Blogger und die DSGVO

Seit dem 25. Mai 2018 gilt in der gesamten EU die Datenschutzgrundverordnung (DSGVO). Das hat natürlich auch Konsequenzen für das Betreiben eines Blogs. Aus Angst  haben bereits einige Blogger ihre Seiten geschlossen. Das muss aber nicht sein, wenn man einigen Dinge beachtet. Nachfolgend versuche ich, die wichtigsten Fragen zu beantworten:

1. Was ist denn eigentlich die DSGVO

Mittlerweile dürfte jeder von ihr gehört haben, und wenn es nur deswegen ist, weil das Postfach überquillt aufgrund neuer Datenschutzregeln aller Anbieter, bei denen man sich jemals im Internet angemeldet hat.

Bislang hatten alle europäischen Staaten ein eigenes nationales Datenschutzrecht. In Deutschland war das bis zum 24. Mai 2018 das alte Bundesdatenschutzgesetz (BDSG alt). Seit 25. Mai 2018 werden die Datenschutzvorgaben jedoch europaweit in der EU-Datenschutzgrundverordnung geregelt. Sie enthält zahlreiche Regeln zum konkreten Schutz von Personen und ihren Daten, ebenso zum freien Datenverkehr. Damit gilt mehr oder weniger ein einheitliches EU-weites Datenschutzrecht. Die Regeln gelten im übrigen  auch für Unternehmen, die ihren Sitz außerhalb der EU haben, ihre Angebote aber an EU-Bürger richten. Somit gilt die DSGVO beispielsweise auch für Facebook, Google und Amazon.

Die DSGVO schafft neue Rechtsgrundlagen für die Datenverarbeitung, sie verstärkt die Rechte der Betroffenen und intensiviert die Pflichten der Verantwortlichen. Sie enthält aber auch Öffnungsklauseln für die nationalen Gesetze. Aus diesem Grunde trat zeitgleich in Deutschland ein dazu gehöriges neues Bundesdatenschutzgesetz in Kraft, welches die DSGVO konkretisiert und zum Teil auch ergänzt.

2. Was ist neu?

Zwar durften Unternehmen, Behörden und andere Stellen auch bislang personenbezogene Daten nur erheben, verarbeiten und nutzen, wenn Betroffene eingewilligt haben oder das Gesetz es ausdrücklich erlaubte. Ab jetzt müssen aber zusätzlich eine Vielzahl von Vorgaben beachtet werden, um etwa Transparenz, Kontrolle und Sicherheit der Daten vor unbefugten Zugriffen Dritter zu gewährleisten.

Bei der DSGVO dreht sich alles um personenbezogene Daten. Das sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Nummer, Standortdaten oder sonstigen besonderen Merkmalen identifiziert werden kann. Das heißt, alle Informationen, die irgendwie Rückschlüsse auf eine Person zulassen, sind betroffen. Dabei  kann es sich beispielsweise um die Adressdaten, die Telefonnummer oder die E-Mail-Adresse handeln, aber auch um das Kfz-Kennzeichen, die IBAN oder irgendwelche Login-Daten. Es kommt ausschließlich darauf an, dass die Daten einer bestimmten Person zuordnen werden können.

Daher betreffen die Änderungen auch im Grunde alle, die eine Website betreiben. Denn jeder Zugriff auf eine Homepage übermittelt personenbezogene Daten, wie z.B. die IP-Adresse. Damit fällt allein das Bereitstellen einer Webseite in den Geltungsbereich der DSGVO.

3. Was heißt das ganz konkret für Blogger?

Die DSGVO stellt komplexe Anforderungen an alle. Daher sorgt sie bislang insbesondere für einen Berg von Arbeit, dem sich nicht nur große Unternehmen wie Amazon oder eBay zu stellen haben sondern auch Selbständige, Kleinunternehmer und Blogger. Und die fühlen sich häuftig überfordert, da man leider nicht auf Angestellten zurückgreifen kann, die sich um die Umsetzung kümmern.

Hinzu kommt, dass rechtlich vieles auch noch gar nicht abschließend geklärt ist. Das gilt beispielsweise für Fotos.  Auch sie werden nun als Daten im Sinne der DSGVO betrachtet, denn zusammen mit dem Gesicht oder sonstige besondere Merkmale des Abgebildeten, dem Ort, an dem er sich auf dem Foto befindet (Demo, CSD) oder bestimmter Kleidung (Kopftuch, Kippa), die er trägt, erhält man bereits ein differenziertes Bild des Abgebildeten. Nähere Ausführungen hierzu findet ihr unter ….

Es ist also alles andere als leicht, den neuen Anforderungen gerecht zu werden. Im Zweifel muss man sich mehrere Tage mit der Thematik auseinandersetzen und seine Datenströme analysieren. Denn es ist wichtig genau nachvollziehen zu können, wo die Daten der Nutzer hingehen, die erhoben werden. Wenn ein Blogger zum Beispiel Google Analytics nutzt, muss er wissen, welche Daten Google erhebt, wohin sie geschickt werden und vor allem wie man sie im Zweifel auch löschen lassen kann. Verträge über die Verarbeitung von Daten müssen geschlossen werden, man muss seine Datenschutzerklärung anpassen, seinen Nutzern bzw. Lesern ein jederzeitiges Widerrufsrecht einräumen und vieles mehr.

