Urheberrecht. Again.

Heute war ich bei der Digital Society in Wien zu einer Diskussionsrunde zum Thema “Freie Presse, Kunst & Urheberrecht”. Auf dem Panel waren Vertreter*innen von ISPA (Verein der Internet Provider in Österreich), Wikimedia, IG Autoren, Verein für Anti-Piraterie der Film- & Videobranche und Freischreiber. Es hat immerhin etwas über eine Stunde gedauert, bis der Moment gekommen war, an dem ich schreien wollte, aber dazu gleich noch.

Die Diskussionsrunde war sehr ausgewogen besetzt und die Standpunkte haben alle grundsätzlich ihre Berechtigung. Allerdings wurde auch bei dieser sehr kleinen Runde schnell deutlich, dass die gesamte Diskussion am eigentlichen Problem vorbei geht. So waren IG Autoren und der Verein für Anti-Piraterie der Film- & Videobranche einhellig der (laut vertretenen) Meinung: „ES GEHT NUR UM URHEBERRECHTSDURCHSETZUNG, ES GEHT NICHT UM UPLOADFILTER!“ Nun ja. Doch.

Sorry, but no sorry: An der Stelle klinkte ich mich dann das erste Mal in die Diskussion ein. Doch, genau darum geht es. Wie Claudia Garád von Wikimedia auch sehr richtig erklärte, leben wir in einer Zeit, in der die Demokratien rund um die Welt und nicht zuletzt in Europa deutlich bessere Zeiten gesehen haben. Das Recht auf freie Meinungsäußerung bewegt sich auf sein Ende zu parallel zum allgemeinen Rechtsruck, den die Demokratien überall gerade hinlegen. Da ist es nicht die sinnvollste Lösung, eine Technologie zu entwickeln und weltweit auszurollen, die in Nullkommanix dazu eingesetzt werden kann, jegliche (kritische) Äußerung im Netz einfach vor der Veröffentlichung einzukassieren und schlicht nicht auftauchen zu lassen. Den Filtern ist nämlich völlig schnurz, wer ihnen was füttert. Was sie einmal gelernt haben, dass es rausgefischt werden soll, wird gnadenlos rausgefischt. Sei es Satire, genehmigtes Zitat, Meme oder regierungskritischer Kommentar in einem Forum.

Es wird für das eigentliche Problem keine technische Lösung geben können. Das Problem ist nämlich kein technisches, sondern ein strukturelles im gesamten (Medien)System. Das eigentliche Problem ist die nicht vorhandene gerechte Vergütung von Künstler*innen und Autor*innen – und das wird in der ganzen Diskussion wenn überhaupt mal am Rand erwähnt. Da geht es, wie in den o.g. Äußerungen der beiden Vereine, immer um Rechtsdurchsetzung, um Urheberrechte, um Verlage und Plattenfirmen.

Weiters ist zu beobachten, dass der ganzen Diskussion ein – meines Erachtens – falsches oder zumindest sehr eingeschränktes Verständnis der Geschäftsmodelle von Google, Facebook und Co. zugrunde liegt. Die Plattformen verdienen kein Geld mit den eigentlichen Inhalten. Die Annahme “ich publiziere ein digital zugängliches Werk und Google und Facebook verdienen dann Geld damit” ist so nicht richtig. Die verdienen am eigentlichen Inhalt keinen Cent, sondern entweder mit Werbung, die sie drumrum (oder auch mittendrin) platzieren, oder mit der Auswertung und dem Verkauf von Metadaten, die mit der Konsumation des Werkes einhergehen (und die auch der Werbeschaltung zugrundeliegen) – also wer liest welchen Text wo, wie lange, mit welchem Gerät, welche anderen Seiten sind im nächsten Browserfenster offen, welche anderen Seiten hat die- oder derjenige vorher wie oft besucht, befindet sich die Person in einem fahrenden Zug, mit wem kommuniziert die Person, etc. pp. Dieses Verständnis für die Geschäftsmodelle sollte dringend in der Diskussion einen festen Platz bekommen, denn diese Geschäftsmodelle sind grundlegend dafür, wie das Internet mittlerweile funktioniert und bildet ganz eigene Abhängigkeiten, die viel weiter gehen als “die zeigen mein Werk und ich krieg kein Geld dafür”.

Tatsächlich geht es bei der ganzen Debatte allerdings genau darum, dass Musiker*innen, Künstler*innen, Autor*innen Kinder haben, die zur Schule gehen und vielleicht auf Klassenfahrt mitfahren wollen. Darum, dass diese Kinder etwas zum Anziehen brauchen, warme Schuhe für den Winter, etwas zu essen jeden Tag und vielleicht sogar ein Weihnachtsgeschenk. Es geht um konkrete Menschen, bei denen am allerletzten Ende der Kette gerade mal 4-8% von dem ankommen, was Leser*innen, Hörer*innen, Zuschauer*innen bezahlen. Die ganze Kette hat doch etwas, wenn von den € 12,90 Ladenpreis die Autorin nur 80 Cent erhält. Das Problem ist konkret, real und jetzt.

Wenn ich mal tot bin, interessiert es mich nicht mehr, bis wann mein Urheberrecht geht, es ist mir völlig egal, dass das Urheberrecht bis 70 Jahre nach meinem Ableben gilt. Im Gegenteil, ich finde es im täglichen Leben nur hinderlich; ich würde zum Beispiel gern öffentlich aus der deutschen Übersetzung von 1984 vorlesen wollen, doch das Werk ist hier noch immer urheberrechtsgeschützt, denn es gilt in dem Fall nicht einmal das Ableben des Autors, sondern des Übersetzers. Für die PrivacyWeek 2016 habe ich wochenlang versucht, die Rechte für eine öffentliche Lesung beim Verlag zu bekommen und nie eine Antwort erhalten. Außerdem: wenn Menschen mit anderen Handwerksberufen sterben, bekommen die Erben ja auch nicht jedes Jahr etwas ausgezahlt, nur weil das Haus, das der Großvater als Architekt designt hat, noch immer dekorativ im Stadtzentrum steht. Statt Urheberrecht bis 70 Jahre nach meinem Ableben hätte ich lieber jetzt mehr von dem, was meine Leser*innen für meine Bücher ausgeben. Und ich hätte nicht nur gern das von Herrn Ruiss (IG Autoren) lautstark zitierte Persönlichkeitsrecht, dass ich bestimmen kann, dass meine Texte nicht bei einer FPÖ oder AfD Veranstaltung vorgetragen werden dürfen, sondern ich hätte auch gerne das Recht zu sagen, dass ich nicht will, dass meine Leser*innen beim Lesen meiner Texte getrackt und die daraus entstehenden Daten verkauft werden. Das wäre mal etwas, das ins digitale Zeitalter passen würde.

Die Verlagsbranche steckt noch in den 1960ern, da werden #Uploadfilter überhaupt nichts ändern. Wie Peter Purgathofer in meinem Datenschutz Podcast so schön illustrierte: Die ersten Computer-Schreibprogramme sahen aus wie Schreibmaschinen: der Curser war immer am Ende des geschriebenen Textes und man konnte nur von hinten nach vorne weglöschen. Sie imitierten das Verhalten, das Schreibende von den bis dahin bekannten Schreibmaschinen kannten. Aber bald kam man drauf, dass das digitale Medium ganz andere Möglichkeiten eröffnete: mit dem Curser irgendwo in den Text gehen, ergänzen, ersetzen, … und heute haben wir mit Scrivener und Co. ganze Schreibumgebungen, die mit einer Schreibmaschine nahezu nichts mehr gemein, aber alle Möglichkeiten haben, die man sich als Schreibende/r nur wünschen kann.

Genau das muss bedacht werden, wenn es jetzt daran geht, das Urheberrecht zu reformieren. So wie die Buchbranche momentan läuft, halten die Verlage krampfhaft an den alten Modellen fest und versuchen, die analoge Maschinerie in die digitale Umgebung zu zwängen. Aber stattdessen brauchen wir etwas, das die Möglichkeiten, die völlig anderen Zusammenhänge und Mechanismen im Netz von vornherein mit bedenkt.

Natürlich ist es einfach, die ganze Debatte als Google- und Facebook-Bashing aufzuziehen. Aber das sind nur zwei Mitspieler auf einem verdammt großen Spielfeld mit 4 Dimensionen. Große Mitspieler, aber eben nur zwei davon. Es gibt aktuell über 6.000 Firmen, die Geld mit dem Handel von Metadaten und dem Abgleich von Cookie-Daten verdienen. Insgesamt sind Google und Facebook da noch unser kleinstes Problem. Aber alle wollen Google und Facebook schwächen und dafür die angestaubte Verlagsbranche ins digitale Medium übertragen.

Außerdem haben sie sich gerade zwei Umsetzungen ausgesucht, die mehr Probleme bringen, als sie lösen. Das Leistungsschutzrecht ist in Spanien und Deutschland bereits gescheitert, weil die, die es treffen sollte (Google), ratzfatz aus der Regelung ausgenommen wurden, nachdem Google sagte: So eine Regelung könnt Ihr schon machen, dann fallen Eure Inhalte eben bei uns raus. Und die Medienhäuser sagten: Ok, dann gilt das eben für alle außer Google! Stattdessen zahlen die Medienhäuser jetzt mehrere Millionen Euro, um € 30.000,- einzunehmen. Was genau soll die “big player” nochmal dazu bringen, dass sie das jetzt nicht wieder genauso spielen, nur weil dann “EU” dranseht?

Das noch größere Problem wären die viel zitierten Uploadfilter. Mit denen reißen wir gleich ganz andere Problemfelder auf. Die oben genannten, drohenden Zensurmaschinen sind keine Fiktion. Es ist nicht sehr lange her, dass in der NS-Zeit oder danach in der DDR freie Meinungsäußerung mit einem längeren Aufenthalt in einem Arbeitslager oder einem Stasi-Gefängnis endete. Und auch heute ist das keine abwegige Idee, im Gegenteil. Am Ende können wir nichtmal darüber schreiben, weil eine kritische Meinung irgendwem nicht passt & die Veröffentlichung durch eben diese Filter verhindert wird.

Ja, ich bin als Autorin von den Änderungen am Urheberrecht selbst betroffen. Ja, ich würde sehr gerne vom Schreiben leben können und natürlich sollen alle Kolleg*innen ihre Familen mit ihrem Handwerk ernähren und die Kinder zur Schule schicken können. Und genau darum geht es. Nicht, wie man die sperrige Verlagsbranche irgendwie in dieses Internet gequetscht kriegt, sondern wie man ein neues, ins digitale Zeitalter passendes Vergütungsmodell aufstellen kann, mit dem Künstler*innen und Autor*innen nicht mehr nur das Letzte in der Kette sind.

Mir ist der Preis zu hoch, den Leistungsschutzrecht (#linktax) und vor allem Uploadfilter mit sich bringen. Das ist nicht die Lösung für das Problem, sondern nur eine Auswucherung des Versuchs, die Medienindustrie ins Netz zu hieven. Davon hat niemand etwas außer den großen Plattformen, die jetzt bereits Uploadfilter im Einsatz und die Ressourcen haben, weitere zu bauen. Das Kapital müssten sie auch nur kurz auslegen, denn kleinere Plattformen werden weder das Geld noch die Ressourcen haben, um eigene Filter zu bauen. Stattdessen werden sie bei Google und Facebook Lizenzen für deren bereits im Einsatz befindliche Filter einkaufen. Und wie funktionieren Filter? Man lädt einfach alle Inhalte als Muster für den Abgleich in die Datenbanken der Filterhersteller hoch. Damit verfügen die “big player” dann ganz organisch binnen kürzester Zeit über alle Inhalte im Internet und sind jederzeit in der Lage, alles davon aus dem zugänglichen Netz verschwinden zu lassen.

Was mich immer wieder wundert ist der tiefsitzende Glaube, dass Technik die Probleme der Welt lösen wird. Ich habe ausreichend Technik scheitern sehen um überzeugt zu sagen, dass jede Technik Fehler hat. Uploadfilter mögen am Ende vielleicht zu 95 % akkurat laufen. Selbst wenn wir 99,8 % annehmen, kommt es hier auf das Verhältnis an. 99,8 % von angenommen 20 Milliarden Uploads weltweit pro Tag, da bleiben bei 0,2 % Fehlerquote 40.000.000, also 40 Millionen Fehler. Pro Tag. 40 Millionen Künstler*innen, die vielleicht ihre eigenen Texte/Musikstücke/Bilder nicht veröffentlichen können. 40 Millionen Familien, die vielleicht davon abhängen, dass dieses Stück an die Fans und Follower gelangt, damit auch im nächsten Monat die Miete bezahlt werden kann. Natürlich klingt 99,8 % nach viel und guter Trefferquote – solange man nicht zu den 0,2 %, also den 40 Millionen aus dem Beispiel zählt.

