Keine Website ist überhaupt keine Lösung

Mehr Datenschutz für alle, sagen die Befürworter der EU-Datenschutz-Grundverordnung (DSGVO).
Ein bürokratisches Desaster, entgegnen die Kritiker. Was ändert sich mit der DSGVO?

Was für Sorgen die DSGVO schürt, zeigt das Beispiel einer Bloggerin. Obwohl diese ihre Website schon mit einer neuen Datenschutzerklärung ausgestattet hat, will sie noch nicht einmal in diesem Artikel mit ihrem richtigen Namen erscheinen – aus Angst vor einer Klage.

„Ich lasse mich ungern anonymisieren“, sagt sie. „Aber ich will nicht diejenige sein, an der ein Exempel statuiert wird.“ Was sie damit meint: Sie will nicht die erste sein, die wegen eines Verstoßes gegen die DSGVO abgemahnt wird. Durch das neue Gesetz, das seit dem 25. Mai 2018 verpflichtend umgesetzt werden musste, können auch Bloggerinnen wie sie zu Schadenersatzzahlungen verurteilt werden. Wie teuer das wird, ist schwer zu sagen. Die in der Verordnung festgeschriebene Höchstsumme liegt bei 20 Millionen Euro oder vier Prozent des Jahresumsatzes bei Unternehmen.

Ein Blick in die Internetsphäre verdeutlicht, dass diese Angst nicht nur Blogger umtreibt – und dass viele nicht so genau wissen, was sie eigentlich noch dürfen und was nicht.

Für wen ist denn nun das neue Gesetz bindend?

Eigentlich ist das neue Gesetz nicht gezielt für Blogger ausgelegt, sondern in erster Linie für Unternehmen, die Daten verarbeiten. Die DSGVO soll unter anderem dem großen Datensammeln von Google und Facebook, von Amazon und Netflix Einhalt gebieten. Statt ungehindert alles zu speichern, sollen sie ihren Nutzerinnen und Nutzern wenigstens ein bisschen mehr Hoheit über ihre Informationen gewähren: Die Verbraucherinnen und Verbraucher können ihre Daten herunterladen und bei einem anderen Dienst hochladen (das soll Datenmonopole brechen), sie können Fragen zu der Art der gesammelten Daten stellen (das soll mehr Transparenz schaffen), sie können ihre Daten löschen lassen, wenn sie nicht mehr benötigt werden (das soll unnötige Werbung verhindern). Für die Verbraucher bedeutet das mehr Transparenz – für Websitebetreiber mehr Arbeit.

Kleinere Firmen, Blogger, Vereine und gemeinnützige Organisationen stehen nun vor der Frage, wie sie die Verordnung erfüllen sollen. Denn mit der Anpassung der Datenschutzerklärung ist es nicht getan: Sie müssen sich mit Hosting-Verträgen, Plugins und Datenverarbeitung auf ihren Seiten auseinandersetzen. Oft fehlt aber die Expertise, das Geld oder die Zeit für eine Auseinandersetzung mit den rechtlichen Pflichten. Was können Betreiberinnen und Betreiber also tun, wenn sie mit ihren Webauftritten online bleiben wollen?

Was ist zu tun?

Bevor Menschen ihren Onlineauftritt löschen, sollten sie prüfen, ob die Datenschutz-Grundverordnung überhaupt auf sie zutrifft. Denn Privatpersonen sind laut des Gesetzestextes explizit ausgeschlossen von der Umsetzung, solange sie ausschließlich „persönliche oder familiäre Tätigkeiten“ im Netz ausüben. Darunter würde beispielsweise ein geschütztes Blog fallen, auf den nur Freunde und Familie zugreifen können, aber auch ein privates Twitter- oder Instagram-Profil.

Allerdings dürften diese Voraussetzungen auf die wenigsten Seiten zutreffen. „Fast jede Website ist von der DSGVO betroffen“, sagen Rechtsanwälte, die sich mit Datenschutz befassen.

