Skip to content

DSGVO für Blogger und Webseitenbetreiber

Vergangene Woche hatte ich mich zur Datenschutzgrundverordnung geäußert, die am Freitag in Kraft getreten ist. Doch wie soll man als Blogger und Webseitenbetreiber nun damit umgehen? Wie macht man seine Webpräsenz "fit für die DSGVO"?

Damit hat sich Lutz Donnerhacke bereits beschäftigt und auch "seinen" Weg am Beispiel seines Blogs dargestellt. Das entspricht auch der Vorgehensweise, die ich für mich gewählt habe und die ich empfehlen würde.

Dazu gehören mehrere Schritte - die sinnvollerweise mit einer Bestandsaufnahme und Bewertung beginnen und mit der Erstellung der Datenschutzerklärung schließen.

Der gerne gelesene umgekehrte Weg ist von vornherein zum Scheitern verurteilt: wie soll ich meine Nutzer darüber informieren, welche Daten ich wozu erhebe, wie verarbeite und wie lange speichere, wenn ich das (a) oft selbst nicht sicher und vollständig weiß und (b) noch nicht durchdacht habe? Das bloße Einkopieren unverstandener langer Texte ist dabei - wie beim Programmieren und der Erstellung eigener Webseiten - nicht der richtige Weg, schon deshalb, weil ja nicht über irgendwelche denkbaren Datenverarbeitungen zu informieren ist, sondern über diejenigen, die tatsächlich stattfinden, und zwar möglichst präzise.

Bestandsaufnahme

Der erste Schritt ist dabei auch der schwierigste und langwierigste: die Bestandsaufnahme, welche Daten ich erhebe, verarbeite, speichere, übertrage und veröffentliche. Je geringer meine technischen Kenntnisse, je mehr Funktionen und Plugins ich für meine Webseite, mein CMS, mein Blog installiert habe, je länger die Installation "organisch gewachsen" - vielleicht gar gewuchert ist -, desto schwerer wird dieser Schritt fallen. Es nützt ja aber nun alles nichts - irgendwann muss man sich damit beschäftigen (und auch einmal aufräumen); warum nicht jetzt?

In der Folge möchte ich dazu eine kleine Checkliste bringen, sicherlich nicht vollständig, teilweise auch mit sich überschneidenden Punkten, aber jedenfalls ein Ansatz, nach dem Sie vorgehen können:

Logfiles

Fangen wir vorne an: Webseiten werden in der Regel mit Browsern abgerufen. Dabei muss der Webserver technisch zwingend die IP-Adresse, die Internet-Adresse des Browsers (oder eines vorgeschalteten Proxys oder Gateways oder ...) erfahren, damit er die abgerufene Webseite nach dort übermitteln kann. Daneben schickt ihm der Browser aber noch weitere Informationen mit, so zum Beispiel seine eigene Kennung und die Webseite, von der er "gekommen" ist. Diese Informationen werden üblicherweise in einem Logfile gespeichert und sind schon aufgrund der übermittelten IP-Adresse personenbezogen oder doch personenbeziehbar; das ist jedenfalls die Auslegung der Datenschutzaufsichtsbehörden und die naheliegende Lesart der DSGVO. Außerdem gibt es anderweitige Möglichkeiten, wie solche Einträge personenbeziehbar werden können, bspw. durch die Verwendung eines Kontakt- oder Kommentarformulars, das sich über den Zeitpunkt des Aufrufs dann mit der IP-Adresse verknüpfen lässt.

Wer seinen eigenen Webserver betreibt, ist fein raus - er kann nachschauen und konfigurieren, welche Daten erfasst und wie lange sie gespeichert werden. Wer seine Webseiten bei einem Webspace-Anbieter hostet oder gar nur ein fertiges CMS oder Blog benutzt, wird seinen Anbieter danach fragen müssen, denn es handelt sich dann entweder um einen Fall der Auftragsverarbeitung (für die dann noch ein Vertrag geschlossen werden muss) oder um eine gemeinsame Verantwortung für die Datenverarbeitung.

Alle diese Erkenntnisse müssen dann dokumentiert werden: Was wird gespeichert? Von wem? Wie lange?

