Seit heute ist sie gültig, die Europaweite Datenschutz-Grundverordnung. Ich habe sie bewusst die letzten Monate ignoriert, schliesslich stehen all meine Webseiten auf Schweizer Boden. Bis die Mühlen der Helvetischen Politik ein passendes Datenschutzgesetz durchgewunken haben, wird noch eine ganze Weile vergehen. Was ich durchaus gut finde, Schnellschüsse sind es leider oft nicht.
Da ich aber in einer grossen Amerikanischen Firma arbeite, wurde das Gesetz in den letzten Tagen doch ein grosses Thema für mich. Die Amerikaner zeichnen sich gerne durch Sammelwut aus, haben grosse Angst vor Prozessen, Heerscharen von Juristen im Schlepptau und machen alles auf den letzten Drücker. So aus purer Neugierde habe ich mir natürlich überlegt, was es heissen würde, wenn ich meine Webseiten GDPR Compliant machen möchte - wie jedes EU Gesetz wird das wohl früher oder später auch auf unserem Boden Anwendung finden.
Der Satz geht durch meinen Kopf, ist das Gesetz doch im Grunde genommen eine nette Idee - doch wird das Resultat weder die Sammlung von persönlichen Daten durch grosse Konzerne noch Staaten irgendwie einschränken, dafür aber kleinen Anbietern im Netz viel Kopfzerbrechen bereiten. Was aber noch viel übler ist, es fehlt die Rechtsgrundlage. Keines der über 55'000 Worte ist durch Gerichte bestätigt, so wirklich Durchblick haben auch die Juristen nicht, was ist gut und was schlecht ist. Wir werden erst in ein paar Jahren wissen, was wir jetzt machen müssten. So ist auch dieser Text keine Rechtsberatung, sondern einfach ein simpler Braindump meinerseits. Tut damit, was Ihr wollt, aber behaftet mich nicht dafür.
Meine kleine Galerie besteht aus einigen Teilen, die ich sicher anpacken müsste. So fehlt beispielsweise ein Impressum, das müsste ich nach gültiger Rechtsprechung nur als Zeitung oder Zeitschrift bzw. als Anbieter von Ware führen. Dann die ominöse Datenschutzerklärung, in der ich deklariere, was ich wie verwende. Auch hier kann ich mich drücken, da ich weder Geschäftstätigkeit ausübe noch der Inhalt sich an in der EU wohnhaften Personen richtet. Ich betreibe auch keine explizite Sammlung von Daten solcher Menschen. Ich hoffe, dass hier die Angaben des Bundes passen - auch hier herrscht eine erstaunlich gummige Sprache, die keine Rechtssicherheit vermuten lässt.
Mein Apache (und der Geomyidae wie auch der ProFTPd) führen Logs. Der Einfachheit halber habe ich die bisher einfach stehenlassen, da wird es wohl Zeit, logrotate
einzuführen Ein Eintrag sieht typischerweise so aus:
77.58.221.245 - - [25/May/2018:18:14:21 +0200] „GET / HTTP/1.1“ 200 4359 “-“ „Mozilla/5.0 (Macintosh; Intel Mac OS X 10.11; rv:52.0) Gecko/20100101 Firefox/52.0“
Ich darf diese Logs behalten, schliesslich ist es die Quelle, um allfällige Einbrüche zu entdecken. Aber ich muss deklarieren was ich sammle, was ich damit mache, wie lange ich es behalte und wer darauf Zugriff hat. Das reicht in der Datenschutzerklärung, ich muss dazu keine Bestätigung vom Besucher haben.
Dito für das Session Cookie, das DokuWiki mitgibt. Es läuft am Ende der Session ab, ist technisch nötig (warum eigentlich? *kopfkratz*). Dafür brauche ich auch kein Einverständnis eines Besuchers. Die alternativen Sichten kommen allesamt ohne Cookies aus, was die Sache wesentlich einfacher macht.
Von Beginn weg habe ich alle Bildchen, Java Scripte und ähnlichen Krempel lokal auf diesem Server abgelegt. Fonts von Google? Java Script von Akamai? Habe ich nicht. Zwei Ausnahmen:
Gerade die Karte ist sehr grenzwertig. Für sie müsste ich in der EU wohl eine Abfrage einbauen, um den Besucher ausdrücklich darauf hinzuweisen, dass der Inhalt der Seite Informationen an die entsprechenden Kartenlieferanten schicken wird.
