Ich bin spät dran und ziem­lich genervt. Nicht, dass ich den Zug ver­passt hät­te oder den Flie­ger. Nein, ein EU-Gesetz und des­sen Inkraft­tre­ten in weni­gen Tagen macht mir zu schaf­fen. Es frisst mei­ne Zeit auf, ohne dass ich dar­um gebe­ten hät­te, in die­ser Wei­se beschäf­tigt zu wer­den. Dabei sind das Inter­net und mein Mail-Ein­gangs­ord­ner voll von Ange­bo­ten des Kali­bers „Wol­le Daten­si­cher­heit kau­fen?“ und mir völ­lig unbe­kann­te und mög­li­cher­wei­se auch nur angeb­li­che Rechts­an­wäl­te wol­len mir hel­fen, gegen einen Obo­lus und die Über­las­sung all mei­ner Daten mein Blog rechts­si­cher zu machen, wenn am 25.5.2018 die DSGVO in Kraft tritt und all jenen Web­sei­ten­be­trei­bern saf­ti­ge Abmah­nun­gen dro­hen, die nicht nach­ge­bes­sert haben. Ich den­ke, auch der letz­te Inter­net-User hat mitt­ler­wei­le das schril­le Pfei­fen gehört, das von die­sem Gesetz aus­geht, wel­ches, wie könn­te es anders sein, in Brüs­sel geschaf­fen wur­de. Für Bran­chen, wel­che die Abmahn-Anwäl­te ohne­hin schon wie die Gei­er umkrei­sen, hat sich das Pfei­fen längst in einen bedroh­li­chen Siren­en­ton verwandelt.

Und wäh­rend sich Däne­mark und Groß­bri­tan­ni­en bereits bei den Ver­hand­lun­gen zum Gesetz Son­der­rech­te aus­be­dun­gen hat­ten, zog die Öster­rei­chi­sche Regie­rung am 20. April noch in letz­ter Sekun­de die Not­brem­se, indem sie eine Rei­he von Aus­nah­men wie etwa für Künst­ler oder Jour­na­lis­ten bezüg­lich der mas­si­ven Straf­an­dro­hung bei Ver­stö­ßen gegen das Gesetz mach­te. Eine Geld­stra­fe von maxi­mal 20 Mil­lio­nen Euro oder 4% des welt­wei­ten Jah­res­um­sat­zes sind schließ­lich nicht für jeden ein glei­cher­ma­ßen klei­ner Betrag. In Deutsch­land dage­gen wur­de das Gesetz dank der neu­en „(fast)Allparteienkoalition der Euro­pa­wil­li­gen“ nur durch­ge­wun­ken. Hier­zu­lan­de scheint man der Ansicht zu sein, aus Brüs­sel kön­ne nur gutes und schö­nes kom­men, da muss man nicht so genau hin­schau­en. Und wäh­rend sich unse­re Gut-Medi­en vor allem mit dem Lie­bes­le­ben Trumps beschäf­tig­ten, dräut den Bür­gern und ihren digi­ta­len Beschäf­ti­gun­gen Unheil aus Brüs­sel. Dort wur­de näm­lich schon am 27. April 2016 im EU-Par­la­ment jene: „Ver­ord­nung (EU) 2016/679 des Euro­päi­schen Par­la­ments und des Rates vom 27. April 2016 zum Schutz natür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, zum frei­en Daten­ver­kehr und zur Auf­he­bung der Richt­li­nie 95/46/EG“, auch Daten­schutz-Grund­ver­ord­nung (DSGVO) genannt, in Kraft gesetzt. Die zwei­jäh­ri­ge Über­gangs­frist läuft ab, am 25. Mai 2018 wird es nun ernst.

