DSGVO und Webseiten – Ich habe fertig …

Wenige Tage vor dem Ende der Übergangsfrist zum 25.5.2018 entfaltet die DSGVO vielfältigen erhöhten Blutdruck, Märchen und Mythen und vor allem viel Unsicherheit.

Um alles zu verstehen, ist man wohl besser Jurist und Informatiker (das „UND“ ist hier als ein mathematisch logisches UND gemeint, also „Jurimatiker“). Aber auch die Fachleute geben unterschiedliche Auskünfte, da es wohl einigen Interpretationsspielraum gibt (den erst die Gerichte präzisieren werden), die Bundesregierung ein mögliches „Ausführungsgesetzt“ nicht gemacht hat und die neue europäische ePrivacy-Ordnung noch fehlt. So weit, so schlecht.

Will man nun als Blogger, Webseitenbetreiber oder Fotograf weiter online präsent sein (und ist dies nicht ausschließlich im privaten oder familiären Sinne), muss man sich überlegen, ob man cool auf die ersten Gerichtsurteile wartet oder auf die Fertigstellung der ePrivacy-Ordnung. Man kann auch darauf setzt, dass man nicht erwischt wird oder man kann sich nach bestem Wissen absichern. Ich versuche mich mal abzusichern.

Prinzipiell ist die DSGVO ja auch ein richtiger Schritt. Konzerne wir Facebook, google und andere sammeln Massen an Daten von uns, die wir ja (dumm) freiwillig hergeben und erfinden daraus immer neue Geschäftsmodelle. Die Intelligenz und Erfahrung der Menschheit lehrt uns, dass das nicht gut für die Mehrheit der Menschen endet.

„Wie das Gold den Durst nach Golde,
Mehrt der Ruhm die Gier der Degen,
Denn je mehr die Menschen dürfen,
Desto dreister wird ihr Mögen.“
(
Friedrich Wilhelm Weber, aus Dreizehnlinden)

In den letzten Monaten sind viele „Skandale“ rund um das Thema „Daten“ passiert, die tatsächlich in der Öffentlichkeit wahrgenommen wurden (Cambridge Analytica und Facebook, Strava’s Heatmap und das US-Militär). Staaten wie China zeigen mit ihrer Umsetzung des Citizen Score noch ganz andere Möglichkeiten des Missbrauchs von Daten auf, die unsere freie demokratische Gesellschaft bedrohen.
Bei uns ist z.B. der kritische Punkt im Bereich der Versicherungswirtschaft und der Gesundheitsversorgung/-finanzierung bereits erreicht, was aber kaum jemanden in diesem Land stört, weil es den meisten Menschen immer noch nicht klar ist, wie sie Teil dieses Systems sind und es durch ihr Verhalten (Social-Media und Konsum) oft erst möglich machen.

Also, widmen wir der Idee eines besseren Datenschutzes doch mal einen positiven Gedanken. Dazu gehört dann auch, dass ich als „Datensammler“ (auch wenn ich ganz unwichtig bin und nur gute Absichten habe) die erhobenen persönlichen Daten ordentlich behandele oder besser gar nicht erst erhebe.
Deshalb habe ich mich an die „Verbesserung“ meiner Webseite gemacht. Hierfür habe ich einen Workshop besucht, unzählige Webartikel gelesen, mich mit KollegInnen ausgetauscht und einen Podcast gehört. Herausgekommen ist dabei folgende Checkliste (die Erklärungen sind nicht technisch präzise, sondern sollen eher auch dem technischen Laien eine Vorstellung vermitteln):

