DSGVO: Erste Hilfe beim Ausschluss von Europäern durch US-Webseiten

DSGVO: Erste Hilfe beim Ausschluss von Europäern durch US-Webseiten

Wie Hei­se heu­te mel­det, pas­siert gera­de genau das, was bereits befürch­tet wor­den war: Weil sie kei­ne Lust haben, kon­form zur DSGVO zu sein, oder Kon­se­quen­zen fürch­ten, haben US-Web­sei­ten (aktu­ell die von Zei­tun­gen) damit ange­fan­gen, Nut­zer aus dem euro­päi­schen Raum anhand ihrer IP-Adres­se zu blo­ckie­ren. Das dürf­te nur der Anfang sein, ver­mut­lich wer­den noch vie­le wei­te­re inter­na­tio­na­le Web­an­ge­bo­te dazu über­ge­hen, das­sel­be zu tun. Auch hier zeigt sich wie­der mal eins der zahl­lo­sen Defi­zi­te einer hand­werk­lich schlecht gemach­ten Ver­ord­nung, die so tut, als gäbe es im Inter­net nur Euro­pa.

Doch Hil­fe ist nah. Will man die Sei­ten wie­der sehen, muss man halt eine IP-Adres­se haben, die aus dem nicht-euro­päi­schen Raum kommt. Das ist simp­ler, als man viel­leicht den­ken mag:

Zum einen kann man im Brow­ser eine Pro­xy-Erwei­te­rung nut­zen. Die lei­tet bei Akti­vie­rung die Anfra­gen über einen Pro­xy-Ser­ver, der dazu führt, dass die von außen erkenn­ba­re eige­ne IP-Adres­se aus einem Land außer­halb der EU kommt, für Web­sei­ten­an­bie­ter aus den USA ist das schlau­er­wei­se eine aus den Ver­ei­nig­ten Staa­ten. Man soll­te sich dar­über im Kla­ren sein, dass so ein Pro­xy-Anbie­ter die über den Ser­ver gelei­te­ten Anfra­gen und Daten sehen könn­te, solan­ge die nicht SSL-ver­schlüs­selt sind. Man soll­te sich also für ein Plug­in von einem seriö­sen Anbie­ter ent­schei­den. Eine Goog­le-Suche hilft hier wei­ter (bei­spiels­wei­se: Pro­xy-Plug­in Brow­ser­na­me).

Die ande­re Alter­na­ti­ve ist die Nut­zung eines VPN-Dienst­leis­ters. Die bie­ten einen Ser­vice, bei dem man sich mit einer Cli­ent­soft­ware an eben einem VPN (Vir­tu­al Pri­va­te Net­work) anmel­det, durch das danach die Daten des Inter­net­ver­kehrs getun­nelt wer­den. Der Effekt ist danach der­sel­be: Man surft mit einer IP aus einem ande­ren Land. Hier gilt das­sel­be wie für Pro­xies: Der Anbie­ter soll­te ver­trau­ens­wür­dig sein. Auch hier hilft eine Goog­le-Suche wei­ter.

Ein wei­te­rer posi­ti­ver Neben­ef­fekt ist, dass die »ech­te« eige­ne IP-Adres­se auf die­se Wei­se nicht mehr erkenn­bar ist.

Für weni­ger tech­ni­kaf­fi­ne Nut­zer dürf­te die ers­te Vari­an­te mit einer Brow­ser-Erwei­te­rung via Pro­xy-Ser­ver die deut­lich ein­fa­cher umzu­set­zen­de Vari­an­te sein. Die VPN-Vari­an­te hat den Vor­teil, dass man dar­über auch ande­re Ange­bo­te nut­zen kann, die per Geo­lo­ca­ti­on via IP für Nut­zer aus ande­ren Län­dern gesperrt sind.

Die DSGVO — Aufzucht und Hege

In den ver­gan­ge­nen Woche ist nun wirk­lich von so ziem­lich jedem schon alles über die DSGVO gesagt wor­den, sogar mehr­fach.

