Die Angst hat einen Namen: DSGVO
Dieser Artikel dient allein der Information zum Thema DSGVO.
Er ist nach bestem Wissen recherchiert, aber eine Gewähr für die Richtigkeit der getroffenen Aussagen übernehmen wir nicht. Insbesondere stellt dieser Artikel keine Rechtsberatung dar und kann auch keine Rechtsberatung ersetzen.
DSGVO ist sicherlich eines der derzeit häufig genannten Schlagworte. Am 25. Mai 2018 tritt nach gut zwei Jahren Vorbereitung die neue Datenschutz-Verordnung europaweit in Kraft und regelt künftig für alle einen gewissen Mindeststandard im Umgang mit personenbezogenen Daten (pbD). Dabei ist es völlig unerheblich, ob die Daten privat oder geschäftlich, von einem kleinen Buchblogger oder einem großen Medienkonzern erhoben werden.
Nun kann man seinen Blog aufgeben und sich wieder dem offline-Lesen widmen, man kann hoffen, dass der Kelch an einem vorübergeht und sich mit Wein aus der Flasche besaufen. Oder man muss sich irgendwie mit diesem Thema befassen.
Skoutz lässt euch da nicht allein und hat sich das – auch weil es uns ja auch betrifft – einmal genauer angesehen. Wir werden auch fortlaufend über Neuerungen und Ergänzungen berichten und freuen uns, wenn ihr uns Tipps und Tricks mitteilt.
Die gute Nachricht zuerst: Wir schaffen das, es ist gar nicht sooooo wild. Wer bisher rechtskonform gebloggt hat, muss gar nicht so wahnsinnig viel ändern.
Schlechte Nachricht: Aber die Dokumentation macht richtig Arbeit.
Aber gute Nachricht hinterher: Wenn man sich mal durchgewurstelt hat, wird es auch wieder besser.
Um was geht’s bei der DSGVO?
Für alle, die bisher in seliger Unwissenheit vor sich hinbloggten, hier noch mal eine Einführung in das Thema.
Inhalt der DSGVO
Gemeint ist die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-„Grundverordnung).
„Hä?“ ist da der erste Reflex nach dieser Vorstellung. Aber eigentlich passt der Titel ganz gut. Der Name ist Programm, denn so übersichtlich geht es im Gesetzestext dann auch weiter. Spontane Fluchtimpulse können wir also direkt nachvollziehen.
Es geht um Datenschutz und einen vernünftigen Umgang mit den personenbezogenen Daten, die wir alle täglich on- und offline verteilen. Prinzipiell also löblich, und wenn man die neuesten Skandale so ansieht, auch dringend nötig.
Das Problem bei der DSGVO ist, dass die EU jetzt zwar vieles, was gegenwärtig völlig gebräuchlich ist, reglementiert, aber leider ohne es wirklich zu regeln. Also ohne konkret zu sagen, wie man die Erwartungen des Gesetzgebers erfüllen soll. Das ist für Menschen, die weder juristisch noch technisch geschult sind, eine mittlere Katastrophe, weil man sich gleich doppelt überfordert fühlt. Dadurch, dass es im Netz reichlich Beiträge gibt, die ihre persönliche Interpretation der Anforderungen schildern und sich dabei auch oft widersprechen, wird es nicht besser. Im Gegenteil, je mehr man liest, desto verwirrter ist man am Ende.
Was konkret ändert sich?
Die wichtigsten Veränderungen für Webseitenbetreiber sind folgende:
- umfassende Dokumentationspflicht
- komplexere Erlaubnistatbestände
- Pflicht zur Verschlüsselung durch Privacy by Design und Privacy by Default
- erweiterte Rechte für die Webseitenbesucher wie Auskunftsrechte, Recht auf Löschung und das Recht auf Datenübertragbarkeit
- deutlich umfangreichere Informationspflichten (v.a. Datenschutzerklärung)
- Kopplungsverbot bei Einwilligungen
- hohe Bußgelder
Quellen
Wer selbst einen Weg durch Paragraphendschungel suchen will, erhält die Informationen seriös und zuverlässig von offizieller Stelle:
- Originaltext der europäischen Datenschutzgrundverordnung auf den Seiten der EU.
- Originaltext des BDSG-neu auf den Seiten von DSGVO.eu
- Wikipedia-Seite zur DSGVO
Am übersichtlichsten und umfangreichsten wird man beim Bayrischen Landesamt für Datenschutzaufsicht aufgeschlaut. Dort gibt es auch einen Selbsttest, der vielleicht für jene interessant ist, die nicht nur bloggen, sondern nebenbei auch noch einen Shop betreiben, oder ihren Blog nicht nur als Ausdruck des Lesehobbys betreiben.
Was will die DSGVO erreichen?
Es ist ein bisschen wie die Steuererklärung – man kann es schaffen, aber es ist nervig. Das alles verspricht lästigen Papierkram und unterm Strich wie schon gesagt sehr viel Arbeit, aber es lohnt sich auch, denn man bekommt ein bisschen Struktur in sein Projekt und hat eine einmalige Chance für sich persönlich zu überlegen, was man da eigentlich so treibt. Und zwar sowohl als Seitenbetreiber, als auch als großzügig verteilender Berechtigter in Bezug auf die eigenen Daten.