Es ist also schon zwei Jah­re her, dass die­ses Gesetz ver­ab­schie­det wur­de, wel­ches gera­de­zu ein Para­de­bei­spiel dafür ist, wie eine gute Absicht, wenn sie in die Müh­len einer ent­fes­sel­ten Büro­kra­tie gerät, sich in ihr genau­es Gegen­teil ver­kehrt. Erklär­te Absicht war, die Bür­ger der EU vor dem Miss­brauch ihrer Daten zu schüt­zen, her­aus­ge­kom­men ist ein Schwe­be­zu­stand der recht­li­chen Unsi­cher­heit, in dem so gut wie nie­mand mit Sicher­heit sagen kann, was noch erlaubt und was ver­bo­ten ist. Wirk­lich betrof­fen sind dabei jedoch nicht die gro­ßen Play­er und Daten­samm­ler, deren gut aus­ge­stat­te­te Rechts­ab­tei­lun­gen einen wirk­sa­men Schutz­schirm über dem Tun und Las­sen ihrer Fir­men und Orga­ni­sa­tio­nen aus­brei­ten kön­nen. Im Gegen­teil: je klei­ner eine Fir­ma ist, umso grö­ßer ist die Unsi­cher­heit und umso ver­hält­nis­mä­ßig höher ist auch der Auf­wand, sich gegen künf­ti­ge Abmah­nun­gen zu wapp­nen. Dabei ist es momen­tan egal, mit wem man über das The­ma spricht, alle sind extrem genervt und ver­un­si­chert. Es sei denn, man kann sich Gelas­sen­heit leis­ten. Eine gro­ße Anwalts­kanz­lei mit der ich sprach, steht auf dem fata­lis­ti­schen Stand­punkt, dass, wenn sie bei der Umset­zung der Anfor­de­run­gen Bemü­hen zei­ge, ein Gericht schon wegen der unkla­ren Geset­zes­la­ge einer Kla­ge vor­erst nicht zustim­men wer­de. „Und vor Abmah­nun­gen fürch­ten Sie sich nicht?“ will ich von Rechts­an­walt P. wis­sen. Wenn wel­che rein­flat­tern, wer­de man die halt bezah­len, meint er. Ande­re Bran­chen sind da weni­ger ent­spannt. Wer etwa ein Auto­haus betreibt, bekommt es im Fall einer Abmah­nung näm­lich mit der „Deut­schen Umwelt­hil­fe“ (DUH) zu tun und die Erin­ne­rung an die Zeit ist noch frisch, als für jede Ver­kaufs­an­zei­ge, bei der der Händ­ler ver­ges­sen hat­te, die Leis­tung des zu ver­kau­fen­den Autos auch in KW statt nur in PS anzu­ge­ben, eine sat­te Abmah­nung über meh­re­re tau­send Euro ins Haus flat­ter­te. Die­se Abmah­nungs­wel­le hat zwar der deut­schen Umwelt nicht gehol­fen, wohl aber dem „Bunch of Lawy­ers“ namens „Deut­sche Umwelthilfe“.

Bit-Brother is watching you sowieso

Dabei muss eines klar sein: vor der größ­ten Daten­kra­ke von allen, dem Staat, schützt das neue EU-Recht nicht. Der holt sich die Infor­ma­tio­nen, die er haben möch­te, im Zwei­fels­fall über eine Aus­kunfts­ver­pflich­tung, oder ein Gesetz oder er schickt Poli­zei und Geheim­dienst vor­bei. Ich möch­te hier nicht wei­ter in die Details der DSGVO ein­stei­gen, falls Sie also dach­ten, Sie wür­den von mir erfah­ren, was Sie dies­be­züg­lich unter­neh­men sol­len, muss ich Sie ent­täu­schen. Ich beob­ach­te seit Mona­ten, wie sich Exper­ten bei der Deu­tung des äußerst vage for­mu­lier­ten Geset­zes­tex­tes in den Haa­ren lie­gen wie die Pries­ter des Ora­kels von Del­phi bei der Deu­tung der wir­ren Weis­sa­gun­gen der Phytia – dar­an möch­te ich mich nicht betei­li­gen. Mir geht es hier um Grund­sätz­li­che­res. In die­sem Fall ist näm­lich eine gesetz­li­che Rege­lung aus Brüs­sel ohne natio­na­le Anpas­sung direkt zu den Bür­gern in die­sem Lan­de durch­ge­schla­gen, wo sie nicht – oder doch zumin­dest schlecht – ver­stan­den wird und kon­tra­pro­duk­tiv wirkt.