Ich weiß, ich wiederhole mich. Aber es wird für das konkrete Problem, das in der Diskussion um die Urheberrechtsreform gerade mal am Rande erwähnt wird, keine technische Lösung geben können. Man kann keine sozialen Probleme mit Technik erschlagen.

Ein Vorschlag, der aktuell im Raum steht, ist z.B. eine Pauschalabgabe analog zur Festplattenabgabe, die dann an die Schaffenden verteilt werden könnte, so Julia Reda in der letzten Vienna Writer’s Podcast Episode. Andere Modelle sind eine (Teil)Finanzierung der Schaffenden via Crowdsourcing, zum Beispiel über Patreon oder Steady. Selfpublishing wird immer größer und liberalisiert den Markt, Autor*innen haben die Möglichkeit, (fast) direkt von ihren Leser*innen bezahlt zu werden (je nachdem, ob man Distributoren dazwischen haben will oder nicht). Es gibt viele Ansätze und es wird sich auch im Digitalen ein gangbarer Weg entwickeln lassen. Ein Modell, das in dieses Internet passt. Die TAZ lebt es ebenfalls bereits seit Jahren vor und bestreitet mittlerweile einen guten Teil ihrer Finnzierung durch die Paywahl (statt Paywall). Crowdsourcing ist ein Weg, den ich mir beispielsweise sehr gut vorstellen kann.

Manchmal muss man nicht immer mehr verbieten, sondern ein bisschen loslassen und eine natürliche Entwicklung zulassen können. Ja, wir brauchen Regelungen. Aber wir brauchen auch etwas Spielraum, um diejenigen einzubinden, die es ebenfalls trifft, die in der Debatte bisher aber nur als Störelement vorkommen: die Leser*innen, die Hörer*innen, die Zuschauer*innen. Nicht umsonst haben sich Plattformen wie Patreon und Steady entwickelt, denn die überwiegende Mehrheit der Menschen möchte den Schaffenden – ebenso wie Onlinemedien – eine Vergütung zukommen lassen. Autoren wie z.B. Cory Doctorow verkaufen ihre Bücher auf ihrer eigenen Website, weil sie damit 30 % mehr verdienen, als über Amazon. Es gibt Alternativen und gangbare Modelle überall im Netz, man muss sie nur sehen wollen und daraus lernen, wie es in Zukunft gehen kann. Und ganz bestimmt gibt es noch Möglichkeiten, die erst noch erdacht werden.

Ich bin optimistisch, dass es funktionieren kann, von der Kunst zu leben. Der Trend geht ja dort hin, wenn auch langsam. Mit einem freien und kreativen Internet können wir das schaffen. Nur Leistungsschutzrecht und Uploadfilter müssen wir vorher noch verhindern und uns an der Diskussion beteiligen, aus der Schaffende und Konsument*innen bisher offenbar herausgehalten werden.

Seid laut, redet mit.

#Urheberrecht #SaveYourInternet #article11 #article13

Ich freue mich über Euren Support

Ihr könnt mich und den Vienna Writer’s Podcast unterstützen, zum Beispiel auf Patreon. Alle anderen Möglichkeiten findet Ihr auf der Spendenseite

Zu Gast im Lieblingsplätzchen Podcast

Letzte Woche war ich zu Gast bei Jana im Lieblingsplätzchen Podcast und hab viel aus dem Nähkästchen geplaudert – von meiner Zeit hier in Wien, von meinem “früheren Leben” mit meinem Exmann in Korneuburg (und meinen Exkatzen), von den aktuellen Buchprojekten, den C3W und der PrivacyWeek und was ich sonst grad alles so mache. 🙂

-> hier geht’s zur Podcastfolge
-> Lieblingsplätzchen auf Twitter

Ja, wir brauchen ein neues Urheberrecht. Leistungsschutzrecht und Uploadfilter sind keine Lösung.

Autor*innen möchten vom Schreiben ihrer Texte leben können – das ist nicht verwerflich, das ist völlig normal. Jemand, der ein Herz für Buchhaltung hat und das gerne tut (ja, solche Menschen gibt es tatsächlich!), können genauso erwarten, dass sie dafür bezahlt werden und von dem Geld ihre Miete, Essen, Tierarzt, Schulkosten für die Kinder, Versicherungen, etc. bezahlen können. Es steht außer Frage, dass Leistung entlohnt werden soll!

Am 20. Juni wurde im Rechtsausschuss des Europäischen Parlaments eine Urheberrechtsreform beschlossen, die ich – wie viele andere – für gefährlich halte, da sie meiner Meinung nach zu große Gefahren für das freie Internet, insbesondere für unser Grundrecht freier Meinungsäußerung, birgt.

Anmerkung: Dies ist meine Meinung und ich weiß, dass ich mich hiermit offen gegen die Autorenverbände stelle, die teils jahrelang FÜR diese Urheberrechtsreform gekämpft haben. Aber für mich ist der Preis und die Gefahr, die mit diesen Änderungen einhergeht, einfach zu hoch. Wäre ich christlich gläubig, würde ich es vielleicht mit Luther sagen: Hier stehe ich, ich kann nicht anders. Ich kann diese Urheberrechtsreform – bei allem Willen, vom Schreiben leben zu wollen – NICHT BEFÜRWORTEN.

Zwei der Artikel der Urheberrechtsreform sind die, die in der breiten Masse kritisiert werden. Dieser Kritik schließe ich mich vollinhaltlich an.

Julia Reda ist die Abgeordnete der Piratenpartei im Europäischen Parlament und hat die Sachlage aus Sicht von Datenschutz und der Befürwortung eines freien Internets sehr gut auf ihrer Website und auch in einem Interview im Logbuch Netzpolitik Nr. 259 geschildert.
-> zur Folge

Sie hat auch Alternativen/Kompromisslösungen für Artikel 11 und Artikel 13 vorgelegt, die die kritischen Punkte herauslösen und einen fairen Kompromiss zwischen den verschiedenen Standpunkten bieten.

Artikel 11

Artikel 11 beinhaltet das sogenannte Leistungsschutzrecht, eine Linksteuer. Verlinkungen auf urhebrerechtlich geschütztes Material z.B. auf Nachrichtenseiten sollen in Zukunft Geld kosten. Die Idee ist, dass die Urheber einen Teil der Gebühren bekommen sollen. Grundsätzlich also gut, aber in der Realität wird dies voraussichtlich dazu führen, dass es für kleine Blogs und Foren unwirtschaftlich wird und entweder einfach nicht mehr auf entsprechende Inhalte verlinken werden, oder aussterben, was zum selben Ergebnis führt. Die einzigen, die sich eine Flatrate für Verlinkungen leisten können, sind die großen Plattformen wie Google und Facebook, etc.. Allerdings werden sie die finanziellen Mittel nicht einmal aus der Portokasse kramen müssen, da es für “die Großen” ohnehin Ausnahmeregelungen oder günstige Angebote geben wird. Der kleine Literaturblogger zahlt also am Ende wieder drauf und es wird hier eine Zentralisierung auf die großen Plattformen gefördert werden.


Quelle: juliareda.eu


Quelle: saveyourinternet.eu

Artikel 13

Artikel 13 beinhaltet die sogenannten Uploadfilter, die von Internetplattformen eingesetzt werden müssen, wenn diese Urheberrechtsreform beschlossen wird. Das bedeutet, dass alles, was man im Netz teilt, hochlädt, schreibt, postet, … durch einen automatisierten Filter läuft, ähnlich wie ein Virenscanner, ob eventuell jemand anderer ein Urheberrecht darauf haben könnte. Und: Plattformen sind voll verantwortlich für alle Inhalte, die bei ihnen hochgeladen/gepostet/geschrieben werden. Sie haben also ein großes Interesse daran, dass sie so viel wie möglich kontrollieren. Das halte ich für brandgefährlich und schließe mich der weit verbreiteten Meinung an, dass wir hier zu nah daran sind, eine Zensurmaschine zu schaffen, die es repressigen Regimen, wie sie überall in Europa aufsteigen, einfach macht, die Bürger*innen unter Kontrolle zu halten.

Weitere Probleme des Artikels 13: Es gibt bereits Uploadfilter, z.B. bei YouTube, dort heißen sie ContentID. Wenn alle anderen auch Uploadfilter installieren müssen, verdient Google viel Geld damit, den eigenen Filter an alle anderen zu verkaufen – UND schafft so eine zentrale Stelle, wo SÄMTLICHE Äußerungen, die auf irgendwelchen Plattformen im Netz getätigt werden, zusammenlaufen, weil sie ja durch die Google Filter müssen.

Das Nächste ist, dass natürlich keine Menschen dort sitzen und darauf warten, dass Hansi Müller auf Plattform X “Guten Morgen” tippt und ein Bild seiner Kaffeetasse dazu hochlädt, sondern dass ganze Armeen von Algorithmen automatisiert die Inhalte durchkämmen und in Tausendstelsekunden entscheiden, ob der Inhalt durchgeht oder ob er gefiltert wird, also am Weg verschwindet. Solche Algorithmen haben in der Vergangenheit bereits mehrfach falsch gelegen. Beispielsweise hatte die Fotografin Carol M. Highsmith Probleme mit gleich zwei Stock Photo Plattformen, die versuchten, das Copyright ihrer Bilder zu übernehmen, die sie grundsätzlich royalty-free veröffentlicht und ihr selbst eine Rechnung für eines der Bilder schickten, das sie auf ihrer eigenen Website benutzt hatte. Sie klagte dagegen und wurde abgewiesen. -> zum Copyfraud Artikel auf Wiki

Wenn ein Journalist auf einem Nachrichtenportal einen Artikel veröffentlicht, den er X Tage später aufgrund der Vereinbarung mit dem Portal selbst weiterverwenden und an anderer Stelle publizieren darf, dann läge für die Algorithmen das Urheberrecht beim Nachrichtenportal und die Texte an anderer Stelle würden gegebenenfalls gar nicht erst erscheinen, weil die Uploadfilter sie einfach nicht durchließen. Konzepte wie Re-Publishing werden nicht berücksichtigt; das betrifft auch (kleinere) Verlage, die ein Buch wieder neu auflegen, das bei einem anderen Verlag aus dem Programm genommen wurde.

Auch wie einfach oder schwierig es für Selfpublisher wird, das eigene Urheberrecht irgendwo für die Uploadfilter-Datenbank anzumelden, steht in den Sternen. Große Verlagshäuser haben es hier vermutlich merklich einfacher, die Eintragungen vornehmen zu lassen und auch ein Interesse daran, dass dies so bleibt.

Und dann haben wir eine große Datenbank, die sämtliche urhebrerechtlich geschützten Werke beinhaltet. Würde diese von einer Malware befallen, ist nicht abzusehen, welchen Schaden dies bringen würde. Vielleicht stünde das komplette Internet still, weil niemand mehr etwas posten könnte, weil die Datenbank hinter den Filtern lahmliegt.

Ein etwas anders gelagertes Beispiel ist die Sperrung der Videos der Blender-Foundation auf YouTube. Dies zeigt auf andere Weise recht deutlich, wie sehr man als Content Ersteller dem Goodwill der “Großen” und ihrer Algorithmen ausgeliefert ist: “Die Probleme mit YouTube begannen für Blender im Dezember 2017: US-Nutzern war aufgefallen, dass ein “sehr beliebter” Vortrag von der Blender Conference für sie nicht mehr sichtbar war. YouTube erklärte auf Nachfrage, dass Blender die Anzeigen für Videos aktivieren müsse, damit US-Nutzer den Vortrag wieder anschauen können. Blender lehnte das ab: “Wir haben uns entschieden, einen 100-prozentig werbefreien Kanal zu betreiben”, schrieb die Foundation an YouTube. Das Unternehmen antwortete, dass es Spezialisten konsultieren müsse, Blender solle etwas Geduld haben. Doch es passierte nichts – bis am 15. Juni der gesamte YouTube-Kanal plötzlich offline ging.” -> zum vollständigen Artikel auf heise.de


Quelle: juliareda.eu

Der Verband der österreichischen Internetprovider spricht sich offen gegen die Änderungen aus. Hier heißt es: Es “besteht die Gefahr, dass die Verbreitung „unbequemer“ Informationen, z. B. Fotos oder Videos von sozialen Missständen oder Repressionsmaßnahmen eines Staates, über soziale Netzwerke mit der Behauptung, diese stellten eine Urheberrechtsverletzung dar, effektiv unterbunden wird. “Wer behauptet Upload-Filter hätten nichts mit Meinungsfreiheit zu tun, dem mangelt es entweder schlichtweg an technischem Verständnis oder er stellt die Tatsachen absichtlich falsch dar”, so der ISPA Generalsekretär.”
-> zur gesamten ISPA Pressemeldung

Ich spreche nicht für alle Autor*innen. Ich bitte die geneigten Leser*innen nur darum, sich selbst ein Bild zu machen. Bitte informiert Euch – sowohl bei den Autorenverbänden als auch auf der Seite derer, die gegen die Urheberrechtsreform stimmen. Wie auch immer Ihr Euch entscheidet, es ist noch bis zum 5. Juli Zeit, Einfluss zu nehmen.