Die meisten von uns haben sich längst daran gewöhnt, mehr oder minder hilfreiche und sinnvolle Apps spontan auf unseren Geräten zu installieren, ohne sich groß zu fragen, wozu die eigentlich die Zugriffsberechtigungen brauchen und was mit den so gewonnenen Daten gemacht wird. Warum z.B. braucht eine Taschenlampen-App Zugriff auf die persönlichen Kontakte?
Seht das Ganze also als eine Art Frühjahrsputz und unterschätzt es nicht. Das bedeutet vor allem: Zeit einplanen. Das geht nicht mal eben an einem Nachmittag neben dem Fernsehen vor dem Sport oder Abendessen!
Was müsst ihr jetzt also tun?
Mit dem üblichen copy/paste von irgendeiner IT-Recht-Plattform ist es leider nicht (mehr) getan.
Die eigentliche Arbeit besteht nun für die meisten Blogs darin,
- herauszufinden, was man eigentlich alles so beim Betrieb seiner Seite speichert (Datenerfassung und -Speicherung) und ordentlich zu dokumentieren;
- aufzulisten, wer dabei mehr oder minder stark im Hintergrund mitwurstelt (Einbindung und Verwaltung von Drittanbieter-Services) und entsprechende Vereinbarungen zu schließen;
Hierzu zählen auch der Provider und Dienstleister wie z.B. Google Analytics oder Mail-Programmanbieter (MailChimp). - und das dann eben sauber technisch und rechtlich umsetzen und anzuzeigen (Anpassung der Datenschutzerklärung)
Die Einführungsphase läuft noch bis zum 25.05.2018. Auch danach (auf Jahre!) wird sich noch einiges ändern, wenn die erste Rechtsprechung zu all den offenen Detailfragen vorliegt. Und 2019 kommt dann ja schon mit der e-Privacy-Verordnung das nächste Ungeheuer. Diese sollte ursprünglich zusammen mit der DSGVO in Kraft treten. Das ist allerdings auf 2019 verschoben, sodass zahlreiche, derzeit auch schon diskutierte Themen wie Cookies, Werbetracking, etc. eigentlich noch gar nicht aktuell sind.
Vorbereitung – Begriffe der DSGVO
Wer sich nicht ganz sicher ist, was man unter Begriffen wie „personenbezogenen Daten“, „Verarbeitungstätigkeit“ oder „technisch organisatorische Maßnahmen“ versteht, sollte sich zum besseren Verständnis damit vertraut machen, denn das ist das Handwerkszeug, mit dem wir uns gleich befassen müssen.
Wir haben die wichtigsten Begriffe der DSGVO erklärt, aber in einen eigenen Artikel ausgelagert, damit dieser hier nicht noch verwirrender wird.
Auftragsverarbeiter
Die wenigstens von Euch haben ihren Blog auf einem eigenen Server und verarbeiten ihre Newsletter, Kontaktformulare mit eigenen Programmen. Mit all diesen Helfern, die für und mit euch Daten verwalten (juradeutsch: Auftragsverarbeiter) müsst ihr regeln, dass sie in eurem Sinne arbeiten.
Dazu muss ein Datenverarbeitungsvertrag (DVV) geschlossen werden. Das ist wichtig! Denn das Fehlen eines solchen Vertrages wird künftig teuer.
Ihr müsst diesen Vertrag nur anfragen. Bereitstellen muss ihn der Auftragnehmer, denn er muss die technischen und organisatorischen Maßnahmen im Detail enthalten, die bei der Auftragsverarbeitung eingesetzt werden. In Österreich reicht die digitale Zustimmung. In Deutschland sollte der Postweg genommen werden. Der Vertrag ist zweimal auszudrucken und unterschrieben an den Anbieter zu schicken. Aus Sicherheitsgründen sollte der Versand dokumentiert und der Rücklauf überwacht werden. Wir würden zusätzlich den Vertrag auch digital schließen und nur schriftlich klarstellend bestätigen.
Hinweis: Vorsicht bei Anbietern außerhalb der EU. Dort benötigt ihr Garantien gibt. In den USA sind die im Privacy Shield Abkommen erfasst. Dazu muss der Anbieter hier registriert sein.
Ausführlich werden diese Verträge mit Drittanbietern nochmal von BlogMojo erklärt.
1. Aufgabe: Bestandsanalyse
Im ersten Schritt müsst ihr einfach zusammenfassen, was ihr auf eurer Seite anbietet und welche Daten dafür erhoben werden.
Da nicht ganz klar ist, ob für Blogs ein Verfahrensverzeichnis erstellt werden muss oder nicht, empfiehlt es sich, das bei dieser Gelegenheit gleich mit anzulegen. Wir haben dafür eine Mustergliederung zur DSGVO-Dokumentation gebastelt.
Dabei solltet ihr einige Bereiche genauer prüfen, da dort erfahrungsgemäß die meisten Fehler auftreten. Wir haben für euch eine XXXAmpel gemacht, wo unter DSGVO-Aspekten einfachere und schwierigere Aufgaben zu erfüllen sind. Wie das im einzelnen auf eurer Webseite technisch gemacht werden muss, können wir nicht beurteilen.
Provider
Der Provider auf dem eure Seite läuft, speichert immer auch Daten der Webseitenbesucher, und zwar mindestens die IP-Adressen.
Holt euch also einen Vertrag zur Datenverarbeitung (DVV) und gebt in der Datenschutzerklärung an, wer der Provider ist, und was gespeichert wird.
