Am 25. Mai tritt, nach zweijähriger Vorlaufzeit, die Datenschutzgrundverordnung der EU (und gleichzeitig auch die Neufassung des Bundesdatenschutzgesetzes) in Kraft. Das ist erst mal nur eine Feststellung – was das formal und juristisch für die ScienceBlogs.de bedeutet, darüber machen sich die Rechtsexperten und Juristen des Konradin-Verlags die entsprechenden und sicher kompetenten Gedanken. In meiner Rolle als redaktionell Verantwortlicher für die ScienceBlogs.de mache ich mir darum nur wenige Sorgen – mich interessieren eher die praktischen Auswirkungen. Und die machen mich extrem dankbar dafür, dass ich sowieso schon so viele graue Haare habe, dass ich mir wenigstens hinsichtlich der zu erwartenden Grau-Zuwächse keine großen Sorgen machen muss.

Denn ansonsten sehe ich schon genug Anlass zur Sorge, wenn ich an unsere Kommentarfunktion denke (und die ist, wie bei Blogs ja üblich, eine der zentralen Funktionen und Konzepte dessen, was wir hier tun.) Vor allem, weil die Begriffe, um die es dabei geht, so schwammig sind. Was beispielsweise versteht man unter “personenbezogen”? Eigentlich sollte das ja bei uns kein Problem sein, da Kommentare ano- und pseudonym abgegeben werden. Aber andererseits haben manche unserer Besucherinnen und Besucher mit ihren “Nicknamen” eine “zweite Existenz” im Web aufgebaut – viele kommentieren mit gleichem Namen auch in anderen Blogs und Foren, und manche haben sogar ihr eigenes Blog um diese virtuelle Persönlichkeit herum aufgebaut (ich setze hier bewusst keine Links; Ihr findet sicher selbst das eine oder andere passende Beispiel). Sind diese virtuellen Persönlichkeiten schutzwürdig? (Das Konzept der “natürlichen Person“, das im Datenschutzrecht dabei eine zentrale Rolle spielt, hilft uns hier nicht weiter, denn selbstverständlich ist auch ein anonymer Kommentator/eine anonyme Kommentatorin eine natürliche Person.) Diese Frage hat sich mir in der Tat schon mehrfach gestellt, wenn der eine oder die andere Kommentierende mich um Löschung eines seiner/ihrer Kommentare bat. Manche haben tatsächlich diese Bitte damit begründet, dass sie a) den Kommentar bedauern bzw. so nicht mehr abgeben würden, und b) ihre virtuelle Persönlichkeit (= ihren Nicknamen) nicht mit dieser “Jugendsünde” belasten wollen.

Da wäre generell nichts einzuwenden – auch anonyme Persönlichkeiten sind Persönlichkeiten, mit sehr konkreten Emotionen und Problemen. Und manchmal (vor allem, wenn niemand auf diese Kommentare reagiert hatte) ist es auch sehr einfach, den Kommentar zu entfernen. Aber manchmal hatten sie mit ihrem Kommentar die Diskussion, sagen wir mal: angeheizt (der Fachbegriff ist, glaube ich, “einen Shitstorm ausgelöst”). Oder – auch das kam nicht unbedingt selten vor – zumindest die Diskussion in eine bis dahin nicht absehbare Richtung abgelenkt (man nennt das wohl “Derailing”). Und wenn ich dann den Kommentar einfach entferne, ergibt diese restliche Diskussion keinen Sinn mehr. In solchen Fällen habe ich zwar den Kommentar stehen lassen, aber den Namen anonymisiert. Was aber nur begrenzt klappt, wenn nachfolgende Kommentare den Namen dann explizit in ihrer Antwort wieder identifizierbar machen…

Ein anderes Problem ist die Definition von “speichern”: In der Vergangenheit schien sich das darauf zu beziehen, dass Information nach Abschluss einer Transaktion für spätere Verwendung aufgehoben wurden. Also wenn man, beispielsweise, einen Sack Reis online gekauft hat und der Versender die Lieferadresse speichert, auch nachdem die Ware beim Empfänger angekommen ist. Und vor allem, wenn der Versender dann die auf diese Weise angesammelten – und sehr persönlichen – Kundeninformationen an Dritte weiterverkauft hat (solche Listen waren oft lukrativer als die Umsätze mit den Waren selbst), schien eine Grenze erkennbar überschritten zu sein.

