Meine Fragen zur DSGVO und Steemit

in #jura7 years ago

Ich mache diesen Blogeintrag, weil ich ein paar Fragen habe bez. der Zukunft von Steemit. Ich bin kein Jurist, sondern jemand, der Mitte 2018 ein Projekt starten will und dafür eben auch das Steemit-Netzwerk nutzen möchte. Vielleicht kann mir da der eine oder andere weiterhelfen.


Das DSGVO

Ich möchte hier über die Datenschutz-Grundverordnungen ein paar Fragen in den Raum werfen, welches in der EU bald in Kraft tritt.

Sie gilt ab dem 25. Mai 2018.
Art. 99 DSGVO (2)

Ich werde dabei das gesamte Dokument auf deutsch durchgehen und jedes Mal, wenn ich mit meinem Nicht-Juristen-Verstand auf etwas stoße, das Steemit betrifft, will ich dazu relevante Fragen stellen. Ich gehe dabei chronologisch vor und wer das Dokument selbst lesen möchte, der folge dem folgendem Link:

https://dsgvo-gesetz.de/

Begriffsbestimmungen findet man hier:

https://dsgvo-gesetz.de/art-4-dsgvo/


Sachlicher Anwendungsbereich

Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Art. 2 DSGVO (1)

Wenn ich also mein Projekt Mitte 2018 starte und unter anderem personenbezogene Informationen veröffentliche, beispielsweise über Teilnehmer des Projektes, betrifft dieses Gesetz also meine Arbeit am Projekt?

Bedingungen für die Einwilligung

Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
Art. 7 DSGVO (1)

Bedeutet das also, dass ich eine schriftliche Einwilligungen brauche, die ich vorzeigen muss, wenn es mal zum Rechtsstreit kommt?

Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.
Art. 7 DSGVO (3)

Heißt das also, dass Ich verantwortlich dafür gemacht werden kann, Daten von der Blockchain löschen zu müssen, wenn ich beispielsweise kommerziell auf Steemit tätig bin?

Recht auf Berichtigung

Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen.
Art. 16 DSGVO

Wird es da beispielsweise reichen einen zweiten Blogeintrag durchzuführen, wenn im ersten Eintrag eine falsche Information steht? Diese Frage setze ich, weil das bei der Blockchain faktisch nicht anders möglich ist.

Recht auf Löschung („Recht auf Vergessenwerden“)

Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
(…)
b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gamäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
(...)
Art. 17 DSGVO (1)

Angenommen, dass Steemit sich rechtlich derart durch die AGB schützt (siehe AGB Punkt 17), dass hier jeder Autor auf Steemit der ‚Verantwortliche‘ ist, der personenbezogene Daten verarbeiten könnte und die betroffene Person erwartet die umgehende Löschung, heißt das, dass der Autor auf Steemit dafür rechtlich belangt werden kann, weil es nicht möglich ist, etwas von einer Blockchain zu löschen?

Hier vielleicht eine Antwort:

Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.
Art. 17 DSGVO (2)

Reicht es also aus, zu sagen, dass es nicht möglich ist aus einer Blockchain solche Daten zu löschen, wenn diese gemacht werden und ich als Verantwortlicher daher personenbezogene Daten nicht auf eine Blockchain speichern darf?

Recht auf Datenübertragbarkeit

Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, (…)
Art. 20 DSGVO (1)

Heißt das also, sofern ich öfter über eine Person schreibe, der beim Projekt mitwirkt, dass ich dokumentieren muss, was ich alles über diese Person geschrieben habe? Oder ansonsten jeden Blogeintrag durchsuchen muss, um es dann zusammen zu stellen?

Verantwortung des für die Verarbeitung Verantwortlichen

Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.
Art. 24 DSGVO (1)

Heißt das also, dass ich gegebenenfalls dafür verantwortlich bin personenbezogene Daten löschbar zu halten? Wäre es also eine Lösung auf der Blockchain einen Link zu setzen, der auf eine Seite verweist, wo entsprechende personenbezogene Daten gespeichert sind, die ich dann noch löschen kann?

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.
Art. 25 DSGVO (2)

Bedeutet das also, dass ich keine personenbezogenen Daten auf die Blockchain setzen darf, weil ich weiß, dass ich es nicht löschen kann?