Einfache Aufgabe
Newsletter
Da die meisten hier externe Dienstleister wie z.B. Mailchimp verwenden, braucht ihr einen DVV.
Die meisten Anbieter bieten inzwischen entsprechende Vereinbarungen an, schaut dafür auf der Website eures Anbieters und ladet das entsprechend herunter. (hier z.B. Mailchimp). Natürlich gehört auch ein Hinweis in die Datenschutzerklärung.
Wer keine Lust mehr auf Newsletter hat, muss seinen Account inkl. aller Adressen löschen. Auch das sollte dokumentiert sein (Screenshot, Löschvermerk in der Liste).
Für Verwirrung hat auch gesorgt, ob nun mit allen Newsletter-Abonnenten eine neue Datenschutzvereinbarung getroffen werden muss. Nein. Muss es nicht. Abonnenten, die zum Zeitpunkt ihrer Anmeldung rechtskonform belehrt wurden, dürfen auch weiterhin beliefert werden. Fehler, die sich damals aber eingeschlichen haben, werden künftig teuer.
einfache Aufgabe
Webseiten-Chat
Webseiten Live-Chats sind in und werden von Facebook und anderen Anbietern mit mehr oder weniger gelungenen Lösungen umgesetzt. Die erforderlichen Daten laufen aber meist über die Server dieser Anbieter, die oft nicht einmal mit dem Plugin-Anbieter identisch sind, was in Bezug auf die entsprechenden Verträge (DVV) schwierig ist, weil man sehr genau recherchieren und ggf. mehrere DVV benötigt.
schwierige Aufgabe
Wer das unbedingt haben will, kann auf vollständig selbst gehostetes Chatsystem zurückgreifen. Empfohlen wird hier Fluent Chat von codecanyon, aber das hat auch keine Opt-in-Funktion. Es gibt aber auch noch andere Anbieter.
Kommentarfunktion
Was ist Blog ohne Kommentarfunkton? Darauf werden die meisten nicht verzichten wollen. Die meisten Standardeinstellungen übernehmen den Namen des Kommentierenden, seine Mailadresse und seine IP-Adresse. Das ist auch gut so, um ggf. rechtswidrige Kommentare zuordnen zu können und die eigene Haftung zu minimieren.
Die Daten werden in den meisten Fällen bei euch auf dem Webserver bzw. bei eurem Host gespeichert.
Es ist nun ein „berechtigtes Interesse“ des Betreibers, die Person zu identifizieren, die einen womöglich haftungsrelevanten Kommentar hinterlassen hat, denn sonst trägt man selbst das komplette Risiko. Es spricht einiges dafür, dass dieses berechtigte Interesse auch das Interesse des Kommentators auf Datenschutz überwiegt, schließlich zwingt ihn niemand zum Kommentar.
schwierige Aufgabe
Aber entschieden ist das noch nicht. Wem das zu unsicher ist, bedarf künftig eines Hinweises und einer entsprechenden Einverständniserklärung des Kommentators. Dafür gibt es aber Plugins z.B. bei WordPress (GDPR Compliance Plugin). Damit ist das durch eine kleine Checkbox im Kommentarfeld erledigt. Den Aufklärungstext kann man individuell wählen.
Vermutlich genügt ein Link auf die Datenschutz-Erklärung eures Blogs, wer auf Nummer Sicher gehen will, sollte aber einen Satz dazu schreiben: „Für die erforderliche Zuordnung des Kommentars wird man personenbezogene Daten speichern, nämlich Name, E-Mail und IP-Adresse. Durch Absenden des Kommentars erklärt der User sich hiermit einverstanden.“
einfache Aufgabe
Wer die IP-Adressen des Kommentators nicht benötigt (Benötigt man die?), kann diese auch sofort löschen. Auch hierfür gibt es verschiedene Plugins. Das macht die Kommentare noch (daten)sicherer.
Kontaktformular
Hier wird ohne rechtes Verständnis gerade besonders energisch gelöscht. Warum? Solange die Übermittlung verschlüsselt erfolgt, ist alles gut und kein Grund zur Sorge.
Wenn eine sichere Übertragung nicht gewährleistet wird, gibt es Konktaktformularanbieter, die keine Daten der Leser übertragen, sondern euch nur darauf hinweisen, dass eine Kontaktanfrage vorliegt.
Alternativ kann man Datenschutzhinweise, wie beim Kommentar auch, als Checkbox vor dem Absenden nachweisbar erteilen.
Bei WordPress gibt es hierfür ein hilfreiches Plugin: GDPR Compliance (GDPR ist die engl. Abkürzung der DSGVO)
Wem das zu kompliziert ist, der kann Anfragen auch einfach auf den E-Mail-Verkehr verweisen. Dann habt ihr das Problem nicht.
einfache Aufgabe
Social Media – Share
Direkte Social Media Anbindungen sind möglich, aber kritisch. Schon jetzt wird dringend davon abgeraten, die offiziellen Plugins/Buttons der sozialen Netzwerke auf der eigenen Website zu nutzen. Diese übermitteln sogar schon beim Betreten der Website Daten an den jeweiligen Anbieter, egal ob man dort Mitglied ist oder nicht. Das wird mit der DSGVO nicht besser.
