Datenschutz – Worum geht es hier?
Nach einer Übergangszeit von 2 Jahren wird am 25.5.2018 die neue Datenschutz-Grundverordnung der EU (DSGVO) scharf geschaltet, nicht zuletzt auch durch eine entsprechende Anpassung im Bundesdatenschutzgesetz (BDSG).
Spätestens bis zu diesem Zeitpunkt sollte jeder, der mit personenbezogenen Daten außerhalb der üblichen privaten Datenhaltung umgeht, vorbereitet und informiert sein. Dazu hatte man jetzt 2 Jahre Zeit (Übergangsphase), auch wenn der Eindruck entsteht, dass vielfach erst in den letzten Tagen und Wochen von der Thematik Notiz genommen wurde.
Abhängig von der Größe und Tätigkeit eines Unternehmens, der Frage nach der Verarbeitung „besonderer Arten von personenbezogenen Daten“, der Pflicht einer Datenschutzerklärung, eines Verfahrensverzeichnisses und einer dokumentierten Risiko- und Folgenabschätzung, bis hin zur Bestellung eines internen oder externen Datenschutzbeauftragten, gibt es einige Themen im Vorfeld möglichst rechtssicher abzuklären.
Leichter gesagt als getan
Das große Problem dabei ist allerdings, dass selbst bei Juristen im Augenblick kaum eine rechtssichere Auskunft zu bekommen ist und viele Aussagen auch gleich wieder mit dem Hinweis auf die zukünftige Rechtssprechung relativiert werden.
Der Gesetzgeber hat es leider wieder einmal geschafft, für alle Betroffene keine ausreichende Rechtssicherheit zu gewähren und hat es auch verabsäumt, die in der DSGVO vorhandenen Öffnungsklauseln für nationale Anpassungen und Regelungen im Detail auszuführen. Andere Länder in der EU, z.B. Österreich und Schweden, haben aufgepasst und die DSGVO in einigen Bereichen entschärft.
Gerade auch Fotografen, also nicht wenige unserer Kunden, die nicht für die institutionalisierte Presse arbeiten, wachsen daher derzeit graue Haare: Mit der fotografischen Aufnahme einer Person, bei der nicht im Vorfeld – also schon vor der Aufnahme – eine (schriftliche) Genehmigung eingeholt wurde, wird schon durch den Vorgang des Fotografierens und nicht erst des Veröffentlichens ein Rechtsbruch begangen. Das Fotografieren ist dann eine unerlaubte „Datenerfassung“, denn die Aufnahme eines Menschen, mithin ihr Aussehen und Abbild, sind ein erfasstes Merkmal und gehören damit zu den Daten einer Person. Und wie lässt sich die DSGVO mit Artikel 5 des Grundgesetzes in Einklang bringen („Jeder hat das Recht, seine Meinung in Wort, Schrift und Bild frei zu äußern und zu verbreiten…„)?
Brisant wird dieses Thema bei einem Hochzeitsfotografen mit den vielen Gästen als Beiwerk zu den Aufnahmen des Hochzeitspaars. Rechtlich präzise muss der Fotograf mit jedem einzelnen Gast der Veranstaltung eine schriftliche Erlaubnis im Vorfeld vereinbaren. Und was passiert, wenn zusätzlich noch unerwartet ungeladene Gäste dazustoßen?
Die aktuellen Regelungen sind in der Praxis für Fotografen absurd, zumal nach der jetzigen Regelung nicht klar ist, ob das KUG (KunstUrhG) zur Anwendung kommt und über dem DSGVO steht oder nicht. Weitere Rechtsunsicherheit in diesem Zusammenhang bedeutet auch das „Recht auf Vergessenwerden“, denn aus unserem Beispiel kann jeder der Hochzeitsgäste im Nachhinein die Erlaubnis widerrufen. Und der Fotograf und das Hochzeitspaar vernichten dann ihre Aufnahmen? Vollkommen absurd.