Wie schon im Disclaimer gesagt bin ich kein Jurist und mache auch keine juristischen Aussagen. Ich frage mich lediglich, was das für Konsequenzen hat, dass diese Verordnung bald in Kraft tritt. Ich möchte als Nutzer von Steemit vor Allem wissen, was ich den machen darf und was nicht.

Ob ich diese neuen Verordnungen gut finde? - So ziemlich nein. Ich finde keinen Hinweis darauf, dass soziale Netzwerke, die eine Blockchain nutzen, ausgenommen sind. Abgesehen davon sind die Verordnungen in ganz anderen Bereichen zumindest problematisch und unklar.

Ich sehe für die Nutzer zunächst zwei Möglichkeiten mit der Problematik umzugehen. Entweder man gibt eben nichts an personenbezogenen Informationen von sich selber frei und kann somit nicht belangt werden. (Was nicht bedeutet, dass ich zu Straftaten ermuntere) Oder man präsentiert keine personenbezogenen Daten anderer auf Steemit. (Selbst wenn ein Einverständnis eingeholt wurde, aufgrund des Widerspruchsrechtes)

Und das ist unpraktikabel, wenn ich über Personen, die an meinem Projekt mitarbeiten, schreiben möchte. - Von anderen sozialen Netzwerken, kann ich das eben löschen.

Andererseits frage ich mich auch, wie Steemit sich rechtlich in dieser Angelegenheit absichern will. - Mir ist auch nicht klar, ob letztenendes der Dienst von Steemit bedroht wird, oder der Nutzer über die Rechtslage Gewissheit haben muss.


Ich bitte darum, mich zu belehren, wenn jmd. es genauer weiß.


Peace

Sort:  

Ist es denn generell gar nicht möglich Einträge auf der steem Blockchain zu löschen, oder ist es "nur" äußerst aufwendig? Wird denn der Inhalt also der Text eines Blogeintrags direkt mit in die Blockchain geschrieben, oder "nur" ein Teil (Überschrift)?

Hi @matschi,
bei Dtube weiß ich zufälligerweise, dass die Videos selbst irgendwo gespeichert werden und in der Blockchain steht nur die url. - Soweit könnte man das Video prinzipiell löschen.
Spannend wäre es ob alle(!) text-Informationen in der Blockchain landen, oder wenn nein, welche texte? Denn ich würde den Inhalt eines Videos normalerweise in der Beschreibung kurz zusammenfassen wollen...
Auch spannend ist die Frage: Wenn man etwas löschen kann, zB ein Video oder ein Bild auf steepshot.io: Wie läuft die Prozedur ab?
peace

Jeglicher Text landet in der Blockchain. Also der gesamte Inhalt aller Kommentare und Blog-Einträge. Das "editieren" ist auch kein echtes verändern des schon vorgenommenen Eintrags, es wird lediglich ein Änderungseintrag in die Blockchain geschrieben. Also selbst wenn man einen Artikel (oder Kommentar) editiert ist die Ursprüngliche Version noch immer in der Blockchain.

Einträge auf der Blockchain sind unveränderlich. Das löschen oder verändern eines Eintrags würde die gesamte Blockchain invalidieren. Sie wäre absolut unbrauchbar. Es ist also technisch unmöglich etwas von der Blockchain zu löschen.

Hier sind zwei gute Videos zu dem Thema von Sempervideo, die das Prinzip der Blockchain ganz gut erklären:

Gute Fragen... Blogeinträge, die bei mir älter sind als 7 Tage, kann ich nicht mehr editieren. Daher vermute ich, dass es in einer Blockchain geschrieben wurde. (Mit einer 7 Tage Latenzzeit, passend zur Ausschüttung des Geldes und damit eventuelle Fehler korrigiert werden können) Zensur ist hier auf jeden Fall nicht möglich. - Das gilt auch, wenn der Urheber eines Textes sich selbst zensieren möchte.

Man könnte ja den Blogeintrag (wo personenbezogene Daten drauf sind) auf einem anderen Blog spiegeln und am sechsten Tag nach der Veröffentlichung den Originalbeitrag so editieren, dass da nur ein Link zum gespiegelten Beitrag zu sehen ist.

:-D

Ich glaub, das weiss niemand so ganz genau.