All Posts Tagged ‘dsgvo

Post

Jetzt wird es eng für unsere Facebookseiten (Update 12.09.2018)

Leave a reply

Sicherlich erinnern Sie sich noch an das vor drei Monaten veröffentlichte Urteil des Europäischen Gerichtshofs (EUGH), in dem es um die Frage ging, wer für die Datensicherheit der UserInnen verantwortlich ist, wenn sie auf Facebook eine Seite besuchen (hier können Sie das Urteil des EUGH nachlesen).

Die Richter kamen zu dem Ergebnis, dass wir als SeitenbetreiberInnen für mögliche Datenschutzverstöße von Facebook mithaften. Viele sahen – zumindest in Europa – das Ende des sozialen Netzwerks gekommen, etliche schlossen als Konsequenz auf dieses Urteil ihre Facebookseiten.

Andere hingegen riefen zur Besonnenheit auf, da sie die Ansicht vertraten, dieses Urteil richte sich vor allem gegen Facebook, das bis heute die geforderte Transparenz im Umgang mit den Daten seiner BesucherInnen vermissen lasse. Rechtsanwalt Thomas Schwenke beschäftigte sich in einem sehr ausführlichen Artikel mit der Frage: „Muss ich jetzt meine Facebookseite schließen?

Er konstatiert darin, dass wir als SeitenbetreiberInnen auf der Grundlage des Urteils zwar in Haftung genommen werden können, macht aber auch klar, dass die Vorgaben, die aus diesem Urteil resultieren, eigentlich von Facebook erfüllt werden müssen. Daher lautete sein Rat:

“ Ich persönlich empfehle abzuwarten und zu prüfen, ob sich der Betrieb von Facebook-Seiten oder die Nutzung anderer Onlinedienste trotz des Risikos nicht dennoch lohnt.“

So weit, so gut. Ich gehöre zu denen, die abgewartet haben. Das Problem: Facebook hat nicht so auf das Urteil reagiert, wie wir uns alle das wohl erhofft haben.

Die Datenschutzbehörden machen Druck auf Facebook und vor allem auf uns

Nun gibt es seit ein paar Tagen einen Beschluss der Datenschutzkonferenz (DSK), in dem die Datenschutzbeauftragen des Bundes und der Länder festhalten, dass Facebook in den letzten drei Monaten nichts unternommen habe, um den Forderungen des EUGH-Urteils zu entsprechen. Deshalb machen sie klar, dass sich die BetreiberInnen von Facebookseiten ihrer datenschutzrechtlichen Verantwortung stellen müssen. Die Konsequenz:

„Ohne Vereinbarung nach Art. 26 DSGVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig.“

Die Datenschutzbeauftragten fordern, dass drei Monate nach dem EUGH-Urteil „die Anforderungen des Datenschutzrechts beim Betrieb von Fanpages“ erfüllt werden müssten. Dazu gehöre, dass die gemeinsam Verantwortlichen Klarheit über die derzeitige Sachlage schaffen und die erforderlichen Informationen für die BesucherInnen der Seite bereitstellen.

In dem Beschluss werden sehr konkrete Fragen gestellt, die wir als SeitenbetreiberInnen ohne die Mitwirkung von Facebook nicht beantworten können. Zum Beispiel diese hier:

„Zu welchen Zwecken und auf welcher Rechtsgrundlage werden nach Aufruf einer Unterseite innerhalb des Fanpage-Angebots ein Session-Cookie und drei Cookies mit Lebenszeiten zwischen vier Monaten und zwei Jahren gespeichert?“

Sie sehen, wir sind da ziemlich hilflos. Rechtsanwalt Thomas Schwenke spricht in seinem gestrigen Facebook-Posting die Möglichkeit an, dass SeitenbetreiberInnen in Kürze der erwähnte Fragenkatalog (es sind acht Fragen) zugehen könnte. Da wir sie wie gesagt nicht beantworten können, könne, so Schwenke weiter, die Schließung der Seite angeordnet werden.

Ich finde das Verhalten von Facebook skandalös. Auf unserem Rücken wird hier die Auseinandersetzung zwischen Politik und dem Facebook-Imperium ausgetragen. Wenn Herrn Zuckerberg europäische UserInnen egal sind, dann soll er es einfach sagen. Dann können wir entsprechend reagieren. Ich für meinen Teil werde Inhalte, die ich in der Vergangenheit nur schnell auf Facebook gepostet habe,  wieder häufiger hier im Blog teilen. Vielleicht führe ich auch wieder einen Newsletter ein, den ich wegen der DSGVO eingestellt habe (siehe dazu meinen Blogbeitrag „Die #DSGVO und die Auswirkungen auf dieses Blog„). So baue ich etwaigen Entwicklungen vor. Denn aktuell droht, was Thomas Schwenke in seinem Posting schreibt:

„Ich wünsche mir, dass Facebook endlich handelt, ansonsten kann es sein, dass wir uns hier bald nicht mehr lesen.“

Wir alle sollten uns darüber klar sein, dass es jetzt sehr schnell gehen kann und wir plötzlich ohne einen wichtigen, wenn nicht den wichtigsten Kommunikations- und Marketingkanal dastehen. Es ist sicher nicht falsch, wenn Sie jetzt damit beginnen, sich mit einem Plan B zu beschäftigen.

