Seit Wochen hängt die Angst vor dem Damoklesschwert DSGVO über den Ahnenforschern. Alle haben Angst, dass Ihre Forschungsdatenbanken nun gegen den Datenschutz verstoßen und sie ihre Webseiten einstampfen müssen und die Mailinglisten und Foren sind voll von Diskussionen.

Ich habe mir dazu einige Gedanken gemacht. Fakt ist, die DSGVO betrifft den Datenschutz natürlicher Personen und ihrer personenbezogene Daten.

Eine natürliche Person ist der Mensch in seiner Rolle als Rechtssubjekt, d. h. als Träger von Rechten und Pflichten. […] Mit der Vollendung seiner Geburt wird ein Mensch rechtsfähig. […] Der Mensch verliert seine Rechtsfähigkeit mit dem Tod.

Das heißt, hier geht es um lebende Personen, das ist schon mal Fakt. Das heißt aber auch, das Sammeln von Daten verstorbener Personen ist von der DSGVO nicht betroffen. Also kann der Ahnenforscher dem Hauptziel seines Hobbys unbeschadet nachgehen.

Nun kommen wir zum Anwendungsbereich, der für Genealogen relevant ist. Da heißt es in Art. 2 DSGVO Abs. 2 „Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.“

Nun, in erster Linie ist die Ahnenforschung eine persönliche und familiäre Tätigkeit. Hier möchte ich Vereine ausschließen und auch Projekte zu Ortsfamilienbüchern oder anderen Zusammenstellungen von Personendaten im Rahmen der Genealogie, die nicht die eigene Familie betreffen.

Damit darf ich schon mal alle familiären Daten zumindest zu Hause für mich speichern, um einen Überblick über meine Familie zu haben und auch deren Anschriften und Geburtstage zu kennen. Natürlich dürfen wir diese Daten von lebenden Personen nicht veröffentlichen, außer nach Art. 6 DSGVO a) „Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben.“ (also für die Verwendung in unserer Datenbank). Dazu ist aber Art. 7 DSGVO Abs. (1) „Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.“ zu beachten. Nachweisen kann man etwas am ehesten, wenn man es schriftlich vorliegen hat.

Außerdem steht geschrieben in Art. 9 DSGVO Abs. (2) „Absatz 1 gilt nicht in folgenden Fällen: e) die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat.“ Das hat in meinen Augen eine ähnliche Bedeutung wie die alte Formulierung § 28 Absatz 1 Nr. 3 BDSG. Im neuen BDSG, gültig seit 25.05.2018 gibt es diesen Passus aber nicht mehr. Stattdessen steht jetzt in § 1 geschrieben

Für nichtöffentliche Stellen gilt dieses Gesetz für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, es sei denn, die Verarbeitung durch natürliche Personen erfolgt zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.

Das neue BDSG wiederholt hier also ausdrücklich die Formulierung aus Art. 2 DSGVO Abs. 2.

In den Erläuterungen zum BDSG im Datenschutz Wiki steht zu persönlichen oder familiären Tätigkeiten:

Mit der Formulierung „für persönliche oder familiäre Tätigkeiten“ grenzt das Gesetz einen Bereich persönlicher Lebensführung von der beruflichen und geschäftlichen Sphäre ab. Hier betrachtet der Gesetzgeber denjenigen, der personenbezogene Daten erhebt, verarbeitet oder nutzt, als ebenso schutzbedürftig wie die Betroffenen und räumt diesen deshalb keinen rechtlichen Einfluss auf seinen Datenumgang ein. Entscheidend ist also, dass der Datenumgang im privaten Aktionskreis stattfindet. Diese Bedingung ist zugleich notwendig wie hinreichend. Wie intensiv die Belange von Betroffenen berührt werden, spielt keine Rolle. Auch der Umgang mit besonderen Daten nach § 3 Abs. 9 fällt unzweifelhaft unter die Ausnahme. […] Der Datenumgang muss in vollem Umfang und während der gesamten Dauer ausschließlich für persönliche oder familiäre Tätigkeiten erfolgen. Werden beispielsweise die Adressen des persönlichen Freundes- und Bekanntenkreises auch nur einmal für eine Direktwerbeaktion zugunsten eines Dritten zur Verfügung gestellt oder genutzt, so entfällt die Ausnahme. Der konkrete Werbezweck ist dabei unerheblich; eine gewerbliche Produktwerbung fällt genauso darunter wie der Hinweis auf die erwünschte Unterstützung wohltätiger Organisationen oder kommunaler Anliegen. Jegliche nach außen gerichtete, über den persönlichen und familiären Kreis hinaustretende Tätigkeit verlässt den privilegierten Rahmen. […] Dagegen gehört die Nutzung eines privaten Adressverzeichnisses durchaus zu den persönlichen Tätigkeiten, auch wenn Gruppenrundschreiben versandt werden, etwa mit Weihnachtgrüßen oder einer Virenwarnung. Eine erhebliche Größe einer Datensammlung oder eine hohe Intensität ihrer Verarbeitung schließen an sich einen persönlich-familiären Zweck nicht aus, können aber Indiz für eine darüber hinausgehende Zwecksetzung sein.

