Inhalt
Grundlegendes zur DSGVO
Am 25. Mai 2018 endet die zweijährige Übergangsfrist, in der wir alle die Datenschutzgrundverordnung (DSGVO) der EU umgesetzt haben sollten. Ich beginne mit den schlechten Nachrichten dazu: Die DSGVO ist ein Bürokratie-Monster, das in den letzten Monaten eine wahre Welle der Hysterie ausgelöst hat. Grund für die weit verbreitete Panik ist vor allem die mit den neuen Bestimmungen einhergehende Rechtsunsicherheit. Hinzu kommt die Angst vor Abmahnungen und den hohen Bußgeldern bei Verstößen. Mir sind Fälle begegnet, in denen Webseitenbetreiber ihren Blog oder die Website ob der nahenden DSGVO gelöscht haben.
Die Intention der Verordnung ist gut gemeint, die Bestimmungen aber zum Teil unzulänglich und schwammig formuliert oder weit über das Ziel hinausschießend. Juristen sind sich derzeit nur in einem einig: Ein absolut datenschutzkonformer Online-Auftritt ist derzeit nur schwer umzusetzen und die Rechtsunsicherheit werden in den nächsten Jahren Gerichte beseitigen müssen. Selbst die Datenschutzbehörden sind zum Teil mit der Umsetzung und der Auskunft überfordert. Welch absurde Gedankenspiele die DSGVO uns abnötigt, kann man an zwei Beispielen ablesen, die sich mit den möglichen Auswirkungen auf zwei ganz alltägliche Vorgänge im Geschäftsleben beschäftigen: Telefonate und die Weiterreichung von Visitenkarten.
Jetzt zum positiven Aspekt: Nichts wird so heiß gegessen, wie es gekocht wird. Viele Einlassungen zur DSGVO dienen einzig dazu, Unsicherheit zu erzeugen und die eigenen Dienstleistungen anzupreisen. Leider fallen solche Artikel bei vielen Bloggern auf fruchtbaren Boden. Seriöse Juristen und Dienstleister empfehlen dagegen die Verordnung mit gesundem Menschenverstand und dem Gespür für Praxistauglichkeit entgegen zu treten. Es ist davon auszugehen, dass sowohl Datenschutzbehörden als auch Gerichte die Bestimmungen der DSGVO zukünftig mit der nötigen Weitsicht interpretieren werden. Entscheidend wird es sein, dass man die wichtigsten Fallstricke umschifft; eine lückenlos datenschutzkonformen Auftritt werden die Behörden weder erwarten noch kleine Verfehlungen mit Bußgeldern belegen. Auch ist noch nicht geklärt, ob Datenschutzverstöße überhaupt als Wettbewerbsverstoß von Mitbewerbern abgemahnt werden können. Gerade für Hobby-Blogger sehe ich hier sehr wenig Gefahrenpotential.
Als Webdesigner und EDV-Dozent liegt mein Fokus bei der Betrachtung der DSGVO vor allem auf dem Online-Auftritt. Hier werde ich in Zukunft meine Kunden auch intensiver beraten müssen. Trotzdem möchte ich in diesem Beitrag auch einige wichtige datenschutzrechtlichen Aspekte ansprechen, die – wie das Verarbeitungsverzeichnis oder den Umgang mit Fotos – über die Internetpräsenz hinaus gehen.
Personenbezogene Daten
Die DSGVO reglementiert den Umgang mit personenbezogenen Daten. Hierzu zählen Name, Geburtsdatum, Geburtsort, Anschrift, E-Mail-Adresse, Telefonnummer etc. Lange war unter Juristen umstritten, ob auch eine IP-Adresse ein personenbezogenes Datum darstellen kann. Spätestens seit einer Entscheidung des BGH vom Mai 2017 ist diese Frage zu Ungunsten von Webseitenbetreibern entschieden. Das hat weitreichende Folgen für unzählige Abläufe und Prozesse, denn der Austausch von IP-Adressen ist eine wesentliche Grundlage für das Funktionieren des Internets. Die Umsetzung der DSGVO wird dadurch erheblich erschwert.
Art. 6 Abs. 1 DSGVO regelt die Rechtmäßigkeit der Verarbeitung (damit ist auch die Speicherung gemeint) personenbezogener Daten. Die für Blogger, Vereine oder Kleinunternehmer relevanten Bedingungen dürften folgende sein:
- Die betroffene Person hat seine Einwilligung erteilt.
- Die Verarbeitung ist für die Erfüllung eines Vertrags notwendig.
- Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verarbeiters erforderlich, sofern Interessen der betroffenen Person nicht überwiegen.
