Das Urteil des EuGH zu Facebook-Seiten

Geschrieben: Am: Filed under Datenschutz, Netzpolitik Keine Kommentare
Das Urteil des EuGH zu Facebook-Seiten

Die Panik um die DSGVO ist kaum vor­bei, da kommt es erneut knüp­pel­di­cke. Der Euro­päi­sche Gerichts­hof urteil­te heu­te, dass Sei­ten­be­trei­ber auf Face­book durch­aus mit­ver­ant­wort­lich sind, was den Daten­schutz angeht. Das ist die Kurz­fas­sung, Lang­fas­sun­gen wer­den wir in den nächs­ten Tagen und Wochen zuhauf zu sehen bekommen.

RA Chris­ti­an Sol­me­cke (ansons­ten von mir eher geschätzt) fängt auch gleich mal mit der Panik­ma­che an und behaup­tet, dass FB-Sei­ten nicht mehr rechts­si­cher betrie­ben wer­den kön­nen.

Deut­lich mehr Ver­trau­en habe ich in RA Schwen­ke (der ist einer von den Guten!), der das Gan­ze deut­lich dif­fe­ren­zier­ter betrach­tet und in sei­nem Bei­trag jede Men­ge Infor­ma­tio­nen zum The­ma lie­fert, die ich für deut­lich fun­dier­ter hal­te, als die Panikmache.

Per­sön­li­cher Kom­men­tar: Jetzt ist das Heu­len und Zäh­ne­klap­pern wie­der groß, ins­be­son­de­re auch bei all jenen, die hoff­ten, dass der Stress mit der DSGVO-Umset­zung jetzt durch ist. Und erst recht bei jenen, die dum­mer­wei­se (anders kann man das gar nicht sagen) ihre Web­prä­sen­zen wegen der DSGVO geschlos­sen haben und statt­des­sen auf Face­book umzo­gen. Dumm gelau­fen, aber man hät­te dar­auf kom­men kön­nen, dass Zucker­bergs Platt­form nun nicht eben ein Mus­ter­bei­spiel an Daten­schutz­kon­for­mi­tät darstellt.

Per­sön­lich fin­de ich das Urteil pri­ma, denn es ist weder rea­li­täts­fern noch uner­war­tet. Face­book küm­mert sich einen feuch­ten Dreck um Daten­schutz und alle neh­men es hin. Natür­lich ins­be­son­de­re auch die, die es nut­zen. Es muss­te aber end­lich mal was pas­sie­ren und das wird es auf­grund des Urteils jetzt garan­tiert, denn auch Zucker­berg und die FB-Chef­eta­ge kön­nen es sich nicht erlau­ben, einen gigan­ti­schen Hau­fen Kun­den in Euro­pa zu ver­lie­ren. Sie wer­den sich also irgend etwas ein­fal­len las­sen müs­sen, um nicht nur in die­ser Hin­sicht datenschutzkonform(er) zu wer­den. Und das schnell.

Und: Ich habe es an ande­rer Stel­le bereits mehr­fach betont: Wer sich als Infor­ma­ti­onme­di­um für sein Geschäft aus­schließ­lich an einen Anbie­ter als Darstellungs‑, Sicht­bar­keits- und Wer­be­platt­form bin­det, der ist selbst schuld. Denn Face­book kann tun und las­sen, was Zuck will. Bei­spiels­wei­se eure Sicht­bar­keit beschrän­ken (wie immer wie­der pas­siert, damit ihr für Sicht­bar­keit bezahlt) oder Bei­trä­ge nach Guts­her­ren­art löschen. Kommt es tat­säch­lich zum Schlimms­ten, und deut­sche Gerich­te bestä­ti­gen, dass FB-Sei­ten nicht rechts­si­cher betrie­ben wer­den kön­nen, seid ihr eure Face­book-Prä­senz los, ohne Alter­na­ti­ve, um Sicht­bar­keit herzustellen.

Des­we­gen habe ich schon immer gesagt: Eige­ne Domain mit eige­ner Web­sei­te und auf Face­book nur cross­pos­ten. Wenn ihr die eige­ne Sei­te immer schön mit rele­van­tem Inhalt befüllt, wer­det ihr auch bei Goog­le sicht­bar. Und Inter­ak­ti­on mit Nut­zern geht auch dort, wenn auch nicht ganz so inter­ak­tiv wie auf sozia­len Medi­en. Wer Angst vor der DSGVO hat, muss im Zwei­fels­fall in einen Anwalt und eine Rechts­schutz­ver­si­che­rung investieren.

