Anmerkungen zu dem Vortrag "Datenschutz für Podcaster" - Subscribe 10

Ich weiß, ich mache mich wieder einmal unbeliebt. Aber was raus muß, muß raus.

Im Vorfeld der DSGVO, also vor mehr als einem Jahr, war ich schon oft verwundert, welcher Schwachsinn von sogenannten “Datenschutzexperten” verbreitet wird und welche Ratschläge zur rechtlich einwandfreien Umsetzung der Verordnung gegeben wurden.

Nun, mehr als ein Jahr später, bin ich der Meinung, das Thema DSGVO hätte sich normalisiert, auch wenn es von vielen noch nicht ordentlich umgesetzt wurde und nach wie vor Bußgelder drohen.

Ein wenig verwundert habe ich dem Vortrag “Datenschutz für Podcaster”, den Klaudia Zotzmann-Koch auf der Subscribe 10 hielt im Video verfolgt. Da ich ebenfalls als Datenschutzbeauftragter tätig bin, möchte ich ein paar Anmerkungen zu dem Vortrag machen.

Die Aussage, dass die menschliche Stimme ein biometrisches Datum ist und damit in die “besonderen Kategorien personenbezogener Daten” fällt ist nur bedingt richtig. Für Podcaster ist dieses Kriterium jedoch eher uninteressant:

Nach Art. 4 DSGVO Abs. 14 “Begriffsbestimmungen” sind “„biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene Daten”. Die Aufnahme eines Interviews kann man zwar als “technisches Verfahren” sicherlich nicht jedoch als “spezielles” technisches Verfahren bezeichenen.

Daraus ist zu schließen, dass es sich bei Interviews mit Dritten nicht um die Verarbeitung von biometrischen Daten handelt, sondern die DSGVO “nur” in normalem Umfang greift.

Das ist insofern wichtig, weil bei der Verarbeitung biometrischer Daten einige unangenehme Formalien zu berücksichtigen sind. So ist u. a. ein Datenschutzbeauftragter (DSB) zu benennen und eine Datenschutzfolgenabschätzng vorzunehmen. Auf die Pflichten, die bei der Verarbeitung biometrischer Daten einzuhalten sind, wird in dem Vortrag nicht eingegangen.

Pelevant ud wichtig für Podcaster kann Art. 85 DSGVO Abs. 1, der die “Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit” regelt.

Hier heißt es u. a. “Für die Verarbeitung, die zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt, sehen die Mitgliedstaaten Abweichungen oder Ausnahmen von Kapitel II (Grundsätze), Kapitel III (Rechte der betroffenen Person), Kapitel IV (Verantwortlicher und Auftragsverarbeiter), Kapitel V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), Kapitel VI (Unabhängige Aufsichtsbehörden), Kapitel VII (Zusammenarbeit und Kohärenz) und Kapitel IX (Vorschriften für besondere Verarbeitungssituationen) vor, wenn dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen.”

Damit läßt auch die Heranziehung des Artikels 85 den Schluß zu, dass es sich bei Interviews und Podcasts nicht um biometrische Daten handelt.

Da die Podcasts veröffentlicht werden, müssen natürlich alle anderen Virgaben der DSGVO eingehlaten werden. Die Stichworte sind hier: Transparenz, Information, Rechtmäßigkeit etc. Lertztendlich sind die Vorgaben nach Art. 5 DSGVO einzuhalten und zu dokumentieren. Auch und insbesondere dem Interviepartner gegenüber.

Kommen wir zu Art. 6 DSGVO “Rechtmäßigkeit der Verarbeitung”.

Richtig ist, dass die “Einwiligung des Betroffenen” nach Art. 6 DSGVO “Rechtmäßigkeit der Verarbeitung” Abs. 1 lit a) die schlechteste Form der Zusammenarbeit ist. Denn in diesem Fall muss auch Art. 7 DSGVO “Bedingungen für die Einwilligung” vollumfänglich beachtet werden. Unter anderem hat der Betroffene das Recht, seine Einwilligunng JEDERZEIT zu widerrufen.

Die von Klaudia gemachte Aussage, dass dann alles gelöscht werden müsse, ist jedoch falsch. In Art. 6 DSGVO heißt es in Abs. 3 ausdrücklich “Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt”.

