Zähmung des Monsters aus Brüssel: Bloggerclub-Tipps zum pragmatischen Umgang mit der DSGVO

Die Datenschutzgrundverordnung (DSGVO) sorgt für viel Aufregung, teils für Panik unter Bloggern. Niemand – auch Fachjuristen nicht – hat Antworten auf viele Aspekte der Verordnung, die am 25. Mai 2018 in Kraft tritt. Deshalb kann auch der Bloggerclub e.V. das Problem nicht lösen – aber mit dieser Zusammenfassung vielleicht ein wenig Licht in das Durcheinander bringen.

Mit grob irreführenden Informationen machen selbsterklärte Experten und so mancher profitgieriger Anwalt Werbung für ihr eigenes Business und sorgen für noch mehr Verwirrung, als die DSGVO ohnehin schon auslöst. Dieser Beitrag soll eine konkrete Hilfestellung für Blogger liefern, das Thema DSGVO mit möglichst wenig Zeitaufwand abzuhaken: mit einigen grundlegenden Informationen zur DSGVO selbst sowie mit Links zu guten Fachbeiträgen, Mustertext-Generatoren und Ähnlichem.

Gesunder Menschenverstand vs. juristische Präzision

Wichtig: Ich bin kein Jurist und dieser Beitrag ist keine juristische Beratung. Ich will lediglich Hinweise und Tipps geben, meine Erfahrung und Erkenntnisse im Umgang mit der DSGVO weitergeben. Jeder ist selbst verantwortlich, die für sich relevanten Aspekte zu prüfen und umzusetzen. Der Beitrag erhebt keinerlei Anspruch auf Vollständigkeit und schon gar nicht auf juristische Korrektheit – denn selbst Fachjuristen sind sich in vielen Aspekten nicht einig, was die DSGVO eigentlich exakt verlangt.

Vieles in diesem Beitrag ist auf gesundem Menschenverstand und Vernunft begründet und nicht auf einem juristischen Hintergrund. Das bitte ich zu bedenken und zu beachten. Für präzise, juristische Auskünfte bitte ich darum, einen Fachjuristen aufzusuchen.

Auf den Punkt gebracht: sämtliche Informationen in diesem Beitrag habe ich nach bestem Wissen und Gewissen zusammengestellt, aber ohne jegliche Gewähr.

Weitere Tipps und Links zu DSGVO-Themen finden Sie kontinuierlich auch auf unserer Facebook-Page: https://www.facebook.com/bloggerclubev/

Rechtsgrundlagen – mehr als eine einzelne Verordnung

Die Datenschutzgrundverordnung (DSGVO) ist eine EU-Verordnung und damit (anders als Richtlinien) direkt geltendes Recht. Sie tritt am 25. Mai 2018 in Kraft. Sie gilt nicht für ausschließlich private Blogs. Allerdings muss man wohl annehmen, dass ein Blog schon dann nicht mehr privat ist, wenn es auch nur einen Affiliate-Link, einen Werbebanner oder einen Sponsored Post enthält. Im Zweifel sollte man also besser davon ausgehen, dass die DSGVO anwendbar ist. In englischsprachigen Texten heißt die DSGVO übrigens General Data Protection Regulation (GDPR).

Neben der DSGVO gibt es weitere Gesetze: das neue Bundesdatenschutzgesetz, oft „BDSG (neu)“ oder „BSDG 2018“ genannt, weil es den gleichen Titel wie das Vorgängergesetz BDSG trägt. Außerdem gelten neue Landesdatenschutzgesetze, in Bayern beispielsweise das  Bayerische Datenschutzgesetz (BayDSG). Diese Gesetze konkretisieren einige Regeln der DSGVO beziehungsweise regeln die Durchführung.