Unsere “Transaktionen” sind, dass wir Kommentarmöglichkeiten anbieten. AUch wenn wir keine Listen erstellen oder eMail-Adressen einsammeln – die Kommentare an sich sind gespeichert. Und mit ihnen die Informationen, die diese UrheberInnen der Kommentare dabei preisgeben mussten. Ist das “Speichern von personenbezogenen Daten”? Ich könnte mir vorstellen, dass diese Frage selbst noch dem Verfassungsgericht Kopfzerbrechen bereiten könnte. Gelten personenbezogene Informationen als gespeichert, wenn wir die (Nick)Namen von “Trollen” auf einer Sperrliste eintragen, damit die nicht mehr jede Diskussion (zer)stören können?

Wie so oft, sind dies zwar Fragen uns Szenarien, um die man sich in den meisten Fällen gar keine Sorgen machen müsste. Aber es sind ja die Grenzfälle, an denen solche Richtlinien ihre Gültigkeit abtasten – und solche Grenzszenarien fallen mir reichlich ein. Zum Beispiel solche, die uns zwingen würden, alle Kommentare nach einer definierten Zeit zu löschen, was ich als katastrophal ansehen würde. Oder solche, in denen der “Anspruch auf Vergessenwerden” dazu missbraucht wird, Diskussionen zum Entgleisen zu bringen, ohne dass man dem “Saboteur” oder der “Saboteurin” dabei einen Riegel vorschieben kann. Ich habe im Laufe der Jahre genug unerfreuliche eMail-Konversationen mit solchen Diskussionsverhinderen führen müssen, um zu wissen, dass diese Sorgen nicht nur theoretisch begründbar sind.

Ehe es zu spät ist (Achtung: IRONIE!) wollte ich also hier mal eine Diskussion darüber anzetteln, wie Ihr, die ScienceBlogs-Leserinnen und -Leser und -Kommentierenden, zu diesen Fragen steht. Wie würdet Ihr mit den Möglichkeiten der DSGVO umgehen, wie würdet Ihr wollen, dass wir – im Hinblick auf Kommentare, versteht sich; alles andere sollen die Rechtsabteilungen klären – mit diesen Vorschriften umgehen?

flattr this!

Kommentare (15)

  1. #1 Wupy
    30. April 2018

    Man könnte evtl. damit anfangen eine Editierfunktion anzubieten?

  2. #2 Cornelia S. Gliem
    30. April 2018

    hm. Ja an solche Fälle hat die dsgv sicher noch nicht gedacht. Das wird noch interessant. Allerdings würde sich analog eben anbieten, bei der Registrierung hier genau das abzudecken und sich da (und ggfs. regelmäßig wiederholt) die Zustimmung explizit geben zu lassen. Inhalt u.a. dass Kommentare nicht gelöscht werden können auf verlangen, dass ggf. personenbezogene Daten auch der virtuellen person gespeichert werden, dass die Äußerungen im Blog als öffentliche rede gilt sowie als Teil eines Gemeinschaftswerks.
    Wir sind hier alle erwachsen (=Äh ist das Teil der Registrierung? :-), erinnere mich nicht mehr).
    Datenschutz soll uns schützen – die BlogBetreiber und uns “Nutzer”. Es soll uns nicht das ganze hier unmöglich machen. Da müssen wir durch.
    (Dass die blogbetreiber nicht unsere Adressen u Datensätze verkaufen, davon gehe ich aus. Wenn will ich es wissen und beteiligt werden :-)).

  3. #3 Cornelia S. Gliem
    30. April 2018

    und ja: die Möglichkeit, zeitlich begrenzt (!) den eigenen Kommentar zu editieren und – solange keine Reaktion darauf erfolgte – auch zu löschen mit dem Hinweis das, wäre hilfreich. Dann kann zumindest niemand was von “mausrutschen” erzählen..

  4. #4 Laie
    30. April 2018

    @Cornelia S. Gliem
    Die DSGV denkt nicht. Jene (Brüsseler Bürokraten oder Juristen) die sich die DSGV ausdachten nach Meinung der IT-Experten, die man in diversen IT-Foren nachlesen kann, auch nicht. Beispiel der zwei am stärksten diskutierten Foren die ich auf heise.de fand:

    https://www.heise.de/forum/heise-online/News-Kommentare/Keine-Strafen-Oesterreich-zieht-neuem-Datenschutz-die-Zaehne/forum-401657/comment/
    (854 Kommentare)

    https://www.heise.de/newsticker/meldung/Datenschutzgrundverordnung-in-kleinen-Firmen-DSGVO-Nie-gehoert-4031790.html
    (356 Kommentare)

    Mir blieb im Kopf.
    Die neue DSGV ist im Gegensatz zur alten Regelung sehr schwammig, unkonkret, dehnbar und beliebig formuliert. Man könne daher alles und nichts erwarten, bzw. eine Beliebigkeit an Gerichtsentscheidungen.