Mit dem Gravatar bin ich bei den Kommentaren. Sie können anonym jedem Blogpost hinzugefügt werden. Ich muss aber jedem Besucher erlauben, sie zu „vergessen“. Also kommst Du daher, behauptest das sei Dein Kommentar und ich muss ihn wegputzen. Technisch gut möglich, organisatorisch schwierig. Ich muss wohl die Kommentarfunktion entfernen oder aber nur angemeldeten Benutzern erlauben.
Angemeldete Benutzer. Du kannst Dich auf dieser Webseite registrieren (was ausser mir noch niemand gemacht hat *hihi*). Ich muss Dich dabei ausdrücklich um Einwilligung bitten, dass ich Deinen Namen und E-Mail in meinem System speichere. Ich muss Dir die Möglichkeit geben, Deine Spuren jederzeit vollständig zu verwischen. Die DokuWiki Leute sind da gerade am diskutieren und recht uneinig, da vor allem die Lizenzen zu freien Inhalten die Nennung des Autoren implizit verlangen.
Wenn ich die Anzahl Kommentare hier angucke, dann werde ich wohl oder übel sowohl diese Funktion als auch die Möglichkeit zum Anmelden schlicht und einfach wegputzen.
Damit wäre diese Seite soweit in Ordnung, zumindest meinem Verständnis nach. Meine andere Seite ist da schwieriger, hier habe ich 13 Jahre Gesuchte, Inhalte von Dritten unter GPL. Solange kein Prozess Lizenzen über freie Inhalte gegen die GDPR gestellt hat, bewege ich mich auf dünnem Eis.
Fertig? Ich bin mir nicht sicher. Die GDPR spricht von personenbezogenen Daten: alle Informationen, die … zu einer Online-Kennung … sind, (mit der sie) identifiziert werden kann. Im Grunde genommen ist ein Bild doch genau so eine Information. Die Information Vreni war an der Streetparade könnte ja im Grunde genommen genau so eine Information sein. Meine Bilder sind elektronische Daten. Ich speichere sie, ich verarbeite sie. Unterliegt das nicht auch dem Gesetz? Meinem Gefühl nach ja, was ich durchaus begrüssen würde (wenn ich an die unzähligen Ueberwachungskameras denke, deren Hintergrund niemand kennt), was mir aber das Fotografieren von Personen definitiv verdammt schwierig machen würde. Hoi, das isch s'Vreni. Lösch bitte ali Bildli vo mir. *puh* (Der Name „Vreni“ ist frei erfunden, der Name der abgebildeten Person ist der Redaktion nicht bekannt).
Eine Beruhigung habe ich. Der Geltungsbereich des Gesetzes schreibt:
Diese Verordnung gilt nicht für die Verarbeitung von personenbezogenen Daten, die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten und somit ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen wird. Als persönliche oder familiäre Tätigkeiten könnte auch das Führen eines Schriftverkehrs oder von Anschriftenverzeichnissen oder die Nutzung sozialer Netze und Online-Tätigkeiten im Rahmen solcher Tätigkeiten gelten.
Meine Galerie ist eine rein persönliche Tätigkeit und wird es hoffentlich noch lange bleiben. Damit sollte ich auf der sicheren Seite sein. Aber wie oben beschrieben, so ganz sicher fühle ich mich dabei nicht. Die Zeit wird es zeigen.
Oder zumindest einfacher. Gesetze folgten Usanzen und waren wenigstens von einem Hauch gutem Menschenverstand umgeben. Sie waren einfach und verständlich. Gerade bei der GDPR sehe ich weder gesunder Menschenverstand noch Einfachheit. Selbst wenn ich auf die diversen von Juristen geführten Blogs blicke, so blicken auch sie noch nicht durch.
Und wenn ich dann an die dutzenden von Mails und Checkboxen denke, die ich in den vergangenen Tagen bekommen habe, dann ist auch klar, dass das Gesetz in keiner Art und Weise die Datensammelei vermindern wird. Entweder ich akzeptiere, was gesammelt wird, oder ich komme nicht mehr an den Content.
Schöne Weilt, die wir da zusammenbauen…