DSGVO: Wie der neue EU-Datenschutz bei Steemit wirkt
Mit neuen Regeln zum Datenschutz schickt sich die EU an, kleine Firmen und private Blogger aus dem Netz zu vertreiben. Mit dem Inkrafttreten der neuen, umfassenden Regelungen verschwanden nicht nur viele kleine Blogs, sondern auch große US-Zeitungen aus dem europäischen Internet . Bei zahllosen Seitenbetreibern herrscht Unklarheit über Begriffe und Definitionen, die einzigen, die sich freuen, sind Fachexperten und Berater, die eigentlich aber auch nicht besser wissen, wie ein rechtssicheres Angebot künftig aussehen muss. Die aber zumindest dafür kassieren, es zu behaupten.
Der wichtigste und sichtbarste Beitrag Europas zum Internet war über Jahre hinweg ein nervendes Banner, das vor jedem Besucher aufploppte, der sich zum ersten Mal auf eine Internetseite verirrt hatte. Die Cookie-Richtlinie der EU zwang Seitenbetreiber, ihm mitzuteilen, dass auch ihre Seite tut, was alle Seiten im Internet tun: Cookies auf dem Rechner des Besuchers hinterlegen.
Autofahrer, die Verkehrsschilder bestätigen
Die war etwa so sinnvoll wie der Versuch, Autofahrer vor jedem Verkehrsschild zu zwingen, mit einem Klick zu bestätigen, dass sie das Schild gesehen haben. Aber seit die EU im Jahr 2009 eine neue Richtlinie über "die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation" beschlossen hatte, blieb niemand verschont. Zwar kritisierten Digitalverbände die nutzerfeindliche Regelung harsch. Aber nun legen EU-Parlament und EU-Rat mit der sogenannten "General Data Protection Regulation" - zu deutsch "Datenschutz-Grundverordnung" oder kurz DSGVO - noch einmal nach. Und das so, dass "Datenaktivisten" schon nach wenigen stunden die ersten Klagen ankündigen konnten.
Steemit funktioniert ja nun bekanntlich etwas anders als gewöhnliche Seiten im Internet @alisabell hier dargelegt hat. Aber wie wirkt sich die DSGVO nun wirklich auf die blockchainbasierte Datenbank wie steemit aus? Wie soll ein "Recht auf Vergessenwerden" umgesetzt werden, wenn eine Blockchain doch generell nicht editierbar, also im Nachhinein veränderbar ist?
@holdoc macht hier Ausführungen dazu, die aber betreffen eben nicht die zentrale Frage: Wer ist als Steemian verantwortlich, die neuen EU-Regeln einzuhalten? Oder ist er nicht? Ist es steemit.com? Oder wer?
Fragen, die derzeit eigentlich niemand beantworten kann. Nach Inkrafttreten der Regeln herrscht weitgehend Unklarheit, nicht nur im offenen Netz, sondern gerade auch was blockchainbasierte Lösungen betrifft. Die elf Kapitel der neuen Richtlinie, aufgeteilt in stolze 99 Artikel, stellen einen Reiseblogger auf steemit.com auf eine stufe mit Facebook und Twitter und verlangen ihm die Einhaltung von Regeln ab, die er gar nicht umsetzen kann.
Einen Ausweg zeigen weiter geltende Regelungen zur Arbeit von Journalisten und Fotografen: Danach bleibt eigentlich vieles wie bisher, nur muss nach der Logik der EU-Kommission ein sichererer Eindruck gemacht werden. Die neuen regeln werden bis hin zu offiziellen Medien und regierungsseiten meist umgesetzt, indem irgendwo im Kleingedruckten ein Passus eingefügt wird, der vielfach länger ist als der bisherige Cookie-Hinweis.
Darin werden einfach alle möglichen "personenbezogene Daten" erwähnt und bestimmt, dass der, der die betreffende Seite nutzt, durch die Nutzung einer Speicherung und verarbeitung dieser Daten zustimmt. Fertig.
Damit umgehen die Profis den irrwitzigen Umstand der neuen Regelung, die unter "Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person" selbst eine IP-Adresse versteht, die nicht einmal ein Polizist oder Staatsanwalt in Deutschland auf ihren Nutzer zurückführen kann - dazu bräuchte er stets die Zustimmung eines Richters.
Trotzdem: Als identifizierbar wird eine natürliche Person nach der DSGVO eben schon angesehen, wenn sie "die direkt oder indirekt mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten oder einer Online-Kennung identifiziert" werden kann. Eine IP-Adresse hat so denselben Stellenwert wie ein Passfoto. Und ein Cookie, eigentlich ein anonymes Stückchen Code, das keinen Nutzer, sondern einen bestimmten Browser identifiziert, wird plötzlich zu einem personenbezogenen und damit schutzbedürftigen Gut.
IP-Adressen als geschütztes Gut
Für Steemians heißt das, sie müssen sich darauf verlassen, dass Steemit Inc. als Betreiber der Plattform bald irgendwo eine in der EU nun vorgeschriebene "Datenschutzerklärung" etwa nach dem groben Muster der des Deutschen Bundestages hinterlegt. Das würde vermutlich bereits ausreichen, alle Nutzer wirksam vor Nachstellungen durch Abmahner zu schützen.
Klar ist allerdings auch: Mit der DSGVO, das zeigt das Beispiel steemit.com, schießt sich Europa kollektiv aus der Zukunft raus. Denn mit die dort getroffenen Vorgaben wie etwa das recht auf Vergessen sind in einer Blockchain schlicht nicht umzusetzen, weil eine nachträgliche Korrektur der bereits geschriebenen Blocks die gesamte Kette zerstören würde.
Entweder beruht die trotzdem getroffene Entscheidung zu einer solcher Vorschrift also auf Unkenntnis. Oder EU-Parlament, EU-Kommission und EU-Rat wollten einfach dafür sorgen, dass dezentrale Lösungen wie Steemit gegen Großkonzerne wie Facebook, Twitter und Google verlieren. Denn logisch ist ja: Wenn es riskanter wird, auf einem eigenen Blog oder in der Blockchain zu posten, flüchten sich viele Nutzer zu den Giganten, die seit Monaten hunderte Anwälte haben tüfteln lassen, wie sich das Modell der Monetarisierung von Nutzerdaten an der DSGVO vorbeifädeln lässt. Ja, das ist eEin "Großangriff auf alternative Medien", wie @elevator09 schon vor Wochen diagnostiziert hat.