Update: Facebook legt eine Vereinbarung vor

Das ging dann schnell. Gestern hat Facebook ein sogenanntes „Page Controller Addendum“ veröffentlicht, in dem die „Zusammenarbeit“ zwischen Facebook und den SeitenbetreiberInnen geregelt ist. Rechtsanwalt Dr. Thomas Schwenke hat sich die Vereinbarung bereits angeschaut und erklärt in seinem Blogbeitrag „Wird Facebook legal? – Anleitung für Seitenbetreiber zum ‚Page Controller Addendum‘„, worauf SeitenbetreiberInnen achten müssen und welche Schritte gesetzt werden sollten, um den gesetzlichen Vorgaben Genüge leisten zu können. Schwenke konstatiert:

„Die Nutzung von Facebook wird zwar nicht vollständig sicher (…). Aber mit der neuen Vereinbarung des „Page Controller Addendums“, werden der Betrieb der Facebook-Seiten und auch generell die Nutzung von Facebook datenschutzrechtlich ein großes Stück sicherer.“

Wir können also erst einmal aufatmen und müssen nun noch abwarten, welche Entscheidungen die Gerichte in den laufenden Verfahren treffen. Ich für meinen Teil werde trotzdem überlegen, wie ich mich unabhängiger von Facebook machen kann. Ich mag solche Abhängigkeiten nicht.

Foto: succo auf Pixabay (CC0)