Hier wird augenscheinlich der Widerruf mit deem Recht auf Löschung (das ebenfalls besteht) verwechselt.

Grundsätzlich würde ich keinesfalls die Einwilligung nach Art. 6 DSGVO Abs. 1 lit a) als Rechtsgrundlage nennen, sondern Art. 6 DSGVO Abs. 1 lit. f): “die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen”.

Das berechtigte Interesse des Podcasters einen guten und für die Hörer interessanten Podcast zu erstellen überwiegt das Interesse und die Grundrechte des Interviewten. Dieser wird schließlich nicht gezwungen, an dem Podcast teilzunehmen sondern macht dies in Kenntnis der Verwendung der Daten freiwillig.

Mit einer Rechtsgrundlage nach Art. 6 DSGVO Abs. 1 lit f) ist das Leben für den Host also wesentlich einfacher, zumal hier nicht widerrufen werden kann.

Ich bin jedoch nicht sicher, ob die Produktion von Podcasts eine Verarbeitung von personenbzogenen Daten im Sinne der DSGVO darstellt und diese überhaupt Anwendung findet. Höchstens auf Grund der Tatsache, dass diese veröffentlicht werden.

Aber bitte: Dies ist keine juristische Aussage und keine juristische Beratung. vorsichtshalber kann man den oben aufgezeigten Weg wählen und so evtl. Anfragen vorbeugen. Oder einfach den Anwalt fragen.

Beachtet jedoch, dass sich dieser Weg dann auch in den Verfahrensverzeichnissen und in der Datenschutzerklärung wiederfinden muss.

Ich empfehle eine gesonderte Datenschutzerklärung für die Podcast-Produktion.

Weiteren Aussagen in dem Vortrag stehen m. E. auf ebenso wackligen Beinen. So ist z. B. beim Privacy Shield unerheblich, wie und zu welchen Kosten amerikanische Firmen diesem Abkommen beitreten können. Tatsache ist, dass dieses bilaterale Abkommen den freien Datenaustausch mit amerikanischen Unternehmen, die im Privacy Shield gelistet sind, rechtsverbindlich regelt und dem Podcaster die zur Zeit größtmögliche Sicherheit bietet.

Allerdings möchte ich darauf hinweisen, dass auch diese Vereinbarung jederzeit kippen kann. Dann sollte man Alternativen geplant haben, denn die Nutzung von US-Maillinglisten oder amerikanischen Services zur Marketing-Automation sind dann solange untersagt, bis ein neues Abkommen steht.

Die DSGVO hat jedoch noch einige andere gemeine Fallstricke für Podcaster, auf die in dem Vortrag leider nicht hingewiesen wurde:

Zum Beispiel das Aukunftsersuchen nach Art. 15 DSGVO “Auskunftsrecht der betroffenen Person”.

Ich bin mir sicher, dass niemnd von Euch in der Lage ist, ein Auskunftsersuchen rechtlich einandfreies zu beantworten.

Hatte man früher Sorge vor eine Abmahnung, der immer bestimmte juristische Begebenheiten zugrunde liegen müssen, ist das Auskunftsersuchen die “Rache des kleinen Mannes”. Er kann es formlos stellen und eine unzureichende Beantwortung hat weitreichende (spprich teure) Konsequenzen.

In der Regel erfolgt nach einer schlecht gegebenen Auskunft eine Beschwerde des Betroffenen bei der Aufsichtsbehörde, die dann tätig werden MUSS. Diese statet normalerweise eine detaillierte Überprüfung eurer Datenschutzmaßnahmen und erläßt meistens ein Bußgeld zwischen 3 und 10 T€.

Kümmert euch also SOFORT darum, wie ihr Auskunfstersuchen rechtswirsam beantwortet. Richtet die entsprechenden Prozesse ein. Wenn das Ersuchen bei euch auf dem Tisch liegt, ist die Zeit meis zu kanpp, alles richtig zu machen.

In diesem Sinne:
Viel Spaß mit der DSGVO ud ihren Auswirkungen.

Hm, muss man nicht erstmal nachweisen betroffen zu sein? Und pätestens bei der Herausgabe der Daten, muss man sich eindeutig identifizieren. Das wird einen gewissen Zeitraum in Anspruch nehmen. Womit ich nicht sagen will, dass man sich nicht auf die Eventualität vorbereiten sollte.