Die Fra­ge ist nun, ob der Bür­ger wis­sen konn­te, was da vor der Ver­ab­schie­dung der DSGVO 2016 ver­han­delt wur­de. Sicher, dies konn­te er. Doch wie hoch ist der Auf­wand, zu einem aus­rei­chen­den Ver­ständ­nis von der Mate­rie zu gelan­gen und wie groß die Chan­ce des Ein­zel­nen, auf den Gesetz­ge­bungs­pro­zess in Brüs­sel Ein­fluss zu neh­men? Das wäre ein Full­time­job und ist somit unzu­mut­bar für alle, die außer­halb der Brüs­se­ler Büro­kra­tie leben und nicht von ihr gefüt­tert wer­den. Wenn man einen feh­ler­haf­ten Bescheid über zu zah­len­de Grund­steu­er von der Gemein­de bekom­men hat, geht man zur Gemein­de­ver­wal­tung und klärt das. Ist man mit einer Ent­schei­dung auf Lan­des­ebe­ne unzu­frie­den, ist es schon schwe­rer, einen unmit­tel­bar Ver­ant­wort­li­chen zu fas­sen zu bekom­men. Wie kom­pli­ziert dies erst ist, wenn man mit sei­nen Beschwer­den nach Ber­lin oder gar nach Brüs­sel muss, ist wohl jedem klar. Man gibt unwei­ger­lich auf, wenn man tags­über auch noch Flie­sen ver­le­gen, Roh­re schwei­ßen oder Bro­te backen muss. Nun spin­nen wir den Faden mal noch etwas wei­ter und stel­len uns die künf­ti­ge „ver­ei­nig­te Welt­re­gie­rung“ vor, von denen lin­ke und grü­ne Phan­tas­ten gern laut­stark träu­men (ach­ten Sie nur mal dar­auf, wie oft bei Pro­blem­lö­sun­gen die UNO ins Spiel gebracht wird). In die­sem Gre­mi­um ent­schei­den dann die Ver­tre­ter von Grön­land, Mosam­bik und Indo­ne­si­en dar­über, wie die Däm­mung ihres Hau­ses beschaf­fen sein soll und die Ver­tre­ter von Afgha­ni­stan, Sudan und Chi­na über die Aus­ge­stal­tung der Reli­gi­ons­frei­heit. Lachen Sie nicht, Sau­di-Ara­bi­en ist schließ­lich auch in die UN-Frau­en­rechts­kom­mis­si­on gewählt wor­den! Die bei der UNO wer­den schon wis­sen, was gut für uns ist und ob ein Rad­weg zwi­schen Han­no­ver und Alfeld bes­ser auf der lin­ken oder der rech­ten Sei­te der B3 gebaut wer­den sollte!

Ich behaup­te, je grö­ßer die Ent­fer­nung der Ent­schei­der von ihrem Gegen­stand ist, umso gerin­ger ist die gefühl­te und tat­säch­li­che Ver­ant­wort­lich­keit für getrof­fe­ne Ent­schei­dun­gen und umso schlech­ter fal­len die Ent­schei­dun­gen eben auch aus. Das war in der EU natür­lich schon immer so. Es fiel nur nicht so sehr auf, weil die in unser Land zurück­flu­ten­den EU-Geset­ze stets noch in natio­na­les Recht über­setzt wer­den muss­ten. Die ten­den­zi­el­le Selbst­auf­ga­be natio­na­ler Inter­es­sen durch unse­re han­deln­den Poli­ti­ker zuguns­ten von „mehr Euro­pa“ sorgt aller­dings nicht mehr für wirk­sa­men Schutz vor gefähr­li­chen Über­re­gu­lie­run­gen und der wei­te­ren Ein­schrän­kung per­sön­li­cher Frei­hei­ten durch unsin­ni­ge EU-Geset­ze. Doch wie kann es sein, dass in der EU, in der wir alle mit­ein­an­der angeb­lich von Tag zu Tag frei­er leben kön­nen, Geset­ze wie die DSGVO ent­ste­hen kön­nen? Sind wir viel­leicht „zu frei“, wie Pla­ton dies ver­stand? Der schrieb: „Auch die äußers­te Frei­heit wird wohl dem ein­zel­nen und dem Staat sich in nichts ande­res umwan­deln als in die äußers­te Knecht­schaft. So kommt denn natür­li­cher­wei­se die Tyran­nei aus kei­ner andern Staats­ver­fas­sung zustan­de als aus der Demo­kra­tie, aus der über­trie­bens­ten Frei­heit die strengs­te und wil­des­te Knechtschaft.“