Nachgeladene Ressourcen

Eine Webseite besteht nicht nur aus Text - sie enthält in der Regel auch nähere Anweisungen zur Darstellung ihrer Inhalte durch Stylesheets (CSS), Bilder oder Grafiken oder Logos, heutzutage oft auch Javascript für verschiedene Funktionalitäten, vielleicht auch Webfonts, also nachgeladene Schriften, oder sie bindet gar externe Ressourcen wie Videos (samt Abspielfunktion), ein Kommentarsystem, Interaktionsmöglichkeiten sozialer Netzwerke usw. ein.

Diese Ressourcen werden nicht selten von externen Quellen nachgeladen. Dabei erhält die externe Quelle (zumindest!) die IP-Adresse des Nutzers, denn dessen Browser muss die Ressource ja laden. Man kann sich nun auf den Standpunkt stellen, damit habe man als Webseitenbetreiber nichts zu tun, es handele sich quasi nur um eine Art Link, dem der Browser des Benutzers folge, und wer das nicht wolle, müsse das eben unterbinden (was technisch möglich ist) - das geht dann aber doch etwas an der Realität und den Kenntnissen des durchschnittlichen Nutzers vorbei. Datenschutzrechtlich jedenfalls wird das Einbinden solcher Ressourcen, die der Browser des Nutzers in der Regel ohne Nachfrage nachlädt, regelmäßig als Datenübertragung an den Bereitsteller der Ressource aufgefasst.

Man sollte jetzt annehmen, als Webseitenbetreiber wisse man, was man so an externen Ressourcen nachlädt ... erfahrungsgemäß ist das aber spätestens bei der Nutzung fertiger Softwarepakete wie eines Blogsystems oder eines CMS nicht immer der Fall. Dann wird man nicht umhin kommen, selbst nachzuspüren und zu dokumentieren, was die verwendete Software so treibt. Lutz Donnerhacke beschreibt, wie das geht; dabei darf man aber nicht übersehen, dass bestimmte Seiten des eigenen Blogs oder der Webpräsenz ggf. noch zusätzliche Ressourcen nachladen, bspw. das Kontaktformular oder Seiten, auf denen Videos o.ä. eingebunden werden.

Auch hier sind alle Ressourcen zu notieren: Was wird von wo geladen? Wer ist der Anbieter? Wo befindet der Anbieter sich - in Deutschland, innerhalb der EU, im EU-Ausland? Hat er eine eigene Datenschutzerklärung?

Eingebundene Inhalte

Oft werden nicht nur Ressourcen nachgeladen, sondern komplette Funktionen eingebunden: Kommentarsysteme (wie von Disqus), Spamfilter (wie von Akismet), CAPTCHAs (wie ReCaptcha), aber auch Youtube- oder Vimeo-Videos, Karten von Google Maps oder Buttons oder Plugins von sozialen Netzwerken. Dabei ist dann zu berücksichtigen, dass in der Regel nicht nur die IP-Adresse des Besuchers "übermittelt" wird, sondern die eingebundenen Funktionen teilweise umfangreiche weitere Daten erheben und übermitteln. Hier ist besondere Sorgfalt bei der Recherche geboten, zumal die Datenübermittlung nicht selten ins EU-Ausland erfolgen wird.

Cookies

Cookies sind kleine, von Ihrer Webseite oder Ihrem Blog auf dem lokalen Rechner des Besuchers gespeicherte Dateien, die der Browser automatisch beim Aufruf der Webseite oder des Blogs wieder an den Webserver übermittelt. Das kann technisch zwingend sein, wenn man sich zum Beispiel irgendwo eingeloggt hat. Es kann ein Komfortmerkmal sein, wenn man bspw. seine bevorzugten Einstellungen für Kommentare oder das Aussehen der Webseite für den nächsten Besuch speichern kann. Und mit Cookies lassen sich Benutzer natürlich auch - über verschiedene Webseiten hinweg - verfolgen, also tracken, was die Werbeindustrie - einschließlich Google und (anderer) sozialer Netzwerke - weidlich ausnutzt.

Hier gilt deshalb noch mehr als bei den eingebundenen Ressourcen: Sie werden schauen müssen, was Ihre Webseite, Ihr CMS, Ihr Blog und die installierten Plugins so tun. Manchmal kann das einigermaßen augenöffnend sein ... Auch hier hat Lutz Donnerhacke dankenswerterweise die Vorgehensweise beschrieben.

Statistik, Tracking und Werbung

Nutzen Sie statistische Auswertungen Ihrer Logfiles oder Statistikdienste wie Google Analytics? Binden Sie gar Werbung ein?