  • https – SSL-Verschlüsselung
    Immer dann, wenn persönliche Daten übertragen werden können, z.B. in einem Kontaktformular, sollte die Verbindung zur Webseite „gesichert“ sein. Das hierzu verwendete Protokoll zum Seitenaufruf nennt sich „https“ im Gegensatz zum unverschlüsselten „http-Aufruf“. Dies gilt allerdings auch schon nach bisheriger Vorschrift. Nun ist der Zeitpunkt gut, dies nochmal zu prüfen.
  • http referrer policy
    Normalerweise übergibt der Browser beim Aufruf einer neuen Webseite, die Adresse von der Webseite von der man kommt. Das sollte unterbunden werden. Dazu kann man html-Code in die Webseite einfügen.
  • Cookies
    Cookies sind kleine Dateien, die beim Besuch einer Webseite auf die Festplatte des eigenen Computers geschrieben werden und später wieder ausgelesen werden können. Manche von jeder Webseite, manche nur von bestimmten. Darauf muss man den Kunden hinweisen, damit er die Cookies z.B. ablehnen oder nach der Sitzung löschen kann.
  • Zugriffsstatistikprogramme
    Fast jede Webseite misst ihre Zugriffszahlen. Dabei werden Mengen an Daten gespeichert. Nicht alles ist zulässig. Auf jeden Fall muss darüber aufgeklärt werden und es Bedarf eines Auftragsdatenverarbeitungsvertrages mit dem Dienstleister. Weiterhin sollte den Besuchern erklärt werden, wie sie Auskunft über die gesammelten Daten bekommen und wie sie diese löschen lassen können. Dies gilt für alle anderen Punkte im Folgenden, wo Daten von fremden Dritten gespeichert werden.
  • Spamschutz
    Um Spam zu erkennen, werden vom Dienstleister Daten über den Absender eines Kommentars gespeichert und dieser wird klassifiziert. Darüber muss aufgeklärt werden und es müssen ebenfalls alle Maßnahmen für externe Dienstleister getroffen werden.
  • Kommentare
    Bei Kommentaren sollte darauf geachtet werden, dass nur die unbedingt notwendigen Informationen abgefragt und gespeichert werden. Viele Blog-Systeme speichern in ihrer Datenbank nicht nur die Felder aus dem Kommentarformular, sondern auch die IP-Adresse des Rechners, von dem der Kommentar abgeschickt wurde. Dies lässt sich entweder komplett unterdrücken oder die IP-Adresse so kürzen, dass kein Personenbezug mehr möglich ist. Was mit den Daten passiert und ob diese eventuell extern verarbeitet werden, muss natürlich in der Datenschutzerklärung aufgeführt werden.
  • Gravatar
    Gravatar ist ein Dienst bei welchem man ein Avatar (Bild) von sich hinterlegen kann, der dann automatisch bei z.B. WordPress eingebunden wird. Bei Verwendung ist ein Hinweis nötig, ein Auftragsdatenverarbeitungsvertrag mit allen anderen Folgen bei externen Dienstleistern.
  • Google Fonts/Adobe Typekit etc. checken und ggf. austauschen
    Viele Themes auf Webseiten benutzen google Fonts (Schriftarten) oder ähnliche Dienste. Mit der Einbettung in die Webseite wird ein Tracking von z.B. google ausgelöst. Dieses muss entweder wieder benannt, erklärt und geregelt werden oder man entfernt die entsprechenden Fonts oder speichert sie lokal.
  • Social Media checken, 2-Button-Lösung oder deinstallieren
    Social-Media-Buttons von z.B. Facebook, twitter etc. tracken automatisch die Besucher der eigenen Seite. Dies ist nicht zulässig. Es gibt eine sogenannte „2-Button-Lösung“, welche das Tracking erst nach dem ersten Klick auf den Social-Media-Button auslöst. Dabei gibt der Nutzer die „Zustimmung“, dass er getrackt werden will. Alles muss natürlich in der Datenschutzerklärung genau beschrieben werden.
  • google-Adwords, Amazon-Affiliate oder ähnliche Dienste
  • Alle diese Dienste übergeben persönliche Daten im Hintergrund. Es ist zu verfahren wie bei Zugriffsstatistiken.
  • Einbindung von YouTube
    Eingebundene Videos tracken die Besucher der Webseite. Man kann im „Einbindungscode“ dies verhindern, bis endgültig das Video abgespielt wird. Auch dies muss sich in der Datenschutzerklärung wiederfinden.
  • Newsletter Anmeldung
    In der Newsletteranmeldung muss ausdrücklich auf das Tracking, die Protokollierung, den Dienstleister etc. im Rahmen von Newslettern hingewiesen werden. Ebenso muss die Abmeldung und Löschung der erhoben persönlichen Daten erklärt werden. Auftragsdatenverarbeitungsvertrag versteht sich ja mittlerweile von selbst 😉
  • Server Logfiles
    Jeder Server einer Webseite protokolliert Daten über die Besucher. Dies muss erklärt werden und eine Löschfrist ist anzugeben. Natürlich gilt wieder Erklärung der Auskunft, Löschung etc.
  • Datenschutzerklärung/Impressum
    Die Datenschutzerklärung und das Impressum müssen auf einen Klick erreichbar sein, wenn die Seite aufgerufen wird. In der Datenschutzerklärung muss alles oben genannte aufgeführt sein. Ebenso braucht es einige Formalien wie verantwortlicher Ansprechpartner, Adresse, Telefon, E-Mail etc.
  • Auftragsdatenverarbeitungsverträge
    Mit allen Dienstleistern, die Daten erhalten, verarbeiten oder klassifizieren braucht man einen Auftragsdatenverarbeitungsvertrag.
  • Verfahrensverzeichnis
    Alle Belange des Datenschutzes rund um die Webseite müssen im Verfahrensverzeichnis beschrieben werden.