Schon eine Kommentarspalte oder ein Kontaktformular reichen aus, damit ein Onlineauftritt unter die EU-Verordnung fällt. Schließlich werden beim Abschicken einer Anfrage Angaben wie die E-Mail-Adresse oder der Name der Person verarbeitet und gespeichert. Genau solche Informationen dürfen laut DSGVO jedoch nur mit der Zustimmung der Nutzerinnen geteilt werden. Denn es handelt sich um eine erlaubnispflichtige Verarbeitung, über die Nutzer zudem in der Datenschutzerklärung aufgeklärt werden müssen. Selbst eine freiberufliche Webdesignerin mit einer statischen Website, die ein paar Informationen über das Portfolio enthält, kommt also um die Verordnung nicht herum.

Was müssen Websitebetreiber beachten?

Im ersten Schritt müssen Unternehmen, Blogger, Vereine und Organisationen ihre Datenschutzerklärung aktualisieren. Schon vorher fanden sich auf Websites entsprechende Hinweise, etwa auf die Nutzung von Cookies. Künftig muss die Erklärung auch einfach verständlich sein und die Verwendung von Tracking-Tools wie Google Analytics oder die Übermittlung von Daten in Drittländer transparent machen. Bei der Vollständigkeit können Datenschutz-Generatoren helfen, die automatisiert eine DSGVO-konforme Mustererklärung erzeugen.

Während die Datenschutzerklärung noch vergleichsweise einfach umzusetzen ist, wird es bei Plugins schon komplizierter. Grundsätzlich regelt die DSGVO, dass Nutzerinnen und Nutzer jeder Weiterverarbeitung ihrer Daten zustimmen müssen – auch der von Drittanbietern. Denn über die Jahre läppern sich die Plugins wie Google Analytics ect. , die man verwendet.

Dass Plugins von Drittanbietern ein Thema sind, hängt mit der Datenverarbeitung zusammen. Beispiel die Kommentarspalte in einem WordPress-Blog: Wer einen Kommentar unter einem Post verfasst, dessen E-Mail- und IP-Adresse werden gespeichert. Mit Hilfe dessen können Plugins etwa Spam-Kommentare von immer der gleichen Adresse herausfiltern. „Wenn aber die Daten zur Prüfung in die USA geschickt werden, dann brauche ich die Erlaubnis des Nutzers“!

Was heißt schon regelmäßig?

Genauso ist es mit der Einbindung von sozialen Medien wie dem Like-Button von Facebook oder der Einbetten-Funktion: Es besteht ein Risiko, dass Daten ohne Einverständnis abgegriffen werden. „Facebook-Text wird im Wesentlichen nur deshalb eingebettet, weil der Anwender sich davon einen deutlichen wirtschaftlichen Vorteil verhofft“! Es wird aber davon ausgegangen, dass die Anbieter bald nachrüsten und auch DSGVO-konforme Dienste anbieten werden. Einige haben damit schon angefangen: Bei Adsense, einem Angebot von Google, können Kunden auch nicht-personalisierte Werbung anzeigen lassen. Und WordPress bietet mittlerweile ebenfalls DSGVO-konforme Plugins an.

Wer trotzdem Plugins verwenden will, kann sich mit einem sogenannten Auftragsverarbeitungsvertrag absichern. Schon das Bundesdatenschutzgesetz (BDSG) bestand in bestimmten Fällen auf einen solchen Vertrag. Allerdings verschärfen sich die Anforderungen durch die DSGVO. Der Vertrag ist notwendig, sobald ein Anbieter Daten verarbeitet – wie etwa die E-Mail- oder die IP-Adresse. Auch Tracking-Tools wie Google Analytics, Homepage-Baukästen wie WordPress oder Hoster wie 1&1 und Amazon Web Services zählen dazu. Der Vertrag beinhaltet die Auflage, dass die Auftragnehmer