Dann sollten Sie das ebenfalls dokumentieren.

Kommentare und Kontaktformulare

Wenn Sie Kommentare Ihrer Nutzer und ein Kontaktformular anbieten, werden Sie die entsprechenden Daten vermutlich speichern und/oder sich (bspw. per Mail) übermitteln lassen. Gerade in Blogs sind hiermit oft auch weitere Funktionalitäten verbunden: es wird die IP-Adresse zusammen mit dem Kommentar gespeichert, es werden Avatare von Drittanbietern eingebunden, oder es werden Dienste wie Akismet oder ReCaptcha genutzt, die weitergehende Daten erheben und übermitteln.

Hier ist also besondere Sorgfalt geboten, weil zur Datenerhebung und -speicherung auch oft umfangreiche Datenübermittlungen und eine Veröffentlichung der Daten (Kommentare!) treten.

Denken Sie in diesem Zusammenhang auch daran, dass auch eine an Sie übermittelte E-Mail ja vermutlich in ihrem E-Mail-Client gespeichert wird. Auch dabei gehen Sie mit personenbezogenen Daten um. Die DSGVO gilt keineswegs nur für Webseiten!

Weitergehende Anwendungen

Wenn Sie nicht nur eine Webseiten oder ein Blog betreiben, sondern darüber hinaus weitere Dienste wie ein Webforum, einen Newsletter oder eine Mailingliste (mit Webarchiv?), eine Teilnehmerdatenbank oder gar einen Onlineshop anbieten, werden Sie auch insoweit erfassen müssen, mit welchen personenbezogenen Daten Sie umgehen.

Verengen Sie dabei Ihren Fokus nicht nur auf Webseiten! Wenn Sie bspw. im Vorstand eines Vereins tätig sind, dann sind Ihre Webseiten aller Voraussicht nach Ihr geringstes Problem - schließlich haben Sie vermutlich eine Mitgliederdatenbank und eine Buchführung, machen, sammeln und veröffentlichen Fotos, berichten über Vereinsereignisse unter Namensnennung ... Da eröffnet sich ein weites Feld.

Bewertung

Sie wissen nun hoffentlich, welche Daten Sie erheben, speichern, verarbeiten, übermitteln und veröffentlichen. Nun ist die Zeit gekommen, sich für jede einzelne Datenverarbeitung zu vergegenwärtigen, warum Sie diese Daten verarbeiten: zu welchem Zweck werden sie erhoben, warum und wie lange gespeichert, warum und an wen übermittelt? All das werden Sie nämlich in Ihrer Datenschutzerklärung darlegen und unter Heranziehung datenschutzrechtlicher Erlaubnistatbestände begründen müssen. Außerdem müssen Sie zwingend eine Liste der Datenverarbeitungstätigkeiten führen (Art. 30 DSGVO). Diese Liste müssen Sie zwar nicht veröffentlichen, aber auf Aufforderung vorlegen können. Schon das erfordert die genannte Bestandsaufnahme.

In einem ersten Schritt sollte sie daher Ihre Liste, die Sie im Rahmen der Bestandsaufnahme erstellt haben, kritisch durchgehen und sich dabei jeweils fragen, ob die jeweilige Datenverarbeitung wirklich notwendig ist. Je weniger Daten Sie erheben und speichern und vor allem je weniger Daten Sie an Dritte übermitteln oder veröffentlichen, desto kürzer werden Ihre Liste über Verarbeitungstätigkeiten und Ihre Datenschutzerklärung, und desto weniger Hirnschmalz müssen Sie in die Suche nach Erlaubnistatbeständen investieren.

Auf zum Frühjahrsputz!

  • Brauchen Sie wirklich Logfiles? Wie lange? Kann man sie anonymisieren?

  • Brauchen Sie alle diese Ressourcen und Funktionen, die Sie nachladen? Kann man Ressourcen - Schriften, CSS, Javascript - nicht auch selbst ausliefern, statt sie von Drittanbietern nachzuladen?

  • Welche Plugins in Ihrem Blog benötigen Sie wirklich? Lassen sich unnötige oder aus Datenschutzsicht kritische Funktionen deaktivieren?

  • Muss es Google Analytics sein? Müssen oder wollen Sie umfangreiche statistische Auswertungen vornehmen?

  • Gibt es für eingebundene Funktionen datenschutzfreundlichere Alternativen, wie bspw. das Shariff-Projekt zum "Teilen" von Inhalten in sozialen Netzwerken statt der Einbindung von Buttons der sozialen Netzwerke?