Streetfotografie ist eigentlich bis zu einer rechtssicheren Klärung dahingehend absolut rechtswidrig und somit gestorben. Man denke nur an die vielen großartigen Werke der letzten Jahrzehnte, die Teil der Kunst und Kultur geworden sind. So etwas ist aktuell in Deutschland nicht mehr möglich.
Die DSGVO und der Datenschutz im Allgemeinen
Natürlich haben wir uns schon rechtzeitig Gedanken zu dem Thema gemacht und uns gefragt, welche Daten wir wirklich benötigen, wie wir ernsthaften Datenschutz implementieren und umsetzen wollen, und wie wir nicht nur irgendwelchen Formerfordernissen genügen, um einer Abmahnung oder einer von Gesetz wahrlich nicht lapidaren Strafzahlung zu entgehen; zumal der Gesetzgeber hier Strafzahlungen vorgesehen hat, die „eine abschreckende Wirkung“ haben sollen.
Seien wir ehrlich: Natürlich schaut man sich dabei auch um, was andere so machen, was sie schreiben und was dokumentiert wird, was Juristen dazu sagen und wie nun vorzugehen ist. Denn das reine Lesen und Erfassen der DSGVO bedeutet für Fachfremde („Nicht-Juristen“) durchaus nicht, dass man alle notwendigen Implikationen wirklich erfasst. Das gelingt ja offensichtlich schon den Juristen nicht, die täglich mit dieser Thematik betraut sind. Sonst gäbe es ja aktuell nicht reichlich widersprüchliche Beurteilungen zu lesen und zu erfahren, die den Einzelnen gleichwohl nicht davon abhalten, eine juristische Beratungsleistung anzubieten oder sich als neuer Datenschutzbeauftragter ins Feld zu werfen. Wohl dem, der noch selbst nachdenken kann und sich dieser Situation nicht zwanghaft ausliefern muss.
Was passiert da draußen im Netz?
Es ist lustig zu sehen, wie die meisten der von der DSGVO Betroffenen natürlich gleich ganz groß ihren Kunden verkünden, wie wichtig der Datenschutz gerade auch bei personenbezogenen Daten sei; und für wie wichtig man dieses Thema erachte, zumal sie dann aber im gleichen Atemzug in ellenlangen Datenschutzerklärungen erklären, wie die auf der eigenen Webseite erfassten personenbezogenen Daten an alle möglichen und unmöglichen Dienste und Dienstleister im In- und Ausland weitergereicht werden. Natürlich alles rechtlich einwandfrei und unter Berücksichtigung der nötigen Verträge zur Auftragsdatenverarbeitung nach Art. 28 der DSGVO usw.
Geht es hier also nur um ein Formerfordernis oder vielleicht doch um echten Datenschutz?
In wenigen Fällen konnte man das ernsthaft mit einem berechtigten Interessen, d.h. einem Interesse an der Analyse, Optimierung sowie dem wirtschaftlichen Betrieb und der Sicherheit eines Onlineangebotes im Sinne des Art. 6 Abs. 1 lit. f. DSGVO auch gut begründen. In der Masse trifft das aber nicht zu: Gerade eben nicht bei Webseiten, die keinen Shop oder ein Forum betreiben; die keine eigene oder fremde Werbung schalten; und die mit der Webseite nicht direkt Geld verdienen. Diese vielen kleinen Webseiten, die oftmals – wie auch unsere eigene Webseite – nur eine „Visitenkarte“ darstellen, vielleicht mit einem angeschlossenen Blog, sammeln „wie bekloppt“ personenbezogene Daten und geben sie weiter. Natürlich durch eine entsprechende Datenschutzerklärung DSGVO-konform.
Viele nutzen Tools, Plug-Ins und Anbindungen an externe Dienstleister auf ihren Webseiten, weil „man es heute so macht und üblicherweise nutzt“, ohne wirklich zu hinterfragen, wie und worin der Nutzen für den einzelnen Webseitenbetreiber besteht und was mit den Daten dann dort noch passiert. Das wird schon alles okay sein, denn es existiert ja eine Datenschutzerklärung. Glauben wir das ernsthaft?
