Internet-Law

Onlinerecht und Bürgerrechte 2.0

24.5.18

Was bedeutet die Datenschutzgrundverordnung für Blogger und Webseitenbetreiber?

Nicht nur mich erreichen in letzter Zeit immer wieder Anfragen von besorgten Bloggern, ob sie ihr Blog wegen der ab 25.05.2018 geltenden Datenschutzgrundverordnung (DSGVO) nicht besser vom Netz nehmen sollten. Die Unsicherheit ist enorm. Bei Privatleuten, die im Internet präsent sind, ebenso wie bei Unternehmern und Freiberuflern. Es ist der Eindruck entstanden, dass die datenschutzrechtlichen Anforderungen durch die DSGVO erheblich ansteigen, was allenfalls zum Teil richtig ist. Vieles von dem, was die DSGVO verlangt, entspricht schon seit Jahren der geltenden Rechtslage in Deutschland, aber es gibt auch neue bzw. geänderte Anforderungen und eine ganze Reihe von Unklarheiten. Der folgende Beitrag versucht, einige der zentralen Aspekte zu beleuchten, auf die Blogger und Webseitenbetreiber achten müssen.

Die erste Frage, die sich viele stellen: Muss ich als nichtkommerzieller Blogger oder Webseitenbetreiber die DSGVO überhaupt beachten? Die Antwort lautet: In aller Regel ja. Die DSGVO gilt auch für Privatleute, es sei denn, die Datenverarbeitung erfolgt ausschließlich zur Ausübung persönlicher oder familiärer Tätigkeiten. Diese Ausnahme wird sehr eng verstanden. Ein Blog, das sich an eine allgemeine Öffentlichkeit richtet, fällt nicht mehr unter diese Ausnahme.

Am Anfang aller Überlegungen sollte die Frage stehen, welche Daten beim Betrieb des eigenen Blogs überhaupt erhoben und verarbeitet werden. Denn davon hängt es ab, welche Maßnahmen ergriffen werden müssen, um das Blog oder die Website datenschutzkonform betreiben zu können. Wer sich da unsicher ist, sollte zunächst mittels Tools wie Ghostery überprüfen, welche Tracking Tools sich im Einsatz befinden. Der pragmatische Tipp für diejenigen, die bislang noch gar nichts unternommen haben, ist es, zunächst zumindest das anzugehen, was man nach außen hin sieht und das ist bei einem Blog vor allem die Datenschutzerklärung.

Die Diskussion rund um die DSGVO hat mittlerweile hysterische Züge angenommen. Die Aufregung wird sich vermutlich sehr bald legen, denn es wird zunächst gar nichts passieren. Die Aufsichtsbehörden werden Blogger und Webseitenbetreiber, wenn überhaupt, zunächst anhören, auf Verstöße hinweisen und ggf. (kostenfrei) verwarnen. Es ist kaum damit zu rechnen, dass es hier bei einem Erstverstoß zur Verhängung von Geldbußen kommen wird.

Auch die vielbeschworene Abmahngefahr wird in der Diskussion stark übertrieben. Insoweit ändert sich an der bestehenden Rechtslage nichts, das juristische Risiko wegen eines Datenschutzverstoßes wettbewerbsrechtlich abgemahnt zu werden, hat sich nicht erhöht. Verstöße gegen datenschutzrechtliche Vorschriften wurden schon bislang von den Gerichten häufig für wettbewerbsrechtlich relevant erachtet. Es wird jetzt im Gegenteil sogar die Auffassung vertreten, dass Verstöße gegen die DSGVO nicht mehr nach § 3a UWG verfolgt werden könnten. Es ist allerdings nicht unbedingt davon auszugehen, dass sich diese Ansicht tatsächlich durchsetzen wird.

Neue Datenschutzerklärung

Viele Blogger haben bereits jetzt eine Datenschutzerklärung online. Die sollte nunmehr sinnvollerweise neu gestaltet werden, weil die Anforderungen der DSGVO andere sind als sie es nach dem TMG waren. Der notwendige Inhalt einer Datenschutzerklärung ergibt sich aus Art. 13 DSGVO. Tools wie der Datenschutzgenerator von Thomas Schwenke helfen bei der Erstellung der Datenschutzerklärung, wenn man keinen Anwalt beauftragen will. Auch die ausführlich erläuterte Musterdatenschutzerklärung von Hören, ist als Orientierungshilfe gut geeignet ist. Meine eigene Datenschutzerklärung finden Sie hier.