Erlaubnistatbestände suchen

Alle Datenverarbeitungen, die jetzt noch übrig sind, müssen Sie begründen und rechtfertigen können. Denn jede (!) Erhebung, Speicherung, Verarbeitung, Übermittlung oder Veröffentlichung personenbezogener Daten erfordert die Heranziehung eines der in Art. 6 Abs. 1 DSGVO aufgezählten Erlaubnistatbestände. Sie müssen nun also für jede verbleibende Datenverarbeitung darstellen, auf welcher Rechtsgrundlage sie diese Verarbeitung vornehmen. Dabei sollten Sie nach Möglichkeit die jeweilige Rechtsgrundlage durch Nennung der konkreten Erlaubnisnorm aus Art. 6 Abs. 1 DSGVO klar bezeichnen.

Der scheinbare Joker ist dabei die Einwilligung des Betroffenen (Art. 7 DSGVO), weil sie zunächst jede Datenverarbeitung ohne weitere Abwägung rechtfertigt - sie ist jedoch mit großen praktischen und rechtlichen Nachteilen verbunden. Ein praktischer Nachteil ist, dass die Einwilligung nunmehr in der Regel ausdrücklich erklärt werden muss - und natürlich eine vorherige Information darüber erfordert, worin eingewilligt wird. Formulierungen der Art wie "mit dem Aufruf meiner Webseiten stimmen Sie ... zu" oder "mit dem Absenden eines Kommentares willigen Sie in die Speicherung und Veröffentlichung ein" genügen den Anforderungen der DSGVO nicht. Der rechtliche Nachteil der Einwilligung ist, dass sie jederzeit widerrufen werden kann - und wenn Sie dann keine andere Rechtsgrundlage für die Datenverarbeitung haben, müssen Sie die Daten löschen! Was wird das für ein Spaß, nachträglich (!) in Ihren Logfiles oder Ihrer Statistikanwendung einzelne Datensätze zu löschen oder all denen, denen die Daten übermittelt wurden - Akismet, ReCaptcha, Google Analytics ... - mitzuteilen, dass die Daten nunmehr auch dort zu löschen sind (Art. 19 DSGVO). Außerdem gilt für aufgrund einer Einwilligung vom Nutzer übermittelte Daten das Übertragungsrecht aus Art. 20 DSGVO: Sie müssen die Daten nicht nur ggf. löschen, sondern auch an den Nutzer herausgeben. Hinzu kommt das Koppelungsverbot (Art. 7 Abs. 4 DSGVO): Sie dürfen die Zustimmung zu einer über das zur Erbringung Ihres Angebots notwendige Maß hinausgehenden Datenverarbeitung nicht dadurch erzwingen, dass Sie - "friss oder stirb!" - die Zustimmung verlangen und sonst ihr Angebot nicht zugänglich machen.

Richtigerweise sollte man sich daher nur dann auf die Einwilligung eines Nutzers stützen, wenn sich kein anderer Erlaubnistatbestand findet. Das wird im Bereich privater Webseiten und Blogs vor allem die Veröffentlichung von Kommentaren betreffen.

Davon abgesehen wird in der Regel die Wahrung der berechtigten Interessen nach Art. 6 Abs. 1 lit. f) DSGVO die geeignete Rechtsgrundlage der Datenverarbeitung sein. In diesem Fall müssen Sie sich dann allerdings zusätzlich überlegen, welches Interesse Sie für die Datenverarbeitung geltend machen können, und warum diese Interessen Ihrerseits ein entgegenstehendes Interesse des Nutzers überwiegen. Das erfordert ein wenig Gehirnschmalz - aber Sie haben ja bereits darüber nachgedacht, warum Sie die Daten wirklich brauchen, nicht wahr? Beachten Sie dabei, dass sich natürlich nicht jede Datenverarbeitung mit der Wahrnehmung berechtigter Interessen rechtfertigen lässt, und dass Ihre Interessen gegen die Interessen der Betroffenen abgewogen werden müssen. Im Zweifel werfen Sie einen Blick auf die Verarbeitungsgrundsätze in Art. 5 DSGVO und denken insbesondere an den Grundsatz der Datenminimierung! So wird wenig gegen die kurzfristige Speicherung von Logfiles sprechen - vieles aber gegen deren langfristige oder gar dauerhafte Aufbewahrung.