    Ein Papiertieger, der dazu dient eine “gefühlte” Datensicherheit unter die Leute zu bringen, tatsächlich jedoch genau nichts bringt, da ja die in einer Cloud im Ausland verarbeitete Daten von Anbietern wie Google, Whatsapp oder Facebook die DSGV nicht interessiert, egal wie laut die Brüsseler Bürokraten in die Medien kläffen.

    Es ist eine geordnete Massnahme, um in Europa keine eigene nennenswerte IT-Wirtschaft zu haben, da die KMUs flächendeckend niemals sich die Experten zur Umsetzung der DSGV leisten können meinen einige. Ob das so stimmt, weiss ich nicht.

  5. #5 hmann
    30. April 2018

    Der Datenschutz gilt nicht, für
    die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.
    Um die Gründe erst einmal festzustellen, müssen die Daten ausgewertet werden. Das bedeutet, alle Daten werden ausgewertet.

  6. #6 Jürgen Schönstein
    30. April 2018

    @wupy @Cornelia Gliem
    Das Editieren von Kommentaren ist, zumindest mit der bisher von uns genutzten Software, nicht möglich. Und wenn es möglich wäre, würde es in jedem Fall eine Registrierung voraussetzen – und das lehnen, soweit ich das aus früheren Diskussionen erkennen kann, unsere Leserinnen und Leser kategorisch ab. (Kleiner “Geheimtipp”: WordPress fragt zwar beim Kommentieren nach einer eMail-Adresse – aber die wird nicht geprüft oder sonstwie weiter verwendet. So lange das, was man eingibt, formal wie eine eMail-Adresse aussieht, ist es der Software dann wurscht, ob sie echt ist oder nicht.)

  7. #7 2xhinschauen
    30. April 2018

    Personenbezogene oder -beziehbare “Daten” sind nur der echte oder falsche Name und die E-Mailadresse und je nach Inhalt die Einträge ins dritte Feld beim Kommentieren (Website o.ä.).

    Die Kommentare selbst sind erstmal keine solche Daten, es sei denn, da schreibt jemand was Schutzwürdiges rein. Da braucht man aber keine DSGVO, um das zu managen.

    Bleibt das berechtigte Interesse, die paar P-Daten dauerhaft zu speichern (unstrittig vorhanden) plus die Zustimmung der Betroffenen, die man womöglich auf ein Double Opt In umstellen muss.

    Soweit alles klar und juristisch wenig problematisch.

    Bleiben die Betroffenenrechte … Auskunft, Löschung usw. Das ist der schwierige Teil, z.B. wie man nach Jahren gewährleistet, dass der Anfragende tatsächlich der Betroffene ist.

  8. #8 PDP10
    30. April 2018

    @hmann:

    Der Datenschutz gilt nicht, für
    die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.

    Für diese steile Behauptung hätte ich ja jetzt gerne einen Beleg.

    Und selbst wenn das wahr wäre: Für den Sprung hierher:

    Um die Gründe erst einmal festzustellen, müssen die Daten ausgewertet werden. Das bedeutet, alle Daten werden ausgewertet.

    … müsste man sich schon einen ordentlichen Gehirnmuskelriss zugezogen haben ….

  9. #9 Alderamin
    30. April 2018

    Ich sehe auch nicht das Problem für die Kommentare hier. Was sollen Facebook, Twitter & Co. erst sagen? Was jemand von sich selbst freiwillig und unaufgefordert preisgibt kann eigentlich nicht unter die personenbezogenen Daten fallen, sondern eher Informationen zur realen Person selbst, die man von ihr für irgendwelche Zwecke wie Internetkauf oder dergleichen zwangsweise erhebt, oder die man ohne ihr Einverständnis über sie sammelt (Cookies & Co.). So was wie Adressen, Telefonnummern, gemessene Orte, getätigte Transaktionen, besuchte Webseiten etc.

    Es ist natürlich nicht auszuschließen, dass die eine oder andere Anwaltskanzlei ihr Geschäftsmodell darauf stützen wird, entsprechende Abmahnungen zu versenden, kann mir aber eigentlich nicht vorstellen, dass sie damit vor Gericht durchkämen. Ansonsten gäbe es fortan keine sozialen Netze und keine Foren im Internet mehr. Kann ich mir irgendwie nicht vorstellen, dass ein Gericht so urteilen würde. Also entspann ‘ya!