Garantien gibt es nicht!
Haben wir den gerade erst wenige Wochen zurückliegenden Skandal bei Facebook und Cambridge Analytica schon wieder vergessen oder verdrängt? Hat Facebook, oder hat explizit Herr Zuckerberg, dabei in der Anhörung vor dem US-Kongress auch nur ansatzweise den Eindruck vermittelt, man habe tatsächlich die volle Kontrolle über die „eigenen“ Daten bzw. kein wirtschaftliches Interesse daran, genau diese Daten zu erlangen und wirtschaftlich auszuwerten und zu nutzen?
Und solchen Unternehmen sollen wir unsere oder die Daten unserer Kunden anvertrauen? Einmal auf der TryTec!-Seite, dort womöglich noch einmal den Facebook-Like-Button gedrückt – und schon weiß man in der Facebook-Zentrale in Menlo Park, dass ab jetzt sofort dem Kunden Werbung für Apple-Produkte zu zeigen ist oder Produkte zu empfehlen sind, die auch andere Apple-Kunden bevorzugen? Willkommen in der Internet-Echo-Kammer.
Ich doch nicht…
Ach? Sie haben nichts zu verbergen? Ihre Wohnungstür steht auch immer offen und jeder ist eingeladen zu sehen, was Sie jederzeit machen und was Sie interessiert? Und morgens trifft sich die Nachbarschaft in Ihrem Badezimmer, um Ihnen beim Duschen zuzusehen? Sie halten das für überspitzt? Wissen Sie denn, was heute mit Big Data unter Einsatz von KI-Lösungen möglich ist?
Na, warten Sie es nur ab: Sie werden es schon erfahren, wenn der Wirtschaftlichkeit irgendwelcher amerikanischen Internetkonzerne Ihre letzten demokratischen Rechte zum Opfer fallen. Verglichen damit, was technisch möglich ist und technisch möglich sein wird, war der Cambridge Analytica-Fall geradezu eine stümperhafte Lösung – und die wurde IT-technisch geradezu „zu Fuß“ erledigt, ohne den Einsatz besonderer Techniken. Selbst in diesem Fall wurden schon personenbezogene Daten von Millionen Kunden abgezogen. Auch von deutschen Kunden.
Personenbezogene Daten sind das Kapital einiger Großunternehmen, die im Internet aktuell das Sagen haben. Das sollten wir nie vergessen. Und nur dann, wenn diese personenbezogenen Daten gut erfasst, ausgewertet und zuzuordnen sind, haben sie einen erheblichen Wert für das Unternehmen.
Die DSGVO bei TryTec!
Die DSGVO sieht vor, dass man mit personenbezogenen Daten sparsam umgeht. Man sollte (und darf) nicht mehr Daten erfassen, als nötig. Genau darin liegt ein wichtiger und bei der Betrachtung der DSGVO aktuell augenscheinlich vernachlässigter, aber wichtiger Aspekt beim Thema Datensicherheit.
Daten, die nicht erfasst werden, müssen auch nicht geschützt werden; sie können nicht weitergegeben und somit auch nicht missbraucht werden. Punkt!
Gerade in Bezug auf Webseiten, die selbst nicht als soziales Netzwerk agieren (wie z.B. Foren etc.), die keine direkte Dienstleistung online anbieten und betreiben (Internet-Shop etc.), die also nur eine Visitenkarte des Unternehmens darstellen, stellt sich dann die Frage, was im Rahmen der DSGVO überhaupt noch als „berechtigtes Interesse“ angenommen werden kann, um die heute übliche vielfältige Sammlung von personenbezogenen Daten zu rechtfertigen. Genau genommen eigentlich wenig bis nichts.