Alle aufgeführten Punkte sind aus der Perspektive der Vorsicht betrachtet und werden vielleicht später mit der ePrivacy-Ordnung oder durch Gerichtsurteile obsolet. Jeder muss also selbst einschätzen, was er an seiner Webseite für Optimierungen vornehmen möchte.

Dies ist keine Rechtsberatung, sondern ein Erfahrungsbericht aus dem realen Leben und kann natürlich Fehlinterpretationen und -einschätzungen enthalten. Es muss jeder selbst entscheiden und eine Abwägung aller Interessen durchführen. Ich optimiere nun meine Webseite weiter.

Interessante Links zu den Themen:

Podcast zum Thema DSGVO in Folge 54 und 55

Einbinden von YouTube-Videos

Blogbeitrag von content IQ

Datenschutz Generator Dr.Schwenke

2-Klick-Button-Lösung für Social Media

Erfahrungsbericht eines Lehrers mit der Schulhomepage

Und nun noch ein kurzes Wort zur digitalen Fotografie von Menschen. Man kann die Auffassung teilen, dass das Erstellen eines Fotos mit erkennbaren Personen darauf den Regelungen über das Speichern persönlicher Daten im Sinne der DSGVO unterliegt. Das träfe dann alle Aufnahmen, die nicht rein familiär oder persönlich sind. Eine öffentlicher Instagram- oder Facebookaccount, eine eigene Webseite ohne Zugangsregelung etc. würden schon nicht mehr als persönlich/familiär gelten. Ergo, bräuchte der Fotograf, der nicht in einer Eigenschaft als hauptberuflicher Pressefotograf agiert, eine Einwilligung der Personen oder müsste eine Abwägung der Interessen der Aufgenommenen auf Schutz ihrer persönlichen Daten und dem wie auch immer gelagerten eigenen Interesse als Fotografen vornehmen, welche dann in einer Entscheidung für oder gegen die Aufnahmen des Fotos müdet. Hier steige ich jetzt mal aus und habe fertig …

Interessante Links:

DSGVO für Fotografen

Hamburger Datenschutzbehörde zum Fotografieren von Menschen in der Menge

__________
Bild: CC0 – www.pixabay.com

Danke an @DerLinkshaender für weitere gute Anemerkungen.

Rückblick auf die Pause

Die letzten zweieinhalb Jahre habe ich diesen Blog aus verschiedenen Gründen Ruhen lassen. Meine ganze Zeit habe ich den Erweiterten Lernwelten gewidmet. Was das ist, könnt ihr in den Videos sehen.