Bis auf wei­te­res blei­ben wir aber alle mal ganz ent­spannt und war­ten ab, was deut­sche Gerich­te zu dem The­ma ent­schei­den wer­den. Dann ist immer noch Zeit Panik zu schie­ben, und in gro­ßem Umfang Face­book-Sei­ten zu löschen. Oder eben nicht.

Und: Wer weiß, viel­leicht erwächst ja auch aus die­ser Kri­se mal wie­der ein neu­er Anbie­ter im Bereich Social Media.

DSGVO: Erste Hilfe beim Ausschluss von Europäern durch US-Webseiten

Geschrieben: Am: Filed under Netzpolitik Keine Kommentare
DSGVO: Erste Hilfe beim Ausschluss von Europäern durch US-Webseiten

Wie Hei­se heu­te mel­det, pas­siert gera­de genau das, was bereits befürch­tet wor­den war: Weil sie kei­ne Lust haben, kon­form zur DSGVO zu sein, oder Kon­se­quen­zen fürch­ten, haben US-Web­sei­ten (aktu­ell die von Zei­tun­gen) damit ange­fan­gen, Nut­zer aus dem euro­päi­schen Raum anhand ihrer IP-Adres­se zu blo­ckie­ren. Das dürf­te nur der Anfang sein, ver­mut­lich wer­den noch vie­le wei­te­re inter­na­tio­na­le Web­an­ge­bo­te dazu über­ge­hen, das­sel­be zu tun. Auch hier zeigt sich wie­der mal eins der zahl­lo­sen Defi­zi­te einer hand­werk­lich schlecht gemach­ten Ver­ord­nung, die so tut, als gäbe es im Inter­net nur Europa.

Doch Hil­fe ist nah. Will man die Sei­ten wie­der sehen, muss man halt eine IP-Adres­se haben, die aus dem nicht-euro­päi­schen Raum kommt. Das ist simp­ler, als man viel­leicht den­ken mag:

Zum einen kann man im Brow­ser eine Pro­xy-Erwei­te­rung nut­zen. Die lei­tet bei Akti­vie­rung die Anfra­gen über einen Pro­xy-Ser­ver, der dazu führt, dass die von außen erkenn­ba­re eige­ne IP-Adres­se aus einem Land außer­halb der EU kommt, für Web­sei­ten­an­bie­ter aus den USA ist das schlau­er­wei­se eine aus den Ver­ei­nig­ten Staa­ten. Man soll­te sich dar­über im Kla­ren sein, dass so ein Pro­xy-Anbie­ter die über den Ser­ver gelei­te­ten Anfra­gen und Daten sehen könn­te, solan­ge die nicht SSL-ver­schlüs­selt sind. Man soll­te sich also für ein Plugin von einem seriö­sen Anbie­ter ent­schei­den. Eine Goog­le-Suche hilft hier wei­ter (bei­spiels­wei­se: Pro­xy-Plugin Browsername).

Die ande­re Alter­na­ti­ve ist die Nut­zung eines VPN-Dienst­leis­ters. Die bie­ten einen Ser­vice, bei dem man sich mit einer Cli­ent­soft­ware an eben einem VPN (Vir­tu­al Pri­va­te Net­work) anmel­det, durch das danach die Daten des Inter­net­ver­kehrs getun­nelt wer­den. Der Effekt ist danach der­sel­be: Man surft mit einer IP aus einem ande­ren Land. Hier gilt das­sel­be wie für Pro­xies: Der Anbie­ter soll­te ver­trau­ens­wür­dig sein. Auch hier hilft eine Goog­le-Suche weiter.

Ein wei­te­rer posi­ti­ver Neben­ef­fekt ist, dass die »ech­te« eige­ne IP-Adres­se auf die­se Wei­se nicht mehr erkenn­bar ist.

Für weni­ger tech­ni­kaf­fi­ne Nut­zer dürf­te die ers­te Vari­an­te mit einer Brow­ser-Erwei­te­rung via Pro­xy-Ser­ver die deut­lich ein­fa­cher umzu­set­zen­de Vari­an­te sein. Die VPN-Vari­an­te hat den Vor­teil, dass man dar­über auch ande­re Ange­bo­te nut­zen kann, die per Geo­lo­ca­ti­on via IP für Nut­zer aus ande­ren Län­dern gesperrt sind.

Die DSGVO — Aufzucht und Hege

Geschrieben: Am: Filed under Netzpolitik Keine Kommentare

In den ver­gan­ge­nen Woche ist nun wirk­lich von so ziem­lich jedem schon alles über die DSGVO gesagt wor­den, sogar mehrfach.