Wichtig ist, dass die Datenschutzerklärung diejenige Datenverarbeitung abbildet, die tatsächlich stattfindet. Man stößt immer wieder auf Datenschutzerklärungen, die offenbar nur unreflektiert per Copy & Paste übernommen worden sind und Tools benennen, die auf der Website gar nicht eingesetzt werden, während andere Datenverarbeitungsvorgänge, die offensichtlich stattfinden, gar nicht erwähnt werden. Bislang besteht eine gewisse Neigung zu sehr ausführlichen, zum Teil ausufernden Datenschutzerklärungen, die manchmal auch deshalb so lang sind, weil stellenweise lediglich der Gesetzeswortlaut wiederholt wird. Eine eher knappe Datenschutzerklärung hat demgegenüber allerdings den Vorteil, dass die notwendigen Informationen noch am ehesten bei den betroffenen Nutzern ankommen.

Man muss in der Datenschutzerklärung u.a. Serverlogs, WordPress-Plugins, Tracking- und Statistiktools wie Google Analytics oder Matomo abbilden, ebenso wie Social-Media-Plugins, Kommentarfunktionen, Spamfilter wie Akismet, Newsletterdienste wie MailChimp oder die Einbindung fremde Inhalte z.B. via YouTube oder Instagram. Auch die Datenverarbeitung durch Marketing-Tools ist darzustellen.

Verschlüsselung

Aus Art. 32 DSGVO ergibt sich nunmehr explizit, dass ggf. eine Pseudonymisierung und Verschlüsselung personenbezogener Daten zu erfolgen hat, wenn dies nach Durchführung einer Risikoabwägung geboten erscheint. Aufgrund dieser Regelung wird empfohlen, Websites generell mit einer SSL-Verschlüsselung zu versehen. Aus meiner Sicht wird man jedenfalls dann, wenn eine direkte Kommunikation mit dem Nutzer z.B. über Kontaktformulare stattfindet, vertreten können, dass eine Verschlüsselung erforderlich sein kann. Aber auch in diesem Fall wird weiterhin die Möglichkeit bestehen, den Nutzer darauf hinzuweisen, dass die von ihm eingegebenen Daten unverschlüsselt übermittelt werden. Was die Kommentarfunktion angeht, kann das, was ohnehin vom Nutzer bewusst öffentlich gepostet wird, auch zuvor unverschlüsselt übertragen werden, weil es ohnehin öffentlich zugänglich wird. Anders mag dies sein, wenn Informationen zur Person des Nutzers übermittelt werden, die nicht veröffentlicht werden. Aus Datenschutzsicht ist es sinnvoll, möglichst wenig zu speichern und von vornherein anonyme Kommentare zuzulassen. Hier gibt es aber bekanntlich unterschiedliche Philosophien und sicherlich auch Gründe, keine anonymen Postings zuzulassen. Eine allgemeine Verschlüsselungspflicht lässt sich aus Art. 32 DSGVO, entgegen anderslautender Aussagen, nicht ableiten. Gleichwohl kann die Risikoabwägung im Einzelfall zur Annahme einer Verschlüsselungspflicht führen. Wer hier Diskussionen vermeiden will, sollte im Zweifel ein SSL-Zertifikat einrichten.

Einsatz von Tracking-Tools und Cookies

Die Datenschutzkonferenz (Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder) hat vor vier Wochen ein Positionspapier veröffentlicht, das für erhebliche Aufregung und auch zu deutlicher Kritik geführt hat. Die Aufsichtsbehörden vertreten hierbei die Auffassung, dass Tracking-Tools ab dem 25.05.2018 nur noch mit Einwilligung des Nutzers legal eingesetzt werden können. Diese Haltung ist nicht nur von Branchenverbänden wie Bitkom, sondern auch von Datenschutzfachleuten wie Stephan Hansen-Oest oder  Nils Haag kritisiert worden.

Abgesehen davon, dass das Papier der DSK keine tragfähige Begründung enthält, verstärkt es nur die Tendenz zum Wegklick-Internet und schafft keinen datenschutzrechtlichen Mehrwert. Es wird interessant sein zu sehen, wie gerade große Websites auf das Papier reagieren werden. Wenn man bedenkt, dass die großen Medien- und Verlagsseiten durchgehend Tracking Tools in zweistelliger Anzahl einsetzen, erscheint die Einholung von Einwilligungen für jedes einzelne dieser Tools kein wirklich realistisches Szenario zu sein.