Gerade die dritte Option eröffnet Webseitenbetreibern etwas Spielraum, sorgt aber zugleich für erhebliche Rechtsunsicherheit, denn was als berechtigtes Interesse zu gelten hat, ist unter Juristen höchst umstritten. Leider versäumt es die DSGVO, hier Hilfestellung zu leisten.
Auftragsverarbeitung (AV)
Verarbeiten andere für Sie personenbezogene Daten, dann spricht man von einer Auftragsverarbeitung. Eine solche Konstellation tritt häufiger auf, als es auf den ersten Blick scheint. So benötigt man einen AV-Vertrag unter anderem bei der Nutzung von Google Analytics, Dienstleistern für Newsletter, bei seinem Hoster, dem Mail-Provider oder bei der Nutzung von Cloud-Diensten, wenn der Vertragspanter personenbezogene Daten für Sie speichert oder oder verarbeitet. Die meisten Hoster (diese speichern in Log-Dateien die IP-Adressen der Besucher) bieten einen solchen Vertrag mittlerweile an. Schwieriger wird es bei Freemailern wie GMX, Web.de oder Gmail, weshalb man allein aus diesen Beweggründen bei geschäftlicher Korrespondenz auf deren Einsatz verzichten sollte.
Optimierung der Website
Google Fonts
Webfonts, wie sie von Google zur Verfügung gestellt werden, sind seit Jahren Standard im Webdesign. Lange vorbei sind die Zeiten, in denen uns praktisch alle Websites in einem freundlichen aber monotonen Arial oder Verdana anschauten. Mit Google Fonts ist es dem Webdesigner möglich, für jeden Inhalt die passende Schriftart auszuwählen. Insbesondere bei der Verwendung von Content Management Systemen wie WordPress oder Joomla kommen durch die installierten Themes bzw. Templates sehr häufig Google Fonts automatisch zum Einsatz. Dabei wird die IP-Adresse des Webseiten-Besuchers an Google übertragen, weil die Fonts von deren Server geladen werden müssen.
Nun stellen sich viele Juristen und Anbieter von Datenschutz-Generatoren auf den Standpunkt, der derartige Einsatz von Google Fonts sei durch ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO gedeckt. Wie so häufig bei der Anführung des berechtigten Interesses kann eine gewisse Rechtsunsicherheit aber nicht verleugnet werden. Auf jeden Fall müssen Sie auf die Verwendung von Google Fonts in ihrer Datenschutzerklärung ausführlich hinweisen. Wer sich nicht auf diesen Lösungsweg verlassen möchte, dem bleibt nur die Fonts auf dem eigenen Server zu hosten. Dies kann sich selbst für versierte Anwender mehr oder weniger mühevoll gestalten. Eine ausführliche Anleitung für WordPress bieten Jonas Tietgen | WP Ninjas oder Florian Jürgens | Mittwald CM Service GmbH.
Update (28.11.18): Bereits im Frühsommer dieses Jahres berichtete ein Nutzer bei Facebook, dass das Landesamt für Datenschutz Brandenburg auf seine Anfrage hin eine externe Nutzung von Google Fonts mit berechtigtem Interesse legitimiert sah. Meine bei der dortigen Landesbeauftragten für den Datenschutz im Juni eingereichte Bitte um Bestätigung ist bis heute unbeantwortet geblieben. Da nun auch nicht mehr mit Unterstützung bei der Aufklärung aus Brandenburg zu rechnen ist, habe ich den Sachverhalt jetzt hier eingestellt.
Update (15.09.19): Endlich wird mit dem Mythos aufgeräumt, Google Fonts bzw. andere Webfonts dürften auf einer Website nicht extern eingebunden werden. Nun hat das Bayerisches Landesamt für
Datenschutzaufsicht Klartext gesprochen und dies in einem Leitfaden ausdrücklich als zulässig bezeichnet, wenn es in der Datenschutzerklärung Erwähnung findet.
Google Maps
Google Maps stellen einen erheblichen Mehrwert für den Nutzer dar, insofern ist es nicht verwunderlich, dass einige Juristen auch hier mit berechtigtem Interesse nach Art. 6 Abs. 1 lit. f DSGVO argumentieren, um den Informationspflichten nachzukommen. Wie bei allen eingebetteten Inhalten von Drittanbietern wird dabei zumindest die IP des Nutzers übertragen. Ich tue mich derzeit aber ein wenig schwer, eine Empfehlung auszusprechen, zumal es auch viele kritische Stimmen gibt, die derzeit nicht von einer datenschutzkonformen Einsatzmöglichkeit von Google Maps ausgehen (es sei denn, man holt sich per Opt-in die vorherige Einwilligung des Nutzers). Vereinzelt konnte ich die Idee lesen, einen Screenshot an Stelle der interaktiven Karte zu verwenden. Davon ist dringend abzuraten, da es dabei zu urheberrechtlichen Problemen mit Google kommen kann.