Wer kann verantworten, sofern ernsthaft Datenschutz betrieben werden soll, dass Google bspw. erfährt, wo man sich gerade aufhält, nur weil man eine Wegbeschreibung zu TryTec! auf der firmeneigenen Webseite erfahren möchte? Ist einem Kunden zuzumuten, nur weil er die TryTec!-Seite besucht, dass ihm in den nächsten Tagen und Wochen nur noch Werbung von Apple-Produkten und aus dem Apple-Umfeld angezeigt wird? Oder dass ihm gezeigt wird, was andere Kunden toll finden, die sich auch für Apple-Produkte interessiert haben? Das ist doch eigentlich eine unerträgliche Bevormundung, die dem Kunden auch jede Möglichkeit der freien Informationsbildung vorenthält. Und es wird ja immer schlimmer.
Nicht mit uns!
Wir wollen das nicht. Und wir nehmen Datenschutz auch an dieser Stelle sehr ernst. Das ist nicht nur ein Spruch oder eine Worthülse: Wir haben alle Dienste, Verbindungen zu Internet-Diensten, sozialen Netzwerken, Analyse-Tools und Auswertungs-Software abgeschaltet. Der echt geringe Zusatznutzen solcher Datenerhebung auf unserer Webseite steht einfach in keinem Verhältnis zu der Unsicherheit, die man eingeht, wenn solche Daten weiter gegeben werden. Können wir für zehntausende von Mitarbeitern in ein paar Großunternehmen bürgen bzw. überblicken, wo die Daten unserer Kunden durch sie landen? Nein, das können wir nicht. Rein rechtlich können und müssen wir uns natürlich mit einem entsprechenden Vertrag zur Auftragsdatenverarbeitung nach Art. 28 der DSGVO absichern. Und dann? Wem ist damit geholfen?
Wir erfassen also ab sofort und zukünftig keine personenbezogenen Daten auf unserer Webseite, denn wir können gar nicht beurteilen und haben ehrlicherweise, auch als Informatiker mit gutem Hintergrundwissen, technisch nicht die Möglichkeit zu beurteilen, was mit Ihren Daten wirklich geschieht. Aktuell nicht und zukünftig schon mal gar nicht.
Wie ernst andere Unternehmen den Schutz Ihrer Daten wirklich nehmen, auch das können wir abschließend nicht beurteilen; aber was bisher öffentlich wurde, das überstieg meistens schon unsere Befürchtungen.
Darüber hinaus haben wir unsere Auftritte in den sozialen Medien (Google+, Facebook etc.) schon vor Wochen gelöscht. Denn was dort beim Besuch unserer Seiten durch potentielle Kunden oder Bestandskunden passiert, das ist prinzipiell genau das Gleiche wie auf einer externen Webseite mit den entsprechenden Anbindungen zu sozialen Netzwerken. Genau genommen können dort ja noch viel besser die Daten der Kunden abgegriffen werden. Das geschieht auch weiterhin, aber eben nicht mehr mit unserer Unterstützung.
Wir haben folgende Dienste abgeschaltet:
• Google Analytics
• integriertes Google-Maps
• Affiliate-Partnerprogramme
• Kontaktformular eines Drittanbieters
• Spamerfassung durch Akismet im Kontaktformular
• Verknüpfung zu sozialen Netzwerken (Facebook, Google+, Pinterest, Twitter, Instagram, Xing) in Form von Verweisen und Like-Buttons
• Implementierung von medialen Inhalten direkt auf unserer Webseite (YouTube, Vimeo, Adobe Flash)
• allgemeines Nutzertracking durch das Setzen von Cookies
• Newsletter (externe Software)
• statistische Analyse-Software zur Kundenerfassung
• Cookies allgemein
Wir hoffen, dass Sie verstehen, dass wir an dieser Stelle den Schutz von Daten wirklich ernst nehmen und daher diesen radikalen Schritt vollzogen haben. Bei uns gibt es kein vollmundiges Bekenntnis zum Datenschutz mit einer rechtlichen Absicherung gegenüber der DSGVO und einer anschließenden Aufzählung, was dennoch alles an Daten erfasst wird und wohin diese Daten geschickt werden, nur damit wir rechtlich und abmahnsicher auf der sicheren Seite sind. Im Prinzip ist das, wenn man sich intensiv mit der Thematik auseinandersetzt, nämlich geradezu verlogen.
