnahme dieser DSGVO sind Datenverarbeitungen «durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten». Ich vermute, dass meine private Homepage (und der private Blog) in den Bereich «persönlicher Tätigkeiten» fällt. Ausserdem bin ich zwar nicht immer natürlich, hoffe aber doch, als «natürliche Person» im juristischen Sinne anerkannt zu werden.Was passiert jetzt aber, wenn ich kommerzielle Angebote verlinke, mit denen ich zwar kein Geld verdiene, die aber im Regelfall selbst Geld verdienen? Eine Buchempfehlung mit dem Link auf Amazon? Eine Hotelempfehlung mit dem Link auf die Homepage des Hotels? Ja, alle diese Themen werden in den kommenden Jahren durch Gerichtsurteile geklärt (Aussage der verantwortlichen Politiker). Aber will ich dann in einem Gerichtsurteil gegen mich erfahren, dass ich es doch anders hätte machen sollen? Will ich mich wirklich mit Abmahnanwälten (wie gesagt: dem Bodensatz der Juristerei) beschäftigen?Aus diesen Gründen und weil ich ja immer wieder gerne was lerne, beschäftige ich mich also mit der Umsetzung.

Was habe ich gemacht?

Ich habe viel gemacht (vielleicht zu viel, aber weniger als ich dachte), aber dabei auch viel gelernt. Die einzelnen Massnahmen seht Ihr hier.

Der Auftragsdatenverarbeitungs(ADV)-Vertrag

Mit meinem Hoster (Cyon) habe ich per 25.05.2018 diesen Vertrag abgeschlossen, da er ja die Daten auf seiner Hardware speichert und auch «verarbeitet» … in einer sehr weiten Auslegung des Begriffs «verarbeiten»: Er erstellt zum Beispiel für mich (automatisiert) Datensicherungen, die dann auch bei mir liegen. Tatsächlich verarbeitet kein Mitarbeiter von Cyon meine benutzerbezogenen Daten (wie zum Beispiel Kommentare).

Cookies

Wer braucht Cookies? Abgesehen von den Chokoly Cookies, die ich beim Schreiben verbraucht habe? (Fast) Jede WordPress-Installation und fast alle anderen Systeme verwenden Cookies, um dem Benutzer das Leben einfacher zu machen. Ich vermute mal, dass wenige damit Unfug treiben … ich wüsste so spontan nicht, wie ich damit Unfug treiben könnte. Aber dennoch solltet Ihr die Zustimmung Eurer Besucher abholen, bevor die Cookies verwendet werden. Das ist zum Beispiel mit dem Plugin Cookie Consent für WordPress möglich.

Kommentarspam

Damit in den Kommentaren nicht ständig Werbung für russische Online-Sexportale (und ähnliche Angebote) erscheint, muss man die Kommentarflut eingrenzen. Wenn man nicht (potentiell tausende) Spamkommentare von Hand löschen will, hat WordPress da von Haus aus das perfekte Werkzeug: AkismetLeider verwendet Akismet Daten, die nach DSGVO nicht mehr übermittelt werden sollten. Es gibt aber eine (ebenfalls kostenlose) Alternative: Antispam BeeUm Antispam Bee DSGVO-konform zu machen, müssen aber noch ein paar Einstellungen deaktiviert werden (sind inzwischen standardmässig deaktiviert):
  • Öffentliche Spamdatenbank berücksichtigen
  • Kommentare aus bestimmten Ländern blockieren
  • Kommentare nur in einer bestimmten Sprache zulassen
Diese Einstellungen übertragen entweder die IP-Adresse oder den Kommentartext an externe Dienste. Deswegen sollten diese im DSGVO-Sinne deaktiviert werden.

