Die Datenschutzgrundverordnung (DSGVO) kommt am 25. Mai 2018 auf uns alle zu. Die Neuregelungen den Datenschutz betreffend sind von allen gleichermaßen gefürchtet – von Unternehmern, Organisationen, Webseitenbetreibern, Werbeagenturen, die Kunden-Websites betreuen, Webentwickler, die in Werbeagenturen arbeiten, welche Kunden-Websites betreuen und von allen anderen die irgendwie damit zu tun haben.
Datenschutz im Internet ist wichtig
Eine Sache vorab: Der Datenschutz ist eine wichtige Sache und der Grundsatz, welcher mit der DSGVO erreicht werden soll, ist ja erstmal nicht schlecht. Es geht viel um Transparenz und es ist einfach ein wichtiges Thema, allerdings scheinen diese Gesetze von Menschen erlassen worden zu sein, die vom Internet nicht sonderlich viel verstehen. Die Datenschutzgrundverordnung geht ja eigentlich noch viel viel weiter und hat massive Auswirkungen auf die innerbetrieblichen Abläufe eines jeden Unternehmens. Ich möchte mich im Folgenden aber erstmal auf die Auswirkungen für das Web begrenzen. Als Hinweis noch die Info, dass ich hier keine rechtssichere Auskunft geben kann. Ich bin kein Anwalt, ich bin Webmensch und bin einfach unzufrieden mit dieser Verordnung.
Meiner Meinung nach ist das Grundproblem die verschiedenen Interessen und Fähigkeiten der Beteiligten:
Technische Sicht: Die DSGVO und der Webentwickler
Ich zum Beispiel bin einer von diesen Webentwicklern bzw. Webdesignern, die in einer Werbeagentur arbeiten, welche schon unzählige Homepages für Unternehmen erstellt hat und größtenteils aktiv betreut. Ich sehe die DSGVO damit als Aufgabe, welche ich umsetzen muss. Ich stehe den Unternehmen mit technischem Rat und der passenden Umsetzung zur Seite. Das kann ein angepasstes Tracking-Skript sein, eine Optimierung von Funktionen und Abläufen um Double-Optin rechtssicher umzusetzen, eine Platzierung von einem Cookie-Hinweis oder das simple redaktionelle Einpflegen der Datenschutzerklärung.
Rechtliche Sicht: Die DSGVO und der Anwalt
Anwälte und Kanzleien haben eine ganz andere Sicht auf die DSGVO. Sie kennen sich nur bedingt mit den technischen Strukturen von Internetseiten aus, dafür aber umso besser mit dem Gesetz. Die DSGVO ist eine Verordnung zu der es – da sie ja erst ab 25. Mai 2018 anzuwenden ist – noch keine Rechtssprechung gibt. Anwälte hingegen möchten sich gerne auf solche Rechtsprechungen berufen und somit wird also erstmal eine ganze Weile im grauen und unklaren Bereich gearbeitet werden müssen. Sobald die ersten Verfahren die DSGVO betreffend die Gerichte beschäftigen, wird es handfeste gesetzliche Interpretationen geben.
Das Unternehmen in der Datenschutz-Verantwortung
Jetzt wo wir die beiden ausschlaggebenden Hinweisgeber für Inhalte der Datenschutzerklärung vorgestellt haben, fehlt natürlich noch der Verantwortliche. Das Unternehmen, welches eine Webseite betreibt, haftet für Datenschutzverstöße, ist aber in der Regel weder technisch noch rechtlich mit allen Dingen vertraut, welche auf so einer Webseite passieren und welche entsprechend wichtig für die Datenschutzerklärung sind.
DSGVO in der Mangel: Cookie-Hinweise sind Quatsch!