Datenerfassung beim Internet-Provider
Es bleibt noch zu erwähnen, dass aus rein technischen und sicherheitsrelevanten Gründen unser Internet-Provider ein paar Daten erfassen muss – allerdings anonymisiert. Es handelt sich um die sogenannten Server-Log-Dateien. Das geschieht im Prinzip bei jeder Webseite im Internet.
Es ist nicht TryTec! Microsystems oder die Webseite von TryTec!, die diese Daten erfasst und die diese Protokollierung initiiert, sondern die Serversoftware des Internet-Providers mit dem Ziel, Angriffe auf den Server bzw. anderen Missbrauch zu erkennen. Diese Daten werden von uns weder abgefragt noch ausgewertet, verwendet und schon mal gar nicht an Dritte weitergegeben. Diese Daten sind nicht personenbezogen (eben anonymisiert) und werden nach ein paar Wochen automatisiert gelöscht. Mit der Erfassung dieser Daten müssen wir aus Sicherheitsgründen leben und können das auch, da sie nicht wirklich personenbezogen sind.
Datenverarbeitung intern bei TryTec!
Da es auf der TryTec!-Seite kein Kontaktformular mehr gibt, müssen Sie uns ab jetzt anrufen, also wie im richtigen Leben echt mit uns reden oder eine e-Mail senden.
Von Ihnen im Falle einer Kontaktaufnahme freiwillig übermittelte Daten wie z.B. Ihren Namen und Ihre e-Mail-Adresse werden von uns gespeichert und genutzt, sofern es für die weitere Korrespondenz mit Ihnen erforderlich ist. Wie sollten wir Sie sonst zurückrufen können?
Angaben, die Sie zur Erstellung und Übersendung eines konkreten Angebotes (Hardware, Software, Dienstleistung) übermitteln, nutzen wir ausschließlich zur Angebotserstellung und -übersendung. Diese Daten nutzen wir nur für diesen Zweck und sie werden daher auch niemals eine Werbesendung oder einen Newsletter bekommen. Solche Dienste oder Werbemaßnahmen haben wir übrigens schon in der Vergangenheit nicht betrieben.
Wenn Sie uns mit einer konkreten Leistung (z.B. Kauf, Bestellung von Ware bzw. Dienstleistungen) beauftragen, so speichern wir Ihre Kontaktdaten und sonstigen auftragsbezogenen Daten zum Zwecke der Ausführung und Abrechnung des jeweiligen Auftrags. Nach den gesetzlichen Vorgaben erfolgt die Aufbewahrung für 6 Jahre bei Handelsbüchern, Inventaren, Eröffnungsbilanzen, Jahresabschlüssen und Buchungsbelegen usw. sowie für 10 Jahre für Bücher, Aufzeichnungen, Lageberichte, Buchungsbelege, Handels- und Geschäftsbriefe und der für die Besteuerung relevanten Unterlagen usw. Diese Liste ließe sich im Prinzip noch ein wenig fortführen, aber kurz gesagt: Alles um den Geschäftsvorgang des Kaufvertrages und den damit entstehenden Daten, die natürlich auch immer personenbezogen sind.
Sie haben jederzeit das Recht, die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, solange eine gesetzlich vorgeschriebene Aufbewahrungsfrist davon nicht betroffen ist. In der Praxis heißt das zum Beispiel, dass es nicht möglich ist, dass wir Ihre Adresse und Rechnungen nach einem Jahr löschen, weil wir zum Beispiel diese Daten laut Gesetz 10 Jahre aufbewahren müssen. Dafür aber können Sie bei uns auch jede Rechnung auch noch nach Jahren gerne nachfordern, sowohl als Papier- wie auch als PDF-Version, wenn mal gerade (bspw aus Versicherungsgründen) die Daten benötigt werden. Alles hat eben zwei Seiten…
Und dass wir Ihre personenbezogenen Daten nicht an Dritte weitergeben, das liegt ja auch in unserem höchsteigenen wirtschaftlichen Interesse, wie Sie sich vielleicht denken können.
