Die Datenverschutzte Unsicherheit

(20.06.2018) Auch wenn seit unserem letzten Blogbeitrag zwischenzeitlich 4 Monate vergangen sind. - Das Thema der DSGVO und deren Umsetzung ist noch immer brandaktuell, denn die im Internet ansässigen Firmen treibt auch weiterhin eine große Unsicherheit hinsichtlich der Anforderungen und Umsetzung der europaweiten Datenschutz-Grundverordnung umher. Immerhin: Einige fixe Aussagen lassen sich jetzt zumindest treffen...

Wer in den Wochen unmittelbar vor Einführung der DSGVO einen IT-ler, Juristen oder Datenschutzbeauftragten benötigte, wurde gemeinhin bitter enttäuscht. Die Arbeiten rund um den Datenschutz von Kunden und Geschäftspartnern hatten eine wahre Auftragswelle über alle Beteiligten geflutet. Dass dabei niemand so richtig wissen konnte, WAS konkret WIE an Shops, Portalen oder Informationsseiten im Netz umgesetzt werden muss, tat sein übriges.

Den Letzten beißen die Hunde

Das nachsehen hatten dadurch gerade in der letzten Phase der Umsetzung (Mai 2018) eben jene Seitenbetreiber, die den teils notwendigen Aufwand für Internetprojekte unterschätzt, oder schlicht auf die "lange Bank geschoben" hatten. Nachdem nur mehr wenige Dienstleister überhaupt noch kurzfristige Arbeiten unterbringen konnten, wurden vielerorts die Internetpräsenzen schlichtweg vorübergehend geschlossen um Schlimmerem vorzubeugen.

Fatal in diesem Zusammenhang: Im Vorfeld war vielerorts propagiert worden, die neu zu gestaltende Datenschutzerklärung sollte erst zum 25. Mai 2018 - dem Stichtag - auf den Websites hinterlegt werden, weil diese dann erst Gesetz wurde. Nicht wenige Betroffene waren dem wohl aufgesesssen. Nur: Mit einer angepassten Datenschutzerklärung alleine waren die Umbaumaßnahmen eigentlich bei keiner Internetpräsenz abgeschlossen. Skripte, die bislang gerne aus zentralen Repositorys eingebunden worden waren und Schrift-Fonts aus externen Quellen mussten lokal hinterlegt und eingebunden, SSL-Zertifikate - sofern noch nicht vorhanden - installiert und verbindlich konfiguriert werden. Und, und, und...

Bei gut gewarteten Content-Management-Systemen mithin dennoch ein überschaubarer Aufwand, aber eine Vielzahl von CMS waren davon in der Praxis weit entfernt.

Von den Großen lernen?

Gegensätzlich dazu wurden eben jene, die ihre "Hausaufgaben" frühzeitig angegangen hatten, in der Folge auch noch "bestraft".  Viele große Anbieter von externen Website-Widgets (Reservierungsportale, etc.) gaben erst auf den "letzten Drücker" entsprechende Informationen über Art und Umfang ihrer einzubindenden Programme bekannt, einige auch erst auf explizite Anfrage. Nicht zuletzt die "Datenschutz-Generatoren" wurden nach Inkraftreten der EU-DSGVO bisweilen nochmals umfangreich erweitert bzw. angepasst. Wer seine Datenschutzerklärung etwa Anfang Mai erstellt und dann eingebunden hatte, wird heute, bei einem erneuten Durchlauf für die Erstellung, eine sehr viel detailliertere und jedenfalls differente erhalten. Von einigen - eigentlich - allgegenwärtigen Portalen, deren Dienste auf Websites eingebunden werden können (Video, Landkarten), weiß man wohl bis zum heutigen Tage nicht ob und wie diese rechtskonform einzubinden sind.

Sollte - Müsste - Könnte

Wer als Seitenbetreiber in unsicherer See auf einen sicheren Hafen hoffte, der wurde oftmals enttäuscht. Weder Dachverbände noch Kammern, weder Datenschützer noch Juristen haben sich in Seminaren oder Rundschreiben gemeinhin zu expliziten Anweisungen oder Aussagen hinreißen lassen. - Womöglich lässt das der aktuelle Stand der Entwicklung ja auch noch gar nicht zu. - Und natürlich: Jeder Fall liegt etwas anders. An Stelle der seriösen Ansprechpartner aber gesellten sich schon alsbald "selbsternannte Kenner der DSGVO" die ihre Erkenntnisse jedem, der auf der Suche nach Hilfe war feilboten. Vom "Schnellkurs zum anerkannten Datenschützer" bis hin zum endgültigen, ultimativen Leitfaden war da alles dabei.