Links

Seite zu Lesungshonoraren und gerechter Vergütung bei den Mörderischen Schwestern
Initiative Urheberrecht

saveyourinternet.eu
juliareda.eu
Logbuch Netzpolitik 259
Petition der DigitalCourage gegen Uploadfilter (DE)

Bye bye Facebook

Ich habe ja schon seit Jahren mit mir gerungen und wollte immer von Facebook weg. Das Einloggen auf der Plattform war immer etwas, zu dem ich mich immer erst hab zwingen müssen und dann hab ich schnell das Update geschrieben, gehofft, dass keine Nachrichten da waren und dass ich mich möglichst schnell wieder ausloggen konnte.

Jetzt kam letzte Woche das Urteil des EUGH, dass die Betreiber von FB-Seiten mitverantwortlich sind für den Datenschutz auf FB-Seiten. Dass ich nicht lache! Selbst wenn _ich_ das Tracking auf meiner Autorenseite abschalten wollte (was ich sofort tun würde), es geht einfach nicht. Es gibt momentan absolut keine Möglichkeit, dies zu beeinflussen. Eine Datenschutzerklärung müsste ich dennoch auf die Seite stellen.

Heute früh habe ich das versucht. Ich hab mich hingesetzt und wollte eine Datenschutzerklärung für meine Autorenseite auf Facebook schreiben. Es ist nicht so, dass das Schreiben einer Datenschutzerklärung an sich das Problem gewesen wäre, das habe ich die letzten Wochen mit der DSGVO ausreichend geübt. Aber ich hab mich einfach so mies, so falsch gefühlt dabei – die Besucher der Seite in so etwas wie eine Schein-Sicherheit zu schieben. Ich kann das nicht guten Gewissens tun. Am Ende habe ich die Seite depubliziert. Nicht aus Angst vor einer Abmahnung, sondern aus Überzeugung.

Letztlich habe ich durch den EUGH nun endlich einen sehr guten Grund, die Seite zu löschen. Ich kann, will und werde das Geschäftsmodell von Facebook nicht weiter unterstützen, das würde mir auch keiner glauben, der mich kennt.

Da es noch immer Gruppen gibt, die sich ausschließlich auf Facebook treffen, habe ich meinen privaten Account noch behalten, aber zumindest meine Autorenseite runtergenommen.

Ich weiß, Verlage verlangen oft von Autor*innen, auf Facebook präsent zu sein – des Marketings wegen. Wer eine große Community hat, dessen Bücher verkaufen sich besser. Mag sein, aber die Community habe ich lieber anderswo als auf FB. Hier auf meinem eigenen Blog zum Beispiel. Auf Patreon oder SteadyHQ (da bin ich grad noch in der Entscheidungsphase, welches von beiden ich tatsächlich “bewirtschaften” will). Auf Twitter und Mastodon bin ich übrigens auch aktiv. Nur nicht mehr auf Facebook. Und ich fühle mich wirklich erleichtert.

Sendegarten (Live) Podcast zu Datenschutz & DSGVO

Am 24. Mai, dem “Vorabend der DSGVO”, war ich im Sendegarten Podcast zu Gast. Nach einem Ausflug über mein Autorendasein ging es vor allem um Datenschutz und die DSGVO.

Es hat sehr viel Spaß gemacht. Danke an Lars Naber, Sebastian Reimers und Martin Rützler! Euch viel Spaß beim Nachhören.

-> Link zum Originalpost inkl. Shownotes

DSGVO – Auftragsverarbeitungsverträge. Sichere Dich rechtlich ab.

Wenn Du gerade schon unruhig bist, weil so viel Text folgt: Du kannst Dich auch einfach direkt per eMail an mich wenden.

***

Hinweis: Dieser Artikel stellt keine Rechtsberatung dar! Ich nehme gern sachdienliche Hinweise, um den Artikel auch für das in Deutschland geltende Recht zu optimieren, sollte sich dies durch Eröffnungsklauseln in der DSGVO unterscheiden.

Achtung: geballte Info! Hier geht es um die Details zu den Auftragsverarbeitungsverträgen. Wenn Du noch null Plan hast, was die DSGVO überhaupt ist, schau lieber erst einmal in den groben Überblick im Artikel “DSGVO – an sich ganz easy”!

Und noch eine Anmerkung: Ich benutze hier teilweise die alten Begriffe “Auftraggeber” (statt “Verantwortlicher”) und “Dienstleister” (statt “Auftragsverarbeiter”), weil dann etwas klarer ist, in welchem Verhältnis die entsprechenden Parteien stehen.

***

Du hast Dein Verarbeitungsverzeichnis mal soweit fertig, hast Deine Datenschutzerklärung auf Deiner Website und hast Dir mal zumindest eine Stunde Pause gegönnt? Dann kann es jetzt mit den Auftragsverarbeitungsverträgen weitergehen.

“Warum musst Du den Aufwand überhaupt betreiben?”
Kein Stress, das Schlimmste hast Du mit dem Verarbeitungsverzeichnis schon hinter Dir! Die Verarbeitungsverträge möchtest Du mit Deinen Anbietern und Dienstleistern jetzt machen, um Dich rechtlich abzusichern. Du bindest Deine Anbieter und Dienstleister rechtlich daran, dass sie mit den personenbezogenen Daten anderer Menschen, die sie von Dir bekommen, DSGVO-konform umgehen. Damit hast Du alles in Deiner Macht stehende getan und wenn jemand bei Dir anklopft, kannst Du den Ordner mit den Verträgen und Deinem Verarbeitungsverzeichnis vorweisen und alles sollte gut sein.

Was steht in so einem AVV eigentlich drin?

  • die Vertragspartner
  • Art & Zweck der Verarbeitung
  • die Dauer der Verarbeitung
  • Art und Kategorien der personenbezogenen Daten
  • Fixierung der Weisungsgebundenheit des Auftragsverarbeiters
  • Verschwiegenheitspflicht
  • Maßnahmen zur Datensicherheit
  • Mitwirkungspflicht des Auftragsverarbeiters bei den Betrofenenrechten
  • Regelung über Datenrückgaba/-löschung (z.B. bei Beendigung der Zusammenarbeit)
  • Darüber hinaus kann man in einem AVV auch fixieren, ob die Beschäftigung von Subdienstleistern zulässig ist, oder ob nur bestimmte Subdienstleister infrage kommen.

    Sollten Subdienstleister als zulässig definiert werden, brauchst Du mit diesen auch wieder eine schriftliche Vereinbarung; das ist auch in diesem Fall Deine rechtliche Garantie dafür, dass der/die Subdienstleister sich an die DSGVO halten. Die Genehmigung des Verantwortlichen ist in jedem Fall notwendig – der muss als Verantwortlicher schließlich wissen, was mit den personenbezogenen Daten von Menschen in seinem Auftrag und in seinem Namen passiert und wer Zugriff darauf bekommt. Deswegen hat der Verantwortlich auch ein Einspruchsrecht bei Subdienstleistern.

    Mit wem Du AVVs benötigst
    Ein “Auftrags-Verarbeitungs-Vertrag” ist ziemlich genau das, wonach es sich anhört: Ein Vertrag mit jemandem, der in Deinem Auftrag Daten anderer Menschen für Dich verarbeitet. Das sind meist Unternehmen wie Clouddienstleister, eMailprovider, Podcasthoster, Kalenderprovider, …

    Schau in Dein Verarbeitungsverzeichnis, wo überall Daten natürlicher Personen auch von jemand anderem als Dir verarbeitet werden. Mit diesen Unternehmen solltest Du dann rechtlich verbindliche Vereinbarungen treffen.
    Falls Du noch kein Verarbeitungsverzeichnis hast, schau in den Detail-Artikel “Verschaffe Dir einen Überblick und erstelle ein Verarbeitungsverzeichnis”.

    Wir erinnern uns: Faustregel für den Firmensitz des Software-Herstellers bzw. Dienstleisters ist:
    Dein eigenes Heimatland -> yay! | EU -> ok | non-EU -> doof

    Wenn es um Datenübertragung in Drittländer (also Nicht-EU) geht, immer zweimal hinschauen, ob alles passt. Es gibt eine Reihe an Ländern (u.a. Kanada, Neuseeland, die Schweiz und die USA), für die ein sogenannter Angemessenheitsbeschluss vorliegt, in die Länder ist eine Datenübertragung grundsätzlich erlaubt; einen AVV oder eine Vereinbarung mit “Standardvertragsklauseln” brauchst Du mit den jeweiligen Anbietern trotzdem.

    Zwei Hinweise:
    1) Das PrivacyShield Abkommen steht aktuell auf dem Prüfstand und es ist abzusehen, dass es in absehbarer Zeit fallen wird. Wenn Du US Anbieter (Dropbox, WeTransfer, etc.) nutzt, überlege, ob Du nicht bei der Gelegenheit auf europäische Anbieter wechseln möchtest.
    2) Auch die “Standardvertragsklauseln” sind im April 2018 zur Prüfung zum EUGH gegangen. Wie diese Prüfung ausgeht, werden wir noch sehen. Falls Du Anbieter in sonstigen Drittländern hast, lohnt sich auch hier ggf. eine kurze Recherche, ob es nicht einen passenden europäischen Anbieter gibt.

    Für neue Verträge (spätestens ab dem 25. Mai 2018) ist anzunehmen, dass die dann bereits entsprechende Abschnitte enthalten, um die DSGVO-konforme Verarbeitung von personenbezogenen Daten zu sichern. Da bestehende Vertragsverhältnisse das noch nicht haben, brauchen wir jetzt diese extra Verträge.

    Bei vielen Anbietern findest Du die Info dazu, wie Du zu einem AVV kommst, bereits in den FAQ oder im Mitgliederbereich, sonst am einfachsten den Support fragen.

    Eine gute Übersichtsliste, von welchen Anbietern bereits AVVs vorliegen, gibt es in der Facebook Gruppe “DSGVO & Online Marketing Recht” von Sabrina Keese-Haufs. Dort gibt es findige Menschen, die stetig neue Infos posten, wo sie bereits Auftragsverarbeitungsverträge bekommen haben, welche Anbieter noch keine haben, etc. Falls Du kein FB-Konto hast, dann mach Dir bitte auch keines mehr, es geht auch ohne; zum Beispiel mit dem Übersichtsartikel bei Blogmojo.

    Im Datenschutz-Guru-Podcast von Stephan Hansen-Oest gibt es eine ganz interessante Folge zum Thema der TOMs, also der technischen und organisatorischen Maßnahmen, die in den AVVs festgehalten werden.

    Falls einer Deiner Dienstleister (noch) keinen AVV zur Verfügung stellt, gibt es VBorlagen von verschiedenen Interessenverbänden, z.B. dem BIT oder der WKO.
    Ich habe hier auch eine Vorlage für Dich, die ich nach bestem Wissen und Gewissen auf Basis des Dokuments der hiesigen Wirtschaftskammer erstellt habe; der tatsächliche Vertragstext ist fast komplett übernommen, ich habe das Dokument vor allem kommentiert und die genannten Beispiele angepasst, um es etwas verständlicher zu machen. Hinweis: Ich bin keine Juristin. die Verwendung erfolgt auf eigene Verantwortung.

    -> Vorlage Auftragsverarbeitungsvertrag
    Muster_Auftragsverarbeitungsvertrag (.doc)

    Gemeinsame Verantwortlichkeit
    Einige Unternehmen wie zum Beispiel Mobilfunkanbieter werden Dir antworten, dass sie keine AVV machen, weil sie sich selbst als Verantwortliche sehen. Das ist ok, eine gemeinsame Verantwortlichkeit ist in Artikel 26 der DSGVO abgedeckt.

    Falls es keine Rechtsvorschriften gibt, die regeln, wer werlche Aufgaben, Speicherfristen, etc. hat, gehört in einer Vereinbarung klar geregelt, wer welche Verpflichtungen übernimmt. Im Falle der Mobilfunkanbieter greift beispielsweise das Telekommunikationsgesetz, das vorgibt, wie lange Daten aufbewahrt werden müssen und wann etwas gelöscht gehört.

    Wer im Falle der Betroffenenrechte dann die Informationspflicht gegenüber den betroffenen Personen übernimmt, sollte in der Vereinbarung ebenfalls geklärt sein und das gehört den betroffenen Personen auch mitgeteilt (also ggf. in die Datenschutzerklärung aufgenommen und bei Anfrage detaillierter kommuniziert)*.