Dann ist glaube ich offen, ob man anstatt sich auf den ganzen Prozess einzulassen, die Daten einfach sofort löschen kann und nur das mitteilt, sprich ob damit sofort alle weiteren Ansprüche wegfallen. Dann würde ich dazu raten, wenn man es mit missbräuchlicher Rechtewahrnehmung zu tun hat.

Bei den Angaben, die über die Datenherausgabe hinausgehen, außer die Hinweise auf die Rechte, die Betroffene haben, müssten diese in einer vollständigen Datenschutzerklärung bereits drin stehen. Mit anderen Worten genügt als Antwort der Verweis auf die Erklärung ergänzt mit dem Hinweis auf die Rechte?

Mir ist völlig unklar, was Interviews mit Datenschutz zu tun haben sollen. Da muss ich wohl erstmal den Vortrag ansehen.

Nein, auskunftspflichtig bist du auch bei Personen, die dir unbekannt sind. Solche Negatv-Auskunft hat auber auch ihre eigenen Fallstricke. Für die Identifikation reicht es in der Regel, wenn die Absenderadresse der E-Mail mit der bei dir gespeicherten identisch ist. Ansonsten mußt du natürlich eine rechtssichere Identifikation des Anfragenden vornehmen.

Das wird einen gewissen Zeitraum in Anspruch nehmen. Womit ich nicht sagen will, dass man sich nicht auf die Eventualität vorbereiten sollte.Das wird einen gewissen Zeitraum in Anspruch nehmen. Womit ich nicht sagen will, dass man sich nicht auf die Eventualität vorbereiten sollte.

Du hat laut Gesetz 30 Tage Zeit (Achtung: Nicht zu verwechseln mit 1 Monat), das Auskunftsersuchen zu beantworten. Die Zeit tickt ab dem Eingang des Ersuchens, das formlos gestellt werden kann. Die muss also erst einmal klar sein, was ein Auskunftsersuchen ist und wie du es erkennst.

Dann ist glaube ich offen, ob man anstatt sich auf den ganzen Prozess einzulassen, die Daten einfach sofort löschen kann und nur das mitteilt, sprich ob damit sofort alle weiteren Ansprüche wegfallen. Dann würde ich dazu raten, wenn man es mit missbräuchlicher Rechtewahrnehmung zu tun hat.

Ob der Weg, die Daten einfach sofort zu löschen ein gangbarer ist, mag ich bezweifeln. Denn auch wenn du löschst, muß die Löschung dokumentiert werden und damit hast du wieder Daten des Betroffenen. Hinzu kommen alle Daten der aktuell geführten Kommunikation.

Bei den Angaben, die über die Datenherausgabe hinausgehen, außer die Hinweise auf die Rechte, die Betroffene haben, müssten diese in einer vollständigen Datenschutzerklärung bereits drin stehen. Mit anderen Worten genügt als Antwort der Verweis auf die Erklärung ergänzt mit dem Hinweis auf die Rechte?

Nein, das reicht nicht. In der Datenschutzerklärung zeigst du auf, welche Kategorien von personenbezogenen Daten du speicherst. Beim Auskunfstersuchen lieferst du die konkreten Inhalte.

In der Regel kannsr du davon ausgehen, das die meisten Auskunftsersuchen von Personen gestellt werden die Ärger machen wollten.Und die haben eine extrem schrafe Waffe in der Hand, gegen die eine Abmahnung ein laues Lüftchen ist.

Aber ohne identifizierende Merkmale geht es nicht, sonst hätte man keinen Ansatzpunkt. Es würde mich erstaunen, wenn man verpflichtet ist die Betroffenheit der Person zu erschließen. Also zum Beispiel die Absendeadresse einer Anfrage per Email zu diesem Zweck zu verarbeiten. Bist du sicher, dass die identifizierenden Merkmale nicht explizit genannt sein müssen? Ist ja nicht gesagt, dass man überhaupt einen in den Daten erfassten Kanal für die Anfrage verwendet.

Hm, aber dann könnte ich eine beliebige Person anschreiben und sie mit dem Anschreiben zu einem Datenverarbeiter machen, dem gegenüber ich auskunftberechtigt bin. Das beißt sich doch irgendwie.