In Ausnahmefällen - insbesondere dann, wenn Sie über Ihre Webseiten weitere Dienste oder Dienstleistungen anbieten - werden auch die Erlaubnistatbestände der Verarbeitung zur Anbahnung oder Durchführung eines Vertrages (Art. 6 Abs. 1 lit. b) DSGVO) oder zur Erfüllung gesetzlicher Pflichten (Art. 6 Abs. 1 lit. c) DSGVO) in Betracht kommen.

Datenschutzerklärung erstellen

Nun wissen Sie, welche Daten Sie erheben, und Sie haben sich auch Gedanken darüber gemacht, warum Sie das tun und auf welche Erlaubnistatbestände Sie sich stützen können. Dann ist jetzt der Zeitpunkt gekommen, das alles aufzuschreiben - das ist zugleich Ihr Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO - und Ihre Datenschutzerklärung zu erstellen.

Aus Art. 13 DSGVO ergibt sich, was in einer Datenschutzerklärung enthalten sein muss:

und für alle verarbeiteten (erhobenen, gespeicherten, übermittelten, veröffentlichten) Daten jeweils

Die Darstellung muss dabei "in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache" erfolgen (Art. 12 Abs. 1 DSGVO). Das erfordert eine sinnvolle Gliederung und Zusammenstellung der Daten nach passenden Kategorien.

Empfehlen kann ich für diesen Zweck den Datenschutz-Generator von Rechtsanwalt Dr. Thomas Schwenke. Hier können Sie sich - für Privatpersonen kostenlos - eine Datenschutzerklärung aus einer Vielzahl von Textbausteinen zusammenklicken. Gehen Sie das Ergebnis aber am besten noch einmal kritisch durch! Manches erfordert eine Anpassung an Ihre konkrete Situation, und manchmal erscheint mir die Darstellung unnötig lang und komplex zu sein ...

Die Datenschutzerklärung sollten Sie - analog zu Ihrem Impressum - nach Möglichkeit von jeder Seite Ihrer Webpräsenz aus verlinken, am besten möglichst weit oben, und so, dass man das Ziel des Links auch erkennen kann; als Text empfiehlt sich - trotz der Länge - "Datenschutz(erklärung)".

Abschlussarbeiten

Nun haben Sie es fast geschafft!

Vergessen Sie aber bitte nicht, dass zum Datenschutz auch die Datensicherheit gehört, also der "technische Datenschutz" oder - im Duktus der DSGVO - der "Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen" (Art. 25 DSGVO). So gehört die Verschlüsselung des Datenverkehrs bspw. per HTTPS heute zum Stand der Technik; Let's Encrypt macht es (auch für Sie!) möglich. Auch müssen Sie installierte Webapplikationen - Ihr Wordpress, Ihr Serendipity, Ihr CMS - regelmäßig updaten und auch sonst auf den Stand der Sicherheit und Technik achtgeben. Das gilt auch für den Umgang mit Ihren Passwörtern.

Bedenken Sie auch Ihre Pflichten zur Erteilung von Auskunft oder zur Löschung von Daten. Machen Sie sich Gedanken, wie Sie diesen Pflichten im Zweifel nachkommen können.

Dann sind Sie wirklich "fit" für die DSGVO.

[Bedauerlicherweise wurde dieser Beitrag erst nachträglich im August 2018 veröffentlicht.]

Trackbacks

Netz - Rettung - Recht am : Serendipity und die DSGVO

Vorschau anzeigen
Nach meiner Empfehlung, auf welchem Weg man sein Blog am besten für die DSGVO “fit” machen kann, will ich heute aufzeigen, wie Sie Serendipity dabei unterstützt. Die Entwickler haben dafür nämlich extra ein neues Plugin DSGVO / GDPR: General

Netz - Rettung - Recht am : Datenschutzerklärungen für Website und Blog

Vorschau anzeigen
Viel habe ich in den letzten zwei Wochen über die DSGVO geschrieben, vergleichsweise wenig aber hat sich bisher hier getan … bis ich am vergangenen Wochenende die notwendige Zeit fand, meinen Worten auch Taten folgen zu lassen, zumindest für mein Bl

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

HTML-Tags werden in ihre Entities umgewandelt.
Markdown-Formatierung erlaubt
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Gravatar, Identicon/Ycon Autoren-Bilder werden unterstützt.
Formular-Optionen
tweetbackcheck