Was gerne übersehen wird: Datenschutz-Recht ist in Deutschland auch in zahllosen weiteren Gesetzen enthalten und schafft in vielen Fällen Ausnahmen oder Konkretisierungen der DSGVO. Das ist beispielsweise auch das Landespressegesetz oder Rundfunkstaatsvertrag. In solchen Spezialgesetzen findet sich beispielsweise auch die Präzisierung des in der DSGVO vorgesehenen Medienprivilegs, das die Presse von bestimmten Auskunftspflichten im Datenschutz ausnimmt oder weitere Argumente liefert, „berechtigtes Interesse“ an der Verarbeitung von Daten zu begründen.

Wichtig zu verstehen: Spezialgesetze gehen in der Regel vor. Gibt es also ein Gesetz, in dem sehr konkret definiert wird, wie in einer bestimmten Situation mit Datenschutzaspekten umgegangen werden muss, kann man erst einmal davon ausgehen, dass das so auch gilt – selbst wenn die DSGVO in diesem Aspekt anders klingt. Möglicherweise kippt der EuGH dieses nationale Gesetz dann irgendwann, aber bis dahin kann man sich darauf erst einmal halbwegs verlassen. Relevant ist das beispielsweise beim Medienprivileg oder den Regelungen des Kunsturhebergesetzes.

Und noch ein wichtiger Punkte: die so genannte ePrivacy-Verordnung, die gelegentlich angesprochen wird – und die Dinge möglicherweise wirklich schwierig macht – wird voraussichtlich erst Ende 2019 in Kraft treten und wie die DSGVO eine Übergangsfrist für die tatsächliche Anwendbarkeit haben. Sie dürfte also erst Ende 2020 tatsächlich relevant werden. Insofern ist es aktuell weitgehend sinnlos, darüber zu spekulieren und vorsorglich schonmal Aspekte zu berücksichtigen, die in dieser Verordnung vielleicht (!) enthalten sein könnten.

Welche Gefahren drohen?

Die DSGVO wirkt auf den ersten Blick verwirrend, überwältigend, nicht umsetzbar. Tatsächlich sind sich auch Fachjuristen in vielen Aspekten alles andere als sicher oder einig, wie die DSGVO genau umzusetzen ist und was man genau tun muss, um auf der sicheren Seite zu sein. Andererseits propagieren die Profiteure dieses Durcheinanders, dass immense Strafen drohen, wenn man sich nicht ab 25. Mai exakt an die DSGVO hält.

Doch so schlimm ist es in der Realität längst nicht. Weil eben auch Juristen sich nicht einig sind – einschließlich der Datenschutzbeauftragten, die genauso von der Rechtsunsicherheit betroffen sind wie diejenigen, die die DSGVO umsetzen müssen.

Rechtssicherheit wir in den unklaren Aspekten erst über die Jahre entstehen, wenn der Europäische Gerichtshof (EuGH) einige grundlegende Dinge geklärt hat. Bis dahin ist die Rechtslage zwar unklar, was aber durchaus gerade für uns Blogger auch ein Vorteil sein kann, wie ich gleich erklären werde.

Bußgelder und Abmahnungen

Grundsätzlich drohen bei Verstößen gegen die DSGVO Bußgelder, die von Datenschutz-Aufsichtsbehörden verhängt werden können. Daneben könnte (und wird) es Abmahnungen von Konkurrenten im Rahmen des Wettbewerbsrechts geben.

Aber: Aufsichtsbehörden haben besseres zu tun, als sich mit kleinen Bloggern zu beschäftigen, schon weil deren Personal dafür gar nicht ausreicht. Deren Ziel ist es, die „großen Fische“ zu fangen: große Unternehmen, die absichtlich gegen Datenschutzbestimmungen verstoßen und europäisches Datenschutzrecht mit Füßen treten.

