Langsam scheint sich die große Aufregung um die Datenschutzgrundverordnung (DSGVO) zu legen, mir war sie bisher sowieso schon recht egal. Ich wollte mir hier eigentlich zu Zeit nehmen ein wenig zu reflektieren, warum dem so ist, im Endeffekt kann ich es aber schnell runter brechen:
a) Ich mache aus meiner Sicht im Internet (fast) nichts, wo ich mit der Datenschutzverordnung Berührungspunkte habe
b) Bisher gibt es die unmittelbar geltende Verordnung 2016/679 (die es übrigens bereits seit 27.6.2016 gibt, also eigentlich ist diese nicht sonderlich neu), aber es gibt zum aktuellen Zeitpunkt keine ausjudizierten Fälle und dementsprechend ist jegliche Annahme genau das, eine Annahme, in der Leute mehr oder weniger kompetent (und zu Weilen hysterisch) spekulieren, was das ganze jetzt denn bedeutet.
Damit das Ganze jetzt aber nicht zu kurz wird, hier, nachdem ich die VO 2016/679 jetzt im Original gelesen habe, etwas detaillierter meine Gedanken dazu.
Ich führe im Internet diesen Blog, auf dem ich Texte und Fotos veröffentliche. Dann habe ich noch einen Lightroom-Katalog, der zwar nicht online ist, mit dem ich aber auch Daten (Gesichtserkennung, Geo-Location etc) sammle. Das war es dann für mich auch schon wieder. Also muss ich mir diese beiden Themen ansehen, da hier die DSGVO potentiell anwendbar sein könnte.
Zu diesem Blog
Ich führe diesen Blog aus persönlicher Liebhaberei. Ab und ab beschäftige ich mich mit Themen und habe das Bedürfnis dies in die Welt raus zu schreiben. Und ich tue das lieber hier als auf irgendeiner Social Media Plattform, wo ich nicht kontrollieren kann, was mit dem Inhalt passiert. Jetzt kannst du als Leser natürlich einwenden, dass ich die Seite wohl nicht selbst hoste (tue ich nicht) und daher die Daten ja nicht bei mir liegen, sondern auf einem mir fremden Rechner und damit die Daten ja nicht unter meiner Kontrolle liegen. Das stimmt. Es ist mir schlicht zu mühsam selbst zu hosten, zumindest kann ich aber sagen es steht mein Name drauf und ich kann Inhalte jederzeit über mein Back-End offline nehmen - in der Erwartung, dass dann auch der Hoster die Inhalte tatsächlich löscht. So aber jetzt schweife ich ab. Jedenfalls mache ich hier auf dieser Webseite keinerlei Werbung und verfolge keinerlei kommerzielle Absichten. Dementsprechend qualifiziere ich mich aus meiner Sicht für den Art. 2 Abs. 2 c) VO 2016/679 "Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher order familiärer Tätigkeiten". Dementsprechend fällt diese Webseite also überhaupt nicht unter die DSGVO. Ja, es gibt hier ein Kontaktformular und auch eine Email-Adresse. Die Emails, die ich über dieses Formular ab und ab bekomme, werden gelesen, gegebenenfalls beantwortet und dann gelöscht. Es wird nichts gesammelt. Ich benutze als Webseiten-Hoster Jimdo. Dieser hat Cookies und stellt mir Nutzerdaten zur Verfügung. Ich sehe über diese Statistiken wie viele Nutzer ich in den letzten 30 Tagen auf der Seite hatte, wer mobil hier war und wer welche Artikel gelesen hat. Diese Daten sind nicht personenbezogen und ich kann sie jederzeit auch abschalten. Im Hinblick auf das Gebot der Datensparsamkeit sollte ich das wohl auch tun. Die Daten interessieren mich ja schlicht und ergreifend sowieso nicht. So wie es aussieht werden sie aber im Hintergrund weitergesammelt, denn ich kann sie jederzeit wieder anknipsen und sehe auch alte Daten wieder. Bringt also nichts. Ich kann dem werten Leser aber versichern, dass mir diese Statistiken wirklich komplett wurscht sind und da ich keine Werbung mache sind diese Daten auch nicht für Drittanbieter relevant und werden auch nicht an solche weiter gegeben.