Coming soon: e-Privacy-Verordnung

Wer nach all dem Prozedere rund um den Internetauftritt (und wir wollen nicht vergessen: Die Umsetzung der DSGVO im Betrieb!) dann irgendwann nach Inkrafttreten der DSGVO sein Häckchen setzen konnte, dem kam zuletzt die Diskussion über Datenschutz in den Sozialen Medien quer über die Leber gelaufen. Und auch damit ists längst nicht getan. - Allerorts werden fast schon sehnsüchtig die ersten Gerichtsurteile zu den vielen Fragen der DSGVO-Umsetzung erwartet, um die eigene Internetpräsenz auch wirklich sattelfest zu schnüren.

Dessen ungeachtet kündigt sich seit geraumter Zeit aber auch eine weitere Rechtshürde an, denn mit der DSGVO ist die EU-Datenschutzreform noch nicht zu Ende. Aktuell durchläuft ein Ergänzungsprojekt - die E-Privacy-Verordnung (E-Privacy-VO) - den langwierigen Prozess der Gesetzgebung. Diese soll eher allgemeine gehaltene Vorgaben der DSGVO nochmals konkretisieren. Dann soll endlich auch rechtssicherheit im Umgang mit Cookies und Userrtracking einkehren. Geplant ist die finalen Version der E-Privacy-VO irgendwann im Jahr 2019. - Wir dürfen also gespannt sein...

Zuletzt: Erkenntnisse der vergangenen Tage

Wollte man zu diesem Zeitpunkt ein erstes Resümee ziehen, dann könnten sicherlich einige Punkte für die Anforderungen der Zukunft wappnen:

1. Sorgen Sie als Seiteninhaber für ein aktuelles CMS (Redaktionssystem) Ihrer Internetpräsenz. Dadurch halten Sie nicht nur den Aufwand und damit die Kosten bei der Umsetzung neuer Regelungen niedrig (entsprechende Plugins - sofern benötigt - sind für aktuelle Versionen gemeinhin gut verfügbar), sondern profitieren auch von aktuellem Quellcode der gemeinhin gut vor Sicherheitslücken geimpft ist.
2. Vertrauen Sie nicht grundlos auf kostengünstige Themes / Templates für die Gestaltung ihrer Internetpräsenz. Auch wenn diese eine rasche Umsetzung Ihrer Ideen verspricht, laufen regelmäßige Kosten für bisweilen notwendige Upgrades auf, müssen Sie bei erforderlichen Erweiterungen oder Anpassungen auf deren Support und schnelle Reaktion vertrauen und auf eine bisweilen undokumentierte Programmierung hinsichtlich der Einbindung von Schriften oder Skripten achten.
3. Setzen Sie Erweiterungen (Plugins, Module) gezielt und nach Möglichkeit sparsam ein. Der Datenhunger wie auch die Trackingfreundlichkeit einiger Erweiterungen wird zwar in Folge der EU-DSGVO sicherlich eingeschränkt werden, dennoch muss jedes einzelne externe Paket im Fall der Fälle auf die neuen, aktuellen rechtlichen Erfordernisse hin überprüft und verifiziert werden.
4. Schaffen Sie nach Möglichkeit frühzeitig einen fundierten juristischen Beistand, der im Fall der Fälle gesicherte Aussagen über Fragen zu Umsetzung oder Handhabung neuer notwendiger Regelungen treffen kann.
5. Verfolgen Sie die aktuelle Rechtsprechung hinsichtlich der DSGVO und der bevorstehenden E-Privacy-Verordnung, um Ihre Internetpräsenz auch rechtlich sicheren Standbeinen zu wissen.

Nachtrag 25.06.2018: Vier Wochen nach Einführung der EU-DSGVO

• DSGVO: Neue Regeln halten Datenschutz-Behörden in Atem (Querverweis auf heise.de)
• Einen Monat Datenschutz-Grundverordnung: "Wir nennen uns nur noch Callcenter" (Querverweis auf spiegel.de)

• Zurück
• Weiter