Prinzipiell gibt es ja drei Dinge, die man hinsichtlich der Datenschutzerklärung, Tracking-Tools und der bösen Cookies unternehmen kann – jetzt mal unabhängig von eventuell erforderlichen rechtlichen Aspekten:
- Nichts
Richtig gelesen. Man könnte einfach nichts machen. Seine Datenschutzerklärung weiterhin von allen Unterseiten aus im Footer verlinken, die Cookies nach Bedarf setzen und wahrscheinlich wären damit alle glücklich. - Cookie-Hinweis (informativ)
Man blendet einen jeden Internetnutzer störenden Banner im wahlweise unteren oder oberen Seitenbereich ein, welcher einen Text a la „Diese Webseite nutzt Cookies. Bitte beachten Sie unsere Datenschutzhinweise. OK“ enthält. Dies war bisher die irgendwo akzeptierte Minimallösung, da streng genommen ein solcher Hinweis bereits vor Betreten einer Webseite kommen müsste. Nach Klick auf „OK“ setzen wir einen Cookie, damit wir wissen, dass der Besucher den Cookie-Hinweis gelesen hat. Paradox, oder? - Cookie-Hinweis (funktional mit Opt-In)
Siehe Punkt 2, aber in stark erweiterter Version: Neben dem Hinweistext müsste es Checkboxen für alle Datenschutz-relevanten Seitenfunktionen geben: verwendet die Seite Google Analytics, sind Youtube-Videos eingebettet, werden CDNs wie jQuery oder Google API benutzt, ist ein Facebook-Pixel im Einsatz, enthält die Seite eine Google Maps Karte, wird die Seite durch Webfonts schöner usw.? Alle diese Infos müssten vom Nutzer akzeptiert bzw. angehakt werden. Dann müsste er mit seinem Namen digital unterschreiben, auf „OK“ klicken, technisch müsste dieser Vorgang in einer Datenbank verlässlich gespeichert werden um im Zweifel inkl. IP und Zeitstempel hervorgeholt werden zu können.
Im Nachgang müsste dann bei jedem Seiteninhalt überprüft werden, ob dieser dem Nutzer technisch ausgespielt werden darf. Freunde, dafür sind CMS wie WordPress, Typo3 und Contao nicht gemacht.
Man erkennt ganz gut: Irgendwie geht das mit dem Cookie-Hinweis doch an der Nutzerfreundlichkeit dran vorbei. Wer hat schon Lust, wenn er künftig googelt, zunächst auf dem Google-Suchergebnis 10 Checkboxen auszufüllen und dann selbiges bei jedem Webseitentreffer erneut zu tun. Ich finde, dass Cookie-Hinweise einfach keine Lösung sind, aber ich habe einen Vorschlag:
Die Lösung: Browser regeln die DSGVO!
Warum geben wir nicht einfach die ganze Umsetzung die Cookies und des Trackings betreffend an die Browser ab? Wenn ich mich an meine ersten Schritte im Internet erinnere, dann gab es da diesen Netscape Navigator. Ein Browser, welcher mein erstes Tor zum WWW war und welcher mich – sofern ich mich richtig erinnere -ständig mit Fragen bzgl. Cookies genervt hat. Kann man die ganze Datenschutz-Problematik nicht Client-seitig im Browser klären?
Problemfall Google Analytics Opt-In
Ein Internetseitenbetreiber setzt Google Analytics ein, von mir aus auch ohne die anonymizeIP()-Funktion. Ein Webseitenbesucher öffnet eine solche Homepage, der Browser rendert die Seite und sucht sich die Inhalte zusammen. Wenn er merkt, dass die Seite ein Google Analytics Tracking Skript enthält, kann er das doch einfach in einem Notification-Center darstellen und den Besucher um Feedback dazu bitten. Die Netzwerkverbindung kann dann erst aufgebaut werden, sobald der Nutzer im Browser einmalig oder für immer einwilligt.
Datenschutz: Browser mit Opt-In-Möglichkeit für Youtube Videos und andere Embeds
Genauso könnte man das mit vielen anderen Diensten machen. Wenn eine Webseite ein Youtube-Video per iFrame / Embed-Code nachlädt, könnte doch der Browser rückfragen, ob der Nutzer dieses Video wirklich sehen möchte (inkl. aller Datenschutz-technischen Folgen). Ich hatte vor Jahren mal ein Browserplugin, welches Flash Videos erst nach Klick (Opt-In) abspielte. Letztendlich wäre das Prinzip ähnlich.
Vielleicht bin ich derzeit auch zu negativ dem ganzen Datenschutz-Thema gegenüber eingestellt, aber ich denke schon, dass der Browser viele Dinge übernehmen könnte. Was denkt Ihr? Wie ist Eure Strategie bzgl. der DSGVO und deren Umsetzung?
Genau das habe ich auch gedacht! Der Browser wäre hier die ideale Schnittstelle (und ist es teilweise ja schon, z. B. bei Do-Not-Track), weil er sich ans Betriebssystem anpassen kann. Auch zahlenmäßig wäre das viel verhältnismäßiger: Eine Handvoll Browser vs. Milliarden Websites. Man darf ja noch träumen.
An den Browser habe ich noch gar nicht gedacht, ist aber ein sehr gut denkbarer Vorschlag.
Natürlich sollte der Browser die Lösung sein.
Sonst müssten ja die Hersteller von Toastbrot Warnhimweise anbringen, die auf den Toaster gehören. Aber so wird gerade mit Website-Betreibern umgegangen – die Verordnung wurde offensichtlich von webtechnischen Nullen zusammen geschustert, das gehört sich mal zuerst angeklagt.