Wir schreiben inzwischen den 29. 5. und leben noch immer. Sensationell! Vier Tage sind seit der Einführung der DSGVO vergangen und bis jetzt sind mir keine größeren Schäden bekannt. Nur bei mir sieht es nicht so dolle aus. Die Tage rund um den 25. 5. waren von einem immensen Arbeitsaufwand gekennzeichnet unter dem ich fast zusammen gebrochen bin. Und das vor allem deshalb, weil sich mit der DSGVO – und wie man die im Web umsetzen soll – niemand auskennt und alle meine Kunden dann ausgerechnet mich als ihren Rettungsanker ausgewählt haben. Aber wie soll es denn anders sein? Wir sind ja auch mit der DSGVO wieder mal im Neuland unterwegs. Und im Neuland kann man nicht zielgerichtet, einfach und allgemein verständlich planen. Im Neuland muss man Dinge ausprobieren. Es ist ja eben neu…
Hier also die Details meiner Erfahrungen der letzten Tage mit der praktischen Anwendung der DSGVO im Internet :
Im ersten Teil meines Artikels über die DSGVO für die Betreiber kleiner Webseiten habe ich erklärt, was man als Betreiber einer „kleinen“ Webseite alles beachten sollte um der DSGVO wenigstens so halbwegs zu entsprechen. Die Tipps waren natürlich nicht rechtlich verbindlich, sondern haben meine private Meinung wieder gegeben. (Dies nur zu eurer Information liebe Abmahnanwälte. Und auch die Informationen, die jetzt kommen, sind auch wieder keine rechtlichen Tipps, sondern (Wer wundert sich jetzt?) auch wieder nur meine private Meinung.)
Gut nachdem wir jetzt also geklärt haben, dass es sich im Folgenden nicht um ein Rechtsgutachten handelt, sondern um die persönliche Meinung des Webdesigners Raphael Bolius, können wir endlich weitergehen.
23. 5. bis 25. 5. im Rückblick:
Am 23. 5. ging es los: Die Mailbox klingelte im 5-Minutenrhythmus und es gab beständige Anfragen zu allen nur erdenklichen Themen rund um die DSGVO. Abgerundet wurde das Dauerklingeln durch die Mails der Firmen, die mich in letzter Sekunde darauf hinwiesen, dass sie jetzt ihre Datenschutzerklärungen aktualisiert hätten. Ob man den eigenen Newsletter jetzt überhaupt noch haben dürfe, wollten Kunden wissen. Und falls ja, ob man eine neue Einwilligung in die Zusendung benötigen würde, wollten andere wissen. Und wie das mit dem Cookies-Hinweis denn jetzt genau wäre. Und mit den Google-Fonts und den Google-Maps und ob man WordPress jetzt noch nutzen könne. Usw. usw. Die Liste der Fragen, die von meinen Kunden an mich gestellt wurde, war fast endlos und spiegelte im Grunde nur die totale Überforderung der meisten Seitenbetreiber wider. Pikantes Detail dabei: Selbst die Kunden, die seit Jahren Seiten hatten, die nicht im geringesten den Gesetzen entsprachen, wollten plötzlich alles ganz genau wissen. ;)
Ursprünglich wollte ich im zweiten Teil des Artikels über all die Themen schreiben, die ich im ersten Teil nicht mehr geschafft habe. Z. B: über die Auswirkungen der DSGVO auf die Mailkorrespondenz, bei Blogkommentaren, wie man die DSGVO in einem CRM-System (Customer Relation Management) umsetzt oder wie man mit Backups umgehen soll. Aber aufgrund der Ereignisse habe ich mich anders entschlossen und schreibe über die praktischen Auswirkungen der DSGVO-Umsetzung.
Die DSGVO in der Praxis:
In der Praxis – zumindest nach den ersten Tagen – sieht es für mich so aus:
1) Einen Teil des gewünschten Effekts hat die DSGVO jedenfalls erreicht. Die großen Unternehmen haben ihren Umgang mit den Nutzerdaten geändert. Zunächst mal vor allem am Papier bzw. in meiner Mailbox. Ob die vollmundigen Versprechungen von Google und Facebook auch in der Praxis realisiert werden, wird man erst sehen. Aber egal. Ein anderer Umgang mit den Nutzerdaten war ja das Ziel der DSGVO und das wurde – wenn ich all die aktualisierten Datenschutzerklärungen lese – hoffentlich erreicht.