YouTube Videos
Auch beim Einbinden von YouTube-Videos in die eigene Webpräsenz werden – teilweise technisch bedingt – Informationen über die Besucher an Dritte weiter gegeben, noch bevor diese auf das Video klicken. Auch in diesem Fall gehen einige Juristen davon aus, dass dies durch das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO gedeckt sei. YouTube bietet zudem die etwas versteckte Funktion an, Videos im sogenannten erweiterten Datenschutzmodus einzubinden. Dabei werden weniger Daten der Nutzer übermittelt. Für WordPress gibt es mittlerweile einige Plugins, die mehr oder weniger ansprechend und effizient die Datenweitergabe zusätzlich einschränken können. Hierzu empfehle ich die Artikel von Finn Hillebrandt | Blogmojo und Martina Honecker.
Einbindung von Social Media
Nicht erst seit der DSGVO ist die Einbindung von Social-Media-Buttons datenschutzrechtlich problematisch. Hierbei muss man allerdings differenzieren: Ein Button, der lediglich als Link zum Profil auf Facebook, Twitter oder Pinterest führt, ist weiterhin nur ein gewöhnlicher Link. Der Tag, an dem man dem Nutzer vor dem Klicken eines Links darauf hinweisen muss, dass da nun ein anderer Anbieter folgt, der die IP-Adresse erfasst, sind noch nicht gekommen und werden es hoffentlich auch niemals, denn damit wäre das Internet in seiner Existenz bedroht.
Hier geht es vielmehr um diejenigen Plugins, die Buttons zum Teilen oder gar eine Voransicht des Profils mit Like-Button einbinden. Das Problem: In aller Regel funken diese Plugins bereist beim Aufrufen der Website personenbezogene Daten über den Besucher zu den entsprechenden Plattformen. Ob hier ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO angeführt werden kann, hängt wesentlich auch davon ab, ob der Nutzer mit der Weitergabe personenbezogener Daten rechnen muss, noch bevor er den Button klickt. Das dies eher zu verneinen ist, würde ich vom Einsatz solcher Plugins abraten. Die Problematik wird bei Datenschutz.org knapp, aber zutreffend zusammengefasst. Eine ausführliche juristische Analyse kann man bei der IT-Recht Kanzlei studieren.
Wer ungern auf eine nicht benutzerfreundliche Umsetzung mit zwei Klicks zurückgreifen möchte, dem sei die Shariff-Lösung empfohlen. Hierbei werden eben keine personenbezogenen Daten im Vorfeld des Klicks gesendet. Die entsprechenden Plugins für WordPress oder Joomla kann man hier herunter laden: WordPress-Plugin – Joomla-Plugin.
Formulare
Die häufigste Form eines Formulars auf einer Website dürfte ein Kontaktformular sein. Setzen Sie ein Formular ein, müssen Sie einige Dinge beachten. Zum einen sollten Sie den Grundsatz der Datenminimierung nach Art. 5 Abs. 1 DSGVO beachten. Erheben Sie nur die Daten, die wirklich notwendig sind und kennzeichnen Sie am besten die Pflichtfelder. Empfehlenswert ist auch ein Hinweis mit Verlinkung zur Datenschutzerklärung. Dieser kann durchaus in kurzer Form wie „Bitte nehmen Sie die Datenschutzerklärung zur Kenntnis.“ geschehen. Wichtig ist zudem, dass die vom Absender per Formular übermittelten Daten nicht zu anderen Zwecken als zur Kontaktaufnahme wegen des konkreten Anliegens verwendet werden. Tabu sind damit insbesondere die Weitergabe der Daten an Dritte oder die Nutzung zu Werbezwecken.
Auch wenn es vielfach anders zu lesen ist, so weisen einige Juristen darauf hin, dass eine Checkbox zur Einwilligung der Datenerhebung bei Kontaktformularen in aller Regel nicht notwendig ist, da hier ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO vorliegt. Zudem kann man die Nutzung und das Absenden des Kontaktformulars als konkludentes Handeln und somit als Einwilligung interpretieren. Rechtsanwalt Stephan Hansen-Oest weist in seinem Podcast sogar darauf hin, dass der Einsatz einer Checkbox hier sogar unnötige Probleme nach sich ziehen könnte.