    Einen ganz aufschlussreichen Artikel, wann es sich um einen Auftragsverarbeiter handelt und wann nicht, findest Du im Blog von Regina Stoiber.

    Wenn Du selbst Auftragsverarbeiter bist
    Einige Deiner Kunden werden vielleicht noch nicht drauf gekommen sein, dass sie jetzt einen AVV mit Dir benötigen. Es liegt zwar in der Verantwortung des Verantwortlichen, dass diese Verträge zustande kommen, aber es ist ein netter Service von Dir, wenn Du sie anschreibst und fragst, ob sie da schon etwas in Arbeit haben, oder ob Du ihnen Deine Vorlage zukommen lassen sollst.

    Oft sind die Auftragsverhältnisse bei mehreren Dienstleistern nicht ganz klar – ist die Druckerei jetzt Dein Subdienstleister oder einfach ein zweiter Dienstleister für denselben Auftraggeber? Man kann die Sache etwas abkürzen wenn man sich den Geldfluss ansieht. Bezahlst Du die Druckerei, ist sie Dein (Sub)Dienstleister und Du bräuchtest einen AVV mit ihr. Bezahlt der Auftraggeber die Druckerei, ist sie (neben Dir) ein weiterer Auftragsverarbeiter für denselben Auftraggeber. In dem Fall wäre mein Vorschlag, dass Ihr jeweils – Du und die Druckerei – einen AVV mit Eurem Auftraggeber abschließt und darin jeweils festhaltet, welche Daten im Rahmen der Auftragsverarbeitung von wo nach wo gehen; beispielsweise Du gibst die fertige Druckdatei im Rahmen Deiner Auftragsverarbeitung direkt an die Druckerei.

    *

    (1) Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden.

    (2) Die Vereinbarung gemäß Absatz 1 muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Das wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt.

    (3) Ungeachtet der Einzelheiten der Vereinbarung gemäß Absatz 1 kann die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen.

    ***
    ***
    Artikel aus dem Bereich Datenschutz:
    Übersichtsartikel “DSGVO – An sich ganz easy”
    “Was sind personenbezogene Daten?”
    Verschaffe Dir einen Überblick & erstelle ein Verarbeitungsverzeichnis
    Die Datenschutzerklärung – Aufzucht und Hege
    Auftragsverarbeitungsverträge – sichere Dich rechtlich ab

    DSGVO <-> GDPR – ein Wörterbuch
    DSGVO für Vereine

    Die Podcast Miniserie “DSGVO – an sich ganz easy”

    DSGVO <-> GDPR – ein Wörterbuch

    Nachdem ich grad im Netz nichts wirklich Passendes gefunden habe, gibt es jetzt hier ein deutsch-englisches DSGVO – GDPR Wörterbuch für alle, die entweder mit Unternehmen im Ausland kommunizieren, um an ihre Auftragsverarbeitungsverträge zu kommen, oder die eine englischsprachige Datenschutzerklärung bereitstellen müssen, z.B. weil ihre Website auf Englisch im Netz ist.

    Die Informationen stammen zum Großteil von der offiziellen EUR-Lex Website.
    Tipp: Auf der Seite der DSGVO/GDPR (Regulation (EU) 2016/679) kann man sich auch zwei oder drei Sprachen parallel anzeigen lassen.

    Wenn Euch etwas fehlt oder sich ein Fehler eingeschlichen hat, schickt mir einfach eine eMail.

    ***
    Hinweis: Ich bin keine Juristin und dieser Artikel stellt keine Rechtsberatung dar!

    Falls Ihr noch null Plan habt, was die DSGVO überhaupt ist, schaut lieber erst einmal in den groben Überblick im Artikel “DSGVO – an sich ganz easy”!

    ***
    Allgemeines
    DSGVO (Datenschutzgrundverordnung) – GDPR (General Data Protection Regulation)
    Grundrecht – fundamental right
    Grundsatz – principle
    DSGVO konform – GDPR compliant
    personenbezogene Daten – personal data
    natürliche Person – natural person / data subject
    Verantwortlicher – data controller
    Auftragsverarbeiter – data processor
    Einwilligung – consent
    Datenverarbeitung – data processing
    besondere Kategorien personenbezogener Daten (früher: “sensible Daten”) – special categories of personal data (fka: “sensitive data”)
    Verantwortung – accountability
    Zweck und Mittel der Verarbeitung personenbezogener Daten – purpose and means of the processing of the personal data

    Grundprinzipien
    Zweckbindung – purpose limitation
    Rechtmäßigkeit der Verarbeitung – lawfulness of processing
    Datenminimierung – data minimisation
    Löschverpflichtung – obligation to erase personal data
    Transparenz – transparency
    Informationsrechte – right of information
    Datenschutz durch Technik – data protection by design
    Datenschutz durch datenschutzfreundliche Voreinstellungen – data protection by default

    Rechtsgrundlagen
    vorherige Einwilligung – prior consent
    Vertragserfüllung – performance of a contract
    Erfüllung einer rechtlichen Verpflichtung – compliance with a legal obligation
    lebenswichtige Interessen – vital interests
    Gründe des öffentlichen Interesses – reasons of public interest
    berechtigte Interessen des Verantwortlichen – legitimate interests of the controller

    Betroffenenrechte
    Betroffenenrechte – data subject rights
    Recht auf Benachrichtigung – right to get notified
    Recht auf Auskunft – right to gain access to the stored personal data
    Recht auf vergessen werden – right to be forgotten
    Recht auf Daten in einem maschinenlesbaren Format – right to receive personal data in a machine-readable format

    Dokumente
    Verarbeitungsverzeichnis – record of processing activities
    Auftragsverarbeitungsvertrag – data processing agreement
    Datenschutzerklärung/Datenschutzhinweis – privacy notice
    Datenschutzbestimmungen – privacy policy

    ***
    Artikel aus dem Bereich Datenschutz:
    Übersichtsartikel “DSGVO – An sich ganz easy”
    “Was sind personenbezogene Daten?”
    Verschaffe Dir einen Überblick & erstelle ein Verarbeitungsverzeichnis
    Die Datenschutzerklärung – Aufzucht und Hege
    Auftragsverarbeitungsverträge – sichere Dich rechtlich ab

    DSGVO <-> GDPR – ein Wörterbuch
    DSGVO für Vereine

    Die Podcast Miniserie “DSGVO – an sich ganz easy”

    Mein Problem mit Facebook

    Spätestens seit Cambridge Analytica ist klar, womit Facebook sein Geld verdient – nämlich damit, dass es unser Verhalten online wie offline aufzeichnet, analysiert, weiterverarbeitet und den Zugang zu unseren daraus entstandenen Verhaltensprofilen weiterverkauft. Dadurch, dass die Datenschutzeinstellungen für die einzelnen Facebook-Nutzer erst einmal irgendwo in den Tiefen der Profiloptionen versteckt sind und dann auch noch sehr undurchschaubar und manipulativ formuliert, sind viele bei den “default Einstellungen” geblieben – nämlich: FB hat vollen Zugriff auf das eigene Konto und auf die der Freunde. Das heißt, man lässt Facebook nicht nur über die eigenen Daten verfügen, sondern auch über die, mit denen man auf dem Netzwerk verbunden ist, ohne, dass die dabei ein Wörtchen mitzureden hätten.

    Ich will nicht mehr auf Facebook sein. Als ich 2005 mein Konto dort eröffnet habe, tat ich das auf Einladung meiner Cousine – meine Familie ist 1.000km weit weg und es war damals “eine schöne Sache”, mit ihnen in Verbindung zu bleiben. Besser als StudiVZ, da war kaum jemand von ihnen. Ich habe FB jahrelang viel genutzt und fand es auch immer schade, wenn andere die Plattform wieder verlassen haben, aber die anderen waren einfach schlauer als ich damals. Übrigens war meine Cousine die erste, die von FB wieder weg war.

    Vor einigen Jahren habe auch ich aufgehört, FB aktiv zu nutzen. Ich würde auch gern meinen Account komplett löschen, aber ich habe zwei Probleme:
    1) eine Autoren-Fanpage mit etwas über 600 Followern
    2) In den letzten Jahren habe ich mehrere Kurse/Fortbildungen gekauft und alle haben eine FB-Gruppe für den Austausch, Kursmaterial, teils wöchentliche FB-Live-Sessions, etc.

    Ich kaufe einen Kurs um € 400,-, € 500,- oder auch € 2.000,- und auf meinen Hinweis, dass ich nicht an der FB-Community teilnehmen möchte bekomme ich dann jeweils in etwa die Antwort: Natürlich könne man mich nicht zwingen, aber “das ist ja schade, dann nimmst Du Dir selber den wichtigsten Teil des Kurses, wo man Fragen stellen, sich mit den Leuten austauschen kann und wo der neue Input/das neue Material zur Verfügung gestellt wird.”

    Ich hab auch schon Verlagsausschreibungen bzw. Ausschreibungen für eine Audiobook-Produktion gesehen, wo man einen eingesprochenen Text zwingend über FB auf eine Seite hochladen musste. Keine Annahme auf einem anderen Weg. Abgesehen davon, dass ich ein Problem mit den Rechten am hochgeladenen Material sehe, wie kann das denn sein, dass ich auch für eine Stelle als Sprecherin zwingend ein FB-Profil brauche, um an der Ausschreibung teilzunehmen? Nein, da habe ich dann wirklich nicht mitgemacht, obwohl ich schon gern eine Sprecherrolle in der Produktion gehabt hätte.

    Da läuft doch was ganz falsch!
    Es kann doch nicht sein, dass ich genötigt – nicht gewungen, aber genötigt – werde, meine Daten an Facebook und wer weiß wen noch alles weiterzugeben und bei z.B. einem Coachingprogramm teils sehr persönliche Informationen in so einer Gruppe oder via FB Messenger zu teilen.

    Ich gehe davon aus, dass es die Kursanbieter nicht vorher wussten. Von einem hab ich eine sehr abtuende Reaktion bekommen, sein Kursmodell würde mir nur einfach nicht passen und ich wolle ja nur, dass er sich ändert und nur alles, was ich mache, wäre richtig.

    Ganz ehrlich? Nein. Ich freue mich, wenn ich neue, bessere Möglichkeiten kennenlerne, wie ich es selbst besser machen kann.Ich hänge auch nicht an meiner Meinung, vielleicht hat jemand viel bessere Argumente und ich hab dann wieder was zum Nachdenken und kann mich mit einem Thema noch tiefer auseinandersetzen. Aber mich nervt gewaltig, dass ich so abgehandelt wurde auf meinen Einwand, dass eine FB-Gruppe vielleicht nicht der Weisheit letzter Schluss ist.

    Aber darauf kam nur, dass alle, die keinen Facebook-Account hätten, eh auch kein Interesse an Fortbildung XY hätten. Punkt.
    Ach. Doch. Ich.

    Ja natürlich ist FB die einfachste und naheliegendste Wahl. Kann ja keiner ahnen, dass so Querulanten wie ich das hinterfragen könnten.

    Natürlich kostet es kein extra Geld, man bezahlt schließlich damit, dass man sich selbst und seine Freunde an dubiose Analysefirmen verscherbelt.

    Natürlich ist es einfach zu bedienen – ja sicher, die Plattform hat genug Geld, das sie für unsere Profile von Ad-Netzwerken bekommen hat, dafür ausgegeben, dass wir so lange wie möglich dort bleiben und ihnen wiederum noch mehr Daten generieren, hochladen und teilen.

    Momentan ist Facebook gerade dabei, die schon in den USA sehr umstrittene Gesichtserkennung in Europa auszurollen. Vorwand: die DSGVO. “Damit sie unsere Daten besser schützen können”, brauchen sie jetzt noch mehr davon. Nein, so geht Datenschutz nicht. Die oberste Direktive der DSGVO ist Datensparsamkeit, also gleich von Anfang an mal so wenig davon produzieren, wie möglich. Unter diesem Vorwand ist die neue Sammelwut umso dreister.

    Ich will dort nicht mehr sein. Ich habe mir gerade gestern mal die Daten runtergeladen, die FB von mir gespeichert hat. Ich werde den Account so schnell wie möglich löschen – spätestens, wenn sie mich dazu zwingen, die nächsten Datenschutzbestimmungen zu akzeptieren, die ich aber nicht akzeptieren möchte. Ich kann und will das ethisch nicht mehr verantworten. Und wenn ich mich dann aus den Gruppen rausschneide und mir die Möglichkeit nehme, Fragen zu stellen, dann sei’s drum. Es ist offenbar ohnehin nicht gewünscht, dass ich die Fragen stelle, die ich stellen möchte. Nämlich: Gibt es auch eine Alternative zu der FB-Gruppe?