Möglicherweise wird die DSGVO beim Thema Werbung/Marketing sogar eine deutlich liberalere Praxis etablieren, als dies bisher in Deutschland der Fall war. Denn Art. 6 Abs. 1 f) DSGVO betrachtet laut der Erwägungsgründe beispielsweise das Interesse von Unternehmen Werbung zu treiben ausdrücklich als schützenswert und es muss dann schon ein überwiegendes grundrechtliches Interesse des betroffenen Nutzers entgegenstehen, damit eine gesetzliche Gestattung für die Datenverarbeitung ausscheidet. Das erfordert letztlich immer eine Abwägung im Einzelfall, weshalb die schematische Betrachtung der DSK in ihrer Pauschalität ersichtlich falsch ist. Möglicherweise werden sich einige Datenschützer noch darüber wundern, was über diese, nunmehr gemeinschaftsrechtlich auszulegende Norm alles gerechtfertigt werden kann und wird. Es ist also mitnichten entschieden, dass die DSGVO ein höheres Datenschutzniveau etabliert als das bislang geltende Datenschutzrecht. Die DSGVO schafft sicherlich mehr Informations- und Dokumentationspflichten, aber am Ende könnte sie dennoch eine Datenverarbeitung in größerem Umfang als bislang erlauben. Art. 6 DSGVO bietet jedenfalls das Potential dafür.

Verarbeitungsverzeichnis

Jeder der nicht nur gelegentlich personenbezogene Daten verabeitet, muss nach Art. 30 DSGVO ein sog. Verarbeitungsverzeichnis führen. Diese Voraussetzungen dürften auf die meisten Blogger zutreffen. Dieses Verzeichnis muss aber nicht veröffentlicht werden, sondern ist nur der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

Auftragsverarbeitung

Wer ein Blog oder eine Website betreibt, muss nach Auffassung der Aufsichtsbehörden mit seinem Hoster einen Vertrag über eine Auftragsverarbeitung (früher: Auftragsdatenverarbeitung) schließen. Auch wenn diese Ansicht sicherlich vertretbar ist, erschien sie mir immer merkwürdig inkonsistent. Denn ob man als Blogger im Verhältnis zu einem großen Hoster oder gar zu Google oder Amazon tatsächlich die Rolle des Controllers einnimmt und einnehmen kann, darf bezweifelt werden. Der Datenschutz verkommt hier zu einem Placebo, denn das Ausfüllen vorformulierter Musterverträge begründet keinen wirklichen Mehrwert und Nutzen. Außerdem lässt sich nicht mehr schlüssig erklären, warum man dann nicht auch mit Facebook, Twitter und Instagram eine Vereinbarung über eine Auftragsverarbeitung schließen müsste, wenn man seinen Account nicht ausschließlich zu persönlichen oder familiären Zwecken nutzt.

Mittlerweile bieten fast alle Hoster den Abschluss solcher Vereinbarungen an, ein Service den man als Blogger und Seitenbetreiber im Zweifel auch in Anspruch nehmen sollte.

 

Die DSGVO ist insgesamt nicht der große Wurf, für den manche sie halten. Vielmehr verfolgt die EU ihren bekannten paternalistischen Ansatz, den nicht sonderlich mündigen Bürger fast zu Tode zu informieren, konsequent weiter, ohne, dass hierdurch ein tatsächlicher Mehrwert für den Datenschutz entsteht. Die DSGVO enthält ein bisschen mehr von allem. Mehr Informationspflichten, mehr Dokumentationspflichten und höhere Geldbußen. Außerdem haben Versäumnisse des europäischen und des deutschen Gesetzgebers im meinungsrelevanten Bereich zu einer gefährlichen Rechtsunklarheit geführt, die die Gerichte beseitigen werden müssen. Sowohl die Begeisterung der einen, wie auch die Panik der anderen ist unangebracht. Die DSGVO beinhaltet ein wenig innovatives Update des bekannten Datenschutzkonzepts, gekoppelt an etwas mehr Bürokratie.

posted by Stadler at 22:19  

15 Comments

  1. Was mir nicht aus dem Kopf geht: die Datenschutzgrundverordnung sollte doch eigentlich die persönlichen Rechte der Bürger, ja genau die Bürgerrechte, stärken, nicht die Rechte der großen Konzerne. Was ich aber sehe: alle (nur nicht die Großen) stehen stramm vor diesem Gesetz und haben Angst. Ich habe niemanden in den letzen Wochen/Monaten bemerkt, der gesagt hätte: super, das macht mir Freude, das Gesetz nützt mir sehr viel, sondern im Gegenteil nur dieses: wie muss ich mich absichern, damit ich nicht bestraft werde. Es ist ein Einschüchterungsgesetz von „oben“ nach „unten“. Gerne läge ich mit dieser Einschätzung, nein es ist ja nur ein Verdacht, gerne läge ich also mit diesem Gefühl falsch.

