(If you prefer to read this article in English, there is an English version)
Zusammenfassung: Die EU-Datenschutz-Grundverordnung (DSGVO) bringt ab dem 25. Mai 2018 viele Pflichten mit sich für jegliche Organisationen, welche Daten von EU-Bürgern bearbeiten. Das dazugehörige Regelwerk ist jedoch sowohl umfangreich wie auch komplex, enthält viele bürokratische Eigenheiten und niemand weiss, wie es ausgelegt werden wird. Deswegen bleibt Purplemoon nichts anderes übrig, als sich komplett aus der EU zurückzuziehen, da wir uns weder die Bürokratie noch eventuelle Bussgelder leisten können.
Hintergrund zur GDPR / DSGVO
Am 25. Mai 2018 tritt die neue Datenschutz-Grundverordnung der EU (DSGVO, oder GDPR auf Englisch) in Kraft, welche umfangreiche Pflichten für jeden vorsieht, welcher persönliche Daten verarbeitet. Davon sind nicht nur Unternehmen in der EU betroffen, sondern jegliche Organisationen oder Privatpersonen, welche in irgendeiner Form Daten von Personen verarbeiten, welche sich in der EU aufhalten, wenn sich Waren oder Dienstleistungen an diese Personen richten. Dafür reicht schon eine einzige Person aus der EU.
Die Hürde, was als „persönliche Daten“ interpretiert wird, ist extrem tief. IP-Adressen, ein Pseudonym, eine E-Mail-Adresse – all das sind bereits identifizierbare persönliche Daten gemäss der DSGVO.
In den Medien wurde die neue Datenschutz-Grundverordnung bereits mit dem Titel „Der Datenschutz bekommt Zähne“ umschrieben, da riesige Bussgelder möglich sind (bis zu 20 Millionen Euro oder 4% vom weltweiten Umsatz, was jeweils höher ist) und die Hoffnung besteht, dass man Firmen damit zu mehr Datenschutz zwingen kann und sie ansonsten hart bestraft werden.
Die Verordnung ist ein riesiges und komplex geschriebenes juristisches Regelwerk auf über 250 A4-Seiten, welches entsprechend nicht leicht verständlich ist und viele bürokratische Regeln enthält. Viele davon führen bereits vor dem Inkrafttreten zu Verunsicherung (z.B. Informationspflichten bei Telefonaten).
Das Problem aus meiner Sicht ist hierbei, dass die Verordnung häufig ungenaue Anforderungen und Pflichten vorsieht, gekoppelt mit einem immensen bürokratischen Aufwand. Ob und wie man sich daran halten kann ist unklar – einige Aspekte werden zudem von jedem Mitgliedsland näher definiert (und unterscheiden sich daher in verschiedenen Ländern – z.B. Österreich hat Gesetze erlassen, um die Strafen nahezu vollständig zu entschärfen), und verschiedene Interessensgruppen legen Aspekte der Verordnung komplett unterschiedlich aus. Die Aussage „wir setzen die EU-Datenschutz-Grundverordnung um“ hat daher zurzeit nur eine geringe Aussagekraft.
Sowohl der hohe bürokratische Aufwand wie auch die Rechtsunsicherheit ist insbesondere für kleine Firmen/Organisationen ein Problem: Die entstehende Bürokratie kann viele Organisationen dauerhaft überfordern, und die Bussgelder oder Gerichtsverfahren können sehr schnell existenzvernichtend sein.
Jegliche Websites mit irgendeiner Dienstleistung könnten davon betroffen sein – denn die DSGVO gilt weltweit, und Details über die Anwendbarkeit hat die EU keine festgelegt. Ob z.B. ein Blog als Dienstleistung angesehen wird, ist komplett unklar – alles ist so weit gefasst, dass theoretisch jede Website weltweit darunter fallen könnte, was am Ende sogar viele Privatpersonen treffen könnte, die eine eigene Website oder einen Blog unterhalten. Am sichersten scheinen Online-Shops zu sein, welche sich nicht an Kunden in der EU wenden. Bei Dienstleistungen hingegen ist es der Phantasie überlassen, wo die Grenzen anfangen und aufhören.
Dass ein Sportverein mit 50 Mitgliedern die gleichen Auflagen hat wie eine Firma mit 50’000 Mitarbeitern ist aus meiner Sicht zudem nicht nachvollziehbar. Nahezu alle sonstigen Gesetze sehen vor, dass man mit mehr Umsatz, mehr Mitarbeitern und mehr Daten auch mehr Verantwortung trägt und es entsprechend ein grösseres Interesse an einer Kontrolle gibt. Dieses Prinzip der Verhältnismässigkeit gibt es in der DSGVO nicht.
