„Bei Google klingeln“: Ist das die lustigste und ehrlichste Datenschutzerklärung im Netz?
Web-Agenturinhaber Andreas Ditze zeigt die Absurdität mancher DSGVO-Regelungen
- Für kleine Betreiber eigentlich kaum umsetzbar
- „Google gelegentlich mal besuchen“
- „Das ist völliger Quatsch“
- „Das Thema Datenschutz liegt mir eigentlich am Herzen“
- Viel Zuspruch auf Twitter
Nahezu alle Website-Betreiber dürften in den zurückliegenden Wochen ihre Datenschutzerklärung überarbeitet haben – um diese an die Anforderungen der seit heute gültigen EU–Datenschutzgrundverordnung (DSGVO) anzupassen. Dem hessischen Web-Agentur-Inhaber Andreas Ditze ist mit der Datenschutzerklärung auf seinem persönlichen Blog ein besonderes Kunststück gelungen: Sein Text ist gleichzeitig leicht verständlich, entwaffnend ehrlich und amüsant – und platziert darüber hinaus noch treffende Kritik an einigen der neuen Regeln.
Der Artikel 12 der DSGVO fordere, dass er seinen Besuchern „in präziser, transparenter, verständlicher und leicht zugänglicher Form [und] in einer klaren und einfachen Sprache“ erkläre, was auf seiner Webseite geschehe, beginnt der Text auf Ditzes privater Website. „Da ich dabei nicht davon ausgehen darf, dass Sie fünf Jahre Informatik, Jura oder Raketeningenieurwesen studiert haben, soll ich hier also Klartext schreiben. Das mache ich doch gerne.“
Für kleine Betreiber eigentlich kaum umsetzbar
Im Folgenden arbeitet Ditze alle grundsätzlichen Punkte einer DSGVO-kompatiblen Datenschutzerklärung ab. Dabei äußert er jedoch vor allem an einem Umstand immer wieder indirekt Kritik: dass die neuen Regelungen es von ihm als Seitenbetreiber verlangen, einen so genannten Auftragsverarbeitungsvertrag mit allen Unternehmen abzuschließen, mit denen er kooperiert oder deren Software er nutzt, um seine Seite zu betreiben.
Seine private Website werde von „seiner“ Firma gehostet (Ditze ist Inhaber der Marburger Web-Agentur tripuls), heißt es etwa im ersten Abschnitt, der sich mit dem Thema Hosting befasst. Er habe mit seinem eigenen Unternehmen jedoch noch keinen Auftragsverarbeitungsvertrag abgeschlossen. „[I]ch habe mir aber im Innenverhältnis mündlich versichert, dass ich (geschäftlich) meine (privaten) Hosting-Daten immer sehr gewissenhaft behandeln werde.“
„Google gelegentlich mal besuchen“
Im folgenden Abschnitt zum Thema Web-Analytics deutet Ditze an, warum er die DSGVO-Anforderungen für einen kleinen, privaten Seitenbetreiber in letzter Konsequenz für eigentlich kaum umsetzbar hält:
„Diese Website nutzt Google Analytics und auch die Standard-Wordpress-Statistiken. Oh Mein Gott! Ihre Zugriffe auf diese Website werden sicherlich auch in den USA gespeichert. Und es kommt noch schlimmer: auch mit Google habe ich noch keinen Auftragsverarbeitungsvertrag geschlossen. Wieso? Der Google-Standard-AV-Vertrag hat 18 Seiten, muss in doppelter Ausfertigung nach Irland geschickt werden und legt mir nahe, meine sonstigen Anmerkungen zum Vertrag postalisch nach London zu senden. Hier können Sie den Vertrag mal nachlesen. Und es kommt noch besser: würde ich die Buchstaben der Datenschutzgrundverordnung wörtlich auslegen, z.B. Artikel 28 Abs. 3 (h), müsste ich persönlich meine Auftragsverarbeiter gelegentlich besuchen und überprüfen, ob die das alles richtig machen. Also ganz praktisch: ich fahre zum Google Rechenzentrum, klingele an der Pforte und sage dann: ‚Hallo, hier ist Ihr Auftraggeber, der Ditze aus Mellnau. Ich wollte mal gucken, ob Sie auch wirklich alles richtig machen.‘ Alles klar?“ (Hervorhebung: OMR)
„Das ist völliger Quatsch“
Er nutze ebenso Plugins, von denen nahezu jedes die IP-Adresse des Besuchers an den jeweiligen Server übertrage. „Habe ich mit jedem dieser Plugin-Anbieter einen Auftragsverarbeitungsvertrag? Na, was meinen Sie? Ich verrate es Ihnen: Nein! Und warum? Weil auch das völliger Quatsch ist.“ Wer nicht wolle, dass die Seite seine IP-Adresse weitergebe, solle seine Seite nicht besuchen, schreibt der Agenturinhaber.
