Datenschutz

Wir, die Betreiber des technikum29 Computermuseums, nehmen Datenschutz sehr ernst. Als computeraffine Menschen ist uns aber auch die Tragkraft typischer Datenschutzerklärungen bewusst. Diese Website gibt es seit über zehn Jahren. Seinerzeit hatten Webseitenbetreiber Angst vor der "Störerhaftung", also der Haftung für die Inhalte von externen Seiten, auf die verlinkt wird (stets bedrohlich mit Aktenzeichen von Gerichten markiert &emdash; etwas, womit man als naturwissenschaftlich-technischer Mensch ohne juristische Ausbild natürlich Respekt hat). Solche "Disclaimer", die stets den gleichen Text beinhalteten, sind auf der Website des technikum29 nie erschienen, vor allem weil sie völlig bedeutungslos sind. Über das Gruselkabinett der Distanzierungshinweise und deren Unsinn kann man im Web stundenlang lesen.

Wir begrüßen aber das Zustandekommen der neuen Datenschutz-Grundverordnung (DSGVO) und versuchen in diesem Umfang, in einem Text von Menschen für Menschen zu beschreiben, wie unsere Systeme arbeiten und wie das Museum als Instanz funktioniert. Diese Datenschutzerklärung dient zur Erfüllung der nach Artikel 13 EU DSGVO geforderten Informationspflicht bei Erhebung von Daten zum Zeitpunkt der Erhebung bei betroffenen Personen.

Der gesunde Menschenverstand

Unsere Vorstellung von Datenschutz lässt sich kurz zusammenfassen. Es gibt ein paar Selbstverständlichkeiten beim Besuch unserer Website:

  • Natürlich benutzt unsere Website Cookies. Der Code der Website ist Open-Source, und damit ist es sehr leicht, herauszufinden, an welchen Stellen Cookies verwendet werden: und zwar zum Speichern von Anzeigeeinstellungen. Die Website funktioniert auch ohne Cookies gut, daher befürworten und empfehlen wir die Nutzung eines cookie-blockierenden Browsers wie Mozilla Firefox.
  • Natürlich loggen wir Webseitenbesuche serverseitig im NCSA-Standardformat, das beinhaltet also die IP-Adresse des Besuchers, den Namen seines Browsers, die Uhrzeit, die Herkunfstswebsite (falls vom Client übertragen) und die angefragte Ressource. Wir haben anhand dieser Logfiles früher für uns als Webseitenbetreiber mit klassischer Analysesoftware wie Webalizer oder AWStats beobachtet, wie viele Menschen die Website besuchen und von wo sie kommen. Auch hier ist der mündige Besucher Herr seiner Daten und kann den User Agent seines Browsers ebenso einstellen wie die Übertragung eines Referers.
    Während der saubere Umgang mit solchen Daten vorsieht, sie zeitnah (in der Regel vier Tage) zu löschen oder zu randomysieren (in der Regel durch Hashen der IP-Adresse des Clients), will ich ganz ehrlich sein: In unserer klassischen LAMP-Umgebung häufen sich die Logs an, bis die Festplatte voll ist, und dann löschen wir sie. Das passiert manchmal schon mit monatlicher Regelmäßigkeit, aber eigentlich seltener. In diese Logs schaut einfach niemand mehr rein. Stattdessen haben wir...
  • ... natürlich auch modernes Javascript-basiertes User-Tracking, und zwar eine selbstgehostete Instanz der Open-Source-Software Matomo. An dieser Stelle würde ich gerne den obligatorischen Opt-Out-Frame zeigen (und darauf hinweisen, dass Matomo nicht nur den Do-Not-Track-Header beachtet, sondern auch IP-Adressen ordnungsgemäß hasht), aber leider ist unsere Matamo-Installation derzeit defekt und damit ohnehin nicht brauchbar. Glück gehabt! Momentan wird nichts gespeichert.
  • Die Website ist zwar größtenteils statisch, aber es gibt auch hin- und wieder ein paar Formulare. Und natürlich verarbeiten wir die Eingaben dieser Formulare, sonst wären sie ja sinnlos. Da ist etwa das Suchformular oben rechts, was direkt und klientseitig per Javascript Ergebnisse von Google anzeigt -- das geht also an unseren Servern vorbei. Dann gibt es etwa die Veranstaltungsanmeldung, die dort eingegebenen Daten landen als E-Mail bei uns im Posteingang und entziehen sich danach der automatisierten Verarbeitung.

Aber was passiert nun außerhalb unserer Website? Als Museumsverein (in Gründung) und Museumsbetrieb mit Publikumsverkehr haben wir mit Menschen zu tun. Von denen speichern wir völlig chaotisch und unorganisiert in Excel-Listen das, was sie uns an Daten freiwillig übermitteln: Ihren Namen, Kontaktmöglichkeiten (E-Mail, Postadresse und/oder Telefonnummer), möglicherweise ihr Alter. Wir reichern diese Daten mit "Customer relationship"-Daten an: Wo haben wir die Person kennengelernt? Wofür ist sie Experte? Ist sie uns sympathisch, würden wir gerne einen Kaffee mit ihr trinken? Ich hoffe es ist klar, dass wir hier nicht die Liste des Teufels führen, sondern versuchen, uns irgendwie zu organisieren. Im Übrigen freuen wir uns über jeden, der uns dabei hilft.

Verantwortliche

Name und Anschrift der Betreiber finden sich in unserem Impressum, sie tragen das volle Risiko. Die auf unserer Team-Seite genannten Helfer trägt keine Schuld.

Der Datenschutzbeauftragte des Museums ist Dr. Sven Köppel, der auch diesen Text frabriziert hat. Er hat zehn Jahre Erfahrung mit Nutzungsverordnungen und Datenschutz im universitären Umfeld und dort Freud und Leid gesehen. Jeder hat das recht, sich bei datenschutzrechtlichen Problemen bei mir zu beschweren. Meine Kontaktadresse findet ihr auch auf meiner privaten Homepage.

Alle Personen im Umfeld des Museums haben das Recht auf Auskunft, Berichtigung oder Löschung, Einschränkung der Verarbeitung, Widerruf der Einwilligung, Widerspruch gegen die Verarbeitung oder das Recht auf die Datenübertragung gemäß einem Standardformat (Apropos, wir mögen Open-Source und hassen Vendor-Lockin). Sie müssen sich dafür einfach nur an den Datenschutzbeauftragten wenden.

Ein erster Schritt ist aber auf jeden Fall: Browser-Hardening. Öffnen Sie die Einstellungen Ihres Browsers und deaktivieren Sie die Annahme von Cookies und das Ausführen von JavaScript, das ist schonmal die halbe Miete.