    DSGVO für Vereine

    Wenn Ihr gerade schon unruhig werdet, weil so viel Text folgt: Ihr könnt Euch auch einfach direkt per eMail an mich wenden.

    ***

    Hinweis: Dieser Artikel stellt keine Rechtsberatung dar!

    Achtung: Falls Ihr noch null Plan habt, was die DSGVO überhaupt ist, schaut lieber erst einmal in den groben Überblick im Artikel “DSGVO – an sich ganz easy”!

    ***

    Ja, die DSGVO gilt für alle. Auch den Chor, die freiwillige Feuerwehr, etc.
    Warum? Weil Ihr eine Mitgliederliste und eine Buchhaltung und ggf. auch noch eine Website habt und ziemlich sicher eMails bekommt und versendet. Vielleicht gebt Ihr noch Fotos Eurer Vereinsaktivitäten an die Presse oder veröffentlicht sie anderswo.

    Es ist übrigens völlig egal, falls Ihr Eure Mitgliederliste und Buchhaltung nur offline und/oder auf Papier habt; die Datenschutzgrundverordnung gilt auch dann für Euch.

    Keine Panik, so schlimm wie es an manchen Stellen klingt, ist das für Euch ziemlich sicher trotzdem nicht. Als Verein habt Ihr vermutlich recht wenig Daten im Gegensatz zu so manchem Unternehmen.

    Als “Daten” gelten im Sinne der DSGVO nur die personenbezogenen Daten natürlicher Personen. Die Firmendaten Eures Getränkelieferanten oder Vereinslokals gelten nicht, das sind ja Unternehmen. Aber die Telefonnummer vom Lieferfahrer Georg oder der Wirtin Siglinde dann wieder schon, weil es sich bei denen um “natürliche Personen” handelt, egal ob sie Mitglieder bei Euch sind oder nicht. Wenn Ihr unsicher seid, was alles unter “personenbezogene Daten” fällt, schaut in den Detailartikel “Was sind personenbezogene Daten?”.

    Verantwortlich für die Verarbeitung von personenbezogene Daten in Eurem Verein ist der Vorstand – so wie in einem Unternehmen auch die Geschäftsführung verantwortlich ist.

    Was Ihr konkret braucht:
    * eine Überblicksliste, was Ihr überhaupt an Daten von natürlichen Personen habt
    * aus der Überblicksliste macht Ihr ein Verarbeitungsverzeichnis
    * aus dem Verarbeitungsverzeichnis ergibt sich dann die Datenschutzerklärung für Eure Mitglieder und ggf eine zweite für Eure Website
    * aus dem Verarbeitungsverzeichnis ergibt sich außerdem, mit welchen Dienstleistern Ihr ggf. sogegannte Auftragsverarbeitungsverträge abschließen müsst

    Was Ihr also auf jeden Fall machen müsst, ist eine Inventur, welche Daten Ihr tatsächlich habt und womit Ihr diese Daten verarbeitet. Voraussichtlich werden das Namen, Adressen, Mitgliedsnummern, Telefonnummern, eMailadressen und ggf. Fotos Eurer Mitglieder und vielleicht auch anderer Personen haben. Wenn Ihr ein Chor seid und Konzerte veranstaltet, habt Ihr vermutlich Fotos, auf denen auch Menschen aus dem Publikum zu sehen sind.

    Hinweis: Auch Daten, die Ihr nur offline und lokal habt, gelten im Sinne der DSGVO. Wenn Ihr sagt, Ihr stellt jetzt Eure Vereinswebsite ein, ändert das nur begrenzt etwas.

    Schreibt alles auf, was Euch einfällt, wo Ihr personenbezogene Daten habt. Es ist übrigens völlig normal, dass man auf manche Sachen erst später draufkommt. Das ist ok, die Liste ist ein Arbeitsdokument und kann jederzeit erweitert werden, falls neue Dienstleister dazukommen oder verkürzt werden, falls andere wegfallen.

    Aus dieser Überblicksliste macht Ihr dann das Verarbeitungsverzeichnis. Das ist die etwas formellere Form Eurer Liste, wo noch die Namen der Verantwortlichen vorne dran gehören und mit welcher Rechtsgrundlage Ihr die jeweiligen Daten verarbeitet.

    Als Verein habt Ihr zum Beispiel eine Dokumentationspflicht, die den Namen sowie Eintritts- & Austrittsdatum Eurer Mitglieder umfasst. Die Adresse braucht Ihr vielleicht für die Zustellung der Einladung zur jährlichen Mitglieder-/Generalversammlung und für das Geburtsdatum habt Ihr (hoffentlich) die Einwilligung der Mitglieder, dass Ihr das gespeichert habt und ihnen dann eine Karte schickt, ein Ständchen singt, etc.

    Was auch ins Verarbeitungsverzeichnis gehört ist, wohin Ihr die Daten ggf. noch weitergebt/hochladet/synchronisiert/… Falls Ihr in Deutschland ein eingetragener Verein seid, geht Eure Buchhaltung zum Finanzamt. In Österreich sind grundsätzlich alle Vereine eingetragen, da geht die Buchhaltung dann zum Finanzamt, wenn der Jahresumsatz eine bestimmte Grenze überschreitet. Dafür sind aber die Vorstandsmitglieder in Österreich grundsätzlich namentlich im zentralen Vereinsregister eingetragen.

    Schaut in den Detailartikel “Verschaffe Dir einen Überblick und erstelle ein Verarbeitungsverzeichnis” für mehr Tipps und Beispiele. Dort findet Ihr auch eine Vorlage, mit der Ihr das Verarbeitungsverzeichnis erstellen könnt.

    Das Verarbeitungsverzeichnis ist ein lebendes Dokument. Wenn Ihr z.B. den Hostinganbieter Eurer Website ändert, gehört das auch im Verarbeitungsverzeichnis geändert. Am besten macht Ihr Euch eine Notiz, dass das Verarbeitungsverzeichnis und die sich daraus ergebende(n) Datenschutzerklärunge(n) jährlich bei den Vorbereitungen zur Mitgliederversammlung/Generalversammlung überprüft werden, ob noch alles so stimmt und Ihr immernoch dieselbe Software, dieselben Dienstleister etc. nutzt.

    Die Datenschutzerklärung ergibt sich, wie gesagt, aus dem Verarbeitungsverzeichnis. Wenn Ihr eine Website habt, gehört dort in jedem Fall eine Datenschutzerklärung gut sichtbar und leicht zu finden drauf. Sie sollte in einfacher Sprache geschrieben und gut verständlich sein.

    Schaut in den Detailartikel “Die Datenschutzerklärung, Aufzucht und Hege” für Tipps und Beispiele, wie Ihr Eure Datenschutzerklärung gestalten könnt. Habt Ihr Google Analytics oder ein Facebookpixel auf der Seite? Hand auf’s Herz: Schaut Ihr Euch die Auswertungen wirklich an? Falls nein, nehmt die Tracker doch einfach raus, dann müsst Ihr sie auch nicht ausweisen.

    Für Eure Mitglieder empfehle ich eine zweite Datenschutzerklärung, in die Ihr alles reingebt, was Ihr tatsächlich mit den Mitgliederdaten tut, wo die liegen, etc.. Das geht “nur Besucher” Eurer Website ja nicht zwingend etwas an. Wenn jemand bei Euch Mitglied werden möchte, gehört die Datenschutzerklärung für Mitglieder gleich an den Mitgliedsantrag angehängt. Für die bestehenden Mitglieder solltet Ihr die Datenschutzerklärung einmal ausschicken, wenn Ihr sie dann habt.

    Obacht bei Generatoren aus dem Internet! Die geben meist Texte aus wie “Laut Paragraph X, Artikel Y, Absatz Z …” – das versteht kein Mensch und niemand hat den Gesetzestext zur Hand, um das mal eben nachlesen zu können, was einem der Satz sagen möchte. Das widerspricht dem Grundsatz, dass Datenschutzerklärungen in einfacher Sprache geschrieben sein sollen. Ihr könnt natürlich einen Generator verwenden, um mal den Grundstock Eurer Datenschutzerklärung zu erstellen, aber dann ist noch genug Arbeit drin, den Text lesbar zu machen. Außerdem steht bei allen Generatoren dran, dass das ja nur Hilfestellungen sind und ohnehin der Anwender haftet. Ihr könnt also eigentlich die Texte auch gleich selber schreiben, dann werden sie voraussichtlich lesbarer.

    Ebenfalls Obacht bei all diesen “All-in-One-Angeboten”, die damit werben, dass sie “alles” für Euch machen und übernehmen. Entweder es steht im Kleingedruckten, dass sie Eure Inventur nicht kennen können und ohnehin der Verantwortliche haftet, oder das Angebot ist nicht seriös. Die oben genannte Überblicksliste kann Euch keiner abnehmen!

    Last not least die Auftragsverarbeitungsverträge. Die braucht Ihr immer dann, wenn jemand anderer in Eurem Auftrag personenbezogene Daten für Euch verarbeitet. Wenn Ihr drauf gekommen seid, dass Ihr z.B. Eure Mitglieder oder die Presse via Google Mail anschreibt, werdet Ihr einen Auftragsverarbeitungsvertrag mit Google brauchen. Wenn Ihr eine WhatsApp Gruppe für die offizielle Kommunikation in Eurem Verein habt, braucht Ihr einen solchen Vertrag mit Facebook. Wenn Ihr Programmhefte in Druck gebt, wo Fotos und/oder Namen von Vortragenden oder Sängern drin sind, braucht Ihr – neben deren ausdrücklicher Einwilligung – einen Auftragsverarbeitungsvertrag mit der Druckerei.

    (Der Detailartikel zu den Auftragsverarbeitungsverträgen ist noch in Arbeit, folgt aber in den nächsten Tagen, inklusive einer Vorlage.)

    Die üblichen Fallen:

  • Clouddienste (Dropbox, etc.)
  • Mitgliederliste in Google Docs
  • WhatsApp (gehört zu Facebook Inc.)
  • Doodle
  • Foto-Ausdruckservices (Aldi/dm/Rossmann/…)
  • Fotos von Menschen auf der FB-Seite
  • Videos oder Stimmaufnahmen von Menschen auf Eurer Website oder FB-Seite
  • Es ist wirklich alles halb so wild. Klärt das einmal bei Euch im Vorstand und setzt Euch an die Überblicksliste. Falls Ihr drauf kommt, dass Ihr an der einen oder anderen Stelle etwas datenschutzrechtlich noch nicht optimal gelöst habt, nicht verzagen. Es gibt für die meisten Dienstleister gute Alternativen:

  • WhatsApp – Signal (für Einzelchats und Gruppen bis max. 10 Leute), Threema (uneingeschränkt zu empfehlen), Riot (für große Gruppen)
  • Doodle – Dudle
  • Dropbox – NextCloud (kann auch als Ersatz für WeTransfer genutzt werden, wenn Du die Dateien direkt aus der NextCloud heraus freigibst)
  • Gmail / GMX / Yahoo Mail / Web.de / … (alle gratis Mailanbieter) – Posteo, mailbox.org oder einen eigenen Mailserver nutzen, der vllt ohnehin schon bei Eurem Hostingvertrag dabei ist, wenn Ihr eine Website oder einen Blog habt
  • Google Docs – Pads (z.B. vom C3W gehostet)
  • ***

    ***
    Artikel aus dem Bereich Datenschutz:
    Übersichtsartikel “DSGVO – An sich ganz easy”
    “Was sind personenbezogene Daten?”
    Verschaffe Dir einen Überblick & erstelle ein Verarbeitungsverzeichnis
    Die Datenschutzerklärung – Aufzucht und Hege
    Auftragsverarbeitungsverträge – sichere Dich rechtlich ab

    DSGVO <-> GDPR – ein Wörterbuch
    DSGVO für Vereine

    Die Podcast Miniserie “DSGVO – an sich ganz easy”

    DSGVO – Die Datenschutzerklärung, Aufzucht und Hege

    Wenn Du gerade schon unruhig bist, weil so viel Text folgt: Du kannst Dich auch einfach direkt per eMail an mich wenden.

    ***

    Hinweis: Dieser Artikel stellt keine Rechtsberatung dar! Ich nehme gern sachdienliche Hinweise, um den Artikel auch für das in Deutschland geltende Recht zu optimieren, sollte sich dies durch Eröffnungsklauseln in der DSGVO unterscheiden.

    Achtung: geballte Info! Hier geht es um die Details zur Datenschutzerklärung, die jeder mit einer Website, einem Blog, mit Kundenkontakt, etc. braucht, der mit personenbezogenen Daten zu tun hat. Wenn Du noch null Plan hast, was die DSGVO überhaupt ist, schau lieber erst einmal in den groben Überblick im Artikel “DSGVO – an sich ganz easy”!