Übrigens, das hat zwar nicht zwingend was mit der DSGVO, sondern mehr mit dem Urheberrecht zu tun, aber dennoch: Sämtliche Fotos hier auf der Seite sind meine, ich bin der Urheber und habe daher die Rechte am Bild. Unter die DSGVO würde fallen, wenn ich eindeutig identifizierbare Personen auf meinen Foto hätte, in der Regel achte ich aber penibel darauf genau dies nicht zu haben. Sollte mir aber ein Fehler passiert sein, dann kann man mich entweder kontaktieren und um die Löschung bitten oder sich an die Datenschutzbehörde wenden und mich abmahnen lassen. Je nachdem, was einem lieber ist. Das birgt eigentlich ein ganz schönes Trollpotential, wird mir gerade bewusst.
Zum meinem Lightroom-Katalog
Ja, hier sammle ich Daten. Sogar sehr viele. Ich bin hier schon fast zwänglich und tagge immer die Geodaten, die jeweiligen Personen und versehe die meisten Fotos auch mit Stichwörtern, um die später zu sortieren oder wiederzufinden. In der Regel bitte ich die Personen nicht um ihr Einverständnis, dass ich sie jetzt fotografiere. Wenn aber jemand kommt und meint er will das nicht, dann versuche ich auch nicht heimlich Fotos zu machen. Ich sammle diese Daten rein aus persönlicher Verschrobenheit oder für familiäre Zwecke, weshalb der bereits oben erwähnte Art. 2 Abs. 2c) anwendbar ist und ich somit nicht unter die DSGVO falle. Natürlich habe ich ein paar wirklich coole Fotos, zum Beispiel habe ich erst kürzlich ein sehr geniales Fotos von einem Mann mit Rauschebart, Sonnenbrille und langem Wanderstock gemacht, der über den Platz am Lourve in Paris ging. Ich nenne es "Gandalf in Paris". Aber ich habe diese Person nicht um Erlaubnis gefragt dieses Foto zu machen und es würde mir daher im Traum nicht einfallen es hier zu veröffentlichen. Worüber man diskutieren kann, ist, ob ich unter die Auskunftspflicht der DSGVO falle. Laut Art. 15 der VO 2016/679 hat "Die betroffene Person"... "das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden". Ich verneine das hier jetzt mal, da ich, wie oben beschrieben, durch meine private und familiäre Nutzung meines Lightroom-Kataloges gar nicht unter die DSGVO falle. Somit habe ich auch keine Auskunftspflicht und betroffene Personen auch kein Auskunftsrecht mir gegenüber. Soweit jetzt die akademische Antwort und Stellungnahme. Im echten Leben werde ich aber jeden, der mich fragt, ob ich ein schönes Foto von ihm oder ihr in meinem Lightroom Katalog habe, sagen, was ich habe und ihm auch Kopien zur Verfügung stellen. Also sollte Gandalf aus Paris deutsch lesen können, aus irgendeinem Grund diesen Beitrag lesen und sich denken: "Ich war im Mai 2018 in Paris und bin am Louvre entlang spaziert, der hat sicher mich fotografiert," dann kann er mich gerne anschreiben und ich werde seiner Aufforderung nachkommen und ihm sagen, dass ich das Foto habe, ihm wenn gewünscht auch gerne eine Kopie zuschicken und mein RAW auch gerne löschen, wenn er das verlangen sollte. Schließlich hat er keine Einwilligung zum Fotografieren gegeben.
So und dieses kleine abstruse Beispiel führt mich zum Schluss noch zu einem Punkt, nämlich der Realität. Ich verstehe die ganze Panikmache nicht ganz. Natürlich: Große Unternehmen, die Daten sammeln und verwenden, sollten dafür die Zustimmung einholen. Das sollten sie vorher auch schon getan haben.
In Wahrheit gilt wie bisher auch: Wo kein Kläger, da kein Richter. Wenn sich jemand daran stört, dass gewisse Daten gesammelt werden, dann sollte einfach ersucht werden, dies zu unterlassen und gesammelte Daten zu löschen. Jeder mit normalem Menschenverstand wird dem nachkommen. Aber ich gehe auch davon aus, dass es auf beiden Seiten wie üblich ein paar Idioten geben wird, die gleich mal mit großen Strafen drohen (die eine Seite) oder nicht einsehen, warum man jetzt mit der Datensammelwut aufhören oder zumindest sparsamer sein sollte (die andere Seite). Und da wird es dann halt zu Eskalationen kommen und wir werden in ein paar Jahren dann auch rechtssichere Urteile haben. Bis dahin (und eigentlich darüber hinaus): den normalen Hausverstand benutzen und einfach mal miteinander reden bei Problemen - das hilft im Normalfall.
Wer sich noch weiter vertiefen möchte, dem sei folgendes empfohlen:
Für Fotografen und Blogger: Happy-Shooting Special zur DSGVO vom 24. Mai 2018