Die Umsetzung der rechtlichen Anforderungen an den Datenschutz nach EU-Datenschutzgrundverordnung erweist sich in der Praxis sehr viel aufwändiger, als geplant. Der Grund: die vorhandendene Technik, vom Router bis zum Internetserver, vom Mail-Programm bis zum Content-Management-System und Redaktionssystem muss in allen Einzelheiten überprüft und auf modernen Stand gebracht werden.
Auch die innerbetrieblichen Abläufe müssen neu durchgeplant werden. Verträge und hineinwirkende Rechtsbedingungen werden analysiert und angepaßt. Datenschutz-Anforderungen und Datenschutz-Optionen müssen schließlich in allen Teilprozessen und Geschäftsprozessen nach und nach in Einklang gebracht werden.
Systemproblem: kein System und keine Software ist wirklich sicher
Bei der Überprüfung stellt sich nach und nach heraus: kein System und keine Software ist für sich sicher, sondern muss mit Sicherheitseinstellungen, Upates und Schutzeinstellungen erst sicher gemacht werden. Skripte mussten gezielt stillgelegt werden. Dazu gehören leider auch so elementare Dinge wie Drucker-Treiber, die mit den Druckerherstellern über die Nachbestellung von Tintenpatronen kommunizieren. Auch Plugins im Contentmanagement-System, die Verarbeitungsvorgänge erleichtern, wurden abgeschaltet, weil sie Datenexport und Außenkommunikation herstellen, deren Zweck nicht genau bekannt ist.
Inzwischen ist nach einigen Tagen und Nächten das Gesamtsystem vom DSL-Anschluß über WLAN-Router und angeschlossene Rechner analysiert und bis zum aktuellen Stand upgedatet worden. Das gesamte Mailsystem wurde auf sichere Verbindungen und sichere Mailserver umgestellt. Auch alle internen und externen Mail-Weiterleitungen wurden zunächst stillgelegt. Externe Mitarbeiterarbeitsplätze müssen neu nach Sicherheitsregeln konfiguriert und mit neuen Rechten und Rollen ausgestattet werden.
Inzwischen zeigt sich: das gesamte Design der IT-Technik ist nicht im Hinblick auf Datenschutzkomfort optimiert. Datenschutz und Datensicherheit müssen regelrecht mittels Einstellungen „erzwungen“ werden.
Umstellung auf SSL-Verschlüsselung geplant
Die Umstellung der Internet-Seiten und Domains auf SSL-Verschlüsselung ist ein größerer Eingriff, der mit Hilfe von Tools teilweise automatisch durchgeführt werden soll. Testläufe haben aber ergeben, dass trotzdem ein großer manueller Aufwand entsteht. Die Umstellung erfordert eine genaue Arbeitsplanung und die zeitweise Deinstallation von störenden Modulen und individuellen Code, der aber später schnell nachinstalliert werden kann. Statt mehrerer Tage kann die Umstellung voraussichtlich an einem Tag erfolgen.
Die Umstellung auf SSL-Verschlüsselung, erkennbar am http:// im Browser, wird Ende Juni durchgeführt. Dazu wird die Pankower Allgemeine Zeitung einen Tag lang abgeschaltet.
Artikel-Stau in der Redaktion
Der vielfältige Umstellungsaufwand hat den Redaktionsplan völlig durcheinander gebracht. Es gibt einen Beitrags-Stau in der Redaktion, weil praktisch schon über 60 Stunden nur für die Datenschutz-Maßnahmen aufgewendet wurden. Die Themenbearbeitung fällt daher etwas spärlicher als geplant aus.
Abmahnungen wegen Fehlern in Datenschutzerklärungen und Datenschutzverstößen
Das Thema Abmahnungen wird derzeit heiß diskutiert. Viele Vereine und kleine Webseiten-Betreiber sind verunsichert – oder haben sogar ihre Internetseiten vom Netz genommen. Auch zu diesem Thema wurde inzwischen intensiv nachgelesen und recherchiert. Ein Patentrezept gibt es nicht, aber gute Hilfestellungen im Netz.
Ein paar Überlegungen als Anregung:
Zuerst sollte man sich klar machen: Internetseiten erfüllen den Zweck, Daten zu veröffentlichen. Das Recht auf freie Meinungsäußerung ist ein hohes Gut. Daten, die zum Zweck der Veröffentlichung übermittelt wurden, sind öffentlich und im Internet wiederauffindbar archiviert.
Der Datenschutz betrifft Personendaten. Nur die betroffenen Personen selbst können Datenschutz-Verstöße bemängeln. Diese können aber in der Regel bei Altdaten schnell abgestellt werden. Bei neuen Kunden wird in jedem Fall ein Einverständnis eingeholt – beim Opt-In.
Abmahnungen wegen fehlerhafter Datenschutzerklärungen oder fehlender Cookie-Warnungen betreffen „Formfehler, mögliche Datenschutzlücken und unvollständige Informationen“, die nur mit viel Böswilligkeit als „Wettbewerbsverstöße“ angesprochen und abgemahnt werden können. „Unlautere Handlungen“ werden daher bei Abmahnungen zunächst unterstellt. Dazu muss aber auch Wettbewerb entfaltet werden, was üblicherweise bei gemeinnützigen Vereinen nicht der Fall ist!
Firmen, Freiberufler und kleine Unternehmen können sich einstweilig schützen, wenn sie über ihre Internetseite überhaupt keine Daten erheben, Google Analytics und andere Dienste vorerst abschalten. Statt eines Kontaktformulars wird eine externe Mail-Adresse bei einem sicheren Mail-Provider angegeben.
Eine Rechtsanwältin für Verfassungsrecht und Datenschutz in Prenzlauer Berg hat dazu eine ganz einfache Lösung als Datenschutzerklärung geschrieben: „Eine Erhebung von personenbezogenen Daten der Nutzer dieser Website findet nicht statt. Auch der Webserver speichert keine IP-Adressen der Nutzer.“
Weitere Informationen:
Rückfragen zu EU-DSGVO und Tips:
redaktion@pankower-allgemeine-zeitung.de