Wieso die Löschung dokumentieren? Man muss ja nicht ausschließen, dass die Daten jemals wieder verarbeitet werden, entscheidend ist nur, dass sie zum Zeitpunkt der Anfragebeantwortung gelöscht sind. Einziges Problem wäre die Existenz eines Backups.

Ich meine nicht die tatsächlichen Daten, sondern die zusätzlichen Angaben aus Art. 15 DSGVO (1) a) bis h). Diese Angaben (wie gesagt bis auf die Hinweise auf weitergehende Rechte, wobei man die auch mit hinein schreiben könnte) müssen doch im Prinzip der Datenschutzerklärung zu entnehmen sein, wenn sie vollständig ist.

Aber ohne identifizierende Merkmale geht es nicht, sonst hätte man keinen Ansatzpunkt. Es würde mich erstaunen, wenn man verpflichtet ist die Betroffenheit der Person zu erschließen. Also zum Beispiel die Absendeadresse einer Anfrage per Email zu diesem Zweck zu verarbeiten. Bist du sicher, dass die identifizierenden Merkmale nicht explizit genannt sein müssen? Ist ja nicht gesagt, dass man überhaupt einen in den Daten erfassten Kanal für die Anfrage verwendet.

Lass es mich so erklären: Wenn du ein Auskunftsersuchen erhälst, bist du verpfichtet, darauf zu antworten. Egal, ob dir die Person bekannt ist oder nicht.Identifizierung und du mußt die

Nehmen wir an, ich schreibe Dir unter meiner E-Mail-Adresse achimschmidt@achimschmidit.eu und bitte um Auskunft. Du schuast nach, ob die Adresse in deinen Datensätzen vorhanden ist oder nicht. Anschließend gibt es verschiedene Möglichkeiten:

  • ist dir die E-Mail-Adresse bekannt, z. B. aus einer Mailingliste oder weil dur mal E-Mails erhalten hast oder weil derjenige was gekauft hat, reicht die Übereinstimmung der E-Mail-Adresse für die Identifizierung und du mußt die Infos rausrücken.

  • Ist dir die Email-Adresse unbekannt, mußt du andere Informationen anfordern: Nachfragen, ob es vielleicht eine andere E-Mail-Adresse gibt,die die anfragende Person verwendet haben könnte, eine Kopie der Personalausweises, Wenn über diesen Weg eine Identifikation und Zuordnung der Daten möglich ist, geht es weiter wie zuvor. Wenn eine eindeutige Identifikation nicht möglich ist, mußt du die Heraugabe der Daten verweigern und die der anfregenden Person mit der entsprechenden Begründung mitteilen.

Selbstverständlich mußt du alle Vorgänge rechtssicher dokumentieren und dei Handeln jederzeit gegenüber der Aufsichtsbehörde belegen zu können.

Hm, aber dann könnte ich eine beliebige Person anschreiben und sie mit dem Anschreiben zu einem Datenverarbeiter machen, dem gegenüber ich auskunftberechtigt bin. Das beißt sich doch irgendwie.

Niemand (auch nicht ich) hat behaputet, dass Gesetze logisch sind. Du hast vollkommen recht: In dem Moment, wenn du eine Anfrage per Mail erhälst (nicht bei einer Anfrage per gelber Post) hast du Daten, bist Verantwortlicher und damit zur Auskunft verpflichtet. Siehe Negativ-Auskunft.

Wenn du meine Daten nun einfach löschst und mir mitteilst, du hättest keine Daten von mir, ich jedoch nachweisen kann, dass ich z. B. Newsletter von Dir erhalten habe, dreht dich die Aufsichtsbehörde durch die Mangel und es wird sehr unangenehm für dich.

Wenn du mir jedoch mitteist, dass es zwar Daten gab, du sie aber nach dem Erhalt meiner Anfrage gelöscht hast, habe ich trotzdem das Recht auf Auskunft. Dann sieh mal zu, wie du die Daten wieder herbei schaffst. Viel Spaß dabei. Die Nummer wird ebenso unangenehm.

Wieso die Löschung dokumentieren? Man muss ja nicht ausschließen, dass die Daten jemals wieder verarbeitet werden, entscheidend ist nur, dass sie zum Zeitpunkt der Anfragebeantwortung gelöscht sind. Einziges Problem wäre die Existenz eines Backups.

