Worum es geht

Auf dieser Seite will ich darlegen, warum die Öffnet externen Link in neuem FensterEU-DSGVO völlig übertrieben ist und nicht nur Vorteile, sondern auch viele Nachteile mit sich bringt. Klar, sie bietet zahlreiche positive Sachen wie das Recht auf Vergessen und das Recht auf Dateneinsicht. Das sind alles schöne Sachen, aber darüberhinaus drangsaliert das Gesetzt alle Website-Betreiber doch ziemlich sehr. Das stelle ich hier Anhand von 5 Punkten dar und beschreibe, wie sich die 5 Punkte auf eine durchschnittliche kleine Firma ausgewirkt haben. Jeder x-beliebigen Firma hätte es genauso gehen können.

Zwar behaupten die Datenschützer immer, man hätte ja 2 Jahre Zeit gehabt für die Umsetzung, aber wer bitteschön hatte schon Lust gehabt, sich 99 Artikel durchzulesen? Niemand! Und eine Zusammenfassung war ja praktisch nicht im Umlauf. Ich als Programmierer habe auch erst im Mai 2018 mitbekommen, was man alles tun muss als Website-Betreiber (wobei einiges natürlich schon vorher bekannt war, aber nicht alles). Die meisten Artikel zum Thema wurden ja erst in der Schlussphase verfasst.

Das Thema ist ja bisher auch nicht so wichtig gewesen, da bei einer kleinen 08/15-Firma einfach keine Probleme in dieser Hinsicht auftraten. Das größte Problem sind ja Hackerangriffe, die mit diesen 5 Punkten nichts zu tun haben. Hacker nutzen dabei Schwachstellen in Programmen aus und erlangen so Zugang zu Datenbanken oder dem Filesystem. Dabei ist es nicht nötig, ein Kontaktformular zu belauschen, da man in einer Datenbank viel mehr Informationen findet.

So fragt sich doch, warum diese DSGVO nötig war. Sie wurde erfunden, um große Datensammler in die Schranken zu weisen. Das war durchaus mal nötig, aber irgendwie hat man den Eindruck, dass nur paranoide Datenschützer berücksichtigt wurden. Die wollen ja im Internet keine Spuren hinterlassen, sie wollen nicht gesehen werden und sie wollen über alles aufgeklärt werden. Doch das reicht ihnen nicht aus: sie wollen jeden dazu mit aller Macht zwingen...

Punkt 1: die Datenschutz-Seite

Das jede Website eine Datenschutzseite haben muss, die von jeder Seite aus aufrufbar sein soll, ist ja im Grunde nicht verkehrt. Doch man muss da alles unmögliche angeben, was sowieso niemanden interessiert, außer die paranoiden Datenschützer. So muss man angaben, ob man eine Google Maps im Einsatz hat, ein Youtube-Video eingebaut hat, ReCaptcha benutzt, Google Fonts verwendet oder ob man Social Plugins integriert hat, weil diese Drittanbieter auch Daten sammeln. Wer nur einen Punkt vergisst, riskiert schon eine Abmahnung! Dann muss man angeben, was für Cookies man einsetzt. Man muss erzählen, wie man Cookies ausschalten kann und was Cookies überhaupt sind. Und vieles, vieles, vieles mehr. Und das muss jede Website im Internet machen.

Ist das aber nun wirklich so wichtig? Wer hat schon Lust, sich durch meterlange Datenschutz-Seiten zu wühlen, nur um herauszufinden, welche wirklich kritischen Punkte auf der Website vorkommen? Niemand! Meiner Meinung nach sollten nur kritische Punkte erwähnt werden müssen, da alles andere nur zu einem Datenschutz-Dschungel führt, in dem man alles wichtige gut verstecken kann. Also: werden gesammelte Daten für Werbe-Zwecke mißbraucht? Kommt personalisierte Werbung zum Einsatz? Werden Cookies für Preiserhöhungen bei Folgebesuchen mißbraucht? Werden Daten bewusst an Dritte weiter gegeben oder verkauft? Das sind wichtige Informationen und nicht, ob man eine Google Maps eingebaut hat!

Die oben erwähnte kleine Firma hat sich einfach eine Muster-Datenschutz-Seite besorgt und eingebaut. Sie ist ellenlang und enthält keine Infos, die man nicht auch auf jeder anderen Website (im Internet) findet. Was ist also der Mehrwert davon?

Punkt 2: der Zwang, Kontaktformulare zu verschlüsseln

Alle Seiten, die Personendaten entgegen nehmen, müssen die Daten verschlüsselt übertragen, damit sie nicht von Dritten mit gelesen werden können. Aber wer sind den nun Dritte? Soweit ich das sehe, können Dritte ja nur Hacker sein. Wer sonst lauscht denn zwischen einem Kontaktformular und einem Server?