    Comment by Franz Krojer — 24.05, 2018 @ 22:35

  2. Anonymes Bloggen geht nun gar nicht mehr, etwa auf WordPress ? Nicht jeder möchte seinen Namen im Internet preisgeben. Wird WordPress anonyme Blogs ( ohne Impressum und Datenschutzerklärung ) löschen?

    Comment by Stefan — 24.05, 2018 @ 22:51

  3. Danke für den Beitrag! Mir ist immer noch nicht klar, was ich zu tun habe mit meinen zwei auf wordpress.com gehosteten rein persönlichen Blogs. Wenn man sein Blog selbst betreibt, ist klar, dass man auf Logfiles etc. zu achten hat, aber ich erhebe ja selbst keine Daten und verarbeite sie nicht, sondern wordpress tut das und zeigt sie mir nur. Ich habe darauf keinen Einfluss. Und da ich die „free“ Variante verwende, kann ich auch keine Plugins etc. installieren. Tracker gibt es bei mir keine. Eine AV schließe ich als Privatperson mit WordPress natürlich auch keine ab.

    Was tun?

    Comment by Harald Milz — 25.05, 2018 @ 08:12

  4. Zum Zitat

    > Die DSGVO gilt auch für Privatleute, es sei denn, die Datenverarbeitung erfolgt ausschließlich zur Ausübung persönlicher oder familiärer Tätigkeiten. Diese Ausnahme wird sehr eng verstanden. Ein Blog, das sich an eine allgemeine Öffentlichkeit richtet, fällt nicht mehr unter diese Ausnahme

    fehlt mir ein Beleg. Das ganze Datenschutzrecht leidet ein bisschen darunter, dass es sehr wenig Rechtsprechung gibt und die Fachliteratur oftmals interessengeleitet erscheint. Wer sich für Datenschutz begeistert, wird im Zweifel eine sehr weitgehende Gesetzesauslegung vertreten.

    Ich habe mal versucht nachzuvollziehen, was eigentlich mit mit privaten, nicht-kommerziellen Blogs ist. Meines Erachtens gibt es gute Gründe dafür, dass diese von Gesetzes wegen nicht unter die DSGVO fallen. Das Ganze hat auch eine grundrechtliche Dimension: Wie weit darf der Gesetzgeber die Kommunikation unter Privaten regulieren, wenn es keine Aspekte von Wettbewerb oder Verbraucherschutz beim Bloggen gibt?

    Ich weiß nicht, ob ich hier verlinken darf:

    http://klagefall.de/blog/der-achtzehnte-erwaegungsgrund

    Comment by Klagefall — 25.05, 2018 @ 09:28

  5. „Wenn man bedenkt, dass die großen Medien- und Verlagsseiten durchgehend Tracking Tools in zweistelliger Anzahl einsetzen, erscheint die Einholung von Einwilligungen für jedes einzelne dieser Tools kein wirklich realistisches Szenario zu sein.“

    Ich bin ja versucht, dass als äußert positiv zu sehen, wenn das nicht praxistauglich aber erforderlich ist. Das würde diese Seuche ja vielleicht endlich etwas eindämmen können ;)

    Comment by Dagaz — 25.05, 2018 @ 12:08

  6. Letzlich ist es nicht nur ein Problem des Datenschutzes sondern des Rechtsstaats. Wie soll man einen Rechtsstaat akzeptieren dessen Gesetze nicht klar verständlich sind?
    Wird es nicht immer weiter dazu führen, dass das St. Florians Prinzip, angewandt auf Gesetze bedeutet, Hl. St. Florin bestrafe meinen Nachbarn und nicht mich!

    Comment by Ecco — 25.05, 2018 @ 14:04

  7. Hier ghostery zu empfehlen kann ja wohl nicht war sein. Zitat aus https://www.heise.de/tr/artikel/Die-Geister-die-ich-rief-1890700.html
    »Evidon, die Firma hinter Ghostery, ist Teil jenes Online-Werbe-Komplexes, vor dem sie die Nutzer schützen will.

    Evidon verkauft nämlich die Daten von acht Millionen Ghostery-Nutzern, die die Daten-Sharing-Funktion Ghostrank des kleinen Programms aktiviert haben, an Werbevermarkter. «

    Comment by Lutz — 25.05, 2018 @ 15:41

  8. Die Internetseite http://www.internet-law.de/impressum-datenschutz erlaubt auch eine Kontaktaufnahme per Post, E-Mail oder Telefon. Warum enthält die Datenschutzerklärung keinen Hinweis, wie in einem solchen Fall mit den übermittelten Daten umgegangen wird. Ich denke da an so etwas: „Anfragen, die mich per Post, E-Mail oder Telefon erreichen, werden vertraulich behandelt. In der Antwort teile ich mit, wie lange ich die Anfrage und meine Antwort darauf archiviere. Wenn ich die Anfrage nicht beantworten kann, wird sie, nach spätestens x Monaten gelöscht, falls der Speicherung nicht vorher schon widersprochen wurde.“

    Ist das nicht erforderlich oder habe ich etwas übersehen?