Lieber nicht
Überlegt euch also, ob ihr Boxen braucht, wo man mit Profilbildchen sehen kann, wer euch auf Facebook folgt, oder ob ein Instagram-Stream wirklich lohnt. Automatische Datenübermittlungen von und an Facebook, Instagram und Co. sind schwierig und dürften durch den aktuellen Facebook-Datenskandal sicherlich auch von den Geschäftspartnern (euch) erhöhte Sorgfaltspflichten erfordern.
Das Teilen von Beiträgen ist über Shariff oder andere Social-Media-Plugins aber weiterhin möglich, denn hier genügt ein entsprechender Hinweis über den Buttons, die der User ja aktiv anklicken muss, bevor er eine Datenübermittlung auslöst. Ihr solltet eine technische Implementation wählen, bei erst dann Daten übertragen werden, wenn der Besucher die Share-Funktion auch tatsächlich nutzt.
einfache Aufgabe
Bei dem Plugin ist darauf zu achten, dass lediglich der Link zum Share-Dienst hinterlegt ist, aber keine Scripts verlinkt werden. Ob das so ist, findet man über das ghostery-Tool heraus. Ein Indikator ist, wenn die Zahl der Likes oder Shares für einen Beitrag angezeigt werden, denn dann wird offenbar gezählt und gespeichert. Darauf würden wir erst mal verzichten.
Google Analytics
Auch ein nicht ganz simples Thema. In der normalen Version sendet Google Analytics unter anderem die vollständigen IP-Adressen der Nutzer an Google in die USA. Das sind personenbezogene Daten. Daher muss man sich bei Google einen Auftragsdatenverarbeitungsvertrag holen und sollte auch die Zertifizierung von Google irgendwo hinterlegen.
Am einfachsten ist es, auf Google Analytics zu verzichten.
einfache Aufgabe
Nutzt man aber den praktischen Dienst, muss man in jedem Fall zusätzlich darauf in der Datenschutzerklärung hinweisenden Besuchern eine Widerrufsmöglichkeit per „opt-out“ einräumen.
Wenn die Nutzer in der Datenschutzerklärung der Website über die Funktionsweise von Google Analytics aufgeklärt werden sowie den Link zum Opt-Out erhalten, ist die Privatsphäre der Nutzer nach Auffassung einiger IT-Experten hinreichend geschützt.
einfache Aufgabe
Will man sicher sein, sind nicht mehr die kompletten IP-Adressen der Webseitenbesucher zu speichern, sondern mithilfe der Google-Funktion „anonymizeIP“ die IP-Adresse zu verkürzen (wie genau, erklärt Google hier). Dadurch werden die Daten anonymisiert.
Wie das geht, erfahrt ihr hier bei metrika oder bei datenschutzbeauftragter-info.
Google Fonts und Google Maps
Wo kommen eigentlich die Schriften her, mit denen ihr auf eurem Blog arbeitet? Und die, mit denen dann eure Seite bei euren Seitenbesuchern angezeigt wird.
Gute Frage, gell? Bei den meisten dürften es Google Fonts sein. Bei der Darstellung eurer Seite wird nun überprüft, wer sie ansehen will und dann die entsprechenden Fonts gewählt. Dabei werden auch – warum auch immer – personenbezogene Daten übertragen.
Man kann nun hoffen, dass auch hier eine Lösung angeboten werden wird, das steht zu erwarten. Man kann einen entsprechenden Passus zur Interessenabwägung in die DSE aufnehmen und hoffen, dass die Rechtsprechung dieses für ausreichend erachten wird (wahrscheinlich).
einfache Aufgabe (aber mit Restrisiko)
Andernfalls muss man ohne Google Fonts auskommen. Das bedeutet, die Schriftarten sollten selbst gehostet werden. Die bekommt man kostenlos beim Google Webfonts Helper und kann sie dann selbst in den Blog einbinden. Das ist gar nicht so schwierig, aber sehr individuell, hängt dies auch vom Theme ab, mit dem ihr euren Blog betreibt. Die Schriften werden in der Mediathek hinterlegt und von dort zugeordnet.
schwierige Aufgabe
Mehr Infos dazu gibt es bei 7Media und den WP-Ninjas (speziell zu WordPress)
Logischerweise ist das auch nicht anders, wenn ihr Google Maps auf eurer Seite einbindet. Da das bei Buchblogs jetzt nicht so ganz häufig ist, haben wir aber weitere Ausführungen weggelassen.
Gravatar und Emojis
Bei Gravatar, den kleinen Bildchen der User in der Kommentarfunktion kann man ja noch draufkommen, aber wusstet ihr, dass die Emojis in den Kommentaren bei WordPress über einen externen Server geladen werden? Nein? Aber ihr ahnt, wo das Problem liegt? Zumindest wird die IP-Adresse des Lesers übertragen und schon sind wir mitten in der DSGVO.
lieber nicht!