Platon hatte unrecht, aber er kannte die EU ja nicht

Ich den­ke, hier irr­te Pla­ton. Nicht über­trie­be­ne Frei­heit führt in die Knecht­schaft, son­dern der fahr­läs­si­ge Nicht­ge­brauch der­sel­ben! Wir beob­ach­ten heu­te dies­be­züg­lich ein unse­li­ges „Geben und Neh­men“ – die einen geben die Kon­trol­le gern ab, die ande­ren neh­men die Kon­trol­le gern in die Hand, um sie aus­zu­üben – natür­lich nicht ohne dies als Dienst­leis­tung aus­zu­ge­ben und dafür zur Kas­se zu bit­ten. Der staat­li­che und im Fall der EU sogar der supra­staat­li­che Inter­ven­tio­nis­mus ist des­halb zumin­dest teil­wei­se Fol­ge nicht genutz­ter Frei­hei­ten. Die Pres­se­frei­heit ist uns nicht wich­tig, weil wir ohne­hin immer die­sel­ben Zei­tun­gen lesen. Die Mei­nungs­frei­heit ist uns läs­tig, weil wir uns gern der Mehr­heits­mei­nung anschlie­ßen und die Rede­frei­heit brau­chen wir nicht, weil wir glau­ben, nichts zu sagen zu haben. Über­all dort, wo die Bür­ger es ver­säu­men, Warn­schil­der zur Staats­ab­wehr mit der Auf­schrift „Bis hier­her und nicht wei­ter“ auf­zu­stel­len, greift der Staat nur zu gern regelnd ein. Er tut dies durch­aus im Bestre­ben, das Leben sei­ner Bür­ger bes­ser zu machen, nimmt ihnen damit aber jede Ent­schei­dungs­mög­lich­keit und damit letzt­lich auch die Frei­heit – und sei es nur die, mit einer selbst getrof­fe­nen Ent­schei­dung unzu­frie­den zu sein. Wir erle­ben die­se buch­stäb­li­che Ent­mün­di­gung jeden Tag. Der Staat sagt uns, was wir essen sol­len und was nicht. Er beläs­tigt uns mit Ekel­bil­dern auf Ziga­ret­ten­pa­ckun­gen und belehrt uns auf Pla­ka­ten, wie wir „Demo­kra­tie leben“ sol­len. Er bestimmt, wie­viel Ener­gie unse­re Häu­ser ver­brau­chen dür­fen und wie­viel Kraft­stoff unse­re Autos. Er zwingt unse­re Kin­der in sein mehr schlecht als recht funk­tio­nie­ren­des Bil­dungs­sys­tem und wenn wir ster­ben, ver­langt er einen Teil unse­res Besit­zes für sich. Nun ist also der Daten­schutz dran und nach Steu­er­be­ra­ter, Ernäh­rungs­be­ra­ter, EU-Sub­ven­ti­ons­be­ra­ter und Rechts­be­ra­ter ist der Daten­schutz­be­auf­trag­te der nächs­te, der uns Selbst­be­stim­mung abnimmt, weil es jedem Men­schen heu­te sys­te­ma­tisch unmög­lich gemacht wird, sich kraft sei­ner Erzie­hung, Bil­dung und mit­tels des eige­nen Ver­stan­des so zu ver­hal­ten, dass er sich nicht selbst scha­det und nicht unwis­sent­lich gegen Geset­ze ver­stößt, die nicht zu sei­nem Schutz erlas­sen wur­den, son­dern zu sei­ner Entmündigung.

Dien­te der Begriff „infor­ma­tio­nel­le Selbst­be­stim­mung“ in den 80er Jah­ren noch dazu, die Rech­te des Bür­gers gegen­über dem Staat zu defi­nie­ren und des­sen Inter­es­sen kla­re Gren­zen zu setz­ten, mischt sich die DSGVO vor­wie­gend in den Infor­ma­ti­ons­aus­tausch zwi­schen den Bür­gern selbst ein und regelt Selbst­ver­ständ­lich­kei­ten, als hät­te man es mit Drei­jäh­ri­gen zu tun. Wer zum Bei­spiel einen Kom­men­tar zu die­sem Blog schreibt, muss zukünf­tig aus­drück­lich zustim­men, dass die­se sei­ne Daten gespei­chert wer­den. Dass dies logi­scher­wei­se über­haupt der Zweck eines Kom­men­tars ist, küm­mert den Gesetz­ge­ber nicht. Er glaubt, dar­auf müs­se expli­zit hin­ge­wie­sen wer­den. Es gibt jedoch prak­ti­sches Wis­sen, das man in einer Rubrik namens “Was-jeder-weiss” zusam­men­fas­sen könn­te. Dazu gehört, dass Was­ser berg­ab fließt, Feu­er heiß und Tro­cken­eis kalt ist und dass Mar­me­la­de Zucker ent­hält. Wenn Kin­der­er­zie­hung und Bil­dung es nicht schaf­fen, die­sem Schatz an All­ge­mein­wis­sen aus­rei­chen­de Ver­hal­tens­re­geln für den Umgang mit den eige­nen Daten im Inter­net hin­zu­zu­fü­gen, kann die­ser Miss­stand nicht durch den Erlass einer Daten­schutz­ver­ord­nung ver­bes­sert wer­den. Die­se belässt den Bür­ger bewusst in sei­ner Unmün­dig­keit und ver­mit­telt den Ein­druck, der Staat, die EU oder irgend eine ande­re wachen­de Instanz wer­de schon dafür sor­gen, dass er selbst kei­ne Ent­schei­dun­gen tref­fen, Risi­ken sei­nes Ver­hal­tens nicht selbst abschät­zen und die Kon­se­quen­zen sei­nes Han­delns nicht selbst tra­gen muss.