2) Was gar nicht geklappt hat, das war, den “kleinen Fischen” die Angst vor der DSGVO zu nehmen und sie als das zu präsentieren, was sie wirklich ist: Ein Instrument um die Tech-Konzerne und andere Big-Player endlich dazu zu bringen, Daten als ein wertvolles Gut zu betrachten und nicht als ein “Abfallprodukt”, das man bedenkenlos nutzen kann. Also ein Gesetz FÜR die Menschen und nicht ein Gesetz um sie zu drangsalieren.
3) Weiters schlimm ist die Tatsache, dass – zumindest in Deutschland – bei der DSGVO theoretisch die selben Spielregeln für den Webauftritt eines DAX-Konzerns und dem eines Bäckers oder Dachdeckers gelten. Während nämlich in allen Ländern, die ich kenne, kein vernünftiger Mensch auf die Idee kommen würde, Lieschen Müller oder Max Mustermann zu verklagen, weil sie einen kleinen Formfehler auf ihrer Webseite haben, ist das in Deutschland anders: Durch die Möglichkeit der Abmahnung, die wirklich sehr niederschwellig ist, kann jeder winzige Formfehler existenzbedrohende Folgen haben. Und DAS macht auch aus der DSGVO leider ein Gesetz vor dem man Angst haben muss, denn wer sich auf seiner Webseite nicht zu 100% an die DSGVO hält, ist abmahnbar.
Konkret bedeutet das, dass jeder der in seiner Datenschutzerklärung vergessen hat, darauf hinzuweisen, dass er das Analysetool Matomo (früher Piwik) einsetzt, unter Umständen eine hohe Rechnung vom Abmahnanwalt erhalten kann. Natürlich ist diese Abmahnung vollkommen unsinnig, hilft absolut niemandem und dient nur der persönlichen Bereicherung des Anwalts. Matomo achtet extrem darauf, dass die Besucherdaten wirklich sensibel genutzt werden, belässt die Besucherdaten anonymisiert am Webserver des Seitenbetreibers und nutzt diese Daten in keinster Weise zu irgendwelchen eigenen Zwecken, so wie das Google mit seinem Konkurrenzprodukt Google-Analytics tut. ABER: Wer nicht in der Datenschutzerklärung auf die Nutzung von Matomo hinweist, hat gegen die DSGVO verstossen und ist abmahnbar. Und genauso abmahnbar ist, wer in der Datenschutzerklärung zu erwähnen vergisst, dass die Webseite Cookies nutzt (welche Webseite tut denn das nicht?) oder wer sich erfrecht im Kontaktformular den Namen des Kontaktsuchenden als Pflichtfeld zu definieren usw. usw. usw.
So betrachtet ist die DSGVO also eine Steilvorlage für die Abmahnindustrie.
Daher war ich auch ca. eine Woche lang damit beschäftigt die Webseiten meiner Kunden auf Vordermann zu bringen und jedes – noch so kleine Detail, das in der DSGVO erwähnt wird, umzusetzen. Dass viele Dinge in der DSGVO vollkommen unklar definiert sind oder auf die Infrastruktur großer Firmen oder Konzerne zugeschnitten sind, hat die Sache nicht gerade leichter gemacht. Ich habe also Mails beantwortet (Immer mit meiner Privatmeinung, da ich als Webdesigner ja keine Rechtsauskünfte geben darf.), habe Rechtstexte gelesen und habe versucht diese Rechtstexte in etwas Praxistaugliches umzusetzen. Ich hoffe, es ist mir gelungen, dann als Webdesigner hafte ich ja für die Webseiten meiner Kunden, die ich ja gar nicht beraten darf.
Apropos Rechtstexte: Beim Lesen der unterschiedlichen Quellen habe ich dann gesehen, dass auch unter Juristen und IT-Experten die Meinungen über die DSGVO ziemlich auseinander gehen. Und zwar auch bei Themen die Webseiten betreffen. So sagt mein Anwalt z. B. auf seiner Webseite, dass Google-Fonts aufgrund der DSGVO verboten wären, denn die Nutzung von Google-Fonts würde personenbezogene Daten (die IP-Adresse) in die USA übertragen. Unsinn, sagt ein anderer: Google wäre nach dem Privacy-Shield-Programm zertifiziert und dann wäre die Übertragung OK. Aha. Sehr schön. Und wem glaube ich jetzt? Dem einen oder dem anderen? Und egal, wem ich glaube: Wenn der Seitenbetreiber abgemahnt wird, weil ich die Google-Fonts eingebaut habe, dann hafte ich dafür.