Wenn ihr also in die Kommentarfunktion nicht auch noch einen Emoji-Disclaimer einbauen wollt, womöglich mit Opt-in, dann solltet ihr darauf verzichten. Das geht in den Einstellungen, wo ihr die entsprechenden Optionen unter dem entsprechenden Menü (Schreiben oder Kommentarfunktion) deaktivieren könnt.
einfache Aufgabe
Gleiches gilt für die Gravatar-Funktion. Auch das lässt sich einfach ausschalten.
einfache Aufgabe
Andererseits sind diese Icons von hohem Wiedererkennungswert und machen die Interaktion auch optisch ansprechender. In diesem Fall empfehlen wir einen entsprechenden und deutlichen Hinweis in der Kommentar-Einwilligung.
einfache Aufgabe
Anti-Spam
Auch beliebte Antispam-Services wie z.B. Akismet verstoßen wie auch die fest integrierte Embed-Funktionalität gegen die DSGVO. Hier muss man sorgfältig nach geeigneten Anbietern suchen, die DSGVO-konform arbeiten.
schwierige Aufgabe
Die kostenlose AntiSpamBee scheint zuverlässig und rechtskonform zu sein. Allerdings sollte man die Funktion “öffentliche Spamdatenbank berücksichtigen” deaktivieren.
Cookies
Natürlich gehören auch die Unternehmen, die Cookies setzen, auf eure Liste. Wer jetzt nicht sicher weiß, welche Cookies überhaupt auf dem Blog unterwegs sind, kann das entweder über seinen Browser testen, indem er vor der Sitzung alle Cookies löscht und sich dann nach dem Aufruf eurer Seite alle Cookies anzeigen lässt. Etwas komfortabler geht das auch mit Ghostery, einem entsprechenden Plugin, mit dem ihr auch alle Tracker und Cookies auf eurer Website zeigen lassen könnt.
Einfache aber wichtige Aufgabe!
So ganz eilig ist das aber noch nicht, weil die Cookie-Frage nicht zur DSGVO jetzt gehört, sondern wohl erst mit der ePrivacy-Verordnung in 2019 behandelt wird. Die DSGVO interessiert sich nur für Cookies, die persönliche Daten sammeln, das ist aber eher unüblich. Meist wird nur eine Session-ID gespeichert, damit man Rückkehrer erkennt. Was genau die ePrivacy-VO bringen wird, sehen wir dann, wenn es soweit ist. Es ist aber zu erwarten, dass Cookies spätestens nächstes Jahr sehr kritisch betrachtet werden und gelegentlich wird deshalb auch schon ihr Ende vorhergesagt.
Der weit verbreitete Cookie-Hinweis ist übrigens nach dem BDSG (und der DSGVO) nicht erforderlich. Den schreibt nur Google AdSense vor, so dass wir uns hier erst einmal nicht mit diesem Thema befassen.
Werbetracker
Es gibt unzählige Tracking-Tools für Werbungszwecke. DoubleClick, Adsense, Facebook-Pixel, Amazon Affiliate Boxen … Wer die verwendet, belegt zunächst mal, dass er eben eher ein (kleines) Unternehmen als ein Hobby-Blog ist, was außerhalb der DSGVO durchaus folgenschwer sein kann. Wer damit arbeitet, sollte besonders vorsichtig seine Datenschutzerklärung gestalten und eindeutig benennen, welche Daten wohin übermittelt werden und was dort ggf. passiert.
Schwierige Aufgabe
Ein normales Banner ohne Tracking ist zwar kein Problem, aber die heute üblichen Methoden wie „Frequency Capping“ oder „Re-Marketing“ dürften nicht mehr ohne weiteres möglich sein. Natürlich könnte man sich auf berechtigte Interessen berufen, aber ob das die Richter überzeugen wird, muss man einfach abwarten.
Wir halten diese Dinge zumindest, bis sich eine gewisse Routine eingestellt hat, für kritisch und möchten hier keine konkrete Handlungsempfehlung geben. Spätestens mit der ePrivacyVO droht die Einführung des Opt-In-Verfahrens für diese Tracker/Cookies. Und bis dahin ist uns hier einfach zu viel im Fluss, was wir nicht ständig überwachen wollen.
Lieber nicht!
ERGÄNZUNG
Der liebe Stefan Holzhauer von phantanews hat zu unseren Beitrag noch ein paar technische Hinweise zu Themen, die uns bei unserer Recherche durchgerutscht sind:
jQuery
jQuery ist eine freie Javascript-Bibliothek unter MIT-Lizenz, die von so ziemlich jedem elaborierteren CMS (Content Management System) genutzt wird. Die kann man lokal speichern, aber aus technischen Gründen (hauptsächlich weil man immer die aktuellste Version nutzen will) wird meistens die Version von der Anbieterseite eingebunden.
Dann passiert aber dasselbe wie beispielsweise bei Google Fonts: Es werden Informationen über den Nutzer an den Anbieter übertragen. Oder wieder mal an Google, die sind nämlich einer der Hoster für die jQuery-Bibliotheken.
Man kann beispielsweise in WordPress sicherstellen, dass die lokale jQuery-Bibliothek genutzt wird, das tut man üblicherweise in der Konfigurationsdatei. Das ist aber nur die halbe Wahrheit, denn haufenweise Plugins kochen hier ihr eigenes Süppchen und greifen ihrerseits entweder auf eine gehostete Version zu, oder nutzen die von WordPress. Herauszufinden welche Variante tatsächlich genutzt wird, dürfte nicht ganz trivial werden.
Einfachere Lösung: Abklären, was genau gespeichert wird und die DSE entsprechend fassen (ACHTUNG! Das wird von den meisten Generatoren nicht berücksichtigt)
machbar
CDN
Ebenfalls gerne übersehen werden Content Delivery Networks (CDNs). Das sind beispielsweise Anbieter, die Medien (z.B. Bilder) nicht von einem lokalen Server ausliefern, sondern eben aus dem eingebundenen CDN, oder die als Reverse Proxy agieren. Was diese Anbieter ebenfalls leisten ist Schutz gegen DDOS-Attacken.