Das reich­te von der Panik­ma­che durch vor­geb­li­che Dienst­leis­ter, die dem Sei­ten­be­trei­ber die düs­ters­ten Sze­na­ri­en aus­mal­ten und Panik aktiv schür­ten, nur um dann ihren »Ser­vice« ver­kau­fen zu kön­nen, über die übli­chen Schlau­ber­ger im Web die von nichts Ahnung aber zu allem eine Mei­nung haben (auf Face­book treibt das kurio­se Blü­ten), bis hin zu den­je­ni­gen, die kom­plett abwie­gel­ten, und der Ansicht sind »das wird schon alles nicht so schlimm kom­men«. Am Ran­de könn­te man noch erwäh­nen, dass auch die Medi­en ent­we­der bei der Panik­ma­che dabei waren, oder Alter­na­tiv die DSGVO völ­lig kri­tik­los für das Bes­te seit der Ein­füh­rung des But­ter­brots hal­ten (ich schaue euch an, Quarks & Co).

Wie immer liegt die Wahr­heit irgend­wo dazwi­schen, ich möch­te mir aller­dings trotz des im ers­ten Absatz Gesag­ten (schon alles und von jedem gesagt) noch ein paar Wor­te dazu erlau­ben.

Tat­säch­lich schlie­ßen etli­che Sei­ten­be­trei­ber ihr Ange­bot, wegen der Angst vor Kon­se­quen­zen, also Buß­gel­dern. Bei klei­nen Anbie­tern hal­te ich die Buß­geld­angst für unbe­rech­tigt, wenn man sich halb­wegs an die Vor­ga­ben hält. Berech­tigt ist die Angst vor Abmahn­trol­len, aber die muss man eh immer haben, wenn man irgend etwas im Web ver­öf­fent­licht.

Den­noch ist es natür­lich in hohem Maße frag­wür­dig, wenn der euro­päi­sche Gesetz­ge­ber pri­va­ten Anbie­tern oder Ver­ei­nen die­sel­ben umfang­rei­chen Aus­kunfts- und Doku­men­ta­ti­ons­pflich­ten auf­er­legt, wie Face­book, Goog­le und Co. Man kann an der Stel­le durch­aus mal laut dar­über nach­den­ken, ob sich viel­leicht gro­ße Sho­p­an­bie­ter oder Medi­en durch geziel­te Lob­by­ar­beit die unlieb­sa­me »klei­ne« Kon­kur­renz und den Bür­ger­jour­na­lis­mus vom Leib schaf­fen woll­ten.

Und auch bei den Gro­ßen ver­bes­sert sich der Daten­schutz nicht wirk­lich, denn man ver­län­gert ein­fach die Daten­schutz­er­klä­rung um alle mög­li­chen gesam­mel­ten Daten, erklärt deren Samm­lung für »not­wen­dig« und ist fein raus. Auf­grund der schie­ren Grö­ße der Fir­men haben die alle nöti­gen Res­sour­cen, um Nut­zer­an­fra­gen im Rah­men der DSGVO auf der lin­ken Arsch­ba­cke beant­wor­ten zu kön­nen, und sie haben auch eine gro­ße Rechts­ab­tei­lung, die Abmah­ner mit Links abtrop­fen lässt, sowie eine gut gefüll­te Kampf­kas­se, um gegen Abmah­nun­gen auch vor Gericht zie­hen zu kön­nen.

All das hat weder der Blog­ger von neben­an, noch der klei­ne Shop­be­trei­ber vom Umfang eines Klein­ge­wer­be­trei­ben­den.

Hin­zu kommt: Die Behör­den sind nicht mal ansatz­wei­se auf die Umset­zung der DSGVO vor­be­rei­tet und wer­den das The­ma in abseh­ba­rer Zeit auch per­so­nell nicht bear­bei­ten kön­nen. Wenn ich mich als Bür­ger also mit einer Beschwer­de an die Behör­den wen­de, dann haben die aller Vor­aus­sicht nach auf Jah­re hin­aus nicht die Res­sour­cen, um sich um mei­ne Beschwer­de zu küm­mern: Und schon wie­der ändert sich für die gro­ßen Anbie­ter erst­mal: Gar nichts.

Klei­ner Ein­schub: Übri­gens hat sich an Stel­len, an denen mehr Daten­schutz drin­gen not­wen­dig wäre, wie bei dem erzwun­ge­nen Nackig­ma­chen vor dem Staat bei­spiels­wei­se in Sachen Hartz IV, im Hin­blick auf das baye­ri­sche Poli­zei­ge­setz oder auf irgend­wel­che Staats­tro­ja­ner nichts geän­dert. Da wer­den dann staat­li­che Inter­es­sen vor­ge­scho­ben. Oder wenn man eine Woh­nung sucht, und vor Mak­lern und Ver­mie­tern hau­fen­wei­se Din­ge offen legen muss, die die nicht im gerings­ten zu inter­es­sie­ren haben. Hier wäre ein ver­bes­ser­ter Daten­schutz tat­säch­lich im Sin­ne des Bür­gers gewe­sen.