 

Wir konnten viel erreichen. In den Volkshochschulen gibt es nun ein grundlegendes Verständnis darüber, dass unsere Gesellschaft in einem deutlichen Wandel steht und das Technologie und Digitalisierung hier eine große Rolle spielt. Darauf reagieren wir.
Wichtig bei diesem Prozess ist, dass wir immer wieder klar sehen, dass es nicht um einen Technikhype geht. Es geht vielmehr darum, allen Menschen in diesem Land auch in einer zukünftig veränderten Gesellschaft, Teilhabe und Mitbestimmung zu sichern. Für Bildung gilt daher der Leitsatz:

Wir müssen nicht Bildung digitalisieren, sondern mit Bildung eine Antwort auf eine sich digitalisierende Gesellschaft geben!

 

Deutschland und seine Volkshochschulen: Erweiterte Lernwelten – ARD-alpha

Netzneutralität – ein verschenktes Gut

Vielen Menschen in Deutschland ist der Begriff „Netzneutralität“ fremd. Das ist sehr schade. Netzneutralität beschreibt den notwendigen Zustand des Internets als Transportmittel für Inhalte, die jeden, der etwas transportieren, teilen oder publizieren möchte, gleich behandelt. Jeder Content hat die gleich Priorität. Das ist Grundlage für ein freies, demokratisches Netz.

Man mag nun glauben, dass das ja nicht so schlimm sei und man auch gut ohne Internet leben kann. Diese Annahme ist schlichtweg falsch und fahrlässig.

Wir telefonieren heute alle über das Internet. Auch der eventuell lebensnotwendige Notruf läuft über das Internet. Wir kaufen ein, buchen Reisen, bestellen Rezepte und ganz entscheidend: Wir informieren uns über vielerlei Dinge im Internet! Das mag bei Produktinformationen vernachlässigbar klingen, bei Informationen über Politik und relevanten Nachrichten hingegen ist dies eine Katastrophe. In einem nicht neutralen Netz, werden die Inhalte schneller, besser oder ausschließlich transportiert, die teurer bezahlt werden. Das kann nicht in unserem Sinne sein!

Wird die Netzneutralität aufgeweicht, verlieren wir ein Stück des selbstbestimmten Grundrechts auf Teilhabe und Gestaltung an Gesellschaft, Arbeit und Privatleben. Zukünftig werden immer mehr Dinge über das Internet abgewickelt. Steuererklärung, Krankenkassenabrechnung, Bankgeschäfte, ärztliche Diagnosen, politische Meinungsbildung oder Bildungsangebote sind nur wenige Punkte, die zentrale für ein selbstverantwortetes Menschenleben sind.

Das Jahr 2015 war ein schlechtes Jahr für die Netzneutralität. Das EU-Parlament hat die deutliche Aufweichung der Netzneutralität beschlossen. Zukünftig können für bestimmte Dienste zusätzliche Gebühren berechnet werden. Die Abgrenzung der „bestimmten Dienste“ wird aber zu Problemen führen. Das ist jetzt schon zu sehen.

Netzneutralität ist eine wichtige Grundlage für eine freie und demokratische Gesellschaft. Wir haben durch Desinteresse und Unwissenheit begonnen diese zu verschenken. Wir werden die Konsequenzen tragen. Grundbildung hat in diesem Sektor auf ganzer Linie versagt. Ich hoffe auf ein besseres Jahr 2016!

 

Heirat bei Big Datas

Es war irgendwie zu erwarten. Einer der Großen kauft WhatsApp. Jetzt ist es Facebook geworden, nachdem google wohl abgeblitzt war. Angeblich 14 Milliarden Euro wechseln die Besitzer. Einige hunderte Millionen Nutzer von WhatsApp gehören jetzt Facebook. Beide sagen: WIR WOLLEN DIE WELT VERBINDEN!!!

Just an dem Tag der Bekanntgabe hielt ich einen Vortrag in Neumünster beim Landesverband der Volkshochschulen in Schleswig-Holstein über die Volkshochschule der Zukunft, über das Web als Lernraum und die Bedeutung von Social Media im Vernetzungs- und Lernprozess. An diesem Tag wurde ich einige Male zu meiner Einschätzung der Dinge gefragt.