Und ebenfalls aber: Abmahner werden sich tendenziell eher auf einfache Ziele stürzen, also auf Unternehmen, die eklatant und offensichtlich gegen die DSGVO verstoßen. Denn wer abmahnt, muss damit rechnen, dass die Angelegenheit vor Gericht landet und da will man sich halbwegs sicher sein, dass man auch gewinnt, um nicht auf den Prozess- und Anwaltskosten sitzen zu bleiben. Eine Abmahnung wird sich also eher nicht mit den eher schwammigen und unklaren Aspekten der DSGVO beschäftigen.

Das ist weder bei den Bußgeldern noch bei den Abmahnungen eine Garantie, aber doch eine hohe Wahrscheinlichkeit.

Eine durchaus relevante, juristische Sichtweise ist übrigens, dass Abmahnungen aufgrund eines Verstoßes gegen die DSGVO vielleicht überhaupt nicht möglich sind. Ob das allerdings auch die Gerichte und letztlich der EuGH so sehen, muss sich aber erst noch zeigen.

Strategie für Blogger

Vor allem für semi-professionelle und nicht im hellen Rampenlicht stehende Alpha-Blogger könnte eine gute Strategie daher sein: Alles tun, um der Einhaltung der DSVGO so nahe zu kommen wie möglich, sich aber nicht vollends verrückt machen. Und dann das Thema weiter beobachten, um Anpassungen zu machen, sobald sich Teilaspekte nach und nach klären.

Konkret sind also aus meiner Sicht folgende Punkte besonders wichtig:

• Prüfen, wo und wie Daten im Blog verarbeitet werden (insbes. Plugins und Themes)
• Verträge zur Auftragsverarbeitung schließen, soweit noch nicht vorhanden (z.B. mit Google Analytics, mit dem Hosting-Provider, mit Newsletter-Dienstleistern etc.)
• Datenschutzerklärung für das Blog online nehmen (soweit schon vorhanden auf die Anforderungen der DSGVO anpassen)
• Cookie-Hinweis einbauen
• Google Adsense auf nicht-personalisierte Werbung umstellen (in den Adsense-Optionen: „Anzeigen zulassen und blockieren“ – „Alle eigenen Websites“ – „EU-Nutzereinwilligung“)
• falls Du Google Custom Search als Suchmaschine auf Deiner Website nutzt, solltest Du die Suchergebnisseite auf nicht-personalisierte Werbung umstellen
• Newsletter-Einwilligung einholen (soweit nicht schon geschehen und halbwegs mit den neuen Bestimmungen konform)
• Beim Einsatz von Kontakt-Formular, Newsletter-Anmeldung oder Ähnlichem: Umstellung auf SSL-Verschlüsselung – denn zum Datenschutz gehört auch eine technische Absicherung der Daten bei der Übertragung und Speicherung

Von den Datenschutzbehörden droht zunächst einmal wenig Gefahr, sobald man sich „Mühe gibt“. Denn wie schon erwähnt, haben die Behörden erst einmal andere Sorgen, als sich um kleine Blogger zu kümmern.

Gegen Abmahnungen kann man sich ganz gut wappnen, indem man keine offensichtlichen Angriffspunkte bietet. Alles, was nach außen hin sichtbar oder feststellbar ist, sollte man also halbwegs rechtssicher machen. Das bedeutet vor allem eine ausführliche Datenschutzerklärung, in der alle Aspekte abgehandelt werden, die von außen erkennbar sind, also Einsatz von Google Analytics, von Plugins, die Daten sammeln und Ähnlichem.

Unvermeidlich ist da einiges an Recherche, weil auch vermeintlich harmlose Plugins oder Themes datenschutzrechtlich relevant sein können. Beispiel: Lädt ein Theme Google-Fonts von den Google-Servern, werden dabei IP-Adressen der User übertragen – also Daten verarbeitet. Das ist nicht per se unzulässig, muss aber eben entsprechend in der Datenschutzerklärung behandelt werden.

Erlaubt oder verboten?

Die DSVGO – wie auch schon zuvor das deutsche Datenschutzrecht – hat ein Grundprinzip, das das Verständnis der Regelungen sehr vereinfacht: Alles, was nicht ausdrücklich erlaubt ist, ist verboten. Steht im Gesetz also nicht, ist eine entsprechende Datenverarbeitung also erst einmal nicht erlaubt.