Ich finde den Verschlüsselungszwang unnötig bei Kontaktformularen, denn niemand käme auf die Idee, dort Passwörter oder Kreditkartendaten einzutragen. Und Namen oder E-Mail-Adressen findet man überall im Netz. Oder sogar bei Namensschildern vieler Angestellter. So geheim können Name oder E-Mail-Adresse also nicht sein, dass man die zwangsläufig vor Hackern schützen muss. Wozu also wird man verpflichtet viel Geld oder Zeit zu investieren um alle Formulare zu verschlüsseln? Bei HostEurope kostet SSL mind. 60 € pro ein Jahr. Und wenn man sich selber ein kostenloses Zertifikat besorgt, muss man 4-5 im Jahr Stunden investieren, um eins für 3 Monate zu besorgen, denn HostEurope bietet keine kostenlosen Zertifikate an. Website-Betreiber werden genötigt und Surfer haben nichts davon, da sie nichts geheimnissvolles in Kontaktformulare eintragen. Außerdem besteht ja auch keine Pflicht, E-Mails zu verschlüsseln. Außerdem werden Name und E-Mail in den Datenbanken in der Regel nicht verschlüsselt und Hacker interessieren sich viel mehr für DB-Inhalte, als für Kontaktformulare. Außerdem besorgen sich gute Firmen freiwillig ein SSL-Zertifikat. Für Passwörter oder Bankdaten sollte das durchaus vorgeschrieben sein, aber sonst? Ich habe jedenfalls mein Kontaktformular deaktiviert!

Die kleine Beispiel-Firma, die es wirklich gibt, musste sich ein SSL-Zertifikat kaufen (wodurch jährliche Kosten entstehen), obwohl keine Passwörter oder Bankdaten abgefragt werden. Alle 3 Monate ein kostenloses Zertifikat auszutauschen wäre zu aufwendig gewesen.

Punkt 3: eine Ckeckbox bei Formularen muss schon sein

Die EU zwingt einen dazu, den Surfer über sein Recht zu informieren: Widerspruchsrecht und er muss der Verarbeitung seiner Daten zustimmen. Doch damit nicht genug: man muss das ganze per Checkbox bestätigen. Ein Text alleine reicht also nicht aus.

Wozu aber? Natürlich stimme ich der Verarbeitung der Daten zu, denn sonst würde ich ja das Formular eh nicht absenden. Die Checkbox ist also völlig witzlos. Sie macht nur Arbeit (viele TYPO3-Extensions sehen so eine Checkbox überhaupt nicht vor!) und verwirrt den Surfer nur noch unnötig. Sinn würde diese Checkbox nur dann machen, wenn man zustimmen müsste, dass die Daten missbraucht oder an Dritte weiter gegeben werden. Auch bei Shops wäre so eine Checkbox noch sinnvoll, aber da gibt es doch eh schon eine Checkbox für die AGBs. Wozu nun noch eine Checkbox? Wie wäre es noch mit einer Checkbox, die abfragt, ob man schon 16 Jahre alt ist? Warum ist die nicht auch ein Pflichtfeld? Ach, das wird noch in der ePrivacy-Verordnung beschlossen? Oder wie wäre es mit dieser obligatorischen Checkbox: "ja, ich verstehe deutsch und ja, ich weiß was ich tue". Nun, nicht umsonst haben manche ihre ganzen Formulare abgeschaltet, anstatt sie für viel Geld umzubauen. Ich habe sogar gesehen, dass auch ganze Websites wegen dieses Problems abgeschaltet wurden. Ein Zitat von einer betroffenen Website (kl. Radio-Sender): "Our antique website was not any longer GDPR compliant. Therefore we decided to move to a intermediate site ..." War das nun wirklich nötig? Andererseits: es ist nicht mal klar, ob man diese Checkbox wirklich braucht. Die Unsicherheit ist einfach groß! Einfach große Klasse, was diese Politiker angerichetet haben!

Die kleine Firma musste alle Formulare umbauen. Bei den Kontaktformularen war das kein Problem, aber bei anderen Formularen, wo eine spezielle Extension im Einsatz ist, musste erst die Extension überarbeitet werden oder es mussten nicht genutzte Datenbank-Felder zweckentfremdet werden, da die TYPO3-Extension keine Checkbox für die benötigte Abfrage vorsah. Selbst tt_products 2.8.22 enthält ja kein DB-Feld für die benötigte Checkbox. Dort wird die Checkbox einfach nur per JavaScript abgefragt.