Eine der wichtigsten Grundsätze, der nicht erst seit der DSGVO gilt, ist eine Verschlüsselung beim Einsatz von Formularen auf einer Website. Hier werden personenbezogene Daten übermitteln, die entsprechend vor fremden Zugriffen geschützt gehören! Wie Sie ihre WordPress-Installation vom HTTP-Protokoll auf HTTPS umstellen, erfahren Sie in folgenden Anleitungen:
Damian Kaufmann | Zeilenabstand.net
Finn Hillebrandt | Blogmojo
Jonas Tietgen | WP Ninjas
Für Joomla findet man hier eine Anleitung:
Weitere lesenswerte Quellen zum Einsatz von Kontaktformularen im Kontext der DSGVO:
RA Nicolai Amereller | IT-Recht Kanzlei
Bea Brünen | IT-Recht Kanzlei
Empfehlung für ein datenschutzkonformes und sehr flexibles Formular-Plugin für WordPress: NinjaForms
Kommentarfunktion bei Blogs
Da die Veröffentlichung eines Kommentars einen aktiven Akt darstellt, kann hier analog zu der Argumentation bei Kontaktformularen davon ausgegangen werden, dass keine zusätzliches Opt-in-Checkbox zwingend erforderlich ist. Mir ist durchaus bewusst, dass es viele Seiten im Netz gibt, die das Gegenteil behaupten. Die Verfasser haben aber meist von anderen abgeschrieben, ohne sich mit der Materie tiefer zu befassen. Empfehlenswert ist aber auf jeden Fall auch hier ein Hinweis mit Verlinkung zur Datenschutzerklärung, um der Informationspflicht zu genügen. Ein mögliches Plugin für diese Aufgabe wäre WP GDPR. Allerdings haben mich weder dieses noch andere Plugins vollends überzeugt, denn ein Einbinden eines Hinweistextes ohne die entsprechende Checkbox war mit keinem möglich. Ich habe daher nach Anleitung selbst am Code Hand angelegt.
Hinweis: Mit der Version 4.9.6 hat WordPress ganz frisch eine eigene Checkbox unter die Kommentare gesetzt, deren Text lautet: „Meinen Namen, E-Mail und Website in diesem Browser speichern, bis ich wieder kommentiere.“ Dies lässt sich auch nicht einfach mit einer Einstellungsoption wieder entfernen. Damit wird auch nicht die Einwilligung zur Speicherung der Daten eingeholt, wie man glauben könnte, sondern lediglich ein Cookie auf dem Rechner des Nutzers gesetzt, der beim nächsten Kommentar die entsprechenden Felder automatisch ausfüllt, den Nutzer also wiedererkennt. Meiner Ansicht nach spricht nichts dagegen, dies so zu handhaben.
Was ist noch zu beachten? Ob die IP-Adresse, die beim Kommentieren durch WordPress erfasst wird, anonymisiert werden sollte, ist leider ebenfalls umstritten. Rittchie Pettauer weist nicht ganz zu Unrecht darauf hin, dass Situationen auftreten können, in denen es aus juristischer Sicht sehr vorteilhaft sein kann, diese für einen gewissen Zeitraum zu speichern. Was liegt da näher, als wiederum mit berechtigtem Interesse nach Art. 6 Abs. 1 lit. f DSGVO zu argumentieren? Wer dem nicht folgen will, kann bei Jonas Tietgen | WP Ninjas nachlesen, wie man die IP-Speicherung unterbindet.
Im Übrigen bietet WordPress noch eine sehr nützliche, aber hinsichtlich des Datenschutzes wiederum umstrittene Funktion in Form der Gravatare. Dadurch können die Nutzer bei ihren Kommentaren auf fremden Seiten individuelle Bilder anzeigen lassen. Erreicht wird das, indem die E-Mail-Adresse an die Gravatar-API gesendet wird und diese das dem Nutzer zugeordnete Bild zurückgeliefert. Das Problem ist dabei, dass dabei auch Adressen von dort nicht registrierten Mitgliedern an WordPress-Entwickler Automattic senden muss, um zu prüfen, ob zur eingegebenen E-Mail-Adresse ein Gravatar existiert. Wer in diesem Punkt auf Nummer sicher gehen möchte, kann die Gravatar-Funktion im Backend unter dem Menüpunkt Einstellungen > Diskussion abschalten. Am Ende der Seite deaktivieren Sie dafür die Checkbox Avatare anzeigen. Eine andere Lösung könnte über das Plugin Avatar Privacy erfolgen, das gerade frisch erschienen ist.