  • Nehmen wir an, jemand verlangt Auskunft, der mal eine Anfrage für eine Zusammenarbeit oder Infos über ein Produkt, das du anbietest, verlangt hat. Aus der Geschichte isttrotz mehrfachen Mailwechsels nichts geworden und du hat alle Daten gelscht, BEVOR die Anfrage kommt. Keine Anmerkung: Dies kannst du nur machen, wenn du weißt, welche Daten du wo speicherst und wie du sie löschen kannst. Abger gut. Nehemen wir mal an, dir sind deine Prozesse vertraut und du hast sie oderntlich dokumentiert. Dann teilst du dem Anfragenden mit, dass seine Daten am $datum gelöscht wurden und dass die einzigen Daten, die noch in deinem Unternehmen vorliegen, die sind, die die Löschunng der Daten dokumentieren. Außerdem weist du ihn daruf hin, dass für diese Daten eine Löschfrist von $zeitraum vorgesehen ist und seine Löschinformationen endgültig anm $datum gelöscht werden.

Natürlich mußt du die Daten bei einem Löschantrag oder sofern du eigenständig löschst, auch die Backups bereinigen. Spätestens, wenn ein Backup zurück gespielt wird. Auch hierfür ist die Dokumentation der Löschungen sinnvoll. Du mußt also die gelöschten Datensätze markieren und die Baackup-Software sollte möglichst automatisiert beim Rückspielen einer Sicherung die markierten Datensätze automatisch löschen. Ansonsten steht Handarbeit an. Auch die Löschung der Daten aus dem Backup muß dokumentiert werden.

Denke abver daran, dass du nicht einfach alle Daten löschen darfst. Es kann Sperrfristen z. B. vom Finanzamt geben. Daher mein Rat: Mach dir vorher Gedanken um die Prozesse.

Ich meine nicht die tatsächlichen Daten, sondern die zusätzlichen Angaben aus Art. 15 DSGVO (1) a) bis h). Diese Angaben (wie gesagt bis auf die Hinweise auf weitergehende Rechte, wobei man die auch mit hinein schreiben könnte) müssen doch im Prinzip der Datenschutzerklärung zu entnehmen sein, wenn sie vollständig ist.

Sorry, das verstehe ich nicht. Natürlich mußt du die betroffene Person in der Datenschutzerklärung über ihre Rechte aufklären. Daher gehören diese Punkte dort ninein. Diese Angaben helfen dir aber bei einer Anfrage nicht weiter.

Solltest du mal irgenwaann ein Schreiben wie das angehängte (und glaub mir, das ist die ENTSCHÄRFTE und FREUNDLICHE Variante) auf den Tisch bekommen, weißt du hoffentlich, was zu tung ist …
Datenschutzrechtliches Auskunftsersuchen nach DSGVO AS.pdf (1,1 MB)

Was hälst du denn von Erwägungsgrund 58 der Verordnung? Schlägt der sich nicht im Gesetz nieder?

Nun das scheint mir die Frage zu sein, den Anspruch hat die „betroffene Person“ mit anderen Worten eine „identifizierte oder identifizierbare natürliche Person“. In dem Moment, wo die Daten gelöscht sind, erlischt auch der Status als betroffene Person, da sie ja nun nicht mehr identifizierbar ist, und damit auch der Anspruch.

Die Datenhaltung um die Auskünfte herum, ist dabei natürlich ein Problem. Denn im Prinzip wäre ja folgendes möglich: Man verlangt einmal Auskunft und danach verlangt man immer weiter Auskunft nach den Daten zum Vorgang, der durch die Anfrage davor ausgelöst wurde. Da es sich immer um neue Daten handelt, gelten sie vermutlich nicht als weitere Kopie und werden damit auch nicht von der Klausel in Art. 15 (3) erfasst, die offenkundig Missbrauch verbeugen soll.

Anhand deines Beispiels sehe ich deinen Punkt. Es genügt nicht auf die Datenschutzerklärung zu verweisen, sondern du musst einzeln für die spezifischen Daten die Punkte a) bis h) beantworten. Ich hätte das so verstanden, dass man auf Wunsch die gespeicherten Daten übermitteln muss („Auskunft“) und dazu diese Batterie von Hinweisen mitliefern muss („Information“). Ich hätte nicht gedacht, dass die betroffene Person anhand diese Punkte individuell formulierte Fragen stellen kann.