Beispiele sind Cloudflare und Amazons Cloud. Wer das in einer Webseite nutzt, kann sie im Prinzip nur abschalten, denn eine CDN-Einbindung rückgängig zu machen ist immens aufwendig. Ansonsten ist die Übermittlung in der DSE anzuzeigen
machbar
Sicherheitsplugins
Und dann gibts insbesondere beim bei Hackern überaus „beliebten“ WordPress verschiedene Sicherheitsplugins. Die sichern das System auf verschiedensten Wegen ab, unter anderem auch durch das Testen von IP-Adressen gegen Blacklists.
Meiner Ansicht nach sind diese Sicherheitsplugins unabdingbar nötig, da die Chance, dass die WP-Installation gehackt wird, ohne sie immens steigt. Ich werde mein Security-Plugin auf PhantaNews deswegen auf gar keinen Fall abschalten, denn die Gefahr, dass die Seite verseucht wird und dann bei Nutzern Trojaner oder Viren einschleust, oder als Spamschleuder verwendet wird, ist dramatisch schwerwiegender als eine übertragene IP-Adresse.
Auch hier ist die Verwendung der IP-Adresse mit dem Sicherheitsplugin unter dem Aspekt des berechtigten Interesses (Sicherheit) in die DSE und Dokumentation aufzunehmen. Ggf. ist eine AVV einzuholen.
machbar
Persönlich halte ich es für kompletten Irrsinn, dass die DSGVO einem verbietet externe Ressourcen wie jQuery oder Google Fonts einzubinden, oder insbesondere CDNs zu nutzen, zumal das nur Seiten in und aus Deutschland bzw. Europa betrifft. Sobald man auf einem beliebige internationale Seite surft, sind die übertragenen Nutzerdaten eh bei Google und Co. Deswegen ist die DSGVO in der Hinsicht zahnlos, vollkommen überflüssig kompliziert, und weit entfernt von jeglichem technischen Realismus im Web.
2. Anpassung der Webseite
SSL-Zertifizierung
Google will das ja schon länger, dass man auf die modernen https-Seiten umstellt, wobei das „s“ hinter dem „http“ die SSL-Verschlüsselung signalisiert. Mit der DSGVO wird diese Verschlüsselung wohl endgültig Pflicht, auch wenn sie nicht explizit (natürlich!) gefordert ist.
Ohne wird sich aber eine sichere Datenübertragung (beispielsweise für Formular-Nachrichten oder Kommentare) nicht realisieren lassen. Ohne SSL Verschlüsselung bringen z.B. die schönen Zustimmungserklärungen usw. nichts, da die Daten dann unverschlüsselt übertragen werden.
Neben der DSGVO sprechen noch viele andere sehr gute Gründe für den Umstieg auf https. Die Umstellung ist allerdings etwas aufwendiger, weil sie alle internen und externen Links betrifft, auch wenn man entsprechende Plugins verwenden kann, die dabei helfen.
Schwierige Aufgabe
Wie das geht, wird von M. Schmitt aus selbständig-im-netz.de ganz anschaulich in einer detaillierten Anleitung erklärt. Damit ist das auch für technisch nicht so bewanderte Blogger machbar, wenn auch zeitintensiv. Auch gut gefallen hat uns die Anleitung bei newmediapassion.com und die Erklärung von der-Lars.at.
Datenschutzerklärung
Eine automatisch generierte Datenschutzerklärung (DSE )ist ein Anfang, aber eben keine wirklich gute Lösung. Die Erklärung solltet ihr auf jeden Fall noch einmal auf euren persönlichen Blog anpassen. Anders als bisher beim Telemediengesetz muss die DSE eine „präzise, transparente, verständliche, klare und einfache Sprache“ benutzen. Eigentlich eine Frechheit, wenn man bedenkt, wie missglückt der Text der DSGVO selbst ist. 🙂
Die DSGVO verlangt einige zusätzliche Angaben in der Datenschutzerklärung einer Website, unter anderem in welchem Umfang und auf welcher Rechtsgrundlage Datenverarbeitung erfolgt und dass Nutzer das Recht haben, sich über unrechtmäße Datenverarbeitung zu beschweren.
Schwierige Aufgabe (aber machbar)
Der unserer Meinung nach beste Generator für die DSE ist der Generator der DGD Deutsche Gesellschaft für Datenschutz. Hier kann sich jeder kostenlos die Module für eine passende Datenschutzerklärung für seinen Blog erstellen lassen. Der Text wird lang und ist nicht gerade eine literarische Bereicherung. Aber ein Rechtstext will nicht schön, sondern eindeutig sein. Damit ist er einigermaßen rechtssicher und allein das zählt.
Hinweis: Spätestens jetzt kommt man mit einer copy/paste Erklärung aus dem Generator nicht mehr aus. Die automatischen Texte sind eine gute Grundlage, aber ihr müsst die wirklich konkret auf das anpassen, was auf eurer Seite auch wirklich passiert. Auch falsche Angaben sind abmahnfähig! Solltet Ihr also andere oder zusätzliche Dienste nutzen oder eben einen Dienst nur eingeschränkt oder anders nutzen, als es der Mustertext beschreibt, aktualisiert diese Passage entsprechend.