    ***
    Dass jede ordentliche Website ein Impressum hat, hat sich ja mittlerweile rumgesprochen, auch in Österreich. In Deutschland besteht die Impressumspflicht, da sind die Websitebetreiber schon ein bisschen weiter. Mit der DSGVO kommt jetzt auch noch eine verpflichtende Datenschutzerklärung hinzu. Diese kann auch in den AGB abgebildet sein, muss aber deutlich gekennzeichnet werden. Am besten kanst Du einfach einen eigenen Menüpunkt “Datenschutzerklärung” einfügen, dann bist Du auf der sicheren Seite.

    In eine Datenschutzerklärung gehören grundsätzlich:

    1. Name & Kontaktdaten des Verantwortlichen
    2. falls vorhanden: Name & Kontaktdaten des Datenschutzbeauftragten oder gesetzlichen Vertreters
    3. die mehr oder weniger lange Liste an Verarbeitungen von personenbezogenen Daten, die bei Dir anfällt (siehe Verarbeitungsverzeichnis) inkl. Zweck der Datenverarbeitung und Rechtsgrundlage! Die Rechtsgrundlagen, aufgrund derer man personenbezogene Daten verarbeiten darf, sind Einwilligung der betroffenen Person, Vertragserfüllung, rechtliche Verpflichtung, etc.. Lies Dir am besten Artikel 6 a-f der DSGVO noch einmal durch.
    4. an wen Du die Daten noch weitergibst, wo Du sie hochlädst, etc.
    5. wenn Du personenbezogene Daten nach außerhalb der EU (z.B. die USA) übermittelst, und ob es für dieses Land einen Angemessenheitsbeschluss der EU-Kommission gibt
    6. wenn Du Profiling anwendest, inkl. der Tragweite und Auswirkungen für die betroffenen Personen
    7. wenn Du vorhast, die Daten zu einem anderen, nicht ursprünglich vereinbarten Zweck, weiterzuverwenden
    8. Speicherdauer
    9. Rechtsbelehrung & Hinweis auf das Beschwerderecht bei der Aufsichtsbehörde

    Deine Datenschutzerklärung ist – so wie das Verarbeitungsverzeichnis auch – ein lebendes Dokument. Immer wenn sich etwas an Deinem Setup ändert, Du ein neues Tool benutzt, etc., gehören beide, Verarbeitungsverzeichnis UND Datenschutzerklärung, entsprechend angepasst.

    Zwei Hinweise: 1. Die Datenschutzerklärung muss in einfacher Sprache zur Verfügung gestellt werden, damit Deine Websitebesucher und Kunden sie auch schnell und einfach lesen und verstehen können. Du kannst auch eine sogenannte “layerd privacy policy” anbieten, wo Du die Inhalte einmal in einfacher Sprache hast und dann mit einem Klick auf “mehr lesen” (o.ä.) noch einmal mit Paragraphennennung für die Juristen zeigst. Der wichtige Teil ist allerdings der erste “Layer” mit der einfachen Sprache, der Rest ist – für mein Verständnis – hübsches Beiwerk.
    2. Vorsicht mit den Generatoren, die es im Netz gibt! – Auch der neuerdings von WordPress ausgelieferte! Natürlich ist es einfach, sich eine Datenschutzerklärung einfach zusammenzuklicken, aber so ein Generater kennt nur das, was man ihm vorab einfüttert. Wenn das nicht zu Deinem Setup passt und Du in Deiner Datenschutzerklärung Dinge drinstehen hast, die Du gar nicht in Verwendung hast oder einige Sachen nicht in Deiner Erklärung drin stehen, die Du aber tatsächlich verwendest, dann fällt das auf und könnte zu einer Prüfung Deines Unternehmens führen.

    Update vom 21. Mai 2018: Vorsicht auch bei dem in WordPress eingebauten Generator. Der gibt mal alles aus, was WordPress grundsätzlich tut oder tun könnte, ungeachtet, ob Du diese Funktionalitäten überhaupt verwendest.

    Außerdem geben die meisten dieser Generatoren Texte aus, die nicht als “einfache Sprache” zu bewerten sind, wenn sie in Nebensätzen auf Paragraphen verweisen, die sich die User dann erst selbst irgendwo suchen müssen. Und, last not least, schau Dir die AGB der Generatoren genau an, wenn Du überlegst, einen zu benutzen! Üblicherweise steht da sowas wie: Haftungsausschluss – User ist selbst Schuld, der Hersteller des Generators kennt das Business des Users nicht und die herausgekommene Datenschtzerklärung ist nur dann gültig, wenn sie nochmal vom User durch dessen Anwalt hat prüfen und abstempeln lassen. Also Vorsicht, ob Du Dir damit dann wirklich etwas ersparst. Eine Möglichkeit wäre natürlich, wenn Du Dir eine Basis mit einem Generator klickst und von der ausgehend dann selber weitermachst, aber ob Du damit schneller bist, wenn Du selbst noch die ganzen verlinkten Paragraphen nachschlägst, ist auch fraglich. Aber probier es gerne aus.

    Wenn Du Dienstleister bist, solltest Du gleich mit bedenken, dass Du auch für Deine Kunden eine Datenschutzerklärung brauchst, wie Du ihre Daten – auch offline – verarbeitest. Du kannst diese z.B. gleich in Deine Angebotsvorlage einbauen oder in Deine AGB integrieren, dort aber gut sichtbar kennzeichnen. Du kannst eine Datenschutzerklärung für alles zusammen erstellen (so wie ich) oder jeweils eine für die einzelnen Bereiche wie z.B. Website, Kunden, etc.. Wie Du das ggf aufteilst, bleibt Dir überlassen, Hauptsache, es ist übersichtlich und gut verständlich.

    Wenn Du Dein Verarbeitungsverzeichnis beisammen hast, kannst Du schon loslegen.

    Falls Du noch kein Verarbeitungsverzeichnis hast, schau in den Artikel “Verschaffe Dir einen Überblick & erstelle ein Verarbeitungsverzeichnis”.

    In Deine Datenschutzerklärung gehört alles rein, was Personen auf Deiner Website aber auch sonst im Kontakt mir Dir und auf Deinen Kanälen widerfährt oder widerfahren kann und zwar immer mit der Angabe des Zwecks, warum Du diese oder jene Daten sammelst/auswertest/weitergibst und mit welcher Rechtsgrundlage Du diese Daten verarbeitest, z.B. aufgrund von gesetzlichen Speicherfristen bei der Buchhaltung oder/und weil die betroffenen Personen für die jeweilige Verarbeitung eingewilligt haben. Wenn Du für eine Verarbeitung keine Rechtsgrundlage hast, etwas nicht erklären kannst oder die einzige Erklärung ist: “Das machen doch alle so!”, dann überleg Dir, ob Du diese Auswertung / dieses Tracking oder sonstige Art der Verarbeitung wirklich brauchst.

    Bleiben wir für den Moment bei Deiner Website: Kontaktformular, Newsletter, Kommentarfunktion im Blog, welches Tracking Du benutzt, Social Plugins, Webfonts, Cookies (welche und für welchen Zweck!), Drittanbieter-Content wie Werbung, Banner, sonstige Werbenetzwerke, FB-Pixel, Affiliate-Links, Zahlungsanbieter, etc. und an wen die Daten jeweils weitergegeben werden.

    Auf meiner Website ist das nicht sehr viel, daher ist meine Datenschutzerklärung auch eher übersichtlich.

    Je nachdem, wieviel Du Deinen Usern an Daten abverlangst, kann Deine Datenschutzerklärung durchaus lang werden. Schau Dir einmal z.B. die Datenschutzerklärung von Zalando an, die ist formal für mein Verständnis absolut ok. Inhaltlich kann einem schon schlecht werden, wenn man alles geballt auf einem Haufen sieht, wie die User ausgewertet werden.

    Überlege noch einmal, ob Du all das, was Du momentan auf Deiner Website eingebaut hast, auch wirklich brauchst und trenne Dich ggf von Analytics, die Du ohnehin nie anschaust oder von Anbietern, wo Du schon seit einer Weile überlegst, sie loszuwerden. FB-Pixel beispielsweise jetzt nach Cambridge Analytica. Der oberste Grundsatz der DSGVO ist “Datensparsamkeit”.

    Wenn Du jetzt anfängst, Deine Datenschutzerklärung zu erstellen, mach Dir am besten wieder eine Liste und sortiere einmal, in welche Bereiche sich alles am besten aufteilen lässt. Zum Beispiel:

  • Analytics/Tracking
  • Social Plugins
  • Cookies, Third-Party-Cookies, Pixel, Re-Targeting
  • Affiliate Links
  • Newsletter
  • Blog Kommentare
  • Podcast
  • Kontaktformular/eMail
  • Login Bereich / Kundenkonto / Social Login Funktion (Tu’s nicht!)
  • Server Logdaten
  • Damit hast Du die Zwischenüberschriften für Deine Datenschutzerklärung schon einmal festgesteckt und musst die einzelnen Punkte “nur noch” mit leicht verständlichem Text füllen. Das Gute daran ist, dass Du am Ende a) eine Datenschutzerklärung geschrieben und b) (hoffentlich) wirklich durchschaut hast, was für Tools bei Dir zum Einsatz kommen udn was sie genau machen.

    Last not least gehört in Deine Datenschutzerklärung auch noch eine Rechtsbelehrung, denn Deine Kunden und User haben mit der DSGVO einige Rechte. Sie dürfen sich jederzeit bei Dir melden, wenn sie Fragen haben oder Auskunft möchten. Du hast ab Eingang der Anfrage dann einen Monat Zeit, darauf zu reagieren. Grundsätzlich haben alle natürlichen Personen das Recht auf Auskunft, Berichtigung ihrer Daten, Löschung (aka Recht auf vergessen werden), Einschränkung der Verarbeitung, Recht auf Übertragbarkeit und ein Recht auf Widerspruch. Außerdem haben sie ein Recht darauf, sich bei der Aufsichtsbehörde in Ihrem oder Deinem Land zu beschweren, wenn sie beispielsweise glauben, dass Du Deinen gesetzlichen Pflichten nicht ausreichend nachkommst, schludrig mit ihren Daten umgehst oder z.B. das Kopplungsverbot missachtest.

    Hinweis: Nicht in Panik verfallen, wenn jemand will, dass Du ALLE Daten, die Du von der Person hast, SOFORT löschst. Erst auf die gesetzlichen Aufbewahrungspflichten achten!

    ***
    Artikel aus dem Bereich Datenschutz:
    Übersichtsartikel “DSGVO – An sich ganz easy”
    “Was sind personenbezogene Daten?”
    Verschaffe Dir einen Überblick & erstelle ein Verarbeitungsverzeichnis
    Die Datenschutzerklärung – Aufzucht und Hege
    Auftragsverarbeitungsverträge – sichere Dich rechtlich ab

    DSGVO <-> GDPR – ein Wörterbuch
    DSGVO für Vereine

    Die Podcast Miniserie “DSGVO – an sich ganz easy”

    DSGVO – Verschaffe Dir einen Überblick & erstelle ein Verarbeitungsverzeichnis

    Wenn Du gerade schon unruhig bist, weil so viel Text folgt: Du kannst Dich auch einfach direkt per eMail an mich wenden.

    ***

    Hinweis: Dieser Artikel stellt keine Rechtsberatung dar! Ich nehme gern sachdienliche Hinweise, um den Artikel auch für das in Deutschland geltende Recht zu optimieren, sollte es durch Eröffnungsklauseln der DSGVO abweichen.

    Achtung: geballte Info! Hier geht es darum, konkret an Deinem Setup zu arbeiten und herauszufinden, wo überall personenbezogene Daten anfallen und daraus dann das gesetzlich verlangte, sogenannte “Verarbeitungsverzeichnis” zu erstellen. Wenn Du noch null Plan hast, was die DSGVO überhaupt ist, schau lieber erst einmal in den groben Überblick im Artikel “DSGVO – an sich ganz easy”!

    ***

    Überall im Netz liest man momentan von den extrem hohen Strafen für Datenschutzverstöße, die ab dem 25. Mai drohen. Die “Angebote” von Juristen und Datenschutzbeauftragten, die um teils deutlich mehr als € 500,- eine Datenschutzerklärung für Kleinunternehmer anpreisen haben auch nicht lange auf sich warten lassen. Falls Du Dich schon von der allgemeinen Panik hast anstecken lassen, atme tief durch. In den meisten Fällen ist es gar nicht so schlimm, wie man vermuten würde. Bevor Du für viel Geld Dein Gewissen erleichterst, schau erst einmal, ob das überhaupt notwendig ist. Spoiler: Ein Anwalt oder Datenschutzbeauftragter kann zwar die Dokumente für Dich abnicken, aber was Du alles an Software laufen hast, kann er oder sie nicht wissen. Und die Verantwortung trägst Du am Ende auch selber. Du musst also in jedem Fall selbst tätig werden.