WordPress: Jetpack und andere Plugins
Grundsätzlich ist jedes Plugin zu durchleuchten, das personenbezogene Daten sammelt. Gerade bei dem auf Interaktion und Kommunikation ausgelegten WordPress existieren zahlreiche, die auch bei sehr vielen Installationen zum Einsatz kommen. Eines der meist verbreiteten dürfte das Plugin Jetpack vom WordPress-Entwickler Automattic sein. Es vereint eine Vielzahl von nützlichen Funktionen, die im Rahmen der DSGVO problematisch sein könnten, weil Daten an Dritte gefunkt werden. Das betrifft die integrierten Social-Media-Buttons, die Tracking-Analyse, die Möglichkeit, Kommentare per E-Mail zu abonnieren oder Bilder per CDN auf externen Servern zu hosten, um die eigene Website schneller zu machen. Jetpack arbeitet eigenen Angeben zu Folge an einer datenschutzkonformen Version. Welche Daten da wirklich ausgetauscht werden und was die überarbeitete Version dabei besser machen würde, bleibt aber im Dunkeln. Daher fällt es mir schwer, hier eine Handlungsempfehlung auszusprechen. Ich selbst habe mich nach reiflicher Überlegung dazu entschlossen, Jetpack zu deinstallieren und teilweise durch andere, schlankere Plugins zu ersetzen.
Der ganze Irrsinn der Bestimmungen der DSGVO offenbart sich schließlich bei Plugins, die erheblich zur Sicherheit der eigenen Website beitragen. Dazu gehören z. B. Plugins, die vor Hackerangriffen wie Brute-Force-Attacken schützen, wobei der dafür notwendige IP-Abgleich wiederum datenschutzrechtlich nicht unproblematisch ist. Ergebnis könnte sein, dass viele Blogger sicherheitsrelevante Plugins entfernen werden. Dabei schreibt die DSGVO selbst in Art. 32 vor, einen den technischen Standard entsprechenden Schutz der Daten vorzunehmen. Meiner Ansicht nach ist dies ein Fall, der sich besonders gut mit dem berechtigten Interesse nach Art. 6 Abs. 1 lit. f DSGVO begründen lässt. Nur Rechtssicherheit, die wird es in solchen Konstellationen vorerst nicht geben.
Die besten Übersichten über WordPress-Plugins und Datenschutz bieten Finn Hilllebrandt | Blogmojo und Jonas Tietgen | WP Ninjas.
Newsletter
Wer einen Newsletter anbietet und dafür einen externen Dienst nutzt, benötigt zwingend einen AV-Vertrag mit dem Dienstleister. Einer der beliebtesten Dienste ist MailChimp. RA Dr. Thomas Schwenke erklärt in einem Artikel ausführlich, was hierbei datenschutzrechtlich zu beachten ist. Rechtlich einfacher agiert man, wenn man ein Plugin nutzt und somit die Daten auf dem eigenen Server belässt. Für WordPress gibt es eine Reihe dieser Erweiterungen, von denen ich dasjenige mit dem einprägsamen Namen Newsletter herausgreifen möchte. Aber auch bei einer lokalen Speicherung der personenbezogenen Daten dürfen die Einwilligung der Nutzer und das Double-Opt-in-Verfahren nicht außer Acht gelassen werden. Bei Double-Opt-in erfolgt zunächst ein Versand einer Mail an die angegebene E-Mail-Adresse, in der der Nutzer diese per Klick nochmals bestätigt. Das verhindert, dass Unbeteiligte für den Newsletter-Empfang registriert werden.
Neu daher mit der DSGVO kommt das sogenannte Kopplungsverbot. Dadurch ist es in der Regel nicht mehr möglich, für eine an sich kostenlose Dienstleistung personenbezogene Daten als Gegenleistung zu erhalten. Beliebt ist dieses Verfahren beim Angebot von Leitfäden oder Übersichtsdarstellungen vor allem bei IT-Themen. Hier spricht man häufig auch von einem Whitepaper. Als Gegenleistung wird dann meist die Registrierung für den Newsletter erwartet.
Update (15.09.19): Manchmal kommt es anders als es viele Juristen vorausgesagt haben. Recht überraschend hat das OLG Frankfurt das Kopplungsverbot in einem aktuellen Urteil gelockert. Es empfiehlt sich, die weitere Entwicklung im Auge zu behalten.