Das reich­te von der Panik­ma­che durch vor­geb­li­che Dienst­leis­ter, die dem Sei­ten­be­trei­ber die düs­ters­ten Sze­na­ri­en aus­mal­ten und Panik aktiv schür­ten, nur um dann ihren »Ser­vice« ver­kau­fen zu kön­nen, über die übli­chen Schlau­ber­ger im Web die von nichts Ahnung aber zu allem eine Mei­nung haben (auf Face­book treibt das kurio­se Blü­ten), bis hin zu den­je­ni­gen, die kom­plett abwie­gel­ten, und der Ansicht sind »das wird schon alles nicht so schlimm kom­men«. Am Ran­de könn­te man noch erwäh­nen, dass auch die Medi­en ent­we­der bei der Panik­ma­che dabei waren, oder Alter­na­tiv die DSGVO völ­lig kri­tik­los für das Bes­te seit der Ein­füh­rung des But­ter­brots hal­ten (ich schaue euch an, Quarks & Co).

Wie immer liegt die Wahr­heit irgend­wo dazwi­schen, ich möch­te mir aller­dings trotz des im ers­ten Absatz Gesag­ten (schon alles und von jedem gesagt) noch ein paar Wor­te dazu erlauben.

Tat­säch­lich schlie­ßen etli­che Sei­ten­be­trei­ber ihr Ange­bot, wegen der Angst vor Kon­se­quen­zen, also Buß­gel­dern. Bei klei­nen Anbie­tern hal­te ich die Buß­geld­angst für unbe­rech­tigt, wenn man sich halb­wegs an die Vor­ga­ben hält. Berech­tigt ist die Angst vor Abmahn­trol­len, aber die muss man eh immer haben, wenn man irgend etwas im Web veröffentlicht.

Den­noch ist es natür­lich in hohem Maße frag­wür­dig, wenn der euro­päi­sche Gesetz­ge­ber pri­va­ten Anbie­tern oder Ver­ei­nen die­sel­ben umfang­rei­chen Aus­kunfts- und Doku­men­ta­ti­ons­pflich­ten auf­er­legt, wie Face­book, Goog­le und Co. Man kann an der Stel­le durch­aus mal laut dar­über nach­den­ken, ob sich viel­leicht gro­ße Shop­an­bie­ter oder Medi­en durch geziel­te Lob­by­ar­beit die unlieb­sa­me »klei­ne« Kon­kur­renz und den Bür­ger­jour­na­lis­mus vom Leib schaf­fen wollten.

Und auch bei den Gro­ßen ver­bes­sert sich der Daten­schutz nicht wirk­lich, denn man ver­län­gert ein­fach die Daten­schutz­er­klä­rung um alle mög­li­chen gesam­mel­ten Daten, erklärt deren Samm­lung für »not­wen­dig« und ist fein raus. Auf­grund der schie­ren Grö­ße der Fir­men haben die alle nöti­gen Res­sour­cen, um Nut­zer­an­fra­gen im Rah­men der DSGVO auf der lin­ken Arsch­ba­cke beant­wor­ten zu kön­nen, und sie haben auch eine gro­ße Rechts­ab­tei­lung, die Abmah­ner mit Links abtrop­fen lässt, sowie eine gut gefüll­te Kampf­kas­se, um gegen Abmah­nun­gen auch vor Gericht zie­hen zu können.

All das hat weder der Blog­ger von neben­an, noch der klei­ne Shop­be­trei­ber vom Umfang eines Kleingewerbetreibenden.

Hin­zu kommt: Die Behör­den sind nicht mal ansatz­wei­se auf die Umset­zung der DSGVO vor­be­rei­tet und wer­den das The­ma in abseh­ba­rer Zeit auch per­so­nell nicht bear­bei­ten kön­nen. Wenn ich mich als Bür­ger also mit einer Beschwer­de an die Behör­den wen­de, dann haben die aller Vor­aus­sicht nach auf Jah­re hin­aus nicht die Res­sour­cen, um sich um mei­ne Beschwer­de zu küm­mern: Und schon wie­der ändert sich für die gro­ßen Anbie­ter erst­mal: Gar nichts.

Klei­ner Ein­schub: Übri­gens hat sich an Stel­len, an denen mehr Daten­schutz drin­gen not­wen­dig wäre, wie bei dem erzwun­ge­nen Nackig­ma­chen vor dem Staat bei­spiels­wei­se in Sachen Hartz IV, im Hin­blick auf das baye­ri­sche Poli­zei­ge­setz oder auf irgend­wel­che Staats­tro­ja­ner nichts geän­dert. Da wer­den dann staat­li­che Inter­es­sen vor­ge­scho­ben. Oder wenn man eine Woh­nung sucht, und vor Mak­lern und Ver­mie­tern hau­fen­wei­se Din­ge offen legen muss, die die nicht im gerings­ten zu inter­es­sie­ren haben. Hier wäre ein ver­bes­ser­ter Daten­schutz tat­säch­lich im Sin­ne des Bür­gers gewesen.