Aus Sicherheitsgründen halten wir alle personenbezogenen Daten nach dem aktuellen technischen Stand verschlüsselt und mehrfach redundant vorrätig, sogar örtlich und räumlich getrennt, ohne dabei auf eine Speicherung bei einem Dritten (Dienstleister) oder im Internet zurück greifen zu müssen (wie z.B. Cloud-Backup-Lösungen). Letztere, auch von in Deutschland und DSGVO-konform arbeitenden Dienstleistern, halten wir nach unserer eigenen Einschätzungen nicht für sicher genug. Es vergeht ja auch keine Woche, in der nicht wieder von irgendeinem Sicherheitsloch in neuer und bestehender Software berichtet wird, selbst bei vermeintlich verschlüsselten Daten.
Zusammenfassung
Es ist kein moralischer Narzissmus, wenn wir hier erklären, warum wir handeln, wie wir handeln: Wir verzichten auf eine Datenerfassung auf unserer Webseite nicht, damit wir Ihnen das erzählen und uns dabei so gut fühlen können; oder dass wir es besser machen, als so manches andere Unternehmen mit ihren Webseiten.
Wir erkennen auch an, dass es durchaus, je nach Online-Angebot, erforderlich sein kann, personenbezogene Daten zum wirtschaftlichen und sinnvollen Betrieb der Webseite zu erheben; und dass nicht jeder Anbieter seine Software selbst programmieren kann und somit auf Lösungen angewiesen ist, die die Weitergabe der Daten DSGVO-konform ermöglicht. Wir haben allerdings den Luxus, dass wir das nicht benötigen und es auch nicht wollen.
Wir haben uns zu diesem Schritt entschlossen, weil wir eine Abwägung zwischen einem berechtigten wirtschaftlichen Interesse und dem notwendigen Datenschutz Ihrer personenbezogenen Daten vorgenommen haben und zu dem Schluss gekommen sind, auch rückblickend, dass es vollkommen unnötig ist, dass wir irgendwelche personenbezogenen Daten sammeln, wenn Sie unsere Webseite besuchen oder in unserem Blog lesen. Vielleicht ist es eine Luxus-Situation, ja. Aber in der Hoffnung, dass auch ein Teil unserer Kunden, die selbst Webseiten betreiben, zu dem gleichen Schluss kommen könnten, dokumentieren wir das hier.
Wir nehmen den Datenschutz nach bestem Wissen und Gewissen ernst und würden auch nicht wollen, dass unsere eigenen privaten Daten in falsche Hände gelangen. Daten, die nicht erfasst werden, sind für Sie wie auch für uns eben dabei der problemloseste Fall.
Die für uns zum wirtschaftlichen Betrieb unseres Unternehmens anfallenden Daten ausserhalb unserer Webseite haben wir schon immer im Hinblick auf den Datenschutz, der Sicherheit und somit für die Zukunft unseres Unternehmens in den letzten 23 Jahren zu jedem Zeitpunkt weit über die Grenzen der gesetzlichen Anforderungen hinaus beschützt und behütet. Und das wird sich auch mit oder ohne DSGVO nicht ändern. Versprochen!
Unsere offizielle Datenschutzerklärung finden Sie übrigens hier: Datenschutzerklärung. Wenn Sie diesen Text hier allerdings komplett gelesen haben, erfahren Sie dort nichts Neues, nur anders und kürzer geschrieben und mit den entsprechen Verweisen auf die Gesetze versehen.
Wenn Sie Fragen oder Anmerkungen zu diesem Thema haben, erreichen Sie uns unter der Rufnummer 0234/9270270.