Punkt 4: die nervtötenden Cookie-Hinweise

Die EU zwingt einen dazu, vor den meisten Cookies zu warnen. Doch so genau ist nicht beschrieben, vor welchen Cookies man den lieben Surfer warnen muss und deshalb bauen die meisten Website-Betreiber eine nervtötende Cookie-Bar auf ihre Website ein. Bei manchen Websites wäre das gar nicht nötig gewesen, aber sicher ist eben sicher. Eigentlich müsste man vor der Cookie-Nutzung sogar eine Einwilligung vom Surfer holen, wenn es nach den Datenschützer ginge, aber soweit ist es wohl noch nicht. Dafür müsste ja dann noch ein Cookie gespeichert werden, damit die Software weiß, dass man eingewilligt hat - oder eben nicht. Die störende Cookiebar wieder loswerden? Dafür wird wird ein Cookie gespeichert, damit die Software weiß, dass man die Cookiebar nicht mehr sehen will. Die Zahl der Cookie wird also eher zunehmen statt abnehmen. Außerdem: die Cookie-Hinweis-Bars sind doch vergleichbar mit den Warnungen auf Zigaretten-Packungen: Rauchen ist tödlich. Sind aber Cookies auch tödlich? Nein, und außerdem kann jeder Cookies in seinem Browser abschalten. Weiterhin gibt es Unsummen an Add-Ons für alle Browser um Cookies zu verwalten. Außerdem kann man das Tracking in der Regel auf der Datenschutz-Seite auch abschalten. Es gibt also keinen Grund dazu, jeden zu zwingen, Cookies zu akzeptieren. Mich nervt dieser Punkt ja am allermeisten an der DSGVO. Beispiel: ich habe mir mal die Website von 7 Hilfsorganisationen angesehen. Alle 7 verwenden sie Tracking-Cookies (was ich gut nachvollziehen kann). Bisher haben aber nur 5 von ihnen eine Cookie-Bar eingebaut. Wahrscheinlich wird das nicht mehr lange so bleiben, sodass dann alle 7 ihre Website verunstalten werden... und wem gefällt das? Die Datenschützer wollen ja noch weiter gehen: sie wollen, dass man Cookies erst akzeptieren muss, bevor sie verwendet werden dürfen (bisher ist die Cookie-Bar ja nur witzlos, da man sowieso von jeder Seite auf die Datenschutz-Seite kommt). Die Folgen: die Cookie-Bars würden noch größer werden und kaum einer würde ständig die Cookies aktivieren, wodurch der Werbemarkt einbrechen würde und kaum noch was getrackt wird. In Endeffekt heißt das allerdings, dass zahlreiche kostenlose Inhalte demnächst Geld kosten würden. Wer will das wirklich? Ich nicht! Außerdem müsste fast das ganze Internet umprogrammiert werden, was extrem teuer werden würde!

Da man Cookies gar nicht ablehnen kann, da dafür ja wieder ein Cookie gespeichert werden müsste, ist die Cookie-Bar völlig unnötig. Ein Hinweis in der Datenschutz-Seite hätte mehr als ausgereicht, denn die Cookie-Bars finden die meisten Surfer eh nur lästig und nervig. Mir geht es genauso. Ich klicke sie als erstes immer weg. Die unnötigen Klicks rauben einem nur Zeit! Cookies sind ja nicht gefährlich, wozu also die ganze Panikmache vor Cookies? Datenschützer würden die Cokies am liebsten wieder abschaffen, da dadurch Tracking und personalisierte Werbung möglich ist. Doch warum nur stört sie personalisierte Werbung über alle Maßen? Ich finde sie sogar gut! Lieber sehe ich mir Werbung von Booking oder Conrad an, anstatt Werbung über Autos oder Katzenfutter. Diesen regelrechten Feldzug der Datenschützer gegen Cookies kann ich jedenfalls nicht nachvollziehen. Apropos Werbung: manche Webseiten sind schon voll Werbung und nun auch noch diese unnötigen Cookie-Bars, die nur noch mehr stören. Bitte beendet diesen Krieg gegen Cookies, denn Cookies gehören ebenso zum Internet wie iframes, JavaScript oder Bookmarks! Die Leute ärgern sich ja daüber, dass man mit ihren Daten Geld verdient. Von mir aus kann man vor Cookies (auf Datenschutz-Seiten) warnen, die für Werbung oder Preiserhöhungen bei Folgebesuchen benutzt werden, aber alles andere ist überzogen. Solange der Krieg gegen Cookies weiter geht, habe ich nun aber eine andere Lösung gefunden: das Plugin "I don´t care about cookies". Es entfernt die meisten Cookie-Bars und das ist gut so!

