Mittwoch, 23. Mai 2018

DSGVO: Europa kontra Internet

Mit neuen Regeln zum Datenschutz schickt sich die EU an, kleine Firmen und privater Blogger aus dem Netz zu vertreiben. Kurz vor dem Inkrafttreten der neuen, umfassenden Regelungen herrscht Unklarheit über Begriffe und Definitionen und die einzigen, die sich freuen, sind Fachexperten und Berater,  die eigentlich aber auch nicht besser wissen, wie ein rechtssicheres Angebot künftig aussehen muss.

Der wichtigste und sichtbarste Beitrag Europas zum Internet war über Jahre hinweg das fürchterlich nervende Banner, das vor jedem Besucher aufploppte, der sich zum ersten Mal auf eine Internetseite verirrt hatte, auf der er vorher noch nie war. Die Cookie-Richtlinie der EU zwang Seitenbetreiber, ihm mitzuteilen, dass auch ihre Seite tut, was alle Seiten im Internet tun: Cookies auf dem Rechner des Besuchers hinterlegen. Dabei handelt es sich um kleine Codestückchen, die dem Seitenbetreiber beim nächsten Besuch etwas über den Besucher verraten - etwa, dass er schon mal da war. Beim Besucher wiederum dafür sorgen, dass er sich nicht neu einloggen oder die Cookie-Warnung erneut mit einem Mausklick wegdrücken muss.

Autofahrer, die Verkehrsschilder bestätigen


Die war etwa so sinnvoll wie der Versuch, Autofahrer vor jedem Verkehrsschild zu zwingen, mit einem Klick zu bestätigen, dass sie das Schild gesehen haben. Aber seit die EU im Jahr 2009 eine neue Richtlinie über "die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation" beschlossen hatte, blieb niemand verschont. Zwar kritisierten Digitalverbände die nutzerfeindliche Regelung harsch. Aber nun legen EU-Parlament und EU-Rat mit der sogenannten "General Data Protection Regulation" - zu deutsch "Datenschutz-Grundverordnung" oder kurz DSGVO - noch einmal nach. Und das so, dass vor dem Inkrafttreten der Regelung bei Bloggern und kleinen Seitenbetreibern im Netz Panik herrscht: Die elf Kapitel der neuen Richtlinie, aufgeteilt in stolze 99 Artikel, machen aus dem Betreiben einer Internetseite für Katzenfotos, Kochrezepte oder selbstgeschriebene Kurzgeschichten ein Unternehmen, das von einem privaten Hobby-Webmaster kaum zu managen ist.

Denn die DSGVO, bereits 2016 beschlossen, legt ihr ganzes Augenmerk auf den Schutz von Daten - und weil im Netz alles irgendwie aus Daten besteht, muss nach der Logik der EU-Kommission eben alles geschützt werden. Als "personenbezogene Daten" bezeichnet die Regelung "alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person" beziehen. Und als identifizierbar wird eine natürliche Person schon angesehen, wenn sie "die direkt oder indirekt mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten oder einer Online-Kennung identifiziert" werden kann. Eine IP-Adresse hat so denselben Stellenwert wie ein Passfoto, ein Cookie, eigentlich ein anonymes Stückchen Code, das keinen Nutzer, sondern einen bestimmten Browser identifiziert, wird plötzlich zu einem personenbezogenen und damit schutzbedürftigen Gut.


IP-Adressen als geschütztes Gut


Für kleine Firmen und Vereine aber auch für Blogger und Betreiber von privaten Internetseiten ändert das alles. Es reicht nun nicht mehr, Besucher über das Hinterlegen von Cookies auf ihrem Rechner und die Absicht, diese später auszulesen, zu informieren. Nein, sie müssen aktiv zustimmen, zuvor aber erst einmal umfassend belehrt werden. Dazu muss der Inhalt von zwölf Artikeln der DSGVO ihnen "in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache" übermittelt werden. Immerhin darf diese Übermittlung "gegebenenfalls auch elektronisch" erfolgen. Doch "falls verlangt", muss die Information auch mündlich erteilt werden, heißt es in der Verordnung.