4. Muss tatsächlich jeder Blogger diesen Aufwand betreiben?

Nein, denn es gibt das sog. Medienprivileg. Um das Recht auf freie Meinungsäußerung und Informationsfreiheit nicht einzuschränken, müssen Fernseh- und Radiosender sowie Journalisten im Rahmen ihrer Tätigkeit sehr viel weniger Datenschutzrecht beachten, wenn sie personenbezogene Daten verarbeiten. Dies gilt auch für journalistisch tätige Blogger.

Aber Achtung!
Wer eine Website betreibt, muss auch bei Eingreifen des Medienprivilegs die klassischen Pflichten aller Webseitenbetreiber und die Vorschriften zur Datensicherheit beachten. Denn das hat mit der klassischen journalistisch-redaktionellen Arbeit nichts zu tun und unterfällt daher auch nicht dem Medienprivileg.

Somit haben die Nutzer zum Beispiel das Recht, Auskunft über ihre Daten zu erhalten. Webseiten müssen sich auch an die Verpflichtung zur Datenminimierung halten, Daten aus Kontaktformularen verschlüsselt übertragen, für die Versendung eines Newsletters am besten das Double Optin-Verfahren nutzen und weitere technische Sicherheitsvorkehrungen beachten. Insbesondere sind Betreiber von Websites verpflichtet, eine rechtskonforme Datenschutzerklärung bereitzustellen. Wer schon eine hat, muss sie den neuen Anforderungen anpassen. Und wundert euch nicht, so eine aktuelle Datenschutzerklärung kann wirklich lang werden.

5. Was muss jetzt getan werden?

Die Datenschutzerklärung muss neu angepasst werden. Hierin ist sehr detailliert aufzuführen, welche datenschutzrelevanten Anwendungen und Dienste nutzt, also Logfiles, Trackingdienste, Speichern von IP-Adressen bei Nutzung von Kontaktformularen usw. Aber keine Angst, wer sich bereits jetzt überfordert fühlt, kann auch einen Datenschutzgenerator nutzen. Man muss nur alles anklicken, was auf dem Blog datenschutzbezogen eine Rolle spielt und der Generator „spuckt“ zum Schluss die passende Datenschutzerklärung aus.

Weiterhin seid ihr verpflichtet, möglichst datenschutzfreundliche Voreinstellungen in eurem Blog zu nutzen. Es dürfen nur die Daten verarbeitet werden, die für den bestimmten Verarbeitungszweck erforderlich sind. Daher solltet ihr auch überprüfen, welche Daten – eventuell auch unter Einschaltung externer Dienste wie Google Analytics – auf eurer Webseite erhoben werden.

Und ihr müsst vor Erhebung und Nutzung der Daten häufig die Einwilligung eurer Leser einholen. Das heißt beispielsweise für den Newsletter-Versand, dass das Double-Opt-In-Verfahren angewendet werden muss. Zudem müssen eure Nutzer bei der Eingabe ihrer Kontaktdaten aktiv den Datenschutzbestimmungen bzw. der Datenspeicherung zum Zweck des Newsletterversands zustimmen. Weiterhin muss für die Verwendung eines externen Newsletter-Dienstleisters ein Auftragsdatenverarbeitungsvertrag abgeschlossen werden.

Auch sind sehr viele Social-Media-Plugins und so gut wie alle Share- und Like-Buttons datenschutztechnisch heikel, da sie bereits beim Seitenaufruf viele Informationen an die jeweiligen sozialen Netzwerke übermitteln. Daher sollte auf Plugins ausgewichen werden, die erst dann Daten übermitteln, wenn der Besucher aktiv darauf klickt. Ein solches Plugin ist zum Beispiel Shariff. Und dannn kommt es natürlich noch darauf an, welche Anpassungen bei der konkreten Website erforderlich sind.

6. Finale

Nicht vergessen werden sollte, dass die Bußgelder bei einer Mißachtung der gesetzlichen Vorgaben dramatisch gestiegen sind. Die Höhe sollen es zwar insbesondere Facebook & Co schwer machen, sich aus der Verantwortung zu ziehen. Aber trotzdem gelten sie für alle anderen genauso.

Daneben besteht auch weiterhin die Gefahr, wegen bestimmter Datenschutzrechtsverstöße wettbewerbsrechtlich abgemahnt zu werden. Wann und unter welchen Voraussetzungen das tatsächlich möglich ist, wurde zwar noch nicht hunterprozentig von den Gerichten festgestellt. Das hält aber einige „Abmahner“ nicht davon ab, gegen andere vorzugehen.

Wenn ihr aber die genannten Punkte zur Umsetzung der DSGVO beachtet und euren Blog auf den neuesten Stand bringt, sollte nicht allzuviel passieren. Also, viel Glück und Spaß bei der Umsetzung!