Obwohl die DSGVO gern als Waffe gegen grosse Firmen (z.B. Facebook) gesehen wird, hat meiner Meinung nach niemand mehr Vorteile durch diese Verordnung als grosse Firmen. Diese können sich nicht nur die Umsetzung der DSGVO und dessen enorme Bürokratie viel eher leisten, sondern sie können sich auch das EU-Land aussuchen, in welchem sie kontrolliert werden (Österreich wäre z.B. momentan eine angenehme Wahl). International ist die DSGVO für grosse Firmen ein Aushängeschild, welches gegenüber Kunden ausserhalb der EU mehr Datenschutz suggeriert. Eventuelle Bussgelder und Gerichtsverfahren sind zudem nicht annährend so bedrohlich und können notfalls bezahlt werden. Kleinen Firmen und Privatpersonen fehlt es an all diesen Vorteilen und sie können viel leichter zermürbt werden mit Bürokratie, welche mit besserem Datenschutz nichts mehr zu tun hat.
Idealistische Projekte wie Purplemoon sind besonders in Gefahr – sobald ein Projekt begrenzte Mittel hat und nicht vor hat, viel Geld zu verdienen, ist es fraglich, ob sich der Aufwand und das Risiko lohnen kann. Purplemoon hat einen Teilzeit-Mitarbeiter und einige freiwillige Helfer und ist nicht kostentragend, sondern wird mehrheitlich aus persönlicher Überzeugung weitergeführt. Neue bürokratische Regeln mit unklarem Anwendungsbereich sind für uns daher besonders gravierend.
Konsequenzen für Purplemoon
Purplemoon ist und war in Sachen Datenschutz immer besonders bemüht, vorbildlich zu sein. Unsere Datenschutzbedingungen sind leicht verständlich, kurz und nutzerfreundlich. Wir eignen uns die Rechte an Inhalten der Nutzer nicht an, wie es nahezu alle Social Media Plattformen tun. Wir haben noch nie Nutzerdaten an andere Firmen weitergegeben. Jeder Nutzer entscheidet selber, welche Daten wir erhalten, was im Profil angezeigt wird und wann man unsere Dienste nicht mehr benötigt. Wir haben eine sichere Infrastruktur und achten darauf, auf dem neusten Stand der Technik zu bleiben wenn es um Sicherheit und Datenschutz geht.
Leider hilft uns all das nicht mit der DSGVO, denn darin geht es mehrheitlich um grobe bürokratische Regeln, und nicht um freundlichen Datenschutz in der Realität. Von einer EU-Behörde verfolgt zu werden mit Bussgelder oder einem Verfahren ist ein erhebliches Risiko, unabhängig davon wie wir uns darauf vorbereiten. Zurzeit gibt es für keine Firma eine Möglichkeit, eine eindeutig rechtssichere Umsetzung der DSGVO zu vollziehen, da die Verordnung dafür viel zu allgemein gehalten ist und die vielen bürokratischen Regeln unterschiedlich ausgelegt werden können.
Dass wir in der Schweiz angesiedelt sind (und alle Daten ebenfalls in der Schweiz gespeichert werden) hilft uns ebenfalls nicht, sondern erhöht die Rechtsunsicherheit sogar weiter: Denn es ist unklar, welche EU-Behörde genau für uns zuständig wäre oder wie dabei vorgegangen werden würde. Verschiedene Behörden in der EU in verschiedenen Ländern werden unterschiedliche Vorstellungen haben, wie man die DSGVO umzusetzen hat, und wir wissen nicht, welche Meinung sich schliesslich durchsetzt oder wie die DSGVO international durchgesetzt wird.
Die Konsequenz für uns bedeutet, dass wir Purplemoon nicht mehr innerhalb der EU anbieten können. Das ist die einzig sichere Variante, wie wir uns dem unkalkulierbaren Risiko der DSGVO entziehen können. Wir führen daher ein Geo-Blocking für alle EU-Länder ein, welches ab dem 25. Mai gelten wird. Man kommt zwar noch auf die Purplemoon-Seite, wird sich aber nicht mehr anmelden können, sondern wird darauf hingewiesen, dass aufgrund der DSGVO jegliche Dienstleistungen nicht für Personen mit Aufenthalt in der EU angeboten werden können. Überall weltweit ausser in der EU bleibt Purplemoon verfügbar.
