Purplemoon & DSGVO (GDPR)

(If you prefer to read this article in English, there is an English version)

Zusammenfassung: Die EU-Datenschutz-Grundverordnung (DSGVO) bringt ab dem 25. Mai 2018 viele Pflichten mit sich für jegliche Organisationen, welche Daten von EU-Bürgern bearbeiten. Das dazugehörige Regelwerk ist jedoch sowohl umfangreich wie auch komplex, enthält viele bürokratische Eigenheiten und niemand weiss, wie es ausgelegt werden wird. Deswegen bleibt Purplemoon nichts anderes übrig, als sich komplett aus der EU zurückzuziehen, da wir uns weder die Bürokratie noch eventuelle Bussgelder leisten können.

Hintergrund zur GDPR / DSGVO

Am 25. Mai 2018 tritt die neue Datenschutz-Grundverordnung der EU (DSGVO, oder GDPR auf Englisch) in Kraft, welche umfangreiche Pflichten für jeden vorsieht, welcher persönliche Daten verarbeitet. Davon sind nicht nur Unternehmen in der EU betroffen, sondern jegliche Organisationen oder Privatpersonen, welche in irgendeiner Form Daten von Personen verarbeiten, welche sich in der EU aufhalten, wenn sich Waren oder Dienstleistungen an diese Personen richten. Dafür reicht schon eine einzige Person aus der EU.

Die Hürde, was als „persönliche Daten“ interpretiert wird, ist extrem tief. IP-Adressen, ein Pseudonym, eine E-Mail-Adresse – all das sind bereits identifizierbare persönliche Daten gemäss der DSGVO.

In den Medien wurde die neue Datenschutz-Grundverordnung bereits mit dem Titel „Der Datenschutz bekommt Zähne“ umschrieben, da riesige Bussgelder möglich sind (bis zu 20 Millionen Euro oder 4% vom weltweiten Umsatz, was jeweils höher ist) und die Hoffnung besteht, dass man Firmen damit zu mehr Datenschutz zwingen kann und sie ansonsten hart bestraft werden.

Die Verordnung ist ein riesiges und komplex geschriebenes juristisches Regelwerk auf über 250 A4-Seiten, welches entsprechend nicht leicht verständlich ist und viele bürokratische Regeln enthält. Viele davon führen bereits vor dem Inkrafttreten zu Verunsicherung (z.B. Informationspflichten bei Telefonaten).

Das Problem aus meiner Sicht ist hierbei, dass die Verordnung häufig ungenaue Anforderungen und Pflichten vorsieht, gekoppelt mit einem immensen bürokratischen Aufwand. Ob und wie man sich daran halten kann ist unklar – einige Aspekte werden zudem von jedem Mitgliedsland näher definiert (und unterscheiden sich daher in verschiedenen Ländern – z.B. Österreich hat Gesetze erlassen, um die Strafen nahezu vollständig zu entschärfen), und verschiedene Interessensgruppen legen Aspekte der Verordnung komplett unterschiedlich aus. Die Aussage „wir setzen die EU-Datenschutz-Grundverordnung um“ hat daher zurzeit nur eine geringe Aussagekraft.

Sowohl der hohe bürokratische Aufwand wie auch die Rechtsunsicherheit ist insbesondere für kleine Firmen/Organisationen ein Problem: Die entstehende Bürokratie kann viele Organisationen dauerhaft überfordern, und die Bussgelder oder Gerichtsverfahren können sehr schnell existenzvernichtend sein.

Jegliche Websites mit irgendeiner Dienstleistung könnten davon betroffen sein – denn die DSGVO gilt weltweit, und Details über die Anwendbarkeit hat die EU keine festgelegt. Ob z.B. ein Blog als Dienstleistung angesehen wird, ist komplett unklar – alles ist so weit gefasst, dass theoretisch jede Website weltweit darunter fallen könnte, was am Ende sogar viele Privatpersonen treffen könnte, die eine eigene Website oder einen Blog unterhalten. Am sichersten scheinen Online-Shops zu sein, welche sich nicht an Kunden in der EU wenden. Bei Dienstleistungen hingegen ist es der Phantasie überlassen, wo die Grenzen anfangen und aufhören.