Als mir das Thema daher irgendwann zu heiss wurde, habe ich mir eine Berufshaftpflichtversicherung zugelegt. Einen Agenturaccount für die Beratung bei einem IT-Anwalt hatte ich ja bereits vorher.
Aber es gerht noch weiter: Weil ich ja jetzt auch bei meinen Kunden Einblick in personenbezogene Daten habe, muss ich jetzt mit ihnen einen AV-Vertrag (Auftragsverarbeitung) abschließen, in dem steht, wie ich den Umgang mit diesen Daten regle, welche Sicherheitsvorkehrungen ich gegen Datendiebstahl treffe, welche Backupsysteme ich nutze, wer Zugriff auf meine Rechner hat, welche Virenschutzprogramme ich nutze, an welche Subunternehmer ich Daten weiterreiche usw. usw. Meine Kunden, die bei jedem Softewareupdate 60-seitige, unverständliche Knebelverträge mit einem Mausklick unterzeichnen, haben begonnen wirklich tiefschürfende Gespräche über diesen Vertrag zu führen. Denn anders als bei Adobe, Google, Microsoft oder wemauchimmer haben sie jetzt plötzlich einen Menschen vor sich und keinen Monitor und sie können endlich mal Fragen stellen. Und da war dann so ziemlich die Frustration über die unverständlichen Tech-Verträge zu spüren.
Der Vertrag ist übrigens sehr wichtig für die Seite von Lieschen Müller und ihrer Bäckerei in Kreuzberg. Da liegen nämlich echt WICHTIGE Daten auf dem Server. Da kann man schon mal eine halbe Stunde lang Grundsatzdebatten führen. Als ITler hab ja sonst ohnehin nicht soo viel Menschen, die mit mir reden. ITler sind ja eher die autistischen Typen und brauchen das Gespräch mit Menschen.
Erfreulich bei dieser ganzen, unangenehmen Sache war wieder ein Mal WordPress. Denn während ich noch gerätselt hatte, wie ein kleines Unternehmen ohne IT-Abteilung die Daten seiner Kunden exportieren oder löschen sollte, wenn jemand danach fragt (dies ist in der DSGVO nämlich vorgesehen), kam ein Update von WordPress und diese Funktion ist jetzt in den WordPress-Core integriert. Wenn also jemand nachfragt, welche Daten eine WordPress-Seite über den Fragesteller gespeichert hat, oder wenn jemand die Löschung seiner persönlichen Daten wünscht, kann man diese Frage bzw. diesen Wunsch mit ein paar Mausklicks erfüllen.
Ach ja und noch etwas: Viele, viele Forderungen der DSGVO sind in der Praxis wohl kaum umsetzbar. Völlig unklar ist mir, wie Daten auf Wunsch von Seitennutzern aus Backups entfernt werden sollten. Aber da bin ich mit meinem Rätseln nicht alleine. Das weiß leider niemand in der Branche.
Und außerdem: Die DSGVO betrifft alle persönlichen Daten, die elektronisch gespeichert und verarbeitet werden. Also bitte ab sofort: Wer eine Handynummer einspeichert, sollte das keinesfalls ohne schriftlichem Einverständnis mehr machen!
Fazit: Die DSGVO ist ein wirklicher Fortschritt beim Umgang mit personenbezogenen Daten. Aber die Umsetzung in Deutschland ist im Bereich der KMUs und Selbständigen nicht wirklich gelungen.
PS: Auch wer seinen Vornamen im Impressum abkürzt, ist übrigens abmahnbar und selbst dies wurde bereits abgemahnt! Aber dieses Spielzimmer im Kindergarten der Abmahnanwälte hat auch schon vor der DSGVO existiert. Man sieht also sehr schön: Das Problem ist nicht die DSGVO sondern die Abmahnindustrie in Deutschland. Würden kleinen Formfehler auf einer Webseite in den Bereich “Toleranz” fallen, so wie das in allen anderen EU-Staaten der Fall sein dürfte, wäre das Umsetzen der DSGVO für kleine Webseiten halb so wild.
Die DSGVO ist besonders sehr wichtig für alle Unternehmen! Also den Artikel sorgfältig lesen.