Und so wird es wei­ter gehen, wenn die Bür­ger nicht end­lich wie­der deut­li­che Warn­schil­der für die Poli­tik auf­stel­len, um ihre Inter­es­sen vor dem Zugriff und der Regu­lie­rungs­wut des Staa­tes und der EU zu schüt­zen. Es ist sonst nicht mehr weit bis zum EU-kon­for­men Air­bag, der erst nach Bestä­ti­gungs­klick auf die Ver­zichts­er­klä­rung zur Garan­tie­ver­län­ge­rung auslöst.

Vorheriger ArtikelMarx & Müller und der Untergang des Kapitalismus
Nächster ArtikelDonald Trump, der Atom-Vertrag und die europäischen Träume

20 Kommentare

  1. Oh mann, ihr fei­ert euch jah­re­lang in euren “digi­ta­len Flit­zern” (mit HUD, aber ohne Knautsch­zo­ne, ABS oder Air­bag) als Eli­te ab. Jetzt, wo’s 4%-vom-Umsatz-ernst wird, die ner­vi­gen Secu­ri­ty-Beden­ken aus der IT nicht mehr ein­fach mit irgend­ei­nem “ger­man angst” kom­men­tar bei­sei­te gescho­ben wer­den kön­nen und die Pro­zes­se end­lich mal auf­ge­räumt wer­den müs­sen, geht das gro­ße Weh­kla­gen los. 

    Sor­ry, aber das DSV­GO-Geh­eu­le ist ein­fach nur jäm­mer­lich. Jede klei­ne Döner-Bude betreibt bei der Ein­hal­tung von Hygie­ne­stan­dards mehr Auf­wand als von euch gefor­dert wird.

  2. “Nun ist also der Daten­schutz dran und nach Steu­er­be­ra­ter, Ernäh­rungs­be­ra­ter, EU-Sub­ven­ti­ons­be­ra­ter und Rechts­be­ra­ter ist der Daten­schutz­be­auf­trag­te der nächs­te, der uns Selbst­be­stim­mung abnimmt, weil es jedem Men­schen heu­te sys­te­ma­tisch unmög­lich gemacht wird, […]”

    Wenn ich die­se Auf­zäh­lung lese, muß ich an das För­der­pro­gramm “Sozia­le Stadt” den­ken, und der damit ver­bun­de­nen Ein­rich­tung einer Art Büro für sozia­le Ange­le­gen­hei­ten, wohl so etwas wie ein Sozi­al­be­auf­trag­ter. Weiß nicht, war­um in mei­nen Gedan­ken dann immer das Wort “Block­wart” auf­taucht. Auf einem ande­ren Bild in der offi­zi­el­len Bro­schü­re zum För­der­pro­gramm habe ich Jugend­li­che gese­hen, die unter Anlei­tung eines Erwach­se­nen in einer Schab­ra­cken­ar­ti­gen Umge­bung einen Grup­pen­tanz getanzt haben. So sehr ich es gut­hei­ße, wenn Men­schen egal wel­chen Alters unter­kom­men und ein­ge­bun­den sind, so sehr befürch­te ich, dass ein För­der­pro­gramm a la “Sozia­le Stadt” mehr sowas wie Frei­heits­ver­lust und Kon­trol­le bedeu­tet. Ande­rer­seits bekom­men viel­leicht all­zu nega­tiv auf­fäl­li­ge, even­tu­ell zu Kri­mi­na­li­tät nei­gen­de Jugend­li­che einen Halt, den sie sonst nir­gend­wo erhal­ten. Dann wie­der­um hal­te ich sehr wenig von den immer grö­ßer wer­den­den pater­na­lis­ti­schen Ein­grif­fen von Vater Staat in die Leben der Men­schen. Anti­dot: zurück zur Groß­fa­mi­lie, bzw. der Groß­fa­mi­lie ähn­li­chen Strukturen.