Was an WhatsApp ist 14 Milliarden Euro wert? Angeblich ein paar schlaue Köpfe, die jetzt für Facebook arbeiten und es gehe um strategische Ausrichtungen, um Marktvorherrschaft am schnell wachsenden Messenger-Markt – alles Analystenchichi. Es geht um Daten, nur um Daten.

Wie sieht das Geschäftsmodell von Facebook aus, welches mit dem Zukauf von WhatsApp, die Investition von 14 Milliarden Euro wieder erwirtschaftet und irgendwann Gewinne bringt? Facebook ist ein börsennotiertes Unternehmen, die Shareholder wollen doch Value.

O.k., wir wissen, dass Facebook mit Werbung Geld verdient, mit passgenauer Werbung. Durch Anlegen und Auswerten von Nutzerprofilen, können sie der Wirtschaft „effektive“ Werbeflächen verkaufen. Sie können aufgrund ihres Wissens über die Nutzer gezielt Männer und Frauen, Junge oder Alte, Dicke und Dünne, Heterosexuelle oder Homosexuelle, Reiche und Arme, Autofreaks, Kranke, Menschen mit Liebeskummer, Singels oder Verheiratete mit Eheproblemen ansprechen. Woher wissen sie das alles über uns? Unsere Freunde, Bekannte und wir selbst haben es ihnen geschenkt.

Was ist an den Daten von WhatsApp nun so interessant für Facebook? Eine halbe Milliarde Telefonbücher aus Handys verbessern das Spiel „Wer kennt wen?“ erheblich. Häufig kommunizieren Menschen auf WhatsApp mit ihrer Peergroup, d.h. WhatsApp-Nutzer lassen sich leicht klassifizieren: Schüler, Arbeitslose, Ausländer, Student, Reiche, Homosexuelle – die paar, die in der falschen Gruppe sind, spielen statistisch gesehen in der Werbung keine Rolle.

Noch interessanter als das bloße „Wer kennt wen?“ sind die Themen über die sich WhatsApp-Nutzer privat unterhalten haben. Liebeskummer, Ärger mit dem Chef, Streit mit der Frau, die erste Periode, Firmeninternas, Geldprobleme, Depressionen, Mobbing, Wünsche und verwegene Träume. Hinzu kommen jetzt die Datenbestände von Facebook: Freunde, Fotos, Aufenthaltsorte, Vorlieben für Musik, Filme, Essen, Bücher, Kleidergeschäfte und Technikfirmen. Es finden sich politische Statements, Parteizugehörigkeit, Hobbys, Selbsthilfegruppen, Berufsausbildung, Schulbildung oder Arbeitgeber. So entstehen Bilder von Menschen in Datenbanken, vornehmlich von denen, die dabei sind, aber auch von denen über die gesprochen wird – Datenbestände von Menschen, die selbst weder Facebook noch WhatsApp benutzen. Über manche in Facebook und WhatsApp sehr aktive Menschen weiß Facebook nun mehr als irgendeine echte Person auf der Welt. Sie wissen, wer die Menschen sind. Das wird auch andere interessieren.

O.k. – wen stört das? Realistisch gesehen niemand. Jeden Tag kommen über 1 Million neue WhatsApp-oder Facebook-Nutzer hinzu. THEY CONNECT THE WORLD!!!

FUCKING WOUNDERFUL

to be continued

 

Datenschutz im Internet

Es wird viel über Datenschutz diskutiert. Einiges wird in diesem Zusammenhang gerne vermischt und trägt hysterische Züge. Ich denke, wir leben in einer quasi „Post-Privacy-Ära“. Die scheinbare Privatsphäre im Internet, die der Staat und die Gesellschaft immer suggeriert oder versprochen hat, die gibt es nicht und die gab es wohl auch nie so, wie die Menschen sich das vorgestellt haben.