Google Analytics / Besucherstatistiken

Ich habe mit Google Analytics abgeschlossen. Die Darstellung ist zwar ausgesprochen sexy, ich bezahle sie aber teuer, indem ich Google ihr «Produkt» liefere, also Informationen über Benutzer, die zu Werbezwecken genutzt (missbraucht?) werden können. Deswegen habe ich auf das freie Open-Source Tool Matomo (ehemals Piwik) umgestellt. Hier wird das Benutzerverhalten auch festgehalten, aber immerhin nicht mit Nutzern anderer Seiten kombiniert und zu Werbezwecken genutzt.Weil Cyon «geile Siäche» sind, wie man hier in der Region so sagt, waren das nur ein paar Klicks:
  • Subdomain anlegen
  • SSL auf der Subdomain aktivieren
  • Matomo über das App-Center von Cyon installieren
  • Matomo aktivieren über ihr eigenes WordPress plugin (WP-Matomo) verbinden. Das wäre aber auch mit einem einfachen Tracking-Code möglich.
Ich schreibe in meinem Blog ja für mich und nicht für Reichweite, Fame oder um die Welt zu verbessern. Deswegen ist es mir recht egal, ob und wer mein Zeug liest. Wichtig ist, dass ich es geschrieben habe. Ich könnte also ohne Probleme auf diese Statistiken verzichten. Für Unternehmen sieht das wiederum ganz anders aus: Das Nutzerverhalten auf der Site zu analysieren kann viel wertvolles für die Optimierung des eigenen Auftritts bringen. Überlegt Euch einfach gut, ob Ihr Google Analytics benutzen (und damit Eure Besucherdaten zur Ware machen) wollt oder ob das Entfernen von Google Analytics (und Umstellung auf Matomo?) nicht besser ist.Wollte ich bei Google bleiben, müsste ich einen abschliessen (Klick im Adminbereich), die Datenspeicherung auf den kürzestmöglichen Zeitraum (derzeit 13 Monate) einschränken (auch im Adminbereich) und im Analytics Code (JavaScript) die IP-Adressen-Anonymisierung aktivieren.

Facebook, Twitter & Co.

Hatte ich hier nie und brauche ich auch nicht. Facebook-Kampagnen oder auch die Interaktionen zwischen meinem Facebook-Profil und meiner Homepage interessieren mich nicht sonderlich. Auch das kann natürlich bei Unternehmen ganz anders aussehen. Wäre ich als Unternehmen in Social Media aktiv, wüsste ich schon gerne, welche Aktionen, Posts, Kampagnen mir Sichtbarkeit bringen (oder sogar einen Verkauf).

Datenschutzerklärung

Ich habe eine Datenschutzerklärung, die ich mir im Wesentlichen bei Martin Steiger und Steiger Legal abgeschaut (und natürlich angepasst) habe. Besonders interessant finde ich, dass Martin Steiger gemeinsam mit einer Kanzlei aus Hamburg einen Service anbietet, über den man für einen sehr überschaubaren Betrag seinen Ansprechpartner für den Datenschutz in der EU «mieten» kann. Grade für Hotels in der Schweiz, die Ihre Kernleistung zwar hier erbringen, deren Website aber zwingend auch in der EU zu Buchungszwecken (und hier werden ja Daten verarbeitet) genutzt werden muss, ist das eine interessante Möglichkeit. Alternativ könnte zum Beispiel auch hotelleriesuisse für ihre Mitglieder einen solchen Service anbieten und finanzieren.

Newsletter

… hab ich (noch) nicht. Bei Newslettern sollte man generell einen externen Anbieter (wie zum Beispiel MailChimp) verwenden. Diese können als Bestellformular direkt in die eigene Seite integriert werden und bieten die gesamte Infrastruktur: Double-Opt-In, Abmeldelink, …). Man sollte nur grob wissen, was man tut und mit MailChimp einen ADV-Vertrag abschliessen (geht genauso wie bei Google online).

Kommentare und Kontaktformular

Das ist in der Datenschutzerklärung abgehandelt. Im Prinzip würde ein «Wenn Du Depp nicht willst, dass ich die Daten habe, dann schicke sie mir nicht unaufgefordert!» reichen. Wer per Kontaktformular Daten an mich senden oder einen Kommentar auf meiner Seite hinterlassen will, der sollte sich bewusst sein, dass ich diese Daten verdammt noch mal speichern muss. Wem das nicht klar ist: Bitte dringend von Kommentaren und Kontaktversuchen absehen!

Avatar / Gravatar bei Kommentaren

Am besten die Anzeige von Avataren deaktivieren (unter Einstellungen / Diskussion), sonst werden Daten, wie die Emailadresse an externe Services übertragen, um diesen Avatar zu suchen und – wenn gefunden – zu laden.

Logo BorisBaesler Light

Copyright 2018 © All Rights Reserved | Datenschutzerklärung | Impressum

Realisiert durch FremdeFeder GmbH mit dem Theme The Ark (aus Themeforest).