    Wenn Du ein Unternehmen hast, einen Blog oder Podcast, wirst Du ziemlich sicher mit personenbezogenen Daten anderer Menschen in Berührung kommen. Allerdings ist es, wie gesagt, in den meisten Fällen weniger dramatisch, als gedacht.

    Verschaffe Dir also erst einmal einen Überblick, mit welchen Daten Du es überhaupt zu tun hast und welche Software Du benutzt, die mit diesen Daten in Berührung kommt, oder wo sie offline bei Dir verfügbar sind.

    Am besten legst Du Dir ein Blatt Papier bereit, auf dem Du alles notierst, was Du beim Kundenprojekt, dem Veröffentlichen einer Podcastepisode, etc. tust und welche personenbezogenen Daten dort ggf. anfallen und zu welchem Zweck Du sie brauchst. Zwecke können schnöde betriebliche sein, wie beispielsweise Buchhaltung, oder weil Du vielleicht Deinen Kunden einmal im Monat einen Newsletter zusenden möchtest.

    Was personenbezogene Daten im Detail sind, findest Du im Artikel “Was sind personenbezogene Daten”. Was voraussichtlich am ehesten auftauchen könnte:

  • Name
  • Online-Kennung (Nickname / Twitter Handle / Spielername / …)
  • Geburtsdatum
  • Adresse – zum Beispiel auf Rechnungen oder für Gewinnspiele
  • eMailadresse
  • IP Adresse
  • Telefonnummer
  • Fotos von Personen
  • Standortdaten
  • Ton- oder Videoaufnahme
  • Diese Liste ist keinesfalls vollständig! Bitte schau in den Artikel “Was sind personenbezogene Daten”, wenn Du Dir nicht sicher bist, was noch alles unter personenbezogene Daten zu zählen ist.

    Das Blatt Papier ist Dein Arbeitspapier und es ist völlig normal, dass Dir später noch Sachen einfallen oder dass im Laufe der Zeit etwas hinzukommt oder wegfällt.

    Ein paar Tipps, wo personenbezogene Daten üblicherweise anfallen:

  • eMails (Gmail, GMX, eigener Server, Dein Mailprogramm am Rechner und am Telefon)
  • Chatprogramme (z.B. WhatsApp, Skype)
  • Datentransfer (z.B. WeTransfer)
  • Cloudlösungen (z.B. Dropbox, machst Du Backups in der Cloud, wie z.B. iCloudbackup Deines Telefons, Adressbuchs, etc.?)
  • Buchhaltung (Cloudlösung? auch: Buchhalter, Steuerberater, Finanzamt)
  • CRM System (Cloudlösung?)
  • Zeitaufzeichnung (App? Gerät?)
  • Kalender (App? Oder z.B. Google Calendar und Sync mit Deinem Computer?)
  • Stimmaufzeichnung
  • Fotos von Menschen
  • Website / Blog (z.B. Analytics, Webfonts, externe Inhalte / Werbung, IP Adressen, die bei Deinem Hoster geloggt werden)
  • Suchfunktion auf der Website
  • Blogkommentare
  • Doodle
  • Social Media (z.B. Gewinnspiele auf FB?)
  • Nutzerdaten (z.B. Hast Du einen Login-Bereich auf Deiner Website?)
  • Visitenkarten (Lädst Du die z.B. auch noch als Scans in z.B. Evernote hoch?)
  • Adressbuch (z.B. in der Cloud bei Google oder Apple? Benutz Du z.B. WhatsApp, das zwingend Zugriff auf Dein Adressbuch hat und all Deine Kontakte an FB weitergibt?)
  • Chatbot (z.B. auf welche Plattform sammelt der Bot welche Daten für Dich?)
  • Es kann sein, dass Du Deinen ersten Entwurf in einer halben Stunde erledigt hast, es kann aber auch einige Stunden oder ein paar Tage dauern. Alles ist ok, Hauptsache ist, Du hast am Ende einen guten Überblick! Denn den kann Dir niemand abnehmen, auch nicht für viel Geld. Du musst selbst wissen, welche Software Du benutzt und welche Daten bei Dir ankommen, erzeugt werden oder von Dir weitergegeben / hochgeladen werden.

    Ein/e Datenschutzbeauftragte/r oder Anwältin kann Dich dabei unterstützen, die richtigen Dokumente zu haben. Du musst selbst wissen, was darin stehen muss. Hier geht es darum, Dein Verfahrensverzeichnis aufzubauen. Der Anwalt kennt Dein Business nicht und wird nicht jede Software kennen, die Du benutzt. Das ist ok, das ist auch nicht sein Job, sondern Deiner.

    Wenn Du Dein Arbeitspapier zusammen hast, kannst Du jetzt ein Verarbeitungsverzeichnis daraus machen. “Verarbeitung” bezieht sich dabei darauf, was Du mit den personenbezogenen Daten anderer natürlicher Personen machst. Und wir gehen jetzt im ersten Anlauf davon aus, dass Du der/die Verantwortliche bis, dass es sich also um Dein Business, Deinen Blog oder Podcast handelt.

    Es gibt eine Vorlage der österreichischen Wirtschaftskammer, die grundsätzlich nicht schlecht ist, die ich persönlich allerdings erschlagend finde. Aber vielleicht hilft sie Dir ja, wenn Du sie dir ansehen magst. Ich finde, das geht auch etwas einfacher, wobei die Tabelle in der Vorlage grundsätzlich eine gute Idee ist. Daher habe ich – ausgehend von der WKO Vorlage – eine eigene Vorlage für Dich erstellt. Hinweis: Ich bin keine Juristin. Die Vorlage habe ich nach bestem Wissen und Gewissen erstellt, die Verwendung erfolgt auf eigene Verantwortung.

    -> Vorlage Verarbeitungsverzeichnis für Verantwortliche
    Vorlage Verarbeitungsverzeichnis (.doc)
    Vorlage Verarbeitungsverzeichnis (.pages)

    Beispiele:
    Datenverarbeitung = eMail
    Zweck = Geschäftskommunikation
    Rechtsgrundlage = Einwilligung der betroffenen Person
    Daten, die anfallen = Name, eMailadresse und was inhaltlich geschickt wird (z.B. Footer Informationen wie Firmensitz, etc. Deiner Kontakte)
    Gibt es schon einen Auftragsverarbeitungsvertrag mit dem Mailprovider (Google, GMX, Dein eigener Hoster, etc.)? ja/nein

    Datenverarbeitung = Kalender / Zeitaufzeichnung
    Zweck = Geschäftsabwicklung, Dokumentation
    Rechtsgrundlage = Einwilligung der betroffenen Person
    Daten, die anfallen = Namen, Adressen, Telefonnummern
    Gibt es schon einen Auftragsverarbeitungsvertrag mit dem Kalenderprovider (Google, Apple, …)? ja/nein

    Datenverarbeitung = Messenger (z.B. Signal, WhatsApp)
    Zweck = Geschäftskommunikation
    Rechtsgrundlage = Einwilligung der betroffenen Person
    Daten, die anfallen = Telefonnummer, Name der betroffenen Person, ggf. Dokumente, die über den Messenger geschickt werden
    Daten, die an den Dienst weitergegeben werden = HIER GUT INFORMIEREN, WAS AUCH BEIM HERSTELLER WEITERGEGEBEN WIRD! z.B. Name, Telefonnummer, Dein ganzes Adressbuch, …
    Gibt es schon einen Auftragsverarbeitungsvertrag mit dem Messenger Provider (WhatsApp, Signal, Telegram, etc.)? ja/nein

    Datenverarbeitung = Fileshare Dienst (z.B. WeTransfer)
    Zweck = Filetransfer von/an Geschäftspartner & Kunden
    Rechtsgrundlage = Einwilligung der betroffenen Person
    Daten, die anfallen = eMailadressen der Kontakte, was auch immer man in das Nachrichtenfeld noch einträgt (Passwörter??? (Tu’s nicht.))
    Gibt es schon einen Auftragsverarbeitungsvertrag mit dem Fileshare Anbieter? ja/nein

    Datenverarbeitung = Facebook Fanseite
    Zweck = Contentmarketing
    Rechtsgrundlage = Einwilligung der betroffenen Person
    Daten, die anfallen = Fotos von Personen, Eventfotos, Umfrageergebnisse, Namen & Geburtsdaten von Fans & deren Freunden, etc.
    Liegt eine nachweisbare, ausdrückliche Einwilligung der betroffenen Personen vor? ja/nein
    Gibt es schon einen Auftragsverarbeitungsvertrag mit Facebook? ja/nein

    ACHTUNG bei Fotos auf Facebook, Instagram & Co.: Betroffene Personen können jederzeit ihre Einwilligung widerrufen. In dem Fall musst Du die Fotos dieser Person auf Deiner Seite löschen und auch die Seitenbetreiber darüber informieren, dass eine weitere Verarbeitung dieser Bilder nicht mehr zulässig ist.

    Dein Verarbeitungsverzeichnis ist ein lebendes Dokument, das Du zumindest alle halbe Jahr wieder aus der Schublade holen solltest, um durchzugehen, ob alles so noch stimmt, ob neue Software oder z.B. eine neue Social Media Plattform dazugekommen ist, etwas anderes nicht mehr benutzt wird, etc.

    Hinweis: Es gibt gute Alternativen für die schlimmsten Datenkraken!

  • WhatsApp – Signal (für Einzelchats und Gruppen bis max. 10 Leute), Threema (uneingeschränkt zu empfehlen), Riot (für große Gruppen)
  • Doodle – Dudle
  • Dropbox – NextCloud (kann auch als Ersatz für WeTransfer genutzt werden, wenn Du die Dateien direkt aus der NextCloud heraus freigibst)
  • Gmail / GMX / Yahoo Mail / Web.de / … (alle gratis Mailanbieter) – Posteo, mailbox.org, Fastmail oder einen eigenen Mailserver nutzen, der vllt ohnehin schon bei Deinem Hostingvertrag dabei ist, wenn Du eine Website oder einen Blog hast
  • Google Docs – Pads (z.B. vom C3W gehostet)
  • Nimm Dir die Vorlage und überlege Dir, wo Daten nicht bei Dir “stranden”, sondern auch noch an weitere Stellen weitergegeben werden, dafür ist dann die Tabelle da. Ändere die einfach für Dich ab. Es kann sein, dass die Taballe noch größer wird.

    -> Vorlage Verarbeitungsverzeichnis für Verantwortliche
    Vorlage Verarbeitungsverzeichnis (.doc)
    Vorlage Verarbeitungsverzeichnis (.pages)
    Hinweis: Ich bin keine Juristin. Die Vorlage habe ich nach bestem Wissen und Gewissen erstellt, die Verwendung erfolgt auf eigene Verantwortung.

    Wenn Du Auftragsverarbeiter bist, also personenbezogene Daten für andere (z.B. Kunden) verarbeitest, brauchst Du so ein Verzeichnis für jeden Deiner Kunden, bzw. für jeden, in dessen Namen Du Daten verarbeitest.
    -> Vorlage Verarbeitungsverzeichnis für Auftragsverarbeiter (in Arbeit)

    ***
    Artikel aus dem Bereich Datenschutz:
    Übersichtsartikel “DSGVO – An sich ganz easy”
    “Was sind personenbezogene Daten?”
    Verschaffe Dir einen Überblick & erstelle ein Verarbeitungsverzeichnis
    Die Datenschutzerklärung – Aufzucht und Hege
    Auftragsverarbeitungsverträge – sichere Dich rechtlich ab

    DSGVO <-> GDPR – ein Wörterbuch
    DSGVO für Vereine

    Die Podcast Miniserie “DSGVO – an sich ganz easy”

    DSGVO – was sind personenbezogene Daten

    Wenn Du gerade schon unruhig bist, weil so viel Text folgt: Du kannst Dich auch einfach direkt per eMail an mich wenden.

    ***

    Hinweis: Dieser Artikel stellt keine Rechtsberatung dar! Ich nehme gern sachdienliche Hinweise, um den Artikel auch für das in Deutschland geltende Recht zu adaptieren.

    Achtung: geballte Info! Hier geht es um die Details dazu, was personenbezogene Daten eigentlich sind, also worum es in der DSGVO genau geht. Wenn Du noch null Plan hast, was die DSGVO überhaupt ist, schau lieber erst einmal in den groben Überblick im Artikel “DSGVO – an sich ganz easy”!

    ***

    Um gleich mit der Tür ins Haus zu fallen: Es gibt ein Grundrecht auf den Schutz von personenbezogenen Daten. Grundrecht – und leider das, was die letzten Jahre dank Social Media, Kameras in Telefonen in jeder Jackentasche, etc. sehr in Vergessenheit geraten ist.