Letztlich erlaubt das Gesetz dann aber doch sehr viel. Verarbeitet werden dürfen Daten, die

• zur Vertragserfüllung dienen oder für vorvertragliche Maßnahmen (also beispielsweise E-Mail-Adresse eines Users, der mit dem Blogger Kontakt aufnimmt; „Vertrag“ muss nicht unbedingt ein Kaufvertrag in einem Shop sein, sondern kann auch z.B. ein Vertrag zur Zusendung eines Newsletters sein)
• lebenswichtige Interessen des Betroffenen schützen (also dem Interesse des Betroffenen selbst dienen)
• in öffentlichem Interesse sind (das hilft vor allem Behörden)
• aufgrund einer Interessen-Abwägung verarbeitet dürfen (bei „berechtigtem Interesse“ – das ist der weitaus wichtigste Aspekt)
• auf Basis eine ausdrücklichen Einwilligung des Betroffenen verarbeitet werden.

Um die Verordnung wirklich zu verstehen, muss man also vor allem unterscheiden zwischen „informieren“ und „Einwilligung“. Ist etwas erlaubt, muss ich in der Datenschutzerklärung lediglich (ausführlich und in klar verständlicher Sprache) informieren. Nur wenn etwas nicht erlaubt ist, benötigt man eine explizite Zustimmung der Betroffenen, dessen Daten verarbeitet werden sollen.

Den größten Spielraum lässt die Verarbeitung bei „berechtigtem Interesse“: Hier geht es darum abzuwägen, ob mögliche Schutzrechte (etwa Persönlichkeitsrechte) wichtiger sind als das Interesse desjenigen, der die Daten verarbeitet.

„Berechtigtes Interesse“ ist ein umfangreiches Themenfeld, deshalb seien hier nur ein paar Beispiele fürs Verständnis genannt, was ein berechtigtes Interesse sein kann (aber immer im Einzelfall individuell geprüft und begründet werden muss!):

• Abwehr von Gefahren, beispielsweise von Online-Betrug oder Hacker-Angriffen
• Ordnungsgemäßer Betrieb der Website (z.B. vorübergehende Speicherung der IP-Adresse)
• geschäftliche Interessen wie die Erhebung von Traffic-Statistiken
• technisch unkomplizierte Einbindung von Videos (z.B. Youtube, weil selbst gehostetes Video wirtschaftlich sehr aufwändig wäre)

Entscheidend ist, dass das berechtigte Interesse mit Interessen der Betroffenen jeweils im konkreten Fall abgewogen und begründet wird.

Ebenso wichtig: Die verarbeiteten Daten dürfen nur zu dem ursprünglich vorgesehen und genannten Zweck verwendet werden. Einmal legal erhobene Daten dürfen also nachträglich nicht frei für alles verwendet werden, sondern sind zweckgebunden und müssen außerdem gelöscht werden, wenn der Zweck entfällt. Das ist insbesondere in Hinblick auf E-Mail-Verkehr und darin enthaltene, personenbezogene Daten ein bislang kaum praktikabel lösbares Problem.

Was sind personenbezogene Daten?

Die DSGVO beschäftigt sich mit der Verarbeitung von personenbezogenen Daten. Auslegen muss man das sehr weit. Personenbezogen sind Daten nämlich auch dann schon, wenn sie sich irgendwie mit einer natürlichen Person in Verbindung bringen lassen. Das bezieht sich also auch auf Daten, die erst einmal nicht persönlich erscheinen wie ein Foto, eine IP-Adresse oder ein anonymes Cookie.