Weiterer empfehlenswerter Artikel zum praktischen Umgang mit dem Newsletter-Versand: RA Nicolai Amereller | IT-Recht Kanzlei
Tracking mit Google Analytics oder Matomo (Piwik)
Lange Zeit war Google Analytics den Datenschützern ein Dorn im Auge. Immerhin gibt es mittlerweile die Möglichkeit, die IP-Adressen vor der Speicherung bei Google anonymisieren zu lassen, was hinsichtlich des Datenschutzes dringend angeraten ist. Ebenso unumgänglich ist ein AV-Vertrag mit Google. Empfehlenswerte Anleitung, wie man Google Analytics weitgehend datenschutzkonform betreiben kann, gibt es im Netz zuhauf: RA Dr. Schwenke, 121WATT oder Datenschutzbeauftragter.info. Wer den AV-Vertrag mit Google scheut, dem sei das Tracking-Tool Matomo (ehemals Piwik) empfohlen. Matomo kann auf dem eigenen Server betrieben werden, so dass keinerlei Daten an Dritte weiter gereicht werden. In jedem Fall ist allerdings eine Opt-out-Option einzubinden, durch die der Nutzer der Erfassung seines Nutzerverhaltens widersprechen kann. Auf der Seite von Matomo gibt es ausführliche Anleitungen für die Integration der Software.
Datenschutzkonformes Tracking hätte damit zwar nicht einfach, aber dennoch umsetzbar sein können, wenn nicht die Datenschutzkonferenz (DSK) der Datenschutzbehörden des Bundes und der Länder Ende April – nur wenige Wochen vor Anwendbarkeit der DSGVO – Sprengstoff in Form eines Positionspapiers in die Diskussion geschüttet hätte. Weil beim Tracking technisch bedingt Cookies zum Einsatz kommen, die pseudonyme Daten sammeln, soll Tracking demnach nur noch mit vorheriger Zustimmung des Nutzers (Opt-in) möglich sein. Wie man sich leicht vorstellen kann, wäre dies das Ende der Online-Analysemöglichkeiten für das Marketing, angefangen bei Bloggern, die lediglich untersuchen wollen, welche ihrer Beiträge über welche Netzwerke die meiste Aufmerksamkeit erzeugen, bis zu Shopbetreibern, die das Interesse an ihrem Warenangebot messen müssen.
Nicht nur das Timing des Positionspapiers, sondern auch der Inhalt ist von Interessenverbänden, aber auch unabhängigen Rechtsanwälten scharf kritisiert worden. Weil ich vermute, dass gerade dieser Punkt noch viel Staub aufwirbeln wird – die Datenschutzbehörden stellen sich hier doch recht offen gegen die juristische Fachwelt -, möchte ich für den interessierten Betrachter etwas Lesestoff mitgeben:
RA Dr. Martin Schirmbacher
RA Dr. Carsten Ulbricht
RA Stephan Hansen-Oest
RA Jan Lennart Müller
Um es kurz zusammen zu fassen: Alle Experten kommen zu dem Schluss, dass Tracking nicht grundsätzlich eine Einwilligung des Betroffenen bedarf. Vielmehr ist das Tracking des Nutzerverhaltens als Teil von Marketingmaßnahmen je nach Fallkonstellation sehr gut mit dem berechtigten Interesse nach Art. 6 Abs. 1 lit. f DSGVO zu begründen und somit weiterhin möglich.
Update (28.11.18): RA Dr. Carsten Ulbricht hat seine Einschätzung in einem sehr lesenswerten Artikel nochmals präzisiert. Demnach ist der Einsatz gerade von Tools wie Matomo, das in der Lage ist, Daten zu pseudonymisieren und auf dem eigenen Server zu speichern, mit berechtigtem Interesse zu legitimieren. Eine Vielzahl der in den letzten Monaten aus dem Boden schießende Opt-in-Banner auf Websites dürfte daher überflüssig sein. Überhaupt sind diese mittlerweile so inflationär zu sehen, dass die meisten Nutzer diese ohne Kenntnisnahme des Inhalts einfach wegklicken, um an die Informationen der Website zu gelangen. Damit hat die DSGVO das Gegenteil der eigentlichen Absicht erreicht.
Bedenklich bei der Haltung der Landesämter für Datenschutz ist insbesondere, dass man sich zum Teil selbst nicht an das eigene Positionspapier hält. In Niedersachsen und Sachsen-Anhalt kommt Matomo weiterhin ohne Opt-in zum Einsatz. In Sachsen-Anhalt hält man es sogar nicht für nötig, das obligatorische Opt-out zur Verfügung zu stellen. Mehr dazu in meiner Bilanz zur DSGVO.