Post

Die #DSGVO und die Auswirkungen auf dieses Blog

5 comments
Foto von skylarvision auf Pixabay Morgen ist es also (endlich) soweit, die Datenschutzgrundverordnung, unter dem Hashtag #DSGVO wohl den meisten bekannt, entfaltet ihre volle Wirkung. In Kraft treten wäre der falsche Ausdruck, denn sie gilt ja eigentlich schon seit zwei Jahren. Eigentlich hätten wir uns also schon längere Zeit mit der DSGVO beschäftigen sollen. Aber wie so viele andere gehöre auch ich zu denen, die erst in letzter Minuten damit begonnen haben. Wobei das bei mir nur für die praktische Umsetzung gilt. Die Workshops haben mir nicht so viel geholfen, die vielen Informationen, die sich im Netz finden, werfen oft mehr Fragen auf als sie beantworten. Trotzdem war mir von Anfang an klar, dass auch auf mich Änderungen zukommen. Der erste Schritt: Ich habe die vertraute Umgebung von wordpress.com verlassen. Über zehn Jahre habe ich unter kulturmanagement.wordpress.com gebloggt, nun habe ich endlich eine der Domains, die ich schon seit einiger Zeit reserviert habe, aktiviert. Deshalb ist dieses Blog nun unter https://kulturmanagement.blog zu finden. Aber keine Sorge: Die alten Beiträge lassen sich immer noch leicht finden. Wer einen alten Link verwendet, ihn zum Beispiel abgespeichert hat, wird einfach umgeleitet. Viele von Ihnen und Euch haben meine Beiträge bis heute per Mail erhalten. Für alle, die diesen Beitrag jetzt in ihrer Mailbox lesen, habe ich eine traurige Nachricht: Diese Möglichkeit fällt ab sofort weg, womit wir bei Schritt zwei sind. Dies ist der letzte Blogbeitrag, der Sie auf diesem Weg erreicht. Es gibt aktuell keine wirklich befriedigende Lösung, deshalb werde ich diesen Service einstellen (müssen). Bis jetzt gab es zwei Möglichkeiten, die Beiträge per Email zu abonnieren. Die Möglichkeit, die Beiträge direkt über WordPress zu abonnieren fällt weg, weil ich erstens nicht mehr in die wordpress.com-Umgebung eingebunden bin, zweitens dort kein Double Opt-in möglich ist und drittens die Vorgaben der DSGVO nicht eingehalten werden können. Ob das wirklich alles so stimmt, vermag ich nicht einzuschätzen, dazu fehlen mir Zeit und Expertise. Außerdem gibt es etliche, die die Blogposts über den Feedburner erhalten. Das ist die Variante, mit der ich vor vielen Jahren begonnen habe und die bis heute eigentlich perfekt funktioniert. Aber der Umgang mit den persönlichen Daten ist bei diesem RSS-basierten Newsletter, der Google gehört, ungeklärt. Und ich habe keine Ahnung, wie man die dort gespeicherten Daten exportieren beziehungsweise löschen kann. Natürlich kann man sich dort abmelden und bekommt dann keine weiteren Mails mehr. Aber was ist mit den Daten. Eine Vereinbarung kann ich diesbezüglich mit Google nicht abschließen, also war es das dann. Was sind die Alternativen? Kristine Honig, die vor dem selben Problem steht, nennt in ihrem Blogbeitrag „Du hast meine Blogbeiträge regelmäßig per Mail erhalten? Dann bitte lesen!“ folgende Alternativen:
  • Meine Seite direkt besuchen, die URL kulturmanagement.blog kann man sich ja wirklich leicht merken, oder?
  • Die Seite per RSS abonnieren, ich selbst verwende dafür Feedly. Falls jemand den Link dafür braucht, hier ist er: https://kulturmanagement.blog/feed/
  • Das Blog in den Lesezeichen oder Favoriten abspeichern.
  • Mir auf Facebook, Twitter, Xing oder LinkedIn folgen, dort verlinke ich in der Regel auf meine Blogbeiträge.
  • Die in meinen Augen coolste Alternative ist die Verwendung von IFTTT (If this then that). Dort können Sie genau das abbilden, was ich bis jetzt angeboten haben. Wenn ich ein Blogpost veröffentliche, erhalten Sie eine Mail. Sie müssen das halt im Unterschied zur bisherigen Lösung selbst in die Hand nehmen. Aber da IFTTT ein Tool ist, das noch viel mehr kann, ist das vielleicht genau der richtige Einstieg, um sich damit intensiver zu beschäftigen.
  • Zukunftsmusik: die Benachrichtigung per Chatbot. Ob so etwas DSGVO-konform ist, weiß ich nicht. Im Zweifelsfall vermutlich nicht. :-(
Der dritte Schritt ist auch bereits getan: Alle Verbindungen zu irgendwelchen sozialen Netzwerken sind gekappt. Ich war da schon bis jetzt sehr sparsam, aber nun sollte es im Augenblick, so ich nichts übersehen haben, keine Möglichkeit für Facebook & Co geben, über dieses Blog an irgendwelche Daten heranzukommen. Ich verzichte auf Avatare und Emojis, sogar bei der Kommentarfunktion habe ich darüber nachgedacht, sie zu sperren. Aber Kommentare sind mir weiter wichtig, also gibt es weiter die Möglichkeit, es sieht halt alles etwas spartanisch aus. Aber vielleicht bringt auch da die Zukunft neue Angebote, die der DSGVO entsprechen. Ich finde es ein wenig traurig, dass so viele Dinge, die wir in den letzten Jahren genutzt haben, nun verschwinden. Aber auf der anderen Seite sollte es uns der Schutz unserer Daten schon wert sein. Und irgendwann müssen wir ja mal damit anfangen. Ich will jetzt gar nicht darüber lamentieren, dass das alles so fürchterlich und schwierig ist (ist es!), ohne die Androhung von Strafen hat es halt nicht geklappt. Was noch fehlt sind die Schritte vier und fünf. Bis morgen werde ich noch an meiner Datenschutzerklärung basteln. Ich habe schon seit vielen Jahren eine, allerdings hat sich für die bis jetzt niemand interessiert. Mal sehen, ob das ab morgen wirklich anders ist. ;-) Der fünfte und letzte Schritt ist dann ein neues Layout. Ich bin noch auf der Suche, eine Vorlage, die mir wirklich gefällt, habe ich aber noch nicht gefunden. Damit erfülle ich aber immer noch nicht alle Vorgaben der DSGVO. Zum Beispiel muss ich mir noch was für die vielen YouTube-Videos einfallen lassen, die ich in dieses Blog eingebunden habe. Von den Slideshare-Präsentationen gar nicht zu reden. Für ersteres habe ich schon ein Plugin gefunden, Slideshare ist in den zahllosen Artikeln, die ich gelesen habe, gar nicht genannt worden. Deshalb bin ich da noch auf der Suche. Fazit: Auch morgen wird sich die Erde noch drehen und mein Blog wird es auch noch geben. Und in drei, vier Wochen werden wir dann vermutlich sehen, ob und wie das mit der DSGVO funktioniert. Ich freue mich, wenn Sie weiterhin mein Blog lesen und darf Sie bitten, sich einfach bei mir zu melden, wenn Sie Fragen oder Probleme haben.