Lassen sich solche Daten aber nachträglich irgendwie mit einer Person in Verbindung bringen, muss man sie als personenbezogen betrachten. Das kann beispielsweise ein Verfahren zur Gesichtserkennung bei Fotos sein, oder die Kombination von verschiedenen Datensätzen, um beispielsweise eine IP-Adresse mit einer Person in Verbindung zu bringen. Oder eben ein anonymer Cookie, der durch das Einloggen auf einer bestimmten Website (Facebook, Amazon, Google etc.) plötzlich eben nicht mehr anonym ist.

Melde- und Dokumentationspflichten

Dieser Beitrag konzentriert sich auf die Datenschutzerklärung und damit zusammenhängende Aspekte und klammert beispielsweise die Thema Dokumentationspflichten und Meldepflichten bei Datenschutz-Vorfällen („Data Breach Notification“) bewusst aus. Grund: Die ganze Dokumentation ist natürlich auch wichtig und vorgeschrieben, nach außen hin aber erst einmal nicht zu erkennen, sodass hier keine unmittelbare Abmahngefahr besteht.

Bei den Meldepflichten ist reichlich unklar, wie das in der Praxis funktionieren soll. Denn schon wenn man einen USB-Stick verliert, auf dem beispielsweise Adressen und Telefonnummern gespeichert sind, müsste man dies eigentlich der Datenschutzbehörde melden. Beim Verlust eines Handys ohnehin. Würde aber jeder verlorene USB-tick tatsächlich gemeldet, bräche bei den Datenschutzbehörden aber vermutlich Chaos aus, weil das Personal zur Bearbeitung solcher Lappalien fehlt.

Links und Beiträge zur DSGVO

Ich will in kann in diesem Beitrag nicht das ganze Thema DSGVO aufarbeiten, will stattdessen aber einige Links zu Informationen und Beiträgen anderer teilen, die Substanz haben und Bloggern insbesondere bei der Erstellung einer DSGVO-konformen Datenschutzerklärung helfen:

WordPress datenschutzkonform machen

WordPress selbst arbeitet an einigen Features, mit denen die Einhaltung der DSGVO mit einem WordPress-Blog einfacher werden soll. Alle Aspekte deckt das aber keinesfalls ab, man sollte mit diesen Funktionen also kritisch umgehen und selbst genau prüfen, was zusätzlich nötig ist.

Einen übersichtlichen Beitrag zu wesentlichen Aspekten in WordPress hat Sara Grasel bei Trending Topics zusammengestellt: https://www.trendingtopics.at/dsgvo-so-passt-ihr-wordpress-an-den-neuen-eu-datenschutz-an/ Achtung: Der Beitrag bezieht sich auf die österreichische Umsetzung der DSGVO, insbesondere Mustertexte sind also mit Vorsicht zu genießen.

Eine sehr gute Check-Liste für den eigenen WordPress-Blog hat René Dasbeck veröffentlicht: https://www.netz-gaenger.de/blog/aktuelles/dsgvo-checkliste-fuer-meine-kunden-und-andere-wordpress-webseitenbetreiber/

Mit dem speziellen Problem der IP-Adressen in Blog-Kommentaren setzt sich Jonas Tietgen bei WP Ninjas auseinander: https://wp-ninjas.de/wordpress-kommentare-ip-entfernen

Online-Generatoren für die Datenschutzerklärung

Anwalt Dr. Thomas Schwenke hat Generator für die Datenschutzerklärung erarbeitet, der für nicht-kommerzielle Websites und Kleinunternehmer kostenlos ist. Die kommerzielle Lizenz kostet 99 Euro zgl. MwSt.  https://datenschutz-generator.de/

Kostenlos nutzbar ist der Generator der Deutschen Gesellschaft für Datenschutz: https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de/

Beide Generatoren decken nicht sämtliche Aspekte und denkbaren Konstellationen ab. Deshalb sollte man immer zusätzlich individuell prüfen, welche weiteren Aspekte auf dem eigenen Blog noch hinzukommen und entsprechend ergänzen. Eine Kombination aus den beiden genannten Generatoren führt meist aber schon recht nahe ans Ziel.