Da die kleine Muster-Firma Google Analytics im Einsatz hatte, hatte sie nun die Wahl: die Kunden mit nervtötenden Cookie-Bars zu vergraulen oder auf Statistiken zu verzichten. So wurde Google Analytics entfernt. Nun weiß niemand mehr, für welche Seiten sich die Surfer am meisten interessieren.

Punkt 5: die Newsletter-Flut wegen dem Double-Opt-In-Verfahren

Vor dem 25.5.2018 wurde man überhäuft mit E-Mails zum Thema Datenschutz. Warum das alles? Weil sich die Datenschützer und nicht die Vernunft in Brüssel durchgesetzt haben. Dabei ist alles so streng formuliert, dass alle Newsletter-Versender in Panik geraten sind und einen zugeschüttet haben. Die E-Mails sind aber sehr unterschiedlich, was zeigt, dass keiner weiß, wie er zu reagieren hat. Manche schreiben nur was über den Datenschutz. Andere fügen noch einen fetten Abmelde-Link hinzu. Andere wiederum bitten um eine Bestätigung und Gruppe Nr. 4 kommt gleich mit einem Re-Opt-In-Verfahren daher. Klicken Sie hier, um sich neu anzumelden. Warten Sie auf eine Validierungsmail. Klicken Sie nochmal da... alle Newsletter-Abonnenten müssen ja Double-Opt-In registriert sein.

Ja, warum eigentlich? Ich bin ja der Meinung, dass nur ein Abmelde-Link in jedem Newsletter Pflicht sein sollte. Wenn jemand einen unerwünschten Newsletter bekommt, kann er sich ja dann ganz einfach abmelden. Wie soll man auch schon beweisen, dass sich jeder über ein Double-Opt-In-Verfahren angemeldet hat? Soll man zu jedem Scheiß ein Protokoll führen? Klar, gegen Spamer sollte man auch vorgehen, aber ist denn das Double-Opt-In-Verfahren das einzige Mittel gegen Spamer? Ich glaube nicht. Außerdem hat die DSGVO eh nichts gebracht, denn wahre Spamer halten sich nicht daran. Ich kriege immer noch fast täglich echten Spam!

Die kleine Beispiel-Firma hat die E-Mail-Adressen der Abonnenten aus unterschiedlichen Quellen her. Folglich haben nicht alle ein Double-Opt-In-Verfahren durchlaufen und zu den anderen gibt es kein Logging. Also hätte man ein Re-Opt-In-Verfahren anwenden müssen. Doch sowas bekommt man nicht von der Stange. Das muss erst umständlich programmiert werden. Außerdem hätte man dadruch eh die meisten Abonnenten genervt und verloren. So wurden einfach alle (mehrere tausend!) Abonnenten gelöscht. Weg mit E-Mail-Adressen von Kunden, die über Jahrzehnte gesammelt wurden...

Fazit

Jeder sollte nun erkennen, dass die kleine Muster-Firma viel Zeit und Geld investieren musste. Einiges davon war nachvollziehbar doch anderes scheint doch eher unnötig gewesen sein. Die Konsequenzen kann sich jeder selber ausmalen...

Oder man liest woanders nach. Die Öffnet externen Link in neuem FensterFAZ nennt ja schon ein paar Beispiele. Weitere werden bestimmt noch folgen. Andere hingegen sind schon vor Gericht gegangen, um gegen diesen Wahn vorzugehen: die Öffnet externen Link in neuem FensterICANN zum Beispiel. Andere werden sicherlich noch folgen.

Entwarnung gibt es aber dennoch nicht, denn die kommende ePrivacy-Verodnung soll noch strenger werden und die paranoiden Datenschützer wollen ja, dass Cookies nur nach vorheriger Zustimmung benutzt werden dürfen. Es ist nun die Zeit gekommen, dass jeder selbst aktiv werden sollte, ehe die Datenschützer das Internet völlig kaputt machen. Deshalb habe ich diesen Artikel Ende Mai geschrieben.

Zu guter letzt noch ein sechtes Beispiel als Abschluß: als ich kürzlich bei einer gefürhten Wanderung den Fotografen fragte, wo man nachher die Foto sehen könnte, antwortete er natürlich dies hier: nirgendwo, denn aus Datenschutzgründen dürfen keine Fotos mehr veröffentlicht werden ohne dass man vorher die Erlaubnis aller sichtbaren Personen einholt. Die Fotos werden nur zu internen Zwecken verwendet. Da kriegte ich wieder so ein Hals auf die völlig übertriebene DSGVO, die vorallem einem Personenkreis nützt: den Paranoikern (von denen ich auch einige kenne).