title: "Die Datenschutzgrundverordnung der Europäischen Union: Unser Schlachtplan."
---
Dieser Blogpost handelt von der Datenschutzgrundverordnung (DSGVO) der Europäischen Union (EU). Während ich auf die Grundlagen der DSGVO eingehe, konzentriert sich der Schwerpunkt auf deren Auswirkungen auf FreeSewing.org, und was wir in den 100 Tagen tun wollen, die bleiben, bevor die DSGVO in Kraft tritt.
Dies ist eine etwas lange Lektüre, deshalb hier ein Inhaltsverzeichnis:
## Gedanken zur DSGVO der EU
Ich habe eine Hassliebe mit der Europäischen Union. Ich liebe, was sie tun und wofür sie stehen, ich hasse, wie sie es tun.
Mit der DSGVO ist es nicht anders. Es handelt sich um einen wichtiges Stück Gesetzgebung, das die Messlatte für den Online-Datenschutz höher legt, was großartig ist. Aber als ich über das Thema las, verspürte ich den Drang, aus Wut aufzuhören, diese ewigen Bürokraten.
Erlauben Sie mir, das zu erklären.
### Privatsphäre braucht Schutz
Auf Gedeih und Verderb (ich glaube eher auf Verderben) hat sich das Internet in einen Modus Operandi eingependelt wobei Sie *freie Sachen* mit Ihren persönlichen Daten bezahlen. Einige Leute nennen es [People-Farming](https://ar.al/notes/we-didnt-lose-control-it-was-stolen/), und ich denke, das ist ein toller Begriff.
Die [furchterregenden Fünf](https://www.nytimes.com/2017/05/10/technology/techs-frightful-five-theyve-got-us.html) saugen immer mehr unseres persönlichen Lebens ab. Abgesehen davon, dass wir nie online gehen werden, können wir anscheinend nur sehr wenig dagegen tun.
### Warum die EU die beste ist
Dieses Problem ist zu groß, um von einem von uns alleine angegangen zu werden. Wer könnte der geballten Macht der Technologieriesen die Stirn bieten?
Nun, wie ist das für einen Lebenslauf:
- Habe Facebook zu 110 Millionen Euro Strafe wegen irreführender Aussagen über den Kauf von WhatsApp verurteilt
- Befahl Amazon die Nachzahlung von 250 Millionen Euro zusätzlicher Steuern in Luxemburg
- Verhängte gegen Google eine Geldbuße in Höhe von 2,4 Milliarden Euro wegen Missbrauchs seiner dominanten Position bei der Suche
- Habe Apple zur Zahlung von 13 Milliarden Euro zusätzlicher Steuern in Irland verurteilt
Wenn es um die Giganten der Technik geht, ist die Europäische Union nur eine Peitsche, kein Zuckerbrot.
Die Datenschutzgrundverordnung setzt Datenschutzrichtlinien durch, die die Rechte der Nutzer respektieren. Sie gilt für alle EU-Bürger, jederzeit und überall.
Es spielt keine Rolle, ob Sie ein "Silicon Valley Juggernaut" sind, die Rechte der EU-Bürger respektieren oder sich dem Zorn der Eurokratie stellen:
> Organisationen, die gegen GDPR verstoßen, können mit einer Geldstrafe von bis zu 4% des weltweiten Jahresumsatzes oder 20 Millionen Euro (je nachdem, welcher Betrag höher ist) belegt werden
Vier Prozent des weltweiten Umsatzes ist *eine sehr lange Peitsche*.
### Warum die EU die schlechteste ist
Da die EU die EU ist, ist die Verordnung ein Mischmasch aus hochgesteckten Zielen und Idealen, die durch Lobbygruppen verwässert und durch den Kompromiss, der erforderlich ist, um 28 Mitgliedstaaten ins Boot zu holen, noch komplizierter wird.
Die Absichten sind großartig, es ist eine großartige Idee, aber sie machen einen schrecklichen Job, sie zu vermarkten --- wie immer.
Die praktische Umsetzung liegt in den Händen der so genannten *Artikel-29-Arbeitsgruppe* die sich derzeit mit der Gestaltung von Symbolen beschäftigt (das kann man sich [nicht ausdenken](https://www.google.be/search?q=standardised+icons+gdpr)) Sie wird ihren Namen in *Europäischen Datenschutzrat* am 25. Mai ändern weil Sie mit diesem ganzen Jargon jetzt nicht zu zufrieden sein werden, oder?
## Die DSGVO in der praktischen Umsetzung
Wenn Sie Expertenrat zur DSGVO-Konformität suchen, ist dies nicht der richtige Ort für Sie.