Die DSE muss auf eine eigene Unterseite und per 1-Klick von jeder anderen Seite des Blogs aus jederzeit erreichbar sein. Achtet darauf, dass Pop-ups oder ähnliches die Anklickmöglichkeit nicht verdecken.
Einfache Aufgabe
Noch ein Hinweis: Diese Erklärungen müssen nun ständig gepflegt werden. Sobald ihr etwas in einem Bearbeitungsprozess ändert, müsst ihr das nicht nur in eurer Dokumentation, sondern auch in der Datenschutzerklärung anpassen.
Und noch einer: Perfide ist, dass automatisierte Abmahn-Skripts im Netz einfach in den DSE nach womöglich unglücklichen Formulierungen crawlen und automatisch entsprechende Abmahnschreiben generieren. Dagegen kann man sich ganz gut schützen, wenn man seine DSE auf “noindex” stellt, sodass sie Google nicht in der Suche anzeigt. So finden sie nur tatsächlich auf eurer Seite befindliche Personen.
Einfache Aufgabe
Impressum
Ein Impressum ist schon seit langem Pflicht und daran hat sich auch nichts geändert. Ein paar Anpassungen sind erforderlich, aber das ist nicht der Schwerpunkt der DSGVO. Hier kann man gut mit gängigen Generatoren aktualisieren.
Einfache Aufgabe
Es ist aber fortan absolut nicht mehr ratsam, dieses irgendwie listig und verschämt in einem Untermenü zu verstecken, da sich auch hier der Strafrahmen erhöht. Das Impressum ebenso wie die Datenschutzerklärung müssen von jeder Seite jederzeit mit einem Klick zu erreichen sein (sollte also auch durch Popups nicht verborgen werden!)
Der Name und die ladungsfähige Anschrift des Seitenbetreibers (eine DHL-Paketstelle genügt nicht!) sind anzugeben, sowie mindestens eine weitere Möglichkeit der Kontaktaufnahme, z.B. E-Mail.
Löschungsverlangen von Usern
Wie schon gesagt, müsst ihr auf Verlangen euren Seitenbesuchern Auskunft geben können, was gespeichert wurde und das auf Verlangen auch löschen („Recht auf Vergessen“). Das geht natürlich händisch und über direkten Kontakt, aber es gibt auch Plugins, die einem dabei helfen.
Für WordPress
Der Kristall hat auch einen sehr übersichtlichen und lesenswerten Artikel dazu geschrieben und geht auf das Thema auch vermehrt ein.
3. DSGVO-Dokumentation
Wer unseren Rat befolgt hat, und seine Bestandsanalyse schon mit unserer Dokumentatonsgliederung gemacht hat, kann sich jetzt entspannt zurücklehnen und einen Kaffee trinken. Die anderen sollten sich unser Muster für die DSGVO-Dokumentation holen oder eines der anderen Muster z.B. bei der GDD holen und ausfüllen.
4. BILDER
Neuerdings wird auch das Ende der Bildberichterstattung heraufbeschworen. Auch hier wird häufig der Teufel an die Wand gemalt und mit wenig Sensibilität Panik geschürt. Viele der Fachleute, die auf Rechtsunsicherheit und Risiken nach Inkrafttreten der DSGVO hinweisen, vergessen dabei den Hinweis, dass sie konsequent davor exakt heute auch schon so warnen müssten, weil diese Rechtsunsicherheiten aufgrund einer notwendigen Einzelfallbetrachtung heute auch schon bestehen (und immer bestanden haben).
Altes Recht: KUG und BDSG
Aktuell ist das Recht an Bildern über das KUG und/oder das BDSG geregelt. Aktuell gilt bereits eine Einwilligungspflicht für eine Veröffentlichung von Bildern, auf denen Personen abgebildet sind, soweit nicht das Persönlichkeitsrecht des Fotografierten hinter den gesetzlich normierten Interessen des Fotografen zurückstand. Vereinfacht: Wer auf eine öffentliche Veranstaltung geht, muss damit rechnen, dass er in der Berichterstattung über diese Veranstaltung vorkommt. Das ist sozusagen das Risiko, wenn man hingeht. Eine namentliche Erwähnung hingegen, die eine Identifizierung deutlicher macht, eine bildliche Verfremdung (zB eine Schweinsnase oder ähnliches) oder eine Darstellung in irreführendem Kontext (ein Bild von der Buchmesse in einem Text, der sich mit einer Demo befasst), sind hingegen verboten.
Neues Recht: DSGVO
Ab dem 25. Mai 2018 ändert sich nun … insoweit gar nichts.
Die gesamte Panik im Netz hängt sich immer an der Annahme auf, dass die DSGVO das KUG ablöse oder ihm jedenfalls vorgehe, weil natürlich eine Fotografie, ein Speichern und eine Veröffentlichung eine personenbezogene Datenverarbeitung sein kann.
Dafür gilt aber – so die unserer Meinung nach unaufgeregt herrschende Meinung unter Juristen – für private Fotos weiterhin das KUG gilt (vgl. Art. 2 Abs 2 lit c DSGVO). Das erfasst auch die Veröffentlichung in sozialen Netzwerken auf privaten Profilen. Ein Schnappschuss von der Buchmesse oder aus dem Urlaub ist also weiterhin erlaubt.
