Die ersten Abmahnungen gab es ja schon, jetzt kommt aber schon eine neue Welle, die nach Geschäftsidee aussieht. Mit massenhaften Datenabfragen.
Ohne jetzt mit Paragraphen etc. in die Tiefe zu gehen: Schon nach dem alten BDSG (Bundesdatenschutzgesetz) hatte jeder von uns den Anspruch, von Stellen, die unsere Daten gespeichert haben, einmal im Jahr eine kostenlose Auskunft über das Gespeicherte zu bekommen und die Daten dann gegebenenfalls zu korrigieren oder gar (sofern das nicht gesetzlich oder durch Verträge verhindert wurde) löschen zu lassen.
Das ist seit dem 25.5. und dank DSGVO noch etwas ausführlicher geworden, was aber nichts zur Sache tut.
Von verschiedenen Leuten mit Shop oder sonstiger Website habe ich nun gelesen, dass sie kürzlich Datenauskünfte erteilen sollten an Leute, die sie gar nicht kennen und von denen sie nichts gespeichert haben. Alle Schreiben begannen so.
Sehr geehrte Damen und Herren,
nach Art. 15 DSGVO habe ich das Recht, von Ihnen eine Bestätigung darüber zu verlangen, ob Sie personenbezogene Daten über meine Person gespeichert haben. Sofern dies der Fall ist, so habe ich ein Recht auf Auskunft über diese Daten.
Angaben zur Identifizierung:
Adresse:
Vorname Nachname
Strasse 1
12345 Stadtkontakt@vorname-nachname.de
IP-Adresse: xx.xx.xx.xx am xx.xx.18
Sie können meine Identitätsangaben über die Angaben auf der Website „vorname-nachname.de“ und der digitalen Signatur dieser E-Mail verifizieren.
Der erste Gedanke der meisten Mailempfänger war: Kenn ich nicht, geb ich ne Fehlanzeige raus, fertig.
Kann man machen. Aber: In Deinem Postfach sind jetzt die Mailadresse, die kompletten „Angaben zur Identifizierung“ und die IP-Adresse enthalten.
Mitunter wird diskutiert, ob nun die Speicherung der Mail beauskunftet werden muss (und das sollte man nicht zu locker sehen, solange es keine Rechtsprechung dazu gibt). Viel lustiger ist meiner Meinung nach aber die Tatsache, dass die IP-Adresse genannt ist
Das passierte nämlich nicht von ungefähr.
Auch die Daten aus Logfiles sind, sofern IP-Adressen komplett gespeichert werden, personenbeziehbar, und wenn die Person, auf die sie diese Daten (Browser, Betriebssystem, Bildschirmauflösung, Referrer-URL, Datum und Uhrzeit des Zugriffs, IP-Adresse etc) einer Person zuordnen lassen können, müssen sie in der Auskunft enthalten sein.
Irgendwo muss der Absender nun aber die Mailadresse des Webseitenbetreibers erlangt haben. Naheliegend ist da der Zugriff aufs Impressum der Website. Dieser Zugriff hinterlässt aber Spuren in Form von Logzeilen im Serverlog. Und die sind, da die Mail die IP-Adresse enthält, nun problemlos personenbeziehbar.
Mal im Ernst: Niemand trägt einen solchen Aluhut, dass er massenweise Webseitenbetreiber, mit denen er nie was zu tun hatte, anmailt. Alleine die Zeit, die das kostet! Also steckt da Kalkül hinter.
Beispielsweise, dass der Absender sich der Sache mit den Logs bewusst ist und spekuliert, dass es den meisten Webseitenbetreibern nicht bewusst ist und sie eben nur eine Fehlanzeige an ihn melden. Dann kann er beispielsweise abmahnen. Da er kein Mitbewerber ist sondern die Person, um deren Daten es geht, ist das auch beim Ausschluss wettbewerbsrechtlicher Abmahnungen möglich.
Zack, erste Geschäftsidee.
Und später, nach dem juristischen Sermon, ist da noch ein Klopper in den Mails enthalten
Sofern Sie meine personenbezogenen Daten öffentlich zugänglich gemacht haben und gemäß Art. 17 Abs. 1 DSGVO zu deren Löschung verpflichtet sind, haben Sie angemessene Maßnahmen zu ergreifen, um sämtliche Empfänger meiner Daten darüber gemäß Art. 19 DSGVO zu informieren, dass ich die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien dieser personenbezogenen Daten verlangt habe.
Ich habe beispielsweise als verantwortlicher Betreiber dieses Blogs die Daten öffentlich zugänglich gemacht, die von den KommentarautorInnen hier hinterlassen wurden: Namen, Homepages, Kommentarinhalte. Nach der öffentlichen Bekanntmachung – öffentlich bedeutet rechtlich, dass ich die Kontrolle darüber, wer alles Zugriff hat, aufgebe – kann ich schon aus tatsächlichen Gründen nicht sämtliche Empfänger informieren. Aber versuchen, einen Freund den Kommentar, den ich hinterlassen habe, lesen zu lassen und dann vorzuwerfen, dass der Freund keine Mail bekommen hat mit der Aufforderung, gegebenenfalls gespeicherte Daten zu löschen, kann man sicher auch mal versuchen. Allerdings sollte man sich damit nicht unbedingt vor Gericht trauen.
Persönlich würde ich das aussitzen. Die Auskunft nach der DSGVO darf einen Monat auf sich warten lassen und auf meinem Server werden die Webserver-Logs nach 10 Tagen gelöscht. Am 11. Tag kann ich also mit Fug und Recht sagen, dass die IP nicht mehr vorkommt.