Typische persönlich-familiäre Bereiche

• Freizeit, Liebhabereien, Urlaub, privater Konsum, Sport, Unterhaltung; die typische dazu gehörende Datenverarbeitung betrifft z.B. Adressen, Telefonnummern, Webadressen, E-Mail-Adressen, Geburtstage, weitere Angaben von Freunden, Bekannten, Verwandten, Hobby- und Tauschpartnern
• Kollegen (nur soweit ausschließlich für private Kontakte genutzt, nicht für die Koordination von Berufseinsätzen)
• Lesezeichen/Favorites/Bookmarks zum Internet-Surfen, der Verlauf/History der privaten Browser-Nutzung
• E-Mail-Korrespondenz, gleich ob im PC, Notebook, Handheld, Smart Phone oder Telefon gespeichert oder auch auf einem Server abgelegt
• Daten über Internetrecherchen mit Suchmaschinen zu privaten Bekannten und deren Ergebnisse
• Datenumgang zu Bewerbungen sowie Aus- und Fortbildung oder zur Vergütung auf der Seite des Bewerbers bzw. Beschäftigten
• als „privat“ (nicht ausreichend: „persönlich“) bezeichnete Laufwerke
• zur privaten Nutzung freigegebene Notebooks, Handhelds oder Mobiltelefone des Arbeitgebers unter der Voraussetzung, dass der Datenzugang faktisch und rechtlich auf den Beschäftigten persönlich begrenzt ist
• „Notfallkontakt“, also Namen und Erreichbarkeitsdaten einer im Notfall (etwa bei Bewusstlosigkeit des Beschäftigten) zu unterrichtenden Person (wird zwar allein im persönlichen Interesse des Beschäftigten und auf dessen Wunsch gespeichert, bezweckt aber die Information des Arbeitgebers)

Daraus schlussfolgere ich jetzt für mich persönlich, ich darf die personenbezogenen Daten meiner Familie auf jeden Fall für mich privat sammeln. Eine öffentliches zugänglich machen auf der Webseite sollte unterlassen werden. Für die Daten Verstorbener ist es kein Problem, diese auch auf der Webseite darzustellen.

Nun bleibt noch die Betrachtung der Webseite in Bezug auf die DSGVO. Da gelten nun die üblichen Regeln, die für alle Webseiten gelten. Personenbezogene Daten werden in irgendeiner Weise bei jedem Besuch einer Webseite gespeichert, seien es Cookies oder vom Provider erhobene IP-Adressen. Darauf sollte ich natürlich in meiner Datenschutzerklärung hinweisen. Diese Daten werden aber in der Regel nur kurzzeitig gespeichert. Außerdem werden bei Gästebucheinträgen und Kommentarfunktionen persönliche Daten erhoben, das ist mindestens die Mailadresse, wenn angegeben der Klarname, die einen identifizierbar machen. Wenn man sich auf den Seiten registrieren kann, dann werden natürlich auch da Daten erhoben. Diese Daten bleiben gespeichert, solange die Registrierung besteht, da sie für die vom User gewollte zusätzliche Funktion der Webseite notwendig ist.

Fazit daraus ist, auf die Webseite gehört eine Datenschutzerklärung, die aufzeigt wo genau die Webseite Daten warum erhebt. Außerdem ist man verpflichtet auf Wunsch solche Daten auch wieder zu löschen, das gilt für Zugangsdaten genauso wie für Kommentare oder Gästebucheinträge. Man sollte also einem solchen Wunsch eines Users auch nachkommen oder eine technische Möglichkeit schaffen, dass User Ihre Daten selbst wieder löschen können.

Zur Speicherung sämtlicher Daten ist eine Einwilligung des Betroffenen notwendig. Nun, wer im Internet surft, weiß üblicherweise, dass da auch Daten erhoben werden, z.B. Cookies und IP Adressen gespeichert werden. Wer sich dem nicht aussetzen möchte, darf in meinen Augen grundsätzlich nicht im Internet surfen. Für Registrierungen, Gästebucheinträge und Kommentare besteht an sich der Grundsatz, der normale Mensch macht sowas schon bewusst. Grundsätzlich sagt die DSGVO zur Einwilligung:

Es besteht kein Formerfordernis für die Einwilligung, auch wenn die schriftliche Einwilligung aufgrund der Rechenschaftspflichten des Verantwortlichen weiterhin zu empfehlen ist. Sie kann daher auch in elektronischer Form erfolgen. Dabei ist zu beachten, dass laut Erwägungsgrund 32 eine Einwilligung nur durch eine eindeutige Handlung zustande kommen soll. Dies lässt auf das Erfordernis eines Opt-Ins schließen.

Es sollte also eine Zustimmung ermöglicht werden. Auf meiner Genealogiewebseite ist auch das weitestgehend umgesetzt. Bei Gästebucheinträgen ist eine aktive Zustimmung nötig, Bei Registrierungen wird ein Link verschickt, mit dem der User sein Konto selbst aktivieren muss, mit der Aktivierung stimmt er der Datenspeicherung zu. Außerdem wird er schon bei der Registrierung an sich auf die Datenspeicherung hingewiesen. Für die Kommentarfunktion muss noch eine Lösung gefunden werden.

Eine Übertragung der Userdaten erfolgt nur noch verschlüsselt. Die Webseite verwendet https.

Somit meine ich, den Erfordernissen des Datenschutzes in Genüge nachgekommen zu sein.

Hinweise, Ergänzungen, andere Interpretationen können gerne als Kommentar hinterlassen werden. Wenn Sie kommentieren stimmen Sie der Speicherung Ihrer Mailadresse zu.