Ein kleiner Wochenrückblick mit Links und Meinung. Diesmal mit viel DS-GVO, aus Gründen. Die DS-GVO (Datenschutz-Grundverordnung) ist nun seit einer Woche in Kraft und hat erste Spuren hinterlassen.
Enno Park hat letzte Woche schon eine Liste mit Websites erstellt, die wegen der DS-GVO (beziehungsweise wegen der in ihrem Namen verbreiteten Panik) den Laden dicht gemacht haben. Es ist überaus traurig, wenn beispielsweise der Musikzug der Freiwilligen Feuerwehr Tönisvorst seine Website zumacht, weil das Risiko zu hoch erscheint, für ein Hobby, das mit einem Ehrenamt im Zusammenhang steht, eine Website zu betreiben, die zu Anwaltskosten führen kann.
Aber das Phänomen des Beratenwollens, des Angstmachen, damit der zu Beratende seinen Beratungsbedarf erkennt, und des alles möglichst vage Haltens, weil man eigentlich noch gar keine Wissensbasis hat, auf der man beraten könnte, hab ich ja schon in lyrischer Form verarbeitet:
Die Website.
Die DSGVO.
Die Website und die DSGVO.Der Anwalt.
Die Website.
Der Anwalt und die Website.Die DSGVO.
Der Anwalt.
Die DSGVO und der Anwalt.Der Anwalt und die DSGVO und die Website und ein Haufen Kohle.
— Volker König (@VolkerK_) 7. Mai 2018
Der größte Irrsinn ist ja der, dass man in der Datenschutzerklärung umfassend und verständlich darlegen muss, was man so macht. Zum Beispiel ist es trotz der Initiative von Digital Courage einfach üblich, in Logfiles von Webservern die IP-Adresse, den Browser, das Betriebssystem und noch einige Daten mehr zu speichern. Die IP-Adresse ist nun personenbeziehbar, da man unter bestimmten Bedingungen aus ihr ableiten kann, welche Person gerade zugegriffen hat. Das geht nicht ohne Hilfe Dritter (Internetprovider oder Arbeitgeber der Person), die sich ohne Gerichtsbeschluss in der Regel sperren werden. Ändert aber nichts an der theoretischen Personenbeziehbarkeit.
Die IP ist nun aber wichtig, denn wenn jemand versucht, hier Mist zu bauen und die Website zu hacken, kann ich erst mit der IP-Adrese aus dem Log Strafverfolgungsbehörden helfen, die Tat aufzuklären. Das ist ein Bisschen wie im Supermarkt: Da sind heutzutage auch haufenweise Kameras, deren Bilder digital aufgezeichnet werden. Man kann diejenigen Personen erkennen, deren Identität man kennt – dank Sozialer Medien aber auch viele andere. Auch diese Aufzeichnungen enthalten personenbeziehbare Daten – „stand 8 Minuten vor dem Regal mit den Condomen, kaufte dann eine Packung Taschentücher“.
Wer also wegen der Logfiles und der protokollierten IP-Adresse eine Website nicht besucht, wird auch nicht zu ALDI gehen können. Wobei das den Wenigsten, die sich um Datenschutz im Netz Sorgen machen, bewusst sein wird.
Das mit den Logs muss ich also erklären. Damit es verständlich ist, muss ich erklären, was eine IP ist und so weiter und warum ich diese speichere und warum ich keine Erlaubnis zum Speichern brauche (siehe auch meine Datenschutzerklärung). Das gleiche gilt für Cookies und für Beacons und für Zählpixel und eingebettete Inhalte von Youtube und Twitter und überhaupt und das alles wird sehr, sehr viel Text.
Dieser Text ist sowas wie eine Nutzungsbedingung für die Website, denn da steht sinngemäß auch drin „Wenn Sie die Webseite trotz des Logging, der Cookies und dem ganzen Kram besuchen, erklären Sie sich damit einverstanden.“ Das heißt, formell gesehen, wir schließen einen Vertrag. Der § 305 BGB beginnt nun folgendermaßen:
Allgemeine Geschäftsbedingungen sind alle für eine Vielzahl von Verträgen vorformulierten Vertragsbedingungen, die eine Vertragspartei (Verwender) der anderen Vertragspartei bei Abschluss eines Vertrags stellt. Gleichgültig ist, ob die Bestimmungen einen äußerlich gesonderten Bestandteil des Vertrags bilden oder in die Vertragsurkunde selbst aufgenommen werden, welchen Umfang sie haben, in welcher Schriftart sie verfasst sind und welche Form der Vertrag hat. Allgemeine Geschäftsbedingungen liegen nicht vor, soweit die Vertragsbedingungen zwischen den Vertragsparteien im Einzelnen ausgehandelt sind.