Datenschutzerklärung
Die Umsetzung aller genannten Maßnahmen ist nutzlos, wenn man den Besucher der Website nicht ausführlich in einer Datenschutzerklärung darüber informiert, welche Daten wo mit welcher Rechtsgrundlage verarbeitet werden. Die Texte können je nach Komplexität der Website enorme Ausmaße annehmen. In den letzten Wochen haben alle Anbieter sogenannter Datenschutz-Generatoren fieberhaft an der Überarbeitung ihrer Dienste gearbeitet. Beim Einsatz einer solch zusammengeklickten Datenschutzerklärung sind aber unbedingt die lizenzrechtlichen Bedingungen zu beachten. Einschränkend muss man zusätzlich betonen, dass diese Generatoren – so gut sie auch umgesetzt sind – nur die gängigsten Konstellationen beachten können. Wer auf seiner Website spezielle Drittanbieter ins Boot holt und bei der Generierung der Datenschutzerklärung nicht alle Punkte akribisch bedenkt, könnte am Ende dennoch einen schmalen Grat bei der Einhaltung der DSGVO betreten. Ob es lohnenswert ist, einen Juristen kostenpflichtig mit der Umsetzung zu beauftragen, muss jeder für sich selbst entscheiden. Es ist eine Frage der Risikoabwägung. Und: Nach derzeitigem Stand ist eine datenschutzrechtlich korrekt umgesetzte Website gar nicht möglich, da zu viele Punkte umstritten sind.
Mein persönlicher Favorit unter den Datenschutz-Genaratoren ist derjenige von RA Dr. Schwenke. Er ist nicht nur sehr übersichtlich gestaltet, sondern auch noch für Privatpersonen und Kleinunternehmer (inkl. Vereine) kostenlos. Am bekanntesten ist wohl der Generator von eRecht24. Dieser war noch vor wenigen Wochen kostenlos nutzbar, wurde aber im Zuge der Umstellung auf die DSGVO in ein für mittlere und große Betriebe sicher sehr nützliches, aber für Kleinunternehmer und Privatpersonen unverhältnismäßig teures Abomodell integriert. Erwähnenswert ist auch noch der Service von der Deutschen Gesellschaft für Datenschutz, die in Kooperation mit RA Christian Solmecke einen kostenloses Datenschutz-Generator anbietet. Ein integrierter Link zu einem IT-Dienstleister, der für viel Kritik gesorgt hat, scheint mittlerweile entfernt worden zu sein.
Verarbeitungsverzeichnis
Zwar sind Einrichtungen und Unternehmen mit weniger als 250 Mitarbeitern von der Führung eines Verarbeitungsverzeichnisses ausgenommen, aber das gilt nur, wenn personenbezogene Daten nur gelegentlich verarbeitet werden. Dies wird in der Praxis nur selten der Fall sein, weil bereits eine Website von seinen Besuchern ständig IP-Adressen sammelt.
Ich erspare es mir hier, ausführlich zu beschreiben, wie so ein Verzeichnis aussehen könnte (zumal es außerhalb des eigentlichen Kernthemas dieses Beitrags liegt) und verweise auf einige gute Artikel, die teilweise auch Mustervorlagen bieten:
Regina Stoiber: Datenschutz Verfahrensverzeichnis mit Muster
Regina Stoiber: Vorschläge für ein Verfahrensverzeichnis DSGVO
RA Stephan Hansen-Oest: Keine Zeit für ein Verarbeitungsverzeichnis nach DSGVO? Tipps für eine schnelle Notlösung in „dreckig“
Fotografie
Das Thema Fotografie und DSGVO hat in den letzten Wochen besonders hohe Wellen geschlagen und zu einigen Absurditäten geführt. Da der Artikel eh schon sehr lang ist, werde ich dies aber in einem gesonderten Beitrag besprechen, der hier verlinkt ist, sobald dieser online geht. Nur so viel vorab: Entgegen der verbreiteten Hysterie scheint sich an den bisherigen Regelungen, die sich aus dem Kunsturhebergesetze speisen, nichts zu ändern.
Update (24.05.18): Der versprochene Artikel ist jetzt online: DSGVO – Fotografieren von Personen nach Kunsturhebergesetz
Weitere Empfehlungen
Weitere empfehlenswerte Praxisleitfäden (auch wenn ich nicht mit jedem Punkt konform gehe):
Ernesto Ruge | binary butterfly: DSGVO: So viel Panik für nichts Neues – und warum es trotzdem ein grundlegendes Problem gibt
Rittchie Pettauer | datenschmutz.net: DSGVO Checkliste für Blogger: Wie setze ich die Datenschutz-Grundverordnung für mein Weblog um?
Regina Stoiber | Blogmojo (Gastbeitrag): DSGVO-Checkliste für Blogger und Online-Unternehmer
Vladimir Simović | perun.net: Das Schreckgespenst DSGVO, Teil 1, Teil 2
Martina Honecker: DSGVO für Blogger und Websitebetreiber – das musst Du wissen!