    In Österreich steht dies im Datenschutzgesetz 2000 und wird auch ins neue Datenschutzgesetz übernommen:

    Artikel 1
    (Verfassungsbestimmung)

    Grundrecht auf Datenschutz

    § 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

    Was bedeutet “schutzwürdiges Interesse”? Knapp gesagt: Wenn es sich um Daten handelt, die nicht öffentlich/allgemein verfügbar sind. Dagegen sind Daten, die z.B. im Firmenbuch, Telefonbuch, Grundbuch, etc. stehen, allgemein zugänglich und daher liegt bei diesen öffentlichen Daten kein schutzwürdiges Interesse vor. Auch bei anonymen Daten, wie z.B. einer kumulierten, quantitativen Statistik, bei der keine Einzelpersonen ausgemacht werden können, ist nicht von einem schutzwürdigen Interesse auszugehen.

    Alle anderen personenbezogenen Daten fallen unter die DSGVO.

    Aber was sind jetzt alles “personenbezogene Daten” und was ist mit Daten, die Personen selbst von sich veröffentlicht haben, zum Beispiel in Social Media oder auf Visitenkarten?

    Grundsätzlich sind personenbezogene Daten erst einmal genau das, was man bei dem Terminus erwartet: Daten, die in Zusammenhang mit einer (natürlichen) Person stehen oder gebracht werden können. Es geht hier um Identifizierbarkeit.

    Im Gesetzestext der DSGVO, Art.4 steht folgende Begriffsbestimmung:

    „personenbezogene Daten“ [sind] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;”

    Explizit genannt sind also:

  • Name
  • Kennnummer
  • Standortdaten
  • Online-Kennung
  • besonderen Merkmale
  • Es geht darum, dass durch diese Angaben eine konkrete, natürliche Person und ihre physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität herausgefunden werden kann.

    Warum das wichtig ist? Nun ja, Cambridge Analytica hätte da sicher eine gute Antwort drauf. Die Sache ist, dass solche Daten – insbesondere deren Massenauswertung – unüberschaubare Risiken mit sich bringen, wie wir an der Wahlwerbung in den USA, aber auch in Österreich im Herbst 2017 gesehen haben.

    Und warum Dich Massenauswertung von Daten interessieren sollte ist, weil Du (wenn dann hoffentlich!) unwillentlich und vermutlich sogar unwissentlich Deine Daten und auch die Daten anderer Leute (ggf. auch die Deiner Kunden oder Geschäftspartner) in genau diese Systeme einspeist. Aber dazu kommen wir gleich noch.

    Also, personenbezogene Daten sind:

  • Name und Geburtsdatum sind eindeutig personenbezogen. Ebenso wie die Adresse.
  • Telefonnummer, Personalausweisnummer, Steuer-ID, KFZ-Kennzeichen, Bankverbindung, Personalnummer, Kundennummer, Mitgliedsnummer, Kundenkaten ID, Sozialversicherungenummer, Kreditkartennummer – all das fällt unter Kennnummer und machen eine Person identifizierbar, sind also ebenfalls personenbezogen.
  • Standortdaten – das GPS, aber auch WLAN und Bluetooth am Telefon verraten viel mehr, als man denkt. Über Standortdaten und daraus resultierende Bewegungsprofile weiß man sehr genau, was eine Person so den lieben langen Tag tut und daraus kann man wiederum sehr gute Interessensprofile rauslesen. Standortdaten machen eine Person identifizierbar und sind daher personenbezogen.
  • Online-Kennung: IP Adresse (in Zusammenhang mit weiteren Daten wie z.B. einem Onlinekauf), eMail Adressen, aber auch Nicknames, Twitterhandles, Spielernamen, etc. machen eine Person identifizierbar -> personenbezogen.
  • Unter die besonderen Merkmale fallen dann Fotos, Tonaufnahmen, Gesundheitsdaten, biometrische Daten, genetische Daten, etc.. Auch diese machen eine Person identifizierbar, also: personenbezogen.
  • Die Liste hat keinen Anspruch auf Vollständigkeit, aber Du siehst, in welche Richtung das geht.

    Dann gibt es noch sensible Daten, die in der DSGVO jetzt “besondere Kategorien personenbezogener Daten” heißen, denen wir gerade zum Teil bereits bei den besonderen Merkmalen begegnet sind:

  • Informationen über politische Meinung
  • religiöse Ausrichtung
  • Sexualität
  • Gesundheitsdaten
  • genetische Daten
  • biometrischen Daten (Gesichtsbilder, Stimme, Fingerabdrücke und alles, woran eine Person biometrisch identifizierbar ist)
  • Bei sensiblen Daten ist besonderer Schutz vonnöten und hier braucht es immer eine ausdrückliche Einwilligung der betroffenen Person, dass Du diese Daten verarbeitest.

    Als Verarbeiten gilt alles, was Du mit Daten machen kannst, also irgendwo hochladen, teilen, übertragen, aber auch einfach nur loggen und speichern.

    Übrigens: Laut DSG2000 gelten verschlüsselte personenbezogene Daten noch immer als indirekt personenbezogen, weil sie ja auch wieder entschlüsselt werden können. In der DSGVO findet man “Verschlüsselung” als eine technische/organisatorische Maßnahme zur Risikoeindämmung (Art.32 Abs.1 & Erwägungsgrund 83). Ich für mich betrachte daher verschlüsselte Daten auch nach der DSGVO noch immer als indirekt personenbezogen und daher sollte man auch darauf gut aufpassen, nicht dass der Schlüssel zusammen mit den Daten abhanden kommt, z.B. wenn ein Notebook oder Telefon in falsche Hände gerät.

    Es gibt auch die Pseudonymisierung – also eine “Bezeichnung” für eine natürliche Person, zu der man weitere Infos braucht, um die dahinter steckende Person zu identifizieren. Das ist die Sache mit den Kennnummern, Künstlernamen, Benutzernamen, Personalnummern und so weiter. Für pseudonymisierte Daten gilt, dass man die so verarbeiten muss, dass sie nicht mit weiteren Daten zusammengeführt werden können, die die dahinter stehende Person identifizieren. In der Praxis zielt das wohl primär auf Personalnummern, Kundennummern und klinische Studien ab. Hinweis: Das Zusammenführen mit öffentlichen Quellen oder Daten anderer Personen/Firmen kann auch leicht zur Depseudonymisierung fürhren.

    Anonymisierung ist ebenfalls eine Möglichkeit, mit personenbezogenen Daten umzugehen. Die DSGVO kennt zum Einen eine absolute Anonymisierung, bei der niemand in der Lage ist, den Personenbezug wiederherzustellen. Eine solche Anonymisierung nachträglich vorzunehmen ist kaum machbar, da die Daten, die zur Deanonymisierung notwendig wären ja bereits erfasst wurden und existieren. Eine absolute Anonymisierung wäre nur dann machbar, wenn diese notwendigen Daten gar nicht erst miterfasst werden.

    Eine absolute Anonymisierung wird in der DSGVO nicht gefordert, wohl aber eine faktische Anonymisierung, die im Weglassen von identifizierenden Merkmalen besteht. Hier geht es um die oben genannten statistischen, kumulierten Daten.

    Unter den oben genannten Kriterien und Definitionen für personenbezogene Daten ist Dein Smartphone vermutlich gerade zu einer Giftmüllhalde geworden, richtig? Fast.

    Die DSGVO ist eine Verbotsnorm. Das heißt: Die Datenverarbeitung (insbesondere im Zusammenhang mit Drittländern wie den USA) ist grundsätzlich verboten, außer es liegt eine Ausnahme vor. Die Ausnahmen stehen übrigens in Artikel 6 der DSGVO, falls Du selber nachlesen möchtest.

    Eine Ausnahme liegt dann vor, wenn mindestens einer der folgenden Punkte zutrifft:

  • 1. und der für Dich möglicherweise relevanteste Punkt: Die betroffene Person hat ihre Einwilligung für einen oder mehrere bestimmte Zwecke gegeben. Achtung: die Einwilligung kann mündlich, schriftlich (auch: elektronisch), telefonisch und auch konkludent erfolgen, muss aber nachweisbar sein! Ggf. ist schriftlich also eine gute Idee. Bei sensiblen Daten gibt es keine konkludente Einwilligung, da muss es immer eine ausdrückliche sein (Beispiel: Bilder von anderen bei Facebook hochladen). Und apropos Facebook: Bei der Fortbildung zur Datenschutzbeauftragten wurde uns mitgeteilt, dass im Falle von What’sApp, das zwingend Dein Adressbuch mit Facebook shared, ganz sicher keine konkludente Einwilligung gibt. Das heißt, Du brauchst die nachweisbare Einwilligung (und wenn Du noch sensible Daten wie Fotos in Dein Adressbuch gibst, die ausdrückliche, nachweisbare Einwilligung) jeder einzelnen betroffenen Personen, dass Du ihre Kontaktdaten in Dein Adressbuch aufnimmst und somit an Facebook weitergibst. Und: Einwilligungen können auch jederzeit widerrufen werden.
  • 2. Die Verarbeitung ist für die Erfüllung eines Vertrags mit der betroffenen Person notwendig oder für vorvertragliche Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen. Soll heißen: Wenn Du Kunden hast, brauchst Du bestimmte Daten, um z.B. eine Rechnung zu stellen oder schon vorab für die Angebotslegung, wenn ein Interessent nachfragt.
  • 3. Die Verarbeitung ist für die Erfüllung einer rechtlichen Verpflichtung notwendig, der Du als Verantwortlicher unterliegst. Wenn also zum Beispiel ein Ex-Kunde von Dir Dich bittet, seine Daten zu löschen, kannst Du alle Arbeitsdaten wegwerfen, NUR NICHT beispielsweise die Buchhaltung, denn die musst Du 7 Jahre lang aufbewahren. Erst nach Ablauf von gesetzlichen Fristen kannst Du dann den Rest auch entsorgen. Informiere Dich über die gesetzlichen Aufbewahrungsfristen, da gibt es noch einige mehr, wenn es zum Beispiel um Schadensersatzfälle, etc. geht.
  • 4. Die Verarbeitung ist notwendig, um lebenswichtige Interessen der betroffenen oder einer anderen natürlichen Person zu schützen. Also zum Beispiel, wenn eine Person einen Unfall hat, sollte man den Sanitätern schon verraten, wenn die Person regelmäßig oder vor kurzem blutverdünnende Medikamente genommen hat, was normalerweise als Gesundheitsdaten unter die sensiblen Daten fällt.
  • 5. Die Verarbeitung ist für die Erfüllung einer Aufgabe in öffentlichem Interesse oder in Ausübung öfentlicher Gewalt notwendig. Das zielt wohl primär auf die Exekutive ab. Wenn ein Mörder oder Vergewaltiger gefasst werden soll, ist es notwendig, dessen personenbezogene Daten zu verarbeiten.
  • 6. Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Das ist der Absatz, auf den sich gerade die ganze Werbeindustrie rausredet, weil ihr Geschäftsmodell die Auswertung von Profilingdaten* (Erklärung siehe unten) ist. Aktuell ist es noch nicht verboten, wenn nicht die Interessen & Grundrechte der betroffenen Person überwiegen, aber es ist kennzeichnungspflichtig. Hier ist es spannend, mal in die Datenschutzerklärung diverser Onlinehändler oder Internetanbieter reinzuschauen. Auch Streamingdienste sind da eine Fundgrube. Das wird dann mit der ePrivacy-Verordnung 2019 noch spannend werden, gegen die die Werbeindustrie gerade mit allem auffährt, was sie finden kann. Hätten sie halt was Ordentliches gelernt und schlügen keinen Profit aus Spionage. (Falls Du in der Werbeindustrie arbeitest: Es ist ok, wenn Du mich jetzt nicht mehr magst. Aber tu Dir selbst den Gefallen, lies die Gesetze und frag Dein Gewissen, ob Du wirklich mit Profiling und Spionage Dein Geld verdienen willst.)
  • * Profiling (Art. 4 Z 4)
    Jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

    Wie gesagt, für Dich sind vermutlich die ersten drei Punkte die relevanten: Einwilligung, Vertragserfüllung und gesetzliche Erfordernisse. Wenn mindestens eins davon zutrifft, darfst Du personenbezogene Daten verarbeiten.

    ***
    Artikel aus dem Bereich Datenschutz:
    Übersichtsartikel “DSGVO – An sich ganz easy”
    “Was sind personenbezogene Daten?”
    Verschaffe Dir einen Überblick & erstelle ein Verarbeitungsverzeichnis
    Die Datenschutzerklärung – Aufzucht und Hege
    Auftragsverarbeitungsverträge – sichere Dich rechtlich ab

    DSGVO <-> GDPR – ein Wörterbuch
    DSGVO für Vereine

    Die Podcast Miniserie “DSGVO – an sich ganz easy”