Her verstehe ich den Zusammenhang nicht. Dass Auskünfte, die wir Betroffenen geben gewisse Kriterien erfüllen müssen, bedeutet nicht, dass auch der Gesetzestext diesen Vorgaben unterliegt.

Das erscheint mir problematisch. Wenn du die Daten nach der Anfrage löschst, lagen sie zum Zeitpunkt der Anfrage noch vor. Die betroffene Person ist alo identifizierbar und hat damit einen Auskunftsanspruch. Da kommst du mit löschen nicht weiter, zumal die Löschung NACH Eingang der Anfrage ja mit dem entsprechenden Zeitpunkt dokumentiert werden muß. Unberücksichtigt ist hierbei die Problematik, dass du ggf, nicht alle Daten löschen darfst (Aufbewahrungsfristen) oder nicht löschen kannst, weil du sie weitergegeben hast.

Du hast aber recht: wenn jemand aus dre Anfrage eine Scheife baut und in mehr odr weniger regelmäßigen Abständen erneut nachfrage, liegt ein Mißbrauch vor. Aber auch den solltest du dokumentieren.

Sorry, ich bin irgendwie verrutscht. Ich meinte Erwägungsgrund 57. Das, was ich zitiert habe. In der Rechtsauslegung werden die Erwägungsgründe mit herangezogen. Außer es gibt direkt entgegen lautende Vorschriften im Gesetzestext, würde man entlang dieses Prinzips eine Auskunft nur auf die vorgebrachten identifizierenden Merkmale geben müssen. Sind diese Merkmale unzureichend, ist es an der betroffenen Person von sich aus weitere Angaben zu machen, anstatt dass nachgefragt werden muss.

Zunächst, klar duch andere Anforderungen kann es Komplikationen geben und überhaupt schon die technische Möglichkeit, die Daten sicher löschen zu können, muss erstmal gegeben sein, um so handeln.

Ich gehe davon aus, dass wir hier von Szenarien sprechen wie man betreibt zu einem Podcast einen Newsletter und nun wird der Umstand einer freiwillig eingetragenen Email-Adresse genutzt um über unangemessen weitgehende Anfragen nach DSGVO Probleme zu machen.

Aber, wo wird genau diese Sequenzierung der Vorgänge vorgeschrieben? Es gibt einen Bearbeitungszeitraum, wenn du innerhalb dieses Zeitraums die Grundlage für den Anspruch beseitigst, kannst du ihn (auch tatsächlich) nicht mehr erfüllen. Es geht nicht darum, das zu verschleiern.

(Die anderslautende Konsequenz wäre übrigens, dass gerade große Unternehmen mit hohen Durchsatz die Löschung von Daten aus Betriebsgründen immer so lange verzögern sollten, bis geprüft würde, dass keine aktuellen Anfragen auf genau diese Daten vorliegen, also alle nicht einfach so maschinell verarbeitbaren weil formlosen Anfragen (teil)manuell ausgewertet wurden.)

Wohlgemerkt, ich will hier niemanden raten, das ohne Rechtsberatung so durchzuführen. Ich sage nur, sollte die DSGVO dieses Vorgehen hergeben, wäre es der bevorzugte Weg mit missbräuchlichem Auskunftsersuchen umzugehen.

Über diese Punkte läßt sich trefflich streiten, da die DSGVO in vielen Bereichen einen großen Spielraum für Interpretationen läßt. Fakt ist: Mit einem Auskunftsersuchen kann dich Hinz und Kunz trefflich ärgern. Wenn es dann zu einer Beschwerde bei der Aufsichtsbehörde kommt und du deine Daokumentationen und Prozesse nicht im Griff hast, wird es teuer.

Wie du die Prozesse handhabst, bleibt Dir überlassen. Auf jeden Fall mußt du sie sauber dokumentieren.

Der Trend bei den Aufsichtsbehörden geht inzwischen weg von der Beratung hin zum Bußgeld. Hierbei haben auch kleine Webseitenbetreiber keinen Vorteil mehr. Bestraft werden auch veraltete WordPress-Versionen oder das vernachlässigen von Updates bei Plugins.