Wir sind nicht die einzigen, die diesen Schritt gehen. Es gibt bereits Beispiele aus verschiedensten Branchen, welche die EU künftig aussperren. Die Vermutung liegt nahe, dass diese Zahl stark steigen wird und sehr viele Organisationen die EU ausdrücklich ausnehmen werden von ihren Dienstleistungen – gerade Hobby-Projekte und kleine Firmen können sich sowohl die extrem bürokratischen Regeln wie auch die Rechtsunsicherheit nicht leisten, denn jede Behörde in der EU hat jetzt die Macht eine kleine Firma/Organisation entweder mit der ausufernden Bürokratie oder mit Bussgeldern zu ruinieren. Kleine Organisationen stehen daher vor der Wahl, sich aus der EU zurückzuziehen oder – sofern hauptsächlich Personen in der EU die Dienstleistungen nutzen – den Betrieb ganz einzustellen.
Nachtrag vom 25. Mai: Das Geo-Blocking hat auch Nutzer ausserhalb der EU getroffen, weswegen man die Blockade jetzt „überspringen“ kann, wenn man bestätigt, dass man sich nicht innerhalb der EU befindet. In unseren Nutzungsbestimmungen steht ausdrücklich, dass wir Purplemoon nicht mehr für die EU anbieten, und wir werden das Geo-Blocking anpassen, je nach technischen Möglichkeiten und Notwendigkeit.
Ausblick für die Zukunft
Ich persönlich finde es schade, dass die EU nicht die Chance ergriffen hat, eindeutige Regeln aufzustellen, welche jeder nachvollziehen kann, die Bürokratie nicht ausufern lassen und welche sich (zumindest zu Beginn) nur an grosse Firmen und datenhungrige Branchen richten.
Wenn man die Verordnung bereits nur für Firmen ab 100 Mitarbeitern eingeführt hätte (und wahlweise für Branchen, welche gezielt viele Daten für Profiling/Tracking verarbeiten), hätten die Behörden jahrelang genug zu tun gehabt, diese zu überprüfen und zu besserem Verhalten zu zwingen, und man hätte all diese Regeln an Organisationen ausprobiert, die sich die Rechtsunsicherheit eher hätten leisten können. Der Anteil an Firmen mit über 100 Mitarbeitern liegt bei unter 2%, jedoch gibt es bereits in der EU zehntausende solcher Firmen und weltweit sind es hunderttausende – mehr als genug um diese Massnahmen zu testen und etwas Positives zu bewirken bevor kleine Firmen, Vereine und Privatpersonen Teil dieses Experiments werden.
In der jetzigen Form wird sich zeigen müssen, wer unter die Räder kommt – ob sich die Behörden tatsächlich grosse Firmen vorknöpfen, oder ob sie es sich einfach machen und gegen kleinere Firmen/Organisationen vorgehen, die sich weniger dagegen wehren können. Schon jetzt tragen kleine Organisationen weit höhere Kosten durch die entstehende Bürokratie, so dass diese die grossen Verlierer sind der DSGVO.
Man mag zudem anzweifeln, ob die zusätzliche Bürokratie im Sinne der Bürger ist, denn es kann gut sein, dass EU-Bürger von nun an ständig mit Einwilligungen und neuen komplexen Verträgen konfrontiert werden, die nichts mit gutem Datenschutz zu tun haben sondern nur einer ausufernden Bürokratie geschuldet sind, bei der jeder versucht, sich juristisch abzusichern auf Kosten der Verständlichkeit und unter Ausschluss von gesundem Menschenverstand.
Für die EU ist solche unnötige Bürokratie nichts Neues – bereits die Cookie-Richtlinie von 2009 hat dazu geführt, dass auf vielen Websites Hinweise angebracht wurden über die Verwendung von Cookies (die man jeweils wegklicken muss), welche Verbraucherrechte in keiner Weise positiv beeinflusst haben und dazu geführt haben, dass alle Website-Besucher unnötige Hinweise wegklicken mussten.
Sofern es irgendwann Rechtssicherheit gibt bezüglich der DSGVO, wäre es denkbar, dass man aus der EU wieder auf Purplemoon zugreifen kann. Entsprechende Präzedenzverfahren werden aber vermutlich Jahre bis Jahrzehnte dauern. Wir werden die Situation im Auge behalten und schauen, was passiert.