In den letzten Monaten ist deutlich geworden, dass der Staat eindeutig definiert hat, dass das Interesse des Staates am Denken, Tun und Handeln des einzelnen Bürgers aus sicherheitspolitischen Gründen größer ist, als das Interesse die Privatsphäre des Einzelnen zu schützen. Punkt! Damit müssen wir nun Leben!

Dies unterscheidet sich gar nicht zu sehr von der bisherigen Auffassung des Staates. Nur die Technik macht es nun möglich, dieses Ansinnen umzusetzen. Darauf müssen wir uns einstellen.

Neben dem Staat gibt es aber auch private Unternehmen, die ähnliche Möglichkeiten haben Profile von Menschen anzulegen. Sie bekommen die Daten freiwillig von den Bürgern und nutzen sie zu geschäftlichen Zwecken (facebook, google und Co).

Betrachtet man die Masse der Menschen, die Daten freiwillig im Netz posten und erkennt man, dass das Thema Datenschutz bei der letzten Bundestagswahl für die Menschen ÜBERHAUPT keine Rolle gespielt hat (in Bezug auf ihre Wahlentscheidung und das was Parteien zu dem Thema sagten), dann muss man leicht zum Schluss kommen, dass entweder viele Menschen das Thema für unveränderlich halten oder es ihnen egal ist.

In beiden Fällen hilft nur die Bürger kompetent zu machen, um mit der Öffentlichkeit des Internets richtig umzugehen. Dies ist ein schöner Auftrag für die Volkshochschulen: Medienkompetenz der Bürger steigern. Besonders Eltern sind gefordert die Mechanismen des Netzes und von Social-Media verstehen zu lernen, damit sie ihre Kinder beraten und beaufsichtigen können, so wie es das Gesetzt verlangt. Alles andere ist verantwortungslos!

Jetzt im Herbst 2013 findet gerade der „vhsMOOC – Wecke den Riesen auf“ statt. Dort bin ich einer der Gastgeber und habe mit Martin Lindner, einem der deutschen Weblern- und Social-Media-Experten, die Diskussion Datenschutz aufgegriffen und wir haben in einem kleinen Gespräch versucht die Aspekte zu sortieren und Fragen zu formulieren. Anfangs geht es um die Bedingungen des vhsMOOCs, danach werden wir grundsätzlicher 😉 Ihr könnt gerne die ersten 10 Minuten überspringen 😉 Es stellen sich zum Beispiel die Fragen, welche Vorteile hat die „Offenheit“ im Netz für Bildungsprozesse? Ist Social-Media mit seinen Möglichkeiten grundsätzlich gefährlich?

[youtube=http://www.youtube.com/watch?v=xjkDgRrvPuw&w=560&h=315]

Die wahre Beteiligung an der digitalen Gesellschaft ist das Blog

Mein persönliches Blog starte ich heute im winterlichen März 2013, weil ich denke, dass es Zeit wird sich persönlich in der digitalen Welt zu engagieren und einen Platz in der „Netzgemeinde“ zu besetzen. Ich habe mich einige Jahre mit der Bürgergesellschaft und dem Engagement des Einzelnen im Gemeinwesen beschäftigt. Im analogen Leben habe ich meinen Platz gefunden. Nun wird es Zeit mit der Platzsuche im digitalen Leben, denn ich habe verstanden, dass analoges und digitales Leben eine reale Einheit werden (sind). Für ein Blog habe ich mich u.a. auch entschieden, weil ICH hier machen kann, was ich WILL. Getreu den Mottos von Sascha Lobo: „Bürger zu Bloggern, das Blog ist die digitale Stimme des Einzelnen“ und „Blogs sind die Seele von Social Media“, welches er sehr schön in diesem Artikel beschreibt, bin ich nun hier – und Ihr müsst mich ertragen 🙂

Wer Lust hat kann mein Blog ja abonnieren und in mäßigen Abständen gemischte Gedanken zwischen Gesellschaft, Lernen und Fotografie hier lesen. Ich würde mich freuen!