Aber wenn Sie neugierig sind auf die DSGVO und was es für eine Website wie FreeSewing.org braucht um der Verordnung gerecht zu werden, lesen Sie weiter.
> ##### Weiterführende Literatur
>
> Wenn Sie wirklich wissen wollen, was DSGVO ist, ist das Beste, was Sie tun können [Lesen Sie das verdammte Ding einfach durch](http://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32016R0679). Es ist keine Raketenwissenschaft.
>
> Wenn Gesetzestexte Sie dazu bringen, die Wände hoch zu gehen, hat die ICO des Vereinigten Königreichs [einfach einer der besten Leitfäden zu DSGVO](https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/).
Bis zu diesem Tag bekommst du einen Passierschein. Nach diesem Tag ist es dann wirklich so weit. Das heißt, wir haben noch 100 Tage Zeit, um unser Haus in Ordnung zu bringen.
Unternehmen mit weniger als 250 Beschäftigten sind von einigen bürokratischen Aspekten der DSGVO ausgenommen, z. B. von einer Reihe von Dokumentationspflichten.
Es stellt sich heraus, dass es das nicht tut. Biometrische Daten sind Daten, mit denen du eine Person identifizieren kannst, z. B. ein Fingerabdruck oder ein Iris-Scan. Körpermaße allein sind keine sensiblen Daten.
In diesem Fall ist deine Rechtsgrundlage für die Verarbeitung der Daten, dass du die Person gebeten hast, ihre Daten zu erhalten, und sie sie dir freiwillig gegeben hat.
Das ist ganz einfach und macht Sinn. Aber die DSGVO will wirklich sicherstellen, dass diese Zustimmung freiwillig gegeben und nicht widerwillig von dir abgerungen wird.
Um zu verhindern, dass Unternehmen eine große Mauer aus juristischem Fachchinesisch aufstellen, der die Menschen zustimmen müssen, beschreibt die DSGVO eine Reihe von Grundsätzen, an die sich diese Zustimmung halten sollte. Hier ist eine nicht erschöpfende Liste:
- Menschen sollten echte Wahlmöglichkeiten und Kontrolle haben
- Die Zustimmung erfordert ein positives Opt-in, angekreuzte Kästchen oder Ähnliches sind nicht erlaubt.
- Es sollte eine klare Erklärung geben, in der erklärt wird, wozu man sich verpflichtet.
- Diese Ersuchen um Zustimmung müssen von den Bedingungen & getrennt sein.
- Die Zustimmung muss detailliert sein, du brauchst eine individuelle Zustimmung für verschiedene Dinge und kannst nicht nach einer pauschalen Zustimmung fragen.
- es für die Menschen einfach sein muss, die Zustimmung neu zu formulieren
- die Zustimmung zur Datenverarbeitung sollte keine Voraussetzung für einen Dienst sein
Wenn ich mir diese Liste ansehe, kann ich mich des Eindrucks nicht erwehren, dass die Gesetzgebung viel einfacher wäre, wenn der Gesetzgeber einfach *don't be a dick* schreiben könnte und die Sache damit erledigt wäre.
Denke daran, dass wir nicht einfach eine pauschale Zustimmung bekommen können. Wir müssen für jede Art der Datenverarbeitung, die wir durchführen, eine Zustimmung einholen.
Für jede dieser Maßnahmen müssen wir die Zustimmung der Nutzer/innen einholen und sicherstellen, dass es sich um eine echte Zustimmung handelt: ** wie in der GDPR vorgesehen.
> Bitte beachte, dass die ursprünglich in diesem Beitrag enthaltenen Mockups nicht mehr unter verfügbar sind. Stattdessen wurde diese Funktion auf der Website implementiert.
Wir müssen nicht nur die einzelnen Datenschutzerklärungen entwerfen, sondern auch eine allgemeine Datenschutzrichtlinie sowie , um sicherzustellen, dass die Nutzer/innen über alle ihre Rechte informiert sind.
Dieses Recht bedeutet, dass die Nutzer/innen in der Lage sein müssen, alle Datenverarbeitungen auf *einzufrieren* , ohne so weit zu gehen, ihre Daten zu löschen.
> Die Menschen haben nicht nur das Recht, alle ihre Daten zu exportieren, dieser Export sollte auch in einem Format erfolgen, das es ihnen leicht macht, ihre Daten anderswo zu verwenden.
Wir sind bereits konform, da wir es den Nutzern ermöglichen, alle ihre Daten zu exportieren und sie in verschiedenen Standardformaten (YAML und JSON) zur Verfügung zu stellen.
