2367515

DSGVO: Worauf Blogger jetzt achten müssen

08.08.2018 | 14:21 Uhr |

Fast jeder, der eine Homepage oder einen Blog betreibt, ist von der neuen Datenschutz-Grundverordnung betroffen. Die DSGVO skaliert nicht – sie gilt praktisch überall. Damit Sie nicht mit dem Gesetz in Konflikt geraten, müssen Sie einiges beachten.

Die Datenschutz-Grundverordnung der EU, kurz DSGVO, betrifft fast jeden, der selbst im Internet aktiv ist. Betreiber etwa von Blogs, Foren oder Onlineshops sollten spätestens jetzt prüfen, ob ihre Internetpräsenz den aktuellen Vorschriften entspricht. Aktuell herrscht vor allem bei kleinen, nicht kommerziell orientierten Inhalteanbietern große Verunsicherung. Erst die nächsten Monate wird sich zeigen, ob die DSGVO das eigentliche Ziel, die großen globalen Datensammler zu bändigen, im Fokus behält, oder ob eine Abmahnwelle über kleine Blogs, Händler oder Vereinsseiten rollt.

Ziele und Inhalte der DSGVO

Datenschutz sowie Rechte und Pflichten im Internet waren in Deutschland auch bisher schon gesetzlich geregelt. Einzelheiten dazu finden sich seit 2007 beispielsweise im Telemediengesetz ( https://dejure.org/gesetze/TMG ). Die DSGVO ( PDF-Download ) soll jetzt einen einheitlichen europäischen Standard beim Datenschutz schaffen. Die Verordnung gilt in den Mitgliedsstaaten unmittelbar, kann aber in einzelnen Punkten durch die nationale Gesetzgebung ausgestaltet werden. In Deutschland geschieht das beispielsweise durch das Bundesdatenschutzgesetz .

Das Kernziel der DSGVO: Sie soll die Grundrechte und Grundfreiheiten jeder natürlichen Person schützen – allen voran das Recht auf informationelle Selbstbestimmung. Die DSGVO gilt auch für Anbieter außerhalb der EU, sobald sie Daten von EU-Bürgern verarbeiten. Wie schon bisher dürfen personenbezogene Daten nicht ohne Zustimmung erhoben, verarbeitet oder gar an andere Unternehmen weitergegeben werden. Es ist jetzt aber genauer geregelt, wie die Einwilligung erfolgen muss. Das stillschweigende Einverständnis genügt nicht mehr. Der Nutzer etwa eines Onlineangebots muss der Datenspeicherung explizit zustimmen. Außerdem erhält er das Recht, die Einwilligung jederzeit zu widerrufen, Informationen über die gespeicherten Daten zu erhalten oder die Daten löschen zu lassen.

Auch interessant WhatsApp: DSGVO sorgt für Unsicherheit bei Unternehmen

Daten dürfen nur zweckgebunden erhoben und weiterverarbeitet werden – auch das galt bisher schon. In der DSGVO ist jetzt zusätzlich vorgeschrieben, dass Nutzer in verständlicher Form über den genauen Zweck der jeweiligen Datenerhebung informiert werden müssen. Daten, die nicht mehr für einen konkreten Zweck notwendig sind, muss der Anbieter löschen und den Nutzer über die Fristen aufklären. Datenpannen müssen jetzt innerhalb von 72 Stunden gemeldet werden. Gelangen persönliche Daten in falsche Hände, besteht unter Umständen ein Schadensersatzanspruch.

Wer gegen die EU-Datenschutzgrundverordnung verstößt, muss mit Geldbußen bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes des Unternehmens rechnen (der höhere Wert entscheidet). Laut BDSG kann eine Freiheitsstrafe von bis zu drei Jahren oder eine Geldstrafe verhängt werden, wenn ein Unternehmen beispielsweise personenbezogene Daten einem Dritten übermittelt.

Für wen gilt die DSGVO?

In der DSGVO heißt es: „Diese Verordnung gilt nicht für die Verarbeitung von personenbezogenen Daten, die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten und somit ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen wird.“. Wie schon bisher, etwa bei der Impressumspflicht, gilt diese Einschränkung des Anwendungsbereichs nur für sehr wenige Websites. Sobald Sie in Ihren Blog Werbung einbauen oder es einen beruflichen Bezug gibt, ist die Website nicht mehr ausschließlich privat. Wenn ein Bäckermeister beispielsweise in seinem Blog Backrezepte veröffentlicht, ist ein Bezug zur beruflichen Tätigkeit gegeben und somit gelten für diesen Blog die Regeln der DSGVO.

