Wahrscheinlich bemerkt das ohnehin keine Sau, aber meine erste Webseite habe ich vom Netz genommen: Ich betrieb ein kleines, aber unbedeutendes Fotoblog. Ganz aus privatem Interesse und weil ich Spaß daran hatte, anderen Menschen ein paar der Ergebnisse meines Hobbies zu zeigen. Sooo schlecht waren die Bilder nun auch nicht.

Diese Bilder hatten ein Problem: Sie hätten Bildanteile enthalten können, die die neue Datenschutzgrundverordnung als personenbezogene Information ansieht. Und damit wird das Ganze zu einem justitiablen Problem mit ggfs. horrenden Folgen.

Die personenbezogene Information ergibt sich einmal aus dem Bildinhalt selbst, aber auch aus den Metainformationen, die in digital verfügbaren Aufnahmen enthalten ist. Man könnte einmal eine Person durch die Tatsache, dass sie (zufällig oder beabsichtigt) auf einem Bild zu sehen ist, identifizieren. Man könnte sie mit dem abgebildeten Kontext, den Ortsinformationen, oder dem Aufnahmezeitpunkt verknüpfen - damit wird das zum Problem.

Was das Thema Personenabbildung angeht, bot das bisherige Bildrecht schon weitgehende Punkte, die es zu beachten galt und das erscheint für den Außenstehenden zweifelsohne konstruiert und alles recht theoretisch, aber die Datenschutzgrundverordnung ist ein dermaßen unkonkret gestricktes Gesetz, dass daraus für mich persönlich ein existentielles Problem werden könnte. Sicher liest man irgendwo etwas über "das wird den kleinen Blogger nicht betreffen" oder "da wird man Grundsätze der Verhältnismäßigkeit anwenden" etc. Aber das ist alles dermaßen inkonkret und ungenau verfasst, das angesichts der Differenziertheit, mit der dieses Gesetz jede noch so kleine Konstellation abzudecken versucht, dass am Ende nur eine Rechtssituation geschaffen wurde, die auf Wahrscheinlichkeiten beruht:

„Wahrscheinlich wirst du als Betreiber einer Webseite, die du aus privatem Interesse betreibst, gar nicht von der DSGVO betroffen sein.“

„Wahrscheinlich werden die Datenschutzbehörden dich nicht sanktionieren, sondern sie werden dir allenfalls beratend zur Seite stehen.“

„Wahrscheinlich werden die Abmahnanwälte sich gar nicht mit dir befassen, weil sie mit dir gar nicht das große Geld machen können und weil sie hinsichtlich DSGVO gar nicht tätig werden dürfen etc.“

Rechtssicherheit sieht anders aus und aus Wahrscheinlichkeiten definiert sich keine eindeutig befolgbare Gesetzeslage. Und sich als Bundesregierung, die dieses Machwerk mit zu verantworten hat, mit Aussagen wie "das werden die Gerichte in den nächsten 5 Jahren entscheiden", einfach wegzuducken, macht das Ganze nicht besser. Ich möchte jedenfalls nicht zu denjenigen gehören, die den Gerichten dazu dienen, über die Jahre hinweg mühsam Rechtsklarheit zu schaffen.

Allein die Frage, ob ein aus rein privatem Interesse betriebenes Blog den Grundsätzen des Datenschutzes genügen müsse oder nicht, lässt Fragen offen wie ein Scheunentor:

Tatsächlich fungiert auch ein aus privatem Interesse betriebene Blog als "Datenschleuder", das geht überhaupt nicht anders, der Technik ist die Datenweitergabe nun mal immanent, da kann ich noch so viel anonymisierten und pseudonymisieren.  Also muss die Datenschutzgrundverordnung auch für mich als kleinen Privat-Blogger gelten, alles andere wäre unlogisch (Zwischenfrage: Muss Recht eigentlich logisch sein...?). Die DSGVO hat einen Ausnahmetatbestand definiert, nach welchem die in der DGSVO definierten datenschutzrechtlichen Regelungen nicht anzuwenden sind auf Webseiten, die ausschließlich im Rahmen der Ausübung persönlicher oder familiärer Tätigkeiten ins Netz gestellt werden. Diese Ausnahme wird sehr strikt ausgelegt werden, das gibt das Gesetz so vor.

"Privat" oder "familiär" zugängliche Webseiten, sind aber allenfalls solche Seiten, die zwar im Internet veröffentlicht werden, die aber nur einem engen Kreis (z.B. über Passwortschutz) zugänglich gemacht werden - eben der Familie oder ein paar bekannten Freunden. "Private Absicht" und die Tatsache, ob etwas am Ende tatsächlich privat ist, sind zwei unterschiedliche Paar Stiefel.

Ein Blog, das sich an eine allgemeine Öffentlichkeit richtet, kann unmöglich als "privat" gesehen werden und damit auch nicht mehr  den oben angerissenen datenschutzrechtlichen Ausnahmetatbestand für sich in Anspruch nehmen kann. Alles andere würde auch keinen Sinn machen.

Nun hatte die DSGVO nicht nur Folgen für die technische Gestaltung der Webseite selbst, sie hat auch Folgen für den Umgang mit Vorgängen rund um und abseits der  Webseite:

  • Ich muss einen expliziten Vertrag betreffend Datenverarbeitung mit meinem Hoster und ggfs. noch ein paar anderen abschließen (was an sich schon Unsinn ist, weil ich dessen Einhaltung gar nicht kontrollieren kann)
  • Ich muss ein Verarbeitungsverzeichnis führen (die gerne zitierte 250-Mitarbeiter-Grenze gilt im Falle eines regelmäßig aktualisierten Blogs nicht mehr, denn ein Blog ist konstruktionsbedingt eine Plattform, die regelmäßig und in erheblichem Maße Daten weitergibt)
  • Ich muss die Räumlichkeiten und die Hardware, in und mit der ich mein Blog inhaltlich bearbeite, entsprechend gestalten (von der Verschlüsselung bis hin zur datenschutzrechtlichen Verpflichtung der Putzfrau) und
  • Ich muss den ganzen Scheiß auch noch dokumentieren.

In der Rechtsfolgenabschätzung ist die Datenschutzgrundverordnung einerseits wegen der Reichweite ihrer Regelungen, aber andererseits auf Grund der Unkonkretheit ihrer Vorgaben nicht zu überschauen. Das Gesetz greift so umfassend nicht nur in die digitale Welt ein, dass es in der Praxis entweder scheitern muss oder aber zu etwas mutieren wird, was man mal irgendwann geschaffen hat, aber an das sich niemand hält, weil er sich nicht daran halten kann.

An anderer Stelle schrieb jemand:

"Wir können uns alle nur gegenseitig Glück wünschen, nicht erwischt zu werden."

Lange Rede, kurzes Statement:

Das rechtliche Risiko, ein privates Fotoblog zu betreiben, tue ich mir nicht an.

Sehr lesenswert zum Thema finde ich übrigens diesen Blogartikel:

21 Thesen zum Irrweg der DS-GVO