    • Sor­ry, ich bin manch­mal ein­fach etwas… Ver­spielt. Etwas ande­res ist das, was Du meinst, für mich gar nicht. Ich werd mich zurücknehmen.

  3. Neu­lich las ich die­sen aus­drucks­star­ken Kom­men­tar auf Journalistenwatch:

    “Eine 200 Meter hohe Mau­er um ganz Wien her­um­zie­hen und anschlie­ßend zuscheißen!”

    Ob das auch für Ber­lin funk­tio­nie­ren würde? 😉

  4. Die Com­pli­an­ce- und Rechts­kos­ten sind mit­ler­wei­le im IT-Bereich tat­säch­lich die größ­te Kos­ten­po­si­ti­on. Man kann heut­zu­ta­ge sehr bil­lig eige­ne Soft­ware und Dienst­leis­tun­gen über App-Stores oder die eige­ne Inter­net­sei­te ver­trei­ben, ris­kiert ohne Rechts­ab­tei­lung jedoch stän­dig, wegen der abstru­ses­te Din­ge insol­vent geklagt zu wer­den. Ich hab selbst schon die Erfah­rung gemacht, dass die Ent­wick­lung sinn­vol­ler und inno­va­ti­ver Pro­duk­te ein­ge­stellt wer­den muss­te, weil die initia­len Rechts­kos­ten um den Fak­tor zwan­zig höher gewe­sen wären, als die Ent­wick­lungs­kos­ten. Mit­ler­wei­le ist es schon so weit, dass es ein Stand­ort­vor­teil ist, wenn eine Fir­ma ihren Sitz und ihre Ser­ver in einem Land hat, das nicht bei der Durch­set­zung deut­scher- und EU Geset­ze hilft. Ich den­ke, in die­ser Rich­tung wird sich noch viel tun, und wür­de wet­ten, dass Facebook&Co sich längst dar­über klar sind, dass sie sich ihr Geschäfts­mo­dell kaputt machen, wenn sie sich von den Bevor­mun­dungs­staa­ten Vor­schrif­ten machen las­sen. Es ist abseh­bar, dass Ser­ver­far­men in Län­dern, die nicht koope­rie­ren, zuneh­mend wich­tig werden.

    Viel­leicht noch ein klei­ner Pra­xis­tip zum Daten­schutz, der nicht von einem Anwalt, son­dern von einem IT-ler kommt: Es geht beim Daten­schutz­ge­setz nur um per­so­nen­be­zo­ge­ne Daten. Im Inter­net wäre das vor allem die IP-Adres­se, die auto­ma­tisch erho­ben wird, sowie wei­te­re Daten — Tele­fon­num­mer, E‑Mail-Adres­se, Account­na­me, und der­glei­chen — die man expli­zit abfragt. Es ist ein­fa­cher, der­ar­ti­ge Daten über­haupt nicht zu erhe­ben, als sie rechts­kon­form zu erhe­ben. Nor­ma­ler­wei­se gibt es kei­ne Auf­be­wah­rungs­fris­ten oder Know-your-Cus­to­mer-Poli­ci­es, und wenn man über­haupt kei­ne per­so­nen­be­zo­ge­nen Daten erhebt, kann man weder gegen den Daten­schutz ver­sto­ßen, noch kann man von Ermitt­lungs­be­hör­den dazu gezwun­gen wer­den, den Übel­tä­ter zu ver­pet­zen, der es gewagt hat, “Heil Hit­ler, Du Arsch­loch” zu schrei­ben. Wenn man die­se Din­ge igno­rie­ren kann, hat man sich das Leben leich­ter gemacht. Es ist nur in Aus­nah­me­fäl­len — zu denen Blogs nicht zäh­len — sinn­voll, ein­zel­ne Benut­zer iden­ti­fi­zie­ren zu können.