  10. #10 Jürgen Schönstein
    1. Mai 2018

    @Alderamin

    Es ist natürlich nicht auszuschließen, dass die eine oder andere Anwaltskanzlei ihr Geschäftsmodell darauf stützen wird, entsprechende Abmahnungen zu versenden,

    Genau das ist meine Sorge. Die Formulierung der Vorschrift lässt in jedem Fall eine Auslegung zu, die Anwälte in Abmahnungen ummünzen können. Und nein, damit müssen sie leider nicht bei Gericht durchkommen. Abmahnungen sind auch ohne Gerichtsurteil gültig – die Anfechtung higegen kann teuer und langwierig werden (und wird fast immer die Kosten der Abmahnung überschreiten). Es ist eine Art sanktionierte Selbstjustiz, und wir haben schon oft genug Probleme damit gehabt. Je grauer die Zone, desto gieriger die Abmahn-Firmen…

  11. #11 uwe hauptschueler
    1. Mai 2018

    @#6 Jürgen Schönstein
    wordpress scheint aber Emailadressen zu speichern.
    Wenn ich einen alten Nicknamen mit einer neuen Emailadresse verwende komme ich in die Moderation.

  12. #12 2xhinschauen
    1. Mai 2018

    @uwe hauptschueler #11
    Natürlich speichert WordPress die Information, die in das Feld “E-Mail-Adresse” eingetragen wird. Was immer da jemand einträgt. Genau der Fall, den Du schilderst, belegt doch das “berechtigte Interesse”, demzufolge eine Verarbeitung/Speicherung auch nach DSGVO zulässig ist, zumal die Betroffenen sie doch freiwillig und äußerlich unbedrängt da abliefern.

    @PDP10 #8
    >> steile Behauptung
    Wer lesen kann… naja, nicht wörtlich, was hmann da sagt, aber die Sonderstellung behördlicher Datenspeicherung und -verarbeitung geht z.B. aus Artikel 6 (1) e und f hervor (https://dsgvo-gesetz.de/art-6-dsgvo/). Das Ding ist dick wie ein Buch und hat 99 Artikel. Kann also sein, dass das Thema auch anderswo noch vorkommt.

    Wäre aber doch wirklich erstaunlich, wenn man z.B. der Polizei die Verarbeitung von Daten *grundsätzlich* verboten hätte, die den Interessen der Betroffenen schadet :-)

  13. #13 Jürgen Schönstein
    1. Mai 2018

    @uwe hauptschüler
    Bin mir nicht sicher, ob die WordPress-Software das speichert (und dann abcheckt), oder ob da nicht viel eher ein “Cookie” auf dem Computer des Absenders die Finger im Spiel hat. Aber wie schon gesagt: Da muss gar keine echte Adresse angegeben werden. Und selbst wenn ein Kommentar als Folge einer eMail-Änderung in die Moderation wandert: Erstens würde das vermutlich nach der erstmaligen Freigabe des Kommentars auch in der weiteren Zukunft akzeptiert werden – und zweitens wäre die Alternative ja sonst, jeden Kommentar in die Moderation zu schicken. Der einzige Grund, warum diese Angabe überhaupt geprüft wird, ist doch der Service, dass Kommentare dann automatisch freigeschaltet werden können, anstatt auf die Freigabe durch die Blogbetreiber zu warten… aber “gespeichert” im Sinn von “als verwertbares Datenpaket aufbereitet” werden die Angaben trotzdem nicht.

  14. #14 René
    2. Mai 2018

    Personenbezogene Daten sind alle Daten, die eine natürliche Person beschreiben oder mit dieser in Beziehung gebracht werden können. Somit sind hier auch die Kommentartexte personenbezogene Daten.

    Gespeichert sind die Daten in dem Augenblick, in dem ich hier den Senden-Knopp drücke. Ab dann befinden sich meine Daten in einer Datenbank der ScienceBlogs und sind somit gespeichert.

    Datenschutzrechtliche Hindernisse für diese Speicherung können meines Wissens problemlos ausgeräumt werden, indem vor dem Speichern (= Senden) eine Einverständniserklärung der Kommentierenden eingeholt wird.

    @Jürgen Schönstein: Das Einverständnis wäre, um auf Deine Frage zu sprechen zu kommen, aus meiner Sicht auch völlig hinreichender Umgang mit unseren Daten. Natürlich vertraue ich dabei darauf, dass meine Daten nicht außerhalb der ScienceBlogs analysiert oder verwertet werden. Ich hoffe, das ist nicht zu naiv.

    Eine Möglichkeit zu editieren oder zu löschen, so lange es noch keine Folgekommentare gibt, wäre ein nettes Stück Komfort obendrein.

  15. #15 René
    11. Juni 2018

    Die angezettelte Diskussion ist ja schnell wieder uninteressant geworden.