Die mit dieser Vorgabe, die künftig hohe Hürden vor den ersten Besuch jeder Internetseite türmt, allerdings noch lange nicht am Ende ist. Die EU sieht auch weitgehende Informationspflichten für Seitenbetreiber vor: Jeder Besucher hat künftig ein Auskunftsrecht darüber, was über ihn gespeichert wurde, wie lange es gespeichert werden soll und wohin die Information noch gelangt sein könnte - hier sind vor allem Werbeanbieter wie Google Adsense gemeint, die auf Partnerseiten ebenfalls Cookies hinterlegen. Und natürlich auch Links zu sozialen Netzwerken wie Twitter oder Facebook, auf denen Besucher Beiträge liken oder teilen können.

Viele Nutzer von Internetseiten wissen das derzeit gar nicht und glauben, dass ihre Seite zu klein ist, um von der Neuregelung betroffen zu sein. Doch das ist ein Irrtum: Schon ein einziges Werbebanner auf einer Seite verwandelt die für den Gesetzgeber in ein Unternehmen mit kommerzieller Absicht, für das die verzwickten Maßgaben der DSGVO umfassend gelten. Ganz nebenbei sorgt die neue, undurchsichtige Richtlinie dafür, dass Großkonzerne wie Facebook, Twitter und Google noch mächtiger werden: Künftig wird es sicherer sein, auf einer Seite bei den Giganten zu posten als eine eigene Internetseite zu unterhalten, denn die mächtigen Netzriesen haben hunderte Anwälte über Monate durchleuchten lassen, wie sie ihre geschäftsmodelle an der DSGVO vorbeifädeln können.


Ein Bärendienst für das freie Netz


Ein Bärendienst, den die EU der Internetnutzung damit geleistet hat. Schon jetzt - also noch ehe die ersten Abmahnanwälte losgezogen sind, um aus Unkenntnis oder Missachtung der DSVGO-Regeln Kapital zu schlagen - sind kleine Anbieter verunsichert, Blogger schließen ihre Weblogs und Hobbyfotografen diskutieren im Netz, ob mal wohl in Zukunft noch einfach so fotografieren könne. Nach den Buchstaben der EU-Verordnung wohl nicht, denn digitale Aufnahmen sind zweifellos ein Fall von Datenverarbeitung, so dass jede irgendwo auf einem Foto abgebildete Person ihre Einwilligung zur Verarbeitung der sie betreffenden Daten geben müsste.

Österreich gräbt der Abmahnindustrie, die aufgrund der komplizierten Anforderungen der EU-Richtlinie schon in den Startlöchern stand, damit einer weiteren nationalen Vorgabe das Wasser ab. Abmahnanwälte und darauf spezialisierte Organisationen, die Datenschutzverletzungen im Auftrag von Nutzern zur Anzeige bringen, können das weiter tun, sie haben allerdings kein Recht, von den Tätern Schadenersatz zu verlangen. Das macht das Geschäftsmodell deutlich weniger attraktiv, denn um Schadenersatz zu erhalten, müssen einzelne Betroffene ihre Ansprüche nun individuell geltend machen. Da auf diese Weise weniger Geld für einen viel höheren Aufwand fließt, dürften Firmen, die Prozesse vorfinanzieren, kaum ein Interesse haben, in diesem Bereich zu investieren.


Österreich entschärft die Regeln


Ergänzt wird die europäische Datenschutzvorgabe im Nachbarland auch um ein sogenanntes Journalisten-Privileg: Medien dürfen personenbezogene Daten für journalistische Zwecke verarbeiten, ohne wie in der DSGVO eigentlich vorgeschrieben, umfassende Belehrungspflichten und Transparenzregeln zu befolgen. Ein ähnliches, wenn auch nicht so weit gehendes Privileg soll für Daten gelten, die zu wissenschaftlichen, künstlerischen und literarischen Zwecken gespeichert werden. Ausgewählte Teile der DSGVO finden dabei keine Anwendung, "soweit dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen".

Ausnahmen von der DSGVO sieht die Regierung in Wien zudem ausdrücklich auch für Geheimdienste vor. Die Mehrzahl ist richtig: Gemeint ist nicht nur der österreichische Dienst.

Keine Kommentare:

Kommentar posten