    Die Tech­ni­sche Umset­zung wäre, dass man den Web­ser­ver so kon­fi­gu­riert, dass er erst ab dem Log­le­vel WARN etwas in sei­ne Logs schreibt, und alles dar­un­ter ver­wirft. Dann hat man Feh­ler­mel­dun­gen, aber kei­ne Zugriffs­mel­dun­gen, was sich im Nor­mal­fall auch bes­ser lesen lässt. Da der Web­ser­ver als Pro­xy zum Backend fun­giert, kann der Web­ser­ver die HTTP-Hea­der der Anfra­gen so umschrei­ben, dass es für das Backend aus­sieht, als käme jede Anfra­ge von 127.0.0.1. Mehr braucht das Backend nicht, weil die­ses die Ses­si­ons anhand von Coo­kies aus­ein­an­der­hält. Auch das Backend kann man ab Log­le­vel WARN log­gen las­sen, sofern das mög­lich ist, oder das Log andern­falls ein­fach nach /dev/null schrei­ben. Das Backend soll­te Daten zur Ses­si­on zudem tun­lichst nicht in eine Daten­bank schrei­ben, son­dern über einen Dae­mon wie Redis oder Mem­cached abruf­be­reit hal­ten. Dadurch wer­den Sit­zungs­da­ten über­haupt nicht mehr per­sis­tent gespei­chert, und hören auf zu exis­tie­ren, sobald die Lebens­zeit des Coo­kies vor­über ist. Die ohne­hin nicht län­ger als eine hal­be Stun­de dau­ern soll­te. Sofern das Backend dies unter­stützt, ermög­li­chen die­se Dae­mons es auch, die eher sta­ti­schen Sei­ten­be­rei­che zu cachen, was dem Pro­zes­sor mas­siv Last abnimmt, Sei­ten­auf­ru­fe mas­siv beschleu­nigt, und DoS Angrif­fe gegen den Pro­zes­sor ziem­lich schwer wer­den lässt. Was bleibt ist Thrott­ling und IP-Blo­cking. IPs, von denen DoS Angrif­fe aus­ge­hen, las­sen sich auto­ma­tisch per ipta­bles blo­cken oder thrott­len. Thrott­ling ein­sel­ner Urls und Ses­si­ons erfol­gen über den Web­ser­ver oder über die WAF. Wobei es meis­tens reicht, die Zahl der POST Requests pro IP und Ses­si­on inner­halb einer Zeit­ein­heit zu begrenzen. 

    Das ist alles umsetz­bar, ohne, dass ein ein­zi­ges Mal irgend­et­was gespei­chert wird, das eine Per­son iden­ti­fi­zier­bar macht, wodurch das Daten­schutz­ge­setz nicht anwend­bar ist. So wie ich die Daten­schutz­grund­ver­ord­nung inter­pre­tie­re, möch­te der Gesetz­ge­ber, dass Web­ser­ver in der beschrie­be­nen Wei­se kon­fi­gu­riert wer­den. Er nennt das “Pri­va­cy by Design”. Ich fin­de, dass dies an sich auch kei­ne schlech­te Sache ist. Ich selbst kon­fi­gu­rie­re Ser­ver schon lan­ge so, und die sind selbst nach Indus­trie­stan­dards extrem schnell und extrem sta­bil. Die Stan­dard-Kon­fi­gu­ra­tio­nen sind eher zur Feh­ler­su­che geeig­net, als für den Pro­duk­tiv­be­trieb, und sie soll­ten des­halb nicht durch­gän­gig ver­wen­det wer­den. Mei­ne ganz per­sön­li­che Moti­va­ti­on war immer, dass es mir zu viel Stress wäre, wegen irgend­ei­ner Rechts­ver­let­zung eines Benut­zers gra­tis als Zeu­ge auf­tre­ten zu müs­sen, wenn sich die­se Mög­lich­keit auch weg­kon­fi­gu­rie­ren lässt. Und wenn der Gesetz­ge­ber jetzt schon expli­zit dazu auf­for­dert, auf­grund von “Pri­va­cy by design” nicht mit­wir­ken zu kön­nen, will er es doch so.

      • Ich glau­be, Rolf möch­te nicht erreicht wer­den. Er ist schon VOR Inkraft­tre­ten der DSGVO unsichtbar. 😉

      • Roger hat Recht, ich will nicht erreich­bar sein. Sofern es aber nur um eine tech­ni­sche Hil­fe­stel­lung geht, kön­nen wir das, mit Rogers Ein­ver­ständ­nis, aber ger­ne hier bereden.