Die ganzen Datenschutztexte sind also möglicherweise (da warten wir mal auf Gerichtsurteile) Bestandteil von Allgemeinen Geschäftsbedingungen (AGB). Daraus ergeben sich ganz neue Aspekte. So dürfen in AGBen beispielsweise keine Überraschenden Klauseln enthalten sein. Und die Eigenschaften „umfassend“ und „verständlich“, die für die DS-GVO-Datenschutzerklärungen gelten, werden um die Eigenschaft „transparent“ ergänzt. die das BGB für solche AGBen vorschreibt.
Die Geschäftsbedingungen von PayPal wurden unlängst abgemahnt. Weil sie zu lang sind. Und dadurch intransparent. Die Verbraucherzentrale Bundesverband sagte:
Eine solche eindeutige, freiwillige und fundierte Einwilligungserklärung kann allerdings nur auf Grundlage einer transparenten und geeigneten Aufklärung vonseiten der Unternehmen abgegeben werden.
Verbraucherschützer sehen diese Möglichkeit für Nutzer der Dienste PayPals allerdings durch den schieren Umfang der AGB gefährdet. Ein normaler Leser bräuchte bei einer Lesegeschwindigkeit von 250 Wörtern pro Minute für die Geschäftsbedingungen etwa 80 Minuten. Hinzu kommt, dass die Formulierungen solcher Erläuterungen bekanntlich vergleichsweise kompliziert gehalten sind, wodurch die Lesegeschwindigkeit im Schnitt weiter abnimmt.
Mein Datenschutzhinweis entstammt derzeit noch einem der einschlägigen Generatoren, der eine Menge Sachen fragt und dann die relevanten Textbausteine zusammenklöppelt. Dabei kamen (Stand heute) 4.208 Wörter zusammen. PayPal kam zwar auf über 20.000 Wörter – aber eben für die gesamten AGBen. Für diese Website gelten als AGB nur die Datenschutzsachen, und nach der Formel der Verbraucherschützer braucht man fast 17 Minuten, um sie zu lesen. Da sowohl technische als auch juristische Fachbegriffe drin vorkommen, eher länger.
Und wer dieses Blog liest, der schließt aber keinen Bankvertrag ab, wie bei PayPal, für den 20.000 Wörter und 80 Minuten Lesezeit zu viel sind, sondern will nur den einen, dämlichen Artikel lesen, der gerade als Link rum geht.
Wenn das Lesen das Artikels automatisch die Zustimmung zu den Datenschutzbedingungen bedeutet, man aber mindestens 17 Minuten bräuchte, um die zu lesen, dann ist das von den Relationen her mit dem Fall PayPal vergleichbar: Die Länge ist so abschreckend, dass niemand alles lesen wird (außer, man will das Osterei finden, das ich versteckt habe), also könnte der Text nach den Vorschriften über AGBen, obwohl er umfassend und verständlich geschrieben ist, rechtswidrig sein.
Bei mir ist das irrelevant, aber die AGBen so einiger Kleingewerbetreibender mit einem Shop auf der Website sind nun durch den neuen Datenschutzkram noch um etliche tausend Wörter umfangreicher geworden. Die rund 4000 bei mir sind eine Untergrenze, wenn man einen Shop betreibt und zwangsläufig eine Menge mehr Daten speichern muss, können es deutlich mehr werden. Ich hab mal probeweise in einem Generator alles angeklickt und kam auf fast 10.000 Wörter.
Es bleibt offenbar noch eine Weile spannend, wie es mit dem Thema weitergeht. Bis dahin sammelt der Heise-Verlag die größten Absurditäten zum Thema. Wie es mit der Abmahnerei weiter geht, beobachten wir natürlich alle auch, bislang sieht es nach meiner Meinung nicht sehr seriös und durchsetzbar aus.
Ich überlege gerade, was los wäre, wenn man in der Kohlenstoffwelt einfach so in Internetmanier abmahnen würde. Wegen Überwachungskameras, die ja – siehe oben – personenbeziehbare Daten speichern. Was meint Ihr, wären 150€ für die Abmahnung und 100€ je Zuwiderhandlung angemessen? Ich tanke alle eineinhalb Wochen und gehe wöchentlich einkaufen, da kämen dann pro Monat schomal 1000€ an Vertragsstrafen zusammen.
Ich glaub, ich muss los, eine Geschäftsidee realisieren.