Markus Kämmerer | storEmotion: DSGVO für WordPress Praktiker
Ausblick
Meine Ausführungen – so lang sich auch wirken mögen – können nur einen sehr begrenzten Teil der Maßnahmen ansprechen, die für die Umsetzung der DSGVO nötig sein könnten. Ich werde versuchen, hier noch weitere relevante Aspekte sukzessiv einzubauen und aktuell zu halten. Nicht Beachtung fanden Blogs, die nicht selbst gehostet werden, sondern bei wordpress.com oder blogger.com liegen. Hier tun sich datenschutzrechtlich so viele Problemfelder auf, dass dies in meinem Beitrag nicht auch noch thematisiert werden kann.
Da es in der Praxis des Internets vielfach nicht umsetzbar ist, eine Einwilligung des Nutzers für Verarbeitungsprozesse von personenbezogenen Daten im Vorfeld einzuholen, ist es nicht verwunderlich, dass Art. 6 Abs. 1 lit. f DSGVO zum wichtigsten Instrument des Webmasters wird. Bis hier Rechtssicherheit einkehrt, werden Jahre ins Land ziehen. Es nützt leider nicht viel, den Kopf in den Sand zu stecken und sich über die Unfähigkeit der Bürokraten in Brüssel aufzuregen: Jetzt gilt es, zumindest die wichtigsten Fallstricke zu umschiffen. Gerne unterstütze ich Sie bei der Analyse Ihres Online-Auftritts und der technischen Umsetzung der DSGVO.
Vielen herzlichen Dank für diesen wirklich laienverständlichen Überblick über diesen DSVGO Wahnsinn. Ich bin eine private Bloggerin und habe wieviele den Blog aus lauter Nichtwissen erstmal „stillgelegt“ dass heißt auf den Knopf „nur für geladene Leser“ gedrückt.
Hier habe ich ja nun viele Tipps bekommen auf was ich achten muss – ein bisserl Ausmisten schadet ja nicht. Dennoch habe ich eine Frage zum Impressum. Bisher ist mein Blog anonym, d.h. es gibt nirgendwo meinen richtigen Namen und schon gar nicht meine Adresse. Ich möchte gerne dass das so bleibt. Spricht etwas dagegen? Gibts es dafür eine Lösung? Vielen, vielen lieben Dank für eine Antwort!
Danke für dein positives Feedback, Saphira. Leider muss ich dir sagen, dass du um ein Impressum nicht herum kommen wirst. Das hat auch nichts mit der DSGVO zu tun, sondern war zuvor bereits im TMG geregelt. Eine recht verständliche Zusammenfassung findest du hier: https://www.e-recht24.de/artikel/datenschutz/209.html
Hallo Damian, vielen Dank für die wertvollen Tipps und die auch für Nichtspezialisten verstehbaren Erklärungen. Mit dem Lesen deines Beitrages stieg bei mir die Hoffnung, meinen stillgelegten Blog doch wieder zu öffnen… bis ich auf den letzten Absatz stieß: ich bin bei Blogger;(. Gibt es dafür irgendeine Hoffnung? Mir wurde gesagt, solange ich den noch fehlenden AVV beantragt hätte, wäre ich rechtlich auf der sicheren Seite und könnte weitermachen, wenn ich alles, was du oben erwähnt hast, beherzigen würde. Ob das stimmt? Ein Wechsel kommt für mich aus Zeitgründen nicht in Frage, eigentlich hatte ich mich bei Blogger auch ganz wohl gefühlt, ein umfangreicheres Programm brauche ich gar nicht.
Liebe Grüße Steffi
Hallo Steffi, vielen Dank für dein Feedback. Ich habe mich ganz bewusst nicht auch noch auf die Schwierigkeiten mit nicht selbst gehosteten Seiten konzentriert. Die Hauptprobleme sind in der Tat der AVV und die Tatsache, dass man hinsichtlich der Eingriffe in den eigenen Blog sehr eingeschränkt ist. Wenn du dennoch obige Ratschläge umgesetzt bekommst und den Vertrag mit blogger.com machen kannst, würde ich es entspannt sehen. Ich kann hier aber mangels eigener Erfahrung (meine Kunden hosten alle selbst) keine konkrete Hilfestellung bei der Umsetzung bestimmter Details leisten. Viele Erfolg und bloß nicht panisch machen lassen.
Sehr schöner, informativ Beitrag!!! Und sehr schön erklärt.
Guter Artikel. Alles ist ausführlich und übersichtlich beschrieben.
Ich habe mir einige wichtige Punkte notiert, die ich vorher nicht kannte.
Danke für deine Arbeit.