    Comment by Schmunzelkunst — 25.05, 2018 @ 17:43

  9. Ich halte diese Hinweise in der Datenschutzerklärung nicht für erforderlich. Die Webseite ermöglicht keine solche Kontaktaufnahme. Dort steht halt u.a. eine Telefonnummer, über die sich mich erreichen können. Das ist mit keinerlei Datenverarbeitung verbunden.

    Comment by Stadler — 25.05, 2018 @ 20:34

  10. Besten Dank für die schnelle Antwort. Wenn man in der Datenschutzerklärung nicht auf die Kontaktdaten eingehen muss, die im Zuge sporadischer Anfragen anfallen, soll mir das recht sein. Je einfacher die Erklärung ist, desto besser, womit nichts gegen den Datenschutz an sich gesagt sein soll. Das Beispiel einer Einrichtung, die nachweislich vorbildlichen Datenschutz betreibt und am Ende über einen Fehler in der Datenschutzerklärung stolpert, wäre doch grotesk.

    Comment by Schmunzelkunst — 27.05, 2018 @ 13:33

  11. Art. 1 III:

    „Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.“

    Bitte keine Datenschutz-Paranoia. So
    ganz ernst ist das nicht gemeint.

    Comment by Arne Rathjen RA — 29.05, 2018 @ 20:26

  12. Du hast einen Punkt vergessen, das betrifft die ganze Sache mit Newsletter Anmeldung.
    Hast du einen Link zum Thema Verarbeitungsverzeichnis? Wie ist das umzusetzen? was ist darunter zu verstehen? Vielen Dank!

    Comment by Andreas — 1.06, 2018 @ 15:40

  13. DSGVO ist wirklich nicht der große Wurf. Ich würde fast sagen eine „Zumutung“ weil wir privaten Blogger nun auch den Mehraufwand tragen dürfen.
    Wenn man jetzt nen Shop hat oder Handel betreibt verstehe ich das ja, aber sozusagen einfach nur um sich mit Themen oder Gedanken zu beschäftigen oder Leute zu unterhalten finde ichs übertrieben.
    Das mit SSL finde ich ist auch ein wenig schräg, weil ich z.b. nutze kein kontaktformular, andererseits bin ich nicht sicher wie das mit Kommentarfunktion ist. Aber die Analyse hier zu diesem Punkt erscheint Sinn zu machen. Gerade wenn man ja bedenkt, dass man (wenn nicht gerade die Freischaltfunktion aktiviert ist) eh nicht wirklich kontrolliert werden kann welche „Daten“ ein Besucher freiwillig in seinem Kommentar veröffentlicht. Ich jedenfalls hab den Hinweis jetzt zumindest in der Kommentarfunktion ergänzt. SSL-Zwang will ich mir nicht antun, weil ich etwas im Zweifel bin ob das jetzt total der Bringer ist. Kenne einige ältere Browser wie z.b. auf alten Android Versionen die öffnen viele https Seiten gar nicht oder sogar langsamer. Das ist mein einziger Kritikpunkt am SSL-Zwang. Bei Blogspot hat man nämlich nur die Wahl https erzwingen oder freiwillig (was erlaubt das wer will die https Version lädt und default-mäßig die http-Version kommt). Umgekehrt geht aber nicht.

    Comment by Benjamin Heinrich — 7.06, 2018 @ 16:12

  14. Ich suche seit längerem danach, wie ein Verarbeitungsverzeichnis angelegt werden muss. Gibt es keine Beispiele, die das einfach mal klären? Es werden immer nur grobe Themen angeschnitte, aber für den Normalbürger nicht erklärt, was das in der Praxis bedeutet…
    Was ist aus dem Urteil geworden wegen der Trackings? Oder gibt es da auch noch keine Klarheit dazu?

    Comment by Andy — 26.10, 2018 @ 22:15

  15. Ich bin ja versucht, dass als äußert positiv zu sehen, wenn das nicht praxistauglich aber erforderlich ist. Das würde diese Seuche ja vielleicht endlich etwas eindämmen können ;)

    Comment by für dein studium — 17.08, 2019 @ 08:49

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.