Dass ein Sportverein mit 50 Mitgliedern die gleichen Auflagen hat wie eine Firma mit 50’000 Mitarbeitern ist aus meiner Sicht zudem nicht nachvollziehbar. Nahezu alle sonstigen Gesetze sehen vor, dass man mit mehr Umsatz, mehr Mitarbeitern und mehr Daten auch mehr Verantwortung trägt und es entsprechend ein grösseres Interesse an einer Kontrolle gibt. Dieses Prinzip der Verhältnismässigkeit gibt es in der DSGVO nicht.

Obwohl die DSGVO gern als Waffe gegen grosse Firmen (z.B. Facebook) gesehen wird, hat meiner Meinung nach niemand mehr Vorteile durch diese Verordnung als grosse Firmen. Diese können sich nicht nur die Umsetzung der DSGVO und dessen enorme Bürokratie viel eher leisten, sondern sie können sich auch das EU-Land aussuchen, in welchem sie kontrolliert werden (Österreich wäre z.B. momentan eine angenehme Wahl). International ist die DSGVO für grosse Firmen ein Aushängeschild, welches gegenüber Kunden ausserhalb der EU mehr Datenschutz suggeriert. Eventuelle Bussgelder und Gerichtsverfahren sind zudem nicht annährend so bedrohlich und können notfalls bezahlt werden. Kleinen Firmen und Privatpersonen fehlt es an all diesen Vorteilen und sie können viel leichter zermürbt werden mit Bürokratie, welche mit besserem Datenschutz nichts mehr zu tun hat.

Idealistische Projekte wie Purplemoon sind besonders in Gefahr – sobald ein Projekt begrenzte Mittel hat und nicht vor hat, viel Geld zu verdienen, ist es fraglich, ob sich der Aufwand und das Risiko lohnen kann. Purplemoon hat einen Teilzeit-Mitarbeiter und einige freiwillige Helfer und ist nicht kostentragend, sondern wird mehrheitlich aus persönlicher Überzeugung weitergeführt. Neue bürokratische Regeln mit unklarem Anwendungsbereich sind für uns daher besonders gravierend.

Konsequenzen für Purplemoon

Purplemoon ist und war in Sachen Datenschutz immer besonders bemüht, vorbildlich zu sein. Unsere Datenschutzbedingungen sind leicht verständlich, kurz und nutzerfreundlich. Wir eignen uns die Rechte an Inhalten der Nutzer nicht an, wie es nahezu alle Social Media Plattformen tun. Wir haben noch nie Nutzerdaten an andere Firmen weitergegeben. Jeder Nutzer entscheidet selber, welche Daten wir erhalten, was im Profil angezeigt wird und wann man unsere Dienste nicht mehr benötigt. Wir haben eine sichere Infrastruktur und achten darauf, auf dem neusten Stand der Technik zu bleiben wenn es um Sicherheit und Datenschutz geht.

Leider hilft uns all das nicht mit der DSGVO, denn darin geht es mehrheitlich um grobe bürokratische Regeln, und nicht um freundlichen Datenschutz in der Realität. Von einer EU-Behörde verfolgt zu werden mit Bussgelder oder einem Verfahren ist ein erhebliches Risiko, unabhängig davon wie wir uns darauf vorbereiten. Zurzeit gibt es für keine Firma eine Möglichkeit, eine eindeutig rechtssichere Umsetzung der DSGVO zu vollziehen, da die Verordnung dafür viel zu allgemein gehalten ist und die vielen bürokratischen Regeln unterschiedlich ausgelegt werden können.

Dass wir in der Schweiz angesiedelt sind (und alle Daten ebenfalls in der Schweiz gespeichert werden) hilft uns ebenfalls nicht, sondern erhöht die Rechtsunsicherheit sogar weiter: Denn es ist unklar, welche EU-Behörde genau für uns zuständig wäre oder wie dabei vorgegangen werden würde. Verschiedene Behörden in der EU in verschiedenen Ländern werden unterschiedliche Vorstellungen haben, wie man die DSGVO umzusetzen hat, und wir wissen nicht, welche Meinung sich schliesslich durchsetzt oder wie die DSGVO international durchgesetzt wird.

Die Konsequenz für uns bedeutet, dass wir Purplemoon nicht mehr innerhalb der EU anbieten können. Das ist die einzig sichere Variante, wie wir uns dem unkalkulierbaren Risiko der DSGVO entziehen können. Wir führen daher ein Geo-Blocking für alle EU-Länder ein, welches ab dem 25. Mai gelten wird. Man kommt zwar noch auf die Purplemoon-Seite, wird sich aber nicht mehr anmelden können, sondern wird darauf hingewiesen, dass aufgrund der DSGVO jegliche Dienstleistungen nicht für Personen mit Aufenthalt in der EU angeboten werden können. Überall weltweit ausser in der EU bleibt Purplemoon verfügbar.

Wir sind nicht die einzigen, die diesen Schritt gehen. Es gibt bereits Beispiele aus verschiedensten Branchen, welche die EU künftig aussperren. Die Vermutung liegt nahe, dass diese Zahl stark steigen wird und sehr viele Organisationen die EU ausdrücklich ausnehmen werden von ihren Dienstleistungen – gerade Hobby-Projekte und kleine Firmen können sich sowohl die extrem bürokratischen Regeln wie auch die Rechtsunsicherheit nicht leisten, denn jede Behörde in der EU hat jetzt die Macht eine kleine Firma/Organisation entweder mit der ausufernden Bürokratie oder mit Bussgeldern zu ruinieren. Kleine Organisationen stehen daher vor der Wahl, sich aus der EU zurückzuziehen oder – sofern hauptsächlich Personen in der EU die Dienstleistungen nutzen – den Betrieb ganz einzustellen.

Nachtrag vom 25. Mai: Das Geo-Blocking hat auch Nutzer ausserhalb der EU getroffen, weswegen man die Blockade jetzt „überspringen“ kann, wenn man bestätigt, dass man sich nicht innerhalb der EU befindet. In unseren Nutzungsbestimmungen steht ausdrücklich, dass wir Purplemoon nicht mehr für die EU anbieten, und wir werden das Geo-Blocking anpassen, je nach technischen Möglichkeiten und Notwendigkeit.

Ausblick für die Zukunft

Ich persönlich finde es schade, dass die EU nicht die Chance ergriffen hat, eindeutige Regeln aufzustellen, welche jeder nachvollziehen kann, die Bürokratie nicht ausufern lassen und welche sich (zumindest zu Beginn) nur an grosse Firmen und datenhungrige Branchen richten.

Wenn man die Verordnung bereits nur für Firmen ab 100 Mitarbeitern eingeführt hätte (und wahlweise für Branchen, welche gezielt viele Daten für Profiling/Tracking verarbeiten), hätten die Behörden jahrelang genug zu tun gehabt, diese zu überprüfen und zu besserem Verhalten zu zwingen, und man hätte all diese Regeln an Organisationen ausprobiert, die sich die Rechtsunsicherheit eher hätten leisten können. Der Anteil an Firmen mit über 100 Mitarbeitern liegt bei unter 2%, jedoch gibt es bereits in der EU zehntausende solcher Firmen und weltweit sind es hunderttausende – mehr als genug um diese Massnahmen zu testen und etwas Positives zu bewirken bevor kleine Firmen, Vereine und Privatpersonen Teil dieses Experiments werden.

In der jetzigen Form wird sich zeigen müssen, wer unter die Räder kommt – ob sich die Behörden tatsächlich grosse Firmen vorknöpfen, oder ob sie es sich einfach machen und gegen kleinere Firmen/Organisationen vorgehen, die sich weniger dagegen wehren können. Schon jetzt tragen kleine Organisationen weit höhere Kosten durch die entstehende Bürokratie, so dass diese die grossen Verlierer sind der DSGVO.

Man mag zudem anzweifeln, ob die zusätzliche Bürokratie im Sinne der Bürger ist, denn es kann gut sein, dass EU-Bürger von nun an ständig mit Einwilligungen und neuen komplexen Verträgen konfrontiert werden, die nichts mit gutem Datenschutz zu tun haben sondern nur einer ausufernden Bürokratie geschuldet sind, bei der jeder versucht, sich juristisch abzusichern auf Kosten der Verständlichkeit und unter Ausschluss von gesundem Menschenverstand.

Für die EU ist solche unnötige Bürokratie nichts Neues – bereits die Cookie-Richtlinie von 2009 hat dazu geführt, dass auf vielen Websites Hinweise angebracht wurden über die Verwendung von Cookies (die man jeweils wegklicken muss), welche Verbraucherrechte in keiner Weise positiv beeinflusst haben und dazu geführt haben, dass alle Website-Besucher unnötige Hinweise wegklicken mussten.

Sofern es irgendwann Rechtssicherheit gibt bezüglich der DSGVO, wäre es denkbar, dass man aus der EU wieder auf Purplemoon zugreifen kann. Entsprechende Präzedenzverfahren werden aber vermutlich Jahre bis Jahrzehnte dauern. Wir werden die Situation im Auge behalten und schauen, was passiert.

Veröffentlicht von

Mein Name ist Andreas Leathley und ich bin der Geschäftsführer der Panaxis GmbH, der Firma hinter Purplemoon und Purplestar. Seit der Gründung in 2002 arbeite ich an diesem Projekt und kümmere mich zurzeit um die Programmierung, Technik, Purplemoon-Parties und die Koordinierung aller sonstigen Aktivitäten - von allem etwas. Ich bin 32 Jahre alt und ein Schweizer, der mittlerweile in München sesshaft ist.

23 Kommentare » Schreibe einen Kommentar

  1. Pingback: Purplemoon & GDPR | Purpleblog

      • Ich dachte das die Schweiz durch die sehr gute Verbindung mit der EU und den EU Staaten auch dieses Gesetz annehmen auch wenn Sie kein Mitgliedsland ist.

        • In der Schweiz ist man momentan daran, dass Datenschutzgesetz zu überarbeiten, auch mit Blick auf die DSGVO, eventuell meinst du das oder hast davon schon gehört. Dabei werden die DSGVO und andere Datenschutzgesetze durchaus eine Inspiration sein, was auch Sinn macht. Die DSGVO ist nicht pauschal schlecht – schlecht ist die Rechtsunsicherheit, dass niemand weiss, wie das Gesetz in welchen Ländern angewendet wird, und dass niemand Klarheit schafft, sondern dass am Ende Gerichtsverfahren nötig sind welche Jahre dauern werden – und bis dahin unklar ist was gilt. Dies wird die Schweiz bei einem eigenen Gesetz vermeiden können – besonders nachdem die Konsequenzen der DSGVO ersichtlich werden hat die Schweiz gute Chancen, es besser zu machen und zudem darauf zu achten, dass Privatpersonen und kleine Organisationen nicht übertrieben negativ tangiert werden. Die Schweiz schätze ich als sensibler ein wenn es um die Anliegen der KMU geht als bei der EU, wo teilweise mit einem bürokratischen Bulldozer gearbeitet wird, und am Ende übernimmt auch niemand die Verantwortung wenn etwas schiefgeht.

          Denn ich bin ein Verfechter von gutem Datenschutz. Dass die DSGVO ein so schlechtes Gesetz ist finde ich daher besonders schade – man hätte durchaus etwas tolles daraus machen können.

  2. Joo für deutschland gibts ja auch shoe.com oder so was… also verloren sind die menschen nicht

  3. Es wird zwar nicht erwähnt, aber das Geoblocking detektiert die Herkunft der Anfrage.

    Solle jemand aus der EU einen schweizer Proxy Service benutzen und so Purplemoon über den aufenthalt täuschen. Dann hat man weiterhin zugriff auf Purplemoon und kann alles nutzen.

    Für Purplemoon sollten dadurch keine rechtlichen Probleme auftreten weil sie ja nichts dafür können wenn jemand absichtlich vorgibt sich in der Schweiz aufzuhalten.

    Nur falls mal Schweizer im Ausland Zugriff haben möchten 😉

  4. Schade.. Ich liebe Ppmoon und bin auch schon jetzt bald 8 jahre dabei.. Hier hab ih soo viele Tolle menschen kennengelernt wo man auch nur hier kontakt hat… echt schade aber was will man machen.. macht mich echt traurig

  5. Wie sieht es aus, wenn man Purplemoon vom vereinigten Königreich bzw. Grossbritannien aus nutzen möchte?

  6. Schade , das der Gründer dann auch keinen Zugriff mehr hat von seinen Wohnort in München auf Purplemoon , hoffe dennoch das der Support noch klappt

    • Generell hätte dieses Gesetz schon gut sein können – wenn es nur für Grossfirmen gelten würde, welche offensichtlich die Zielgruppe sind, wenn man sich den Inhalt der DSGVO anschaut. Dass man die gleichen Regeln für riesige Firmen und für winzige Firmen festlegt macht bei Gesetzen nahezu nie Sinn. Dass zusätzlich sogar Privatpersonen und Vereine davon betroffen sind macht es nur noch absurder. Damit sind 99.9% der Betroffenen nicht Grossfirmen und sollen jedoch ein Gesetz für Grossfirmen umsetzen. Dass die EU das selber nicht erkennt ist schon etwas, was einem zu denken geben muss.

  7. Hallo Zusammen,
    Davon abgesehen, dass dieser Datenschutzwahn langsam aber sicher unerträglich wird, ist es genau so doof, dass ich dadurch nicht mal mehr die Möglichkeit habe, mein bestehendes Profil auch entsprechend zu löschen. Im Gegenteil, demnach besteht ja mein Profil sozusagen weiter, jeder Schweizer kann darauf zugreifen und kann auch mir entsprechend Nachrichten oder Info’s auf’s Profil senden, nur ich persönlich kann gar nichts machen, weil mir der Zugriff verwehrt wird….
    Unglaublich. Oder seh ich da was falsch ?!

    • Das ist richtig, ja – das ist die ironische Auswirkung der DSGVO. Das Profil löschen zu können, könnte man genauso als eine Dienstleistung ansehen, weswegen wir sicherheitshalber gar nichts mehr erlauben, d.h.: Login, Profil erstellen, und jegliche Aktionen mit dem Profil sind aus der EU nicht mehr möglich.

      Sofern du das Profil nicht mehr nutzt (oder nutzen kannst) wird das Profil automatisch nach 4 Monaten deaktiviert und nach 12 Monaten gelöscht. Es bleibt also nicht dauerhaft vorhanden. Und wenn du mal nicht in der EU bist, kannst du das Profil normal benutzen.

  8. So ein richtiger Sturm im Wasserglas, den ihr da aus der kleinen Schweiz veranstaltet… Macht es doch wie alle anderen Firmen und Organisationen, von klein bis gross, ob in der EU oder nicht, und schickt allen Usern eine kurze E-Mail, mit der man bestätigen kann, dass man mit eurer Datenschutzpolitik (die ausserdem mit der Richtlinie im Einklang sein sollte) einverstanden ist. Am besten ist, wenn man sein Einverständnis stillschweigend, d.h. ohne Reaktion kundtun kann. Es geht nur darum, dass ihr informiert habt. Das sollte doch auch für ein „Hobby-Projekt“ in der Schweiz möglich sein.

    • So funktioniert die DSGVO nicht – es gibt keine stillschweigende Einverständniserklärung, und man kann nicht einfach alles „abnicken“ lassen von den Nutzern. Es gibt keine Urteile, was man genau machen muss, und auch die Datenschutzämter sind sich da gegenseitig nicht immer einig. Ich lade dich gerne dazu ein, dich mehr mit der Materie auseinanderzusetzen um tatsächlich herauszufinden, worum es geht und wieso es keine simplen Lösungen gibt.

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.