Auch an undifferenzierten Betrachtungsweise von Cookies durch die Behörden sowie durch manche Nutzer scheint Ditze sich zu stören. So heißt es in Abschnitt 6:
„Sie wissen was ein Cookie ist? Nein? Ok, das können Sie hier nachlesen. Manche Menschen haben Angst vor Cookies, weil sie glauben, dass man damit herausbekommen kann, ob sie (diese Menschen mit der Angst) gestern Abend auf einer Porno-Seite waren oder sich insgeheim für satanistische Nazischergenmusik interessieren. Deswegen möchte kaum jemand, dass eine Website Cookies speichert. De facto ist es aber so, dass Websites ohne Cookies heute kaum noch funktionieren. Und so lange nur First-Party-Cookies eingesetzt werden, ist das mit dem Tracking der Nazi-Porno-Seiten nicht möglich. Diese Website nutzt bestimmt auch Cookies – allerdings nur die „guten“ First-Party-Cookies. Third-Party-Cookies habe ich zumindest nicht bewusst in diese Website integriert.“ (Hervorhebung: OMR)
„Das Thema Datenschutz liegt mir eigentlich am Herzen“
Seine doch sehr freie und kreative Datenschutzerklärung sei nicht von einem Juristen geprüft, erklärte Ditze auf die Frage eines anderen Users hin bei Twitter. Ob er nun fürchten muss, abgemahnt zu werden? Potenzielle Abmahner weist Ditze auf ein Interview der Wochenzeitung Die Zeit mit der EU-Justizkommissarin Věra Jourová hin. Die Politikerin prognostiziert, dass sich die EU-Behörden in Sachen DSGVO auf jene Anbieter konzentrieren, die den größten Schaden verursachen und/oder die meisten Daten verarbeiten. Und der deutsche „DSGVO-Vater“ Jan-Philipp Albrecht bezweifelt in einem Artikel auf seinem Blog, dass „die Aufsichtsbehörden und irgendwelche Abmahnanwälte plötzlich eine ganz andere Gangart gegenüber all den kleinen Unternehmen, Einzelunternehmern, Vereinen und Bloggern einlegen werden“. Ditze kündigt diesbezüglich an: „Sie dürfen davon ausgehen, dass ich beiden Akteuren im Falle einer Abmahnung hiervon berichten werde.“
Er sehe sich als Teil der Hackerszene und habe eine positive Grundhaltung zum Thema Datenschutz, so Ditze im letzten Abschnitt der Erklärung. „Das Thema liegt mir wirklich am Herzen. Wenn ich dann allerdings sehe, mit welcher handwerklichen Qualität die Datenschutzgrundverordnung in Deutschland ausgerollt wurde, komme ich als politisch interessierte Privatperson zu dem Schluss, dass ich nicht über jedes Stöckchen springen will und kann, was der Gesetzgeber mir hier hin hält.“ Wer eine „ordentliche“ Datenschutzerklärung von ihm lesen wolle, solle seine geschäftlichen Websites besuchen – dort laufe alles nach Vorschrift.
Viel Zuspruch auf Twitter
Auf Twitter hat Andreas Ditze mit seiner sehr eigenen Auslegung einer Datenschutzerklärung bei vielen Nutzern offenbar einen Nerv getroffen. Diverse User fragen, ob sie die Erklärung für ihre eigene Website übernehmen können. Einer von ihnen hat sich sogar die Mühe gemacht, eine (freiere) englischsprachige Übersetzung anzufertigen. Hinzu kommen fast 600 Retweets, 1.200 Likes sowie Kommentare von nahezu 700 Nutzern: „Die erste Datenschutzerklärung, die wirklich gelesen wird“, schreibt ein Nutzer.
"Du brauchst eine Datenschutzerklärung in einfacher Sprache", haben sie gesagt.
Hold my beer. https://t.co/rllNU2QZhr#Wordpress #Hobby #PrivatesBlog #DSGVO
— Andreas W. Ditze (@andreaswditze) May 21, 2018