Auftragsverarbeitung

Werden Daten von einem Dritten verarbeitet – also dem eigenen Webhoster, einem Newsletter-Dienstleister, Google Analytics, Google Adsense oder Ähnlichen – ist ein Vertrag zur Auftragsverarbeitung zu schließen. Finn Hillebrandt hat auf Blogmojo eine ausführliche Liste mit Links zu zahlreichen möglichen Auftragsverarbeitern zusammengestellt und gibt Infos, wie man den Vertrag dort jeweils abschließen kann. https://www.blogmojo.de/av-vertraege/

Google-Produkte

Wo Google überall seine Finger datenschutzrelevant im Spiel hat, zeigt ein Beitrag der Internet World Business: https://www.internetworld.de/onlinemarketing/google/dsgvo-aendert-googles-werbeprodukten-1527598.html

Mit Google Analytics setzt sich Rechtsanwältin Nina Diercks ausführlich auseinander: https://diercks-digital-recht.de/2018/05/der-rechtskonforme-einsatz-von-google-analytics-bzw-universal-analytics-unter-der-dsgvo-teil-12-zur-eu-dsgvo-cookies-und-tracking/

Links zu zahlreichen Detailaspekten der DSGVO hat Blog Mojo zusammengestellt: https://www.blogmojo.de/dsgvo-linksammlung/

Zum Einsatz von interessenbezogener Werbung (Voreinstellung bei Google Adsense!): https://drschwenke.de/dsgvo-tracking-cookies-online-marketing-gluecksspiel/

Datenschutz und Fotos

Bei kaum einem Teilaspekt der DSGVO wir derzeit so viel Unsinn propagiert wie zum Datenschutz bei auf Fotos abgebildeter Personen. Die Website „Recht am Bild“ hat hierzu einen sehr guten Beitrag verfasst (und gibt weitgehend Entwarnung): https://www.rechtambild.de/2018/05/fotografieren-in-zeiten-der-dsgvo-grosse-panikmache-unangebracht/

Update: Inzwischen gibt es ein vielversprechendes Urteil zu diesem Thema, das die Anwendbarkeit des Kunsturhebergesetzes grundsätzlich bejaht. Die Situation speziell für Blogger ist damit zwar noch nicht geklärt, die Tendenz ist aber günstig.

Material der Aufsichtsbehörde

Muster-Texte, Check-Listen und halbwegs prägnante Informationen stellt das Bayerisches Landesamt für Datenschutzaufsicht bereit, speziell auch für Kleinunternehmer und Vereine: https://www.lda.bayern.de/de/datenschutz_eu.html

Allgemeine Empfehlung

Eine allgemein Empfehlung zum Abschluss: Glaube nicht alles, was in jedem beliebigen Beitrag zur DSGVO steht – auch nicht, wenn es von einem Anwalt geschrieben ist. DSGVO ist derzeit ein Thema, mit dem man sehr viel Traffic (und damit auch Geld) generieren kann und da nehmen es viele nicht so genau mit den Fakten – oder propagieren eigene juristische Thesen als Fakten, um aus der Masse der DSGVO-Beiträge herauszustechen.

Löschen des Blogs aus Angst vor Konsequenzen der DSGVO ist eine völlig unsinnige und weit überzogene Reaktion. Wie überhaupt jede hektische oder gar panische Reaktion unsinnig ist. Die Gefahren sind ziemlich überschaubar und wie oben dargelegt teils kaum relevant, weil kleine Blogs einfach nicht im Fokus von Abmahnern und Datenschutzbehörden stehen – zumindest nicht in absehbarer Zeit.

Was tun? Sich in Ruhe mit dem Thema auseinandersetzen. Möglichst bald, aber nicht überstürzt versuchen, die Vorschriften umzusetzen und einzuhalten. Das Thema weiter beobachten und  bei Veränderungen und Klarstellungen zügig reagieren.