Zurück zum The­ma: Dumm an der DSGVO sind in mei­nen Augen ins­be­son­de­re zwei Punk­te: Zum einen hat­te der hie­si­ge Gesetz­ge­ber von den euro­päi­schen Gesetz­ge­bern die Haus­auf­ga­be bekom­men, die Ver­ord­nung an Lan­des­ge­set­ze anzu­pas­sen, und sinn­vol­le Inter­pre­ta­tio­nen zu schaf­fen. Das haben die Arbeits­ver­wei­ge­rer von der Gro­Ko ver­säumt. Was zum einen dazu führt, dass man von Daten­schutz­be­hör­den völ­lig ande­re Aus­künf­te bekommt, als vom zustän­di­gen Innen­mi­nis­te­ri­um, was die Ver­un­si­che­rung der Bür­ger noch­mals ver­stärkt. Und letzt­end­lich sind alle Aus­sa­gen von Daten­schutz­be­hör­den und Innen­mi­nis­te­ri­um nichts wert, denn bei­de Instan­zen sind nicht für die rechts­si­che­re Aus­le­gung von Geset­zen und Ver­ord­nun­gen ver­ant­wort­lich, wenn der Gesetz­ge­ber das ver­pennt — das sind aus­schließ­lich Gerichte.

Die wer­den aller­dings Jah­re benö­ti­gen, um die hand­werk­lich an zu vie­len Stel­len äußerst frag­wür­di­ge (oder alter­na­tiv ver­mut­lich auf Lob­by­be­trei­ben nicht für Pri­vat­per­so­nen oder Klein­an­bie­ter ange­pass­te) DSGVO durch alle Instan­zen zu interpretieren.

Bis dahin bleibt Unsi­cher­heit. Die droht aller­dings nicht durch die Behör­den, denn die haben Bes­se­res zu tun, als den sprich­wört­li­chen klei­nen Blog­ger mit Buß­gel­dern zu bele­gen, son­dern aus­schließ­lich durch Massenabmahner.

Wenn ein Betrei­ber einer pri­va­ten Web­sei­te oder eines klei­nen Shops eine sol­che Abmah­nung bekommt: Nicht bezah­len, sofort zum Anwalt und die Abmah­nung abweh­ren las­sen. Denn Mas­sen­ab­mah­ner wol­len durch das Ver­sen­den von Unmen­gen von Abmah­nun­gen schnel­les Geld ver­die­nen, Wider­sprü­che machen viel zuviel Arbeit.

Auf gar kei­nen Fall soll­tet ihr euch aber der­art ver­un­si­chern las­sen, dass ihr eure Sei­te schließt, denn das wäre eine Kata­stro­phe für die Mei­nungs­frei­heit im Netz. Das kann nicht Sinn und Zweck der Ver­ord­nung sein. Eben­so wenig ist es ins­be­son­de­re aus Sicht des Daten­schut­zes sinn­voll, das eige­ne Ange­bot zu schlie­ßen und dann bei einem Daten­kra­ken wie Face­book wei­ter zu blog­gen. Denn zu einen ver­schafft ihr denen dadurch mehr Nut­zer (deren Daten abge­grif­fen wer­den), und zum ande­ren habt ihr nicht mehr die Kon­trol­le über eure Inhal­te und deren Sicht­bar­keit (die bei Face­book mit vol­ler Absicht immer schlech­ter wird, damit ihr für mehr Sicht­bar­keit zahlt). Und der Sei­ten­be­trei­ber Face­book kann eure Inhal­te mit faden­schei­ni­gen Grün­den wahl­los sper­ren. Behal­tet eure eige­ne Sei­te, die Gefah­ren sind mit einer kor­rek­ten Daten­schutz­er­klä­rung, wie man sie bei­spiels­wei­se beim Rechts­an­walt Schwen­ke gene­rie­ren las­sen kann, äußerst über­schau­bar und das ist alle­mal bes­ser, als sich auf Gedeih und Ver­derb Anbie­tern wie Face­book auszuliefern.

Lasst euch nicht von den Spin­nern, die über Buß­gel­der in Mil­lio­nen­hö­he schwa­dro­nie­ren, kir­re machen.

Lasst euch nicht aus dem Web vertreiben.