Welche Maßnahmen sind erforderlich?

Für Ihren Blog benötigen Sie eine Datenschutzerklärung, die Sie beispielsweise über https://datenschutz-generator.de erzeugen können. Die Nutzung ist für Privatpersonen und Kleinunternehmen (Brutto-Umsatz nicht höher als 17 500 Euro im Jahr) kostenlos. Sehen Sie sich alle Rubriken an und klicken Sie jeweils dort auf „Ja“, wenn Sie eine der genannten Funktionen in Ihrem Blog verwenden. Als Ergebnis erhalten Sie einen Text, den Sie in Ihre Website einbauen und an einer gut sichtbaren Stelle verlinken, etwa als „Datenschutzerklärung“ in der Hauptnavigationsleiste.

Datenschutzerklärung: Den Text der Erklärung erstellen schnell über https://datenschutz-generator.de.
Vergrößern Datenschutzerklärung: Den Text der Erklärung erstellen schnell über https://datenschutz-generator.de.

Wenn Sie Benutzerdaten abfragen, etwa in einem Kontaktformular oder der Kommentarfunktion, müssen die Daten SSL-verschlüsselt übertragen werden. Sollte Ihre Website noch nicht über „https://“ erreichbar sein, installieren Sie ein kostenloses Zertifikat von Let’s Encrypt .

Problematisch sind alle Wordpress-Plugins, die Daten an andere Onlinedienste weiterleiten. Sie müssen sicherstellen, dass auch diese gemäß DSGVO arbeiten. Im Zweifelsfall deaktivieren Sie das Plug-in vorsichtshalber. Eine Liste mit Einschätzungen zur DSGVO-Konformität verbreiteter Plugins finden Sie beispielsweise unter https://wp-ninjas.de/wordpress-plugins-dsgvo .

In der Regel müssen Sie einen Vertrag zur Auftragsdatenverarbeitung abschließen, etwa wenn Sie Google-Analytics verwenden. Informationen dazu finden Sie unter https://support.google.com/analytics/answer/3379636 . Wenn möglich, sollten Sie Analysetools wie beispielsweise Matomo bevorzugen ( https://matomo.org ). Hier bleiben die Daten auf Ihrem eigenen Server und damit unter Ihrer Kontrolle. In den Matomo-Einstellungen legen Sie unter „Privatsphäre“ Optionen für die Anonymisierung fest. Außerdem finden Sie hier Informationen, wie Besucher Ihrer Website das Matomo-Tracking deaktivieren („users optout“) oder ihr Einverständnis erklären können („Asking for consent“).

Websiteanalysen: Matomo bietet alle Optionen für eine Nutzung gemäß DSGVO.
Vergrößern Websiteanalysen: Matomo bietet alle Optionen für eine Nutzung gemäß DSGVO.

Auch Namen und Bilder erfordern strikte Kontrolle: Sie sollten auf Ihrer Website prüfen, ob Sie das Einverständnis aller Personen besitzen, die dort namentlich erwähnt werden oder auf Fotos abgebildet sind. Im Zweifelsfall sollten Sie alle Personen auf Abbildungen unkenntlich machen, um rechtliche Risiken zu vermeiden.

Speicherung von IP-Adressen

Auch IP-Adressen gelten als personenbezogene Daten. Meist ist es jedoch erforderlich, die IP-Adressen der zugreifenden Nutzer zumindest für einige Zeit zu speichern, beispielsweise wenn Sie Ihren Server mit Fail2Ban schützen. Die IP-Adressen helfen auch bei der Spamabwehr in Kommentaren und dler Aufklärung missbräuchlicher Nutzungen der Kommentarfunktion. Sie können sich bei der Datenspeicherung auf „berechtigte Interessen“ laut DSVO Artikel 6, Absatz 1 berufen, wenn Sie die Serverlogs beispielsweise alle sieben Tage löschen oder wenigstens die IP-Adressen in den archivierten Logs anonymisieren. Welche Schritte im Einzelnen notwendig sind, hängt von der Serverinstallation ab. Webhoster bieten in der Konfigurationsoberfläche in der Regel Optionen, über die Sie die Anonymisierung und Dauer der Logarchivierung festlegen können.

PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
2367515