Der Grund für die Veröffentlichung dieser Daten ist, dass wir einen Datensatz mit *realen* Körpermaßen zur Verfügung stellen wollen und nicht die *Standardmaße* , die in der Branche üblicherweise verwendet werden.
Darüber werden wir später mehr schreiben, aber im Wesentlichen fällt dies unter die Kategorie *wissenschaftliche Forschung/Statistik* . Und auch wenn die Daten anonymisiert werden, müssen wir das Recht der Nutzer/innen respektieren, dieser Verarbeitung zu widersprechen.
> Menschen haben zusätzliche Rechte, wenn es um Profiling oder Entscheidungen geht, die von KI oder Algorithmen ohne menschliche Beteiligung getroffen werden.
Die EU begnügt sich nicht damit, ein paar Einwilligungsfragen zu stellen und die Rechte der Menschen bei der Datenverarbeitung zu respektieren. Sie will auch sicherstellen, dass deine Privatsphäre (besser) geschützt ist, wenn etwas schief läuft.
Deshalb setzt sie sich für *privacy by design*ein. Auch wenn es schwer ist, dieses Konzept gesetzlich zu verankern, ist das Ziel von klar: Sie wollen, dass jeder den Datenschutz von Anfang an in sein Projekt/Produkt/Geschäft einbezieht, und nicht erst im Nachhinein.
Dinge wie Verschlüsselung (sowohl bei der Übertragung als auch bei den gespeicherten Daten), Pseudonyme und Datenverfall werden als vorgeschlagen, die man bei der Entwicklung berücksichtigen sollte.
Natürlich wird die EU nicht kommen und deinen Code überprüfen, um zu sehen, ob du dir den Datenschutz zu Herzen genommen hast. Aber sie kann (und wird wahrscheinlich) einen Einfluss haben, wenn die Dinge schief laufen.
Stell dir zwei Unternehmen vor, die ein Datenleck haben. Das eine hat nicht viel getan, um die Privatsphäre seiner Nutzer zu schützen, während das andere *privacy by design* Maßnahmen ergriffen hat, um den Schaden zu begrenzen.
In diesem Blog-Beitrag gibt es mehr Informationen dazu: [Die Entscheidungen, die ich getroffen habe, um deine Privatsphäre zu schützen. Oder warum du keine Kekse bekommst](/blog/privacy-choices/).
Diese bilden bereits eine sehr gute Grundlage für eine datenschutzfreundliche Website. Da wir aber ohnehin Änderungen für die GDPR vornehmen müssen, denken wir über andere Optionen nach, um den Datenschutz weiter zu verbessern. Was können wir konkret tun, um den Schaden für unsere Nutzer/innen im Falle eines Datenlecks zu begrenzen?
Die Website braucht diese Informationen jedoch nicht, um zu funktionieren. Wir brauchen sie nur für administrative Zwecke; Geschenke und Geburtstagskarten an unsere Kunden verschicken.
Es gibt also keinen Grund, diese Daten in der Freesewing-Datenbank zu speichern. Wir könnten diese Informationen genauso gut in einem Notizbuch aufschreiben, das wir auf unserem Couchtisch liegen haben.
Das wäre ein zusätzlicher Schutz für die Privatsphäre unserer Nutzerinnen und Nutzer, für den Fall, dass unsere Datenbank in irgendeiner Weise geleert wird.
Auch wenn diese Änderung nicht trivial zu implementieren ist und mit Leistungseinbußen verbunden ist, denke ich, dass es wert ist, sie zu berücksichtigen.
Wir arbeiten derzeit an *dem Recht, informiert zu werden* und haben einen Plan für die Änderungen, die erforderlich sind, um *das Recht auf Einschränkung der Verarbeitung* und *das Widerspruchsrecht*zu respektieren.
Auf der Datenerfassungsseite müssen wir die Details für unsere Datenschutzhinweise ausarbeiten. Wir werden auch eine detaillierte Datenschutzerklärung verfassen, die alle Informationen aus den verschiedenen Hinweisen bündelt.
Wir müssen Änderungen an der Benutzereinführung vornehmen, um sicherzustellen, dass die Benachrichtigungen zur richtigen Zeit angezeigt werden. Ganz zu schweigen davon, dass wir den Überblick behalten müssen, wer seine Zustimmung zu was gegeben hat.
Ich persönlich bin der Meinung, dass die Datenschutzgrundverordnung eine gute Sache ist. Aber ich möchte von dir hören, was du zu den Änderungen in diesem Blogpost sagst.