            • Kri­sen sind Chancen. 

              Die Kri­se mei­ner über­lan­gen Tex­te bie­tet Dir die Chan­ce etwas zu ler­nen, sowie Dei­ne geis­ti­ge Gewand­heit zu schär­fen, indem Du sie wider­legst. Zudem könn­test Du auch die Gele­gen­heit auch nut­zen, Dei­ne Maus bes­ser ein­zu­stel­len und Dei­ne Tas­ta­tur bes­ser ken­nen­zu­ler­nen, die Dir bei­de bereit­wil­lig dabei hel­fen wür­den, schnel­ler zu scrol­len. Und falls Du weni­ger intel­lek­tu­ell und mehr prak­tisch ver­an­lagt bist, bie­ten mei­ne über­lan­gen Tex­te auch einen Anreiz zu kör­per­li­cher Ertüch­ti­gung. Gut trai­nier­te Scroll­fin­ger schmer­zen nicht.

              Siehst Du, Kri­sen sind Chan­cen, und was Dich nicht umbringt, das macht Dich stär­ker. Gelobt sei, was stark macht.

            • @Rolf

              [[ Die Kri­se mei­ner über­lan­gen Tex­te bie­tet Dir die Chan­ce etwas zu ler­nen, sowie Dei­ne geis­ti­ge Gewand­heit zu schär­fen, indem Du sie widerlegst. ]]

              Ich zie­he es vor, mei­ne Zeit mit Kochen für mei­ne Freun­de zu ver­brin­gen. Mit Kuscheln & Ker­zen­schein mit mei­ner Liebs­ten. Mit zärt­li­chem, und den­noch wil­dem, aus­schwei­fen­den Lie­be­ma­chen auf der Couch — auch wenn wir dabei schwit­zen, wie die Schw…äne.

              End­lo­ses, selbst­be­weih­räu­chern­des, bei­falls­hei­schen­des, halb­stark-schnip­pi­sches, halb­wis­send-phi­lo­so­phi­sches, ermü­dend-lang­at­mi­ges Gere­de hin­ge­gen beein­druckt mich bereits seit mei­nen frü­hen Jugend­ta­gen über­haupt nicht mehr.

            • Also klagst, jam­merst, und meckerst Du lie­ber über Schmer­zen im Fin­ger, als Du fickst, und fickst lie­ber, als dass Du die­sen Schmer­zen etwas Posi­ti­ves abgewinnst? 

              P.S.
              Schwei­ne und Schwä­ne kön­nen nicht schwit­zen. Denk dran, erst meckern, dann ficken, und dann erst zur Kennt­nis nehmen.

  5. … also ich erklä­re mich hier­mit ein­ver­stan­den, dass mein Kom­men­tar gespei­chert wer­de, aber ich erklä­re mich mit­nich­ten mit der “Ver­ar­bei­tung mei­ner Daten” ein­ver­stan­den, denn ich will ja bloß, dass mein Kom­men­tar erscheint, was jedoch aus­schließt, dass ich wol­len könn­te, dass mei­ne Daten ver­ar­bei­tet wer­den, denn ich schrei­be ja kei­ne Daten zum Ver­ab­rei­ten, son­dern einen Kom­men­tar zum viel­leicht Lesen.
    Also unter Vor­be­halt. Ja? Ich kli­xe dann mal unter Vor­be­halt auf das Kli­ck­qua­drat, das mir sagt, es könn­ten nein wür­den hier mei­ne Daten ver­ar­bei­tet wer­den. Ähm, jedoch wel­che Daten?, ich hab ja nicht mei­ne Schuh­grö­ße ange­ge­ben?, also die ist 43, und die­ses Datum darfst Du aus­drück­lich ver­ar­bei­ten, Roger, also wie auch immer jetzt!, aber ande­re Daten mit­nich­ten!, und da müss­ten selbst­ver­frei­lich ver­schie­de­ne Ankli­ck­qua­dra­te pan­gen, ja?, auf die man kli­cken kön­nen dür­fen muss, um zu klä­ren, dass man die Hem­den­grö­ße und/oder die Reli­gi­ons­zu­ge­hö­rig­keit zwar ange­ge­ben hat­te, dass man sie aber nicht genannt haben will. Denn das ist wich­tig. Sonst kann ja jeder kommen.

Comments are closed.