Sobald man kommerziell unterwegs ist, und dazu zählt auch schon ein Buchblog mit Affiliate-Link oder u.U. der regelmäßigen Annahme kostenloser Rezensionsexemplare, wird es etwas komplizierter.
Dann aber lässt die DSGVO ausdrücklich zu, dass Details der nationale Gesetzgeber selbst regeln darf (Art. 85 DSGVO). Das KUG ist als eine solche Spezialregelung anzusehen und der deutsche Gesetzgeber neigt auch in anderen Themenbereichen dazu, seine alte Rechtslage auch zur Auslegung neuer europarechtlicher Regelungen heranzuziehen. Demnach gilt weiter, was bisher auch galt.
Wer sich dem nicht anschließen mag, kann auch nur mit der DSGVO gut leben. Die meisten Paniker behaupten, man bräuchte für Datenverarbeitung immer eine Einwilligung. Das ist falsch. Es gibt, wie oben gesagt, weitere Erlaubnisse neben der Einwilligung des Berechtigten (ausführlich in Art. 6 DSGVO), nämlich v.a. die gesetzliche Pflicht und vor allem das „berechtigte Interesse“. Wenn man nun fragt, was ein berechtigtes Interesse ist, kommen wir schnell zu den Grundrechten, die ihrer Natur nach die stärksten Berechtigungen sind.
Da kann man sich auf Meinungsäußerungs- und Kunstfreiheit berufen und auch darauf, dass es im gesellschaftlichen Interesse ist, eine Berichterstattung von öffentlichen (Groß)Veranstaltungen oder öffentlichen Plätzen zuzulassen.
Es muss natürlich im Einzelfall geprüft werden, ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung erfolgen wird.
Mit Blick auf die Widerrufsmöglichkeit schadet es nicht, wenn man in die DSE aufnimmt, dass man auf Wunsch (trotz berechtigten Interesses an der VÖ) bereit ist, Fotos zu löschen.
Fazit:
Es ist und war jedoch seit jeher auch nach dem KUG nicht erlaubt, Personenbilder „einfach so“ z.B. im Internet zu veröffentlichen. Daran ändert auch der aktuelle Streit DSGVO vs. KUG nichts. Wo es bisher erlaubt war, dürfte es auch weiterhin erlaubt bleiben und wo früher Unsicherheiten bestanden, bestehen diese auch weiterhin.
Ein ganz anderes Thema ist der richtige Umgang mit Bildrechten. Wann darf man wie welches Bild verwenden? Das erklären wir euch hier (weiterlesen).
5. Wettbewerbsrecht
Geht davon aus, dass die DSGVO in absehbarer Zeit von Abmahnkanzleien missbraucht wird, um schnelle Kohle zu machen. Das heißt, dass wenn eure Blogs gescannt werden, auch Zufallsfunde gefährlich sind.
Also z.B. wettbewerbswidrige Rezensionen, bei denen erforderliche Quellenangaben (z.B. Verpflichtungen zum Erstellen der Rezension) fehlen. Das ist vor allem für die wichtig, die jetzt auf die großen Plattformen ausweichen, weil ihnen die DSGVO zu kompliziert ist. Natürlich nämlich werden die Facebook oder Youtube-Seiten die ersten, weil lohnenden Ziele der Abmahner sein. Und da so eine Abmahnung schnell ein paar hundert Euro bringt, freuten sich die üblichen Verdächtigen, jedenfalls in der Vergangenheit, über solchen Beifang gerne mitgenommen.
Wie man sich hier richtig verhält, haben wir in einem anderen Artikel erklärt.
Reif für die Kapitulation?
Wer sich angesichts dieser Anforderungen ernsthaft überlegt, mit dem Bloggen aufzuhören, kann sich gerne bei uns im Skoutz Blog-Nest bewerben.
Dort besteht die Möglichkeit, quasi zur Untermiete als Skoutz-Blogger weiterhin Buchartikel zu schreiben. Kein Ärger mit dem Datenschutz und dem Webseitenbetrieb (das machen wir), aber eine nette Nestgemeinschaft, mit der wir auch künftig gemeinsame Aktionen planen.
Ihr solltet unsere Begeisterung für Geschichten teilen, einen gewissen Anspruch an eure eigenen Beiträge haben und keine Vorbehalte gegen bestimmte Genres oder Publikationsformen haben, auch wenn sie nicht eurem Beuteschema entsprechen (weiterlesen).
Nützliche Artikel zu diesem Thema wurden uns inzwischen auch genannt:
- Ein sehr nützlicher Artikel von einem Anwaltskollegen, der mit einigen Grusel-Mythen zur DSGVO aufräumt und zur Besonnenheit rät-
- Allgemeiner Überblick für Kleinunternehmer (also nicht nur Blogger) von Lexware
- Allgemeiner Überblick von Content-IQ
- Musteranpassungen von Annette Schwindt
- Speziell für Websites von der Kraftfabrik
- Von den WP-Ninjas ein paar Spezialfragen zu WordPress (speziell Google-Fonts)
- Die ADV/DVV, also Verträge mit Drittanbietern von Services werden hier nochmal von BlogMojo erklärt
- Das neuerdings auch sehr hochgekochte Thema Bildrechte wird von RechtamBild sehr anschaulich und kompetent erläutert.
- Zum Umgang mit Abmahnungen haben die Anwälte von Loeffel und Abrar einen erfreulich verständlichen und unaufgeregten Beitrag verfasst.