CKAN und DSGVO – passt das?

Mit CKAN können Open Data Portale erstellt werden. Das funktioniert prima und CKAN ist als Standardsoftware und Platzhirsch hierfür bestens geeignet. Der Gedanke „Bei Open Data ist alles offen und die DSGVO eine untergeordnete Rolle“ ist leider falsch. Die DSGVO gewährleistet auch hierbei im besten Sinne den Schutz personenbezogener Daten in vielfältiger Art und Weise.

Die kurze Antwort auf die Frage „CKAN und DSGVO – passt das?“ lautet also: Ja, aber CKAN muss DSGVO-passend gemacht werden.

Wir fragen in diesem Blog deswegen, was getan werden muss, um Open Data Portale auf Basis von CKAN DSGVO-konform zu machen.

Die Gefahr: DSGVO-Verletzungen

Aktueller Anlass: Einige unserer Kunden sind in den letzten Tagen besonders DSGVO-sensibilisiert worden. Offenbar lauern einige Nutzer nur darauf, dass Websites die DSGVO-Regelungen nicht befolgen und fühlen sich dadurch geschädigt. Der Anfang des Dramas beginnt zumeist mit einer Email eines solchen Nutzers. Wir zitieren den Beginn einer solche Mail, die uns zugespielt wurde:

Sehr geehrte Damen und Herren,

Mir ist aufgefallen, dass Ihre Website (….de) eines Google Tracking-Skripts platziert hat. Dies geschah, als ich die Webseite https://….de/en/ besuchte – also einseitig und ohne Zustimmung.
Die Platzierung solcher Technologien stellt einen Eingriff in meine Privatsphäre dar und stellt einen Verstoß gegen die „Privacy and Electronic Communications“ (EC Directive) Regulations 2003 (§ 15 Abs. 3 Satz 1 Telemediengesetz 2007 in deutschem Recht) sowie den „Data Protection Act 2018“ nach englischem Recht dar sowie nach Regulation 2016/679 des deutschen Rechts.
Die „Verordnungen zum Datenschutz und zur elektronischen Kommunikation“ (EG-Richtlinie) von 2003

Regulation 6 der „Privacy and Electronic Communications“ (EC Directive) 2003 – oder „PECRs“ – sieht Folgendes vor:

[…]

Der nächste Schritt nach dieser nutzerseitigen Beweissicherung ist dann eine Schadensatzforderung. Dass diese seitens des Beklagten gewonnen werden kann, ist wenig wahrscheinlich. Bereits erfolgte Gerichtsurteile wie das vielzitierte und wegweisende Google Font-Urteil des LG München (Urteil vom 19.01.2022, Az. 3 O 17493/20). Es folgen Schadensersatzzahlungen, Notmaßnahmen zur Portalkorrektur und eine wenig hilfreiche Publizität für das Open Data Portal.

Gegenmaßnahme: Beachtung der DSGVO

Was kann nun getan werden, um sich gegen solche DSGVO-Verletzungen zu schützen? Leider ist CKAN out-of-the-box wenig DSGVO-freundlich. Es empfiehlt sich, selber Hand anzulegen und CKAN in Bezug auf DSGVO etwas nachzuhelfen.

Wir empfehlen folgende Maßnahmen für ein bestehendes CKAN-basiertes Open Data Portal:

  • Analyse der DSGVO-Konformität durch einen Datenschutzbeauftragten, der vom Betreiber des Open Data Portals beauftragt wird
  • Ausbau von Funktionen, die Datenschutzverletzungen verursachen, aber nicht wirklich notwendig sind
  • Konfiguration von Datenschutz-Maßnahmen in CKAN
  • Überprüfung / Aktualisierung der notwendigen Dokumente Datenschutzerklärung und Impressum
  • Falls Cookies genutzt werden: Einbau von Cookie-Consent-Technologien und Anpassung der Cookie-Lebensdauern
  • Falls Web-Tracking verwendet wird: Sicherstellung, dass alle DSGVO-Erfordernisse umgestezt werden, z.B. eine maximale Speicherdauer der Trackingdaten
  • Vermeidung von personalisierten Angaben in den Metadaten
  • Deaktivierung von API-Funktionen zur Benutzerdarstellung und Registrierung

Leider lässt sich CKAN nicht alleine durch den Einsatz der Extension ckanext-gdpr DSGVO-konform machen. Es wäre ja auch zu schön. Achtung: Faktisch wird dadurch nur ein ganz kleiner Teil gelöst.

DSGVO: Wann angehen?

Die Nutzer, die Schadenersätze geltend machen, arbeiten häufig mit automatisierten Website-Analysen. Tausende Websites können hierbei in Sekunden abgefragt werden. Das Risiko, dass ein DSGVO-Verstoß früher oder später entdeckt wird, ist also sehr. Weil er immer Schmerz beim Beklagten verursacht, lautet unsere Empfehlung.

Damit CKAN-basierte Open Data Portale DSGVO-konform sind, müssen deren Betreiber

  • die DSGVO-Konformität zur oder unmittelbar nach Betriebsaufnahme sicherstellen
  • die DSGVO-Komformität regelmäßig überprüfen (z.B. jährlich)

Und wer hilft?

Zunächst ist der eigene Datenschutzbeauftragte eine gute Adresse. Wenn sich abzeichnet, was zu tun ist, müssen die Experten ran.

Gerne steht Ihnen hierbei unser Ondics-CKAN-DSGVO-Team zur Seite und unterstützt mit

  • CKAN-Konfigurations-Know-How und Tipps
  • DSGVO-konformem CKAN-Web-Tracking
  • einer eigenen CKAN-Extension für Cookie-Consent und Matomo Web-Tracking
  • UI-Customizing ohne Nutzung von Google-Services

Wenn Sie unsere umfangreiche CKAN-Erfahrung, zum Aufbau, Umbau, Ausbau und Betrieb von CKAN-Portalen nutzen wollen, stehen wir Ihnen gerne zur Verfügung.