Zurück zum The­ma: Dumm an der DSGVO sind in mei­nen Augen ins­be­son­de­re zwei Punk­te: Zum einen hat­te der hie­si­ge Gesetz­ge­ber von den euro­päi­schen Gesetz­ge­bern die Haus­auf­ga­be bekom­men, die Ver­ord­nung an Lan­des­ge­set­ze anzu­pas­sen, und sinn­vol­le Inter­pre­ta­tio­nen zu schaf­fen. Das haben die Arbeits­ver­wei­ge­rer von der Gro­Ko ver­säumt. Was zum einen dazu führt, dass man von Daten­schutz­be­hör­den völ­lig ande­re Aus­künf­te bekommt, als vom zustän­di­gen Innen­mi­nis­te­ri­um, was die Ver­un­si­che­rung der Bür­ger noch­mals ver­stärkt. Und letzt­end­lich sind alle Aus­sa­gen von Daten­schutz­be­hör­den und Innen­mi­nis­te­ri­um nichts wert, denn bei­de Instan­zen sind nicht für die rechts­si­che­re Aus­le­gung von Geset­zen und Ver­ord­nun­gen ver­ant­wort­lich, wenn der Gesetz­ge­ber das ver­pennt — das sind aus­schließ­lich Gerich­te.

Die wer­den aller­dings Jah­re benö­ti­gen, um die hand­werk­lich an zu vie­len Stel­len äußerst frag­wür­di­ge (oder alter­na­tiv ver­mut­lich auf Lob­by­be­trei­ben nicht für Pri­vat­per­so­nen oder Klein­an­bie­ter ange­pass­te) DSGVO durch alle Instan­zen zu inter­pre­tie­ren.

Bis dahin bleibt Unsi­cher­heit. Die droht aller­dings nicht durch die Behör­den, denn die haben Bes­se­res zu tun, als den sprich­wört­li­chen klei­nen Blog­ger mit Buß­gel­dern zu bele­gen, son­dern aus­schließ­lich durch Mas­sen­ab­mah­ner.

Wenn ein Betrei­ber einer pri­va­ten Web­sei­te oder eines klei­nen Shops eine sol­che Abmah­nung bekommt: Nicht bezah­len, sofort zum Anwalt und die Abmah­nung abweh­ren las­sen. Denn Mas­sen­ab­mah­ner wol­len durch das Ver­sen­den von Unmen­gen von Abmah­nun­gen schnel­les Geld ver­die­nen, Wider­sprü­che machen viel zuviel Arbeit.

Auf gar kei­nen Fall soll­tet ihr euch aber der­art ver­un­si­chern las­sen, dass ihr eure Sei­te schließt, denn das wäre eine Kata­stro­phe für die Mei­nungs­frei­heit im Netz. Das kann nicht Sinn und Zweck der Ver­ord­nung sein. Eben­so wenig ist es ins­be­son­de­re aus Sicht des Daten­schut­zes sinn­voll, das eige­ne Ange­bot zu schlie­ßen und dann bei einem Daten­kra­ken wie Face­book wei­ter zu blog­gen. Denn zu einen ver­schafft ihr denen dadurch mehr Nut­zer (deren Daten abge­grif­fen wer­den), und zum ande­ren habt ihr nicht mehr die Kon­trol­le über eure Inhal­te und deren Sicht­bar­keit (die bei Face­book mit vol­ler Absicht immer schlech­ter wird, damit ihr für mehr Sicht­bar­keit zahlt). Und der Sei­ten­be­trei­ber Face­book kann eure Inhal­te mit faden­schei­ni­gen Grün­den wahl­los sper­ren. Behal­tet eure eige­ne Sei­te, die Gefah­ren sind mit einer kor­rek­ten Daten­schutz­er­klä­rung, wie man sie bei­spiels­wei­se beim Rechts­an­walt Schwen­ke gene­rie­ren las­sen kann, äußerst über­schau­bar und das ist alle­mal bes­ser, als sich auf Gedeih und Ver­derb Anbie­tern wie Face­book aus­zu­lie­fern.

Lasst euch nicht von den Spin­nern, die über Buß­gel­der in Mil­lio­nen­hö­he schwa­dro­nie­ren, kir­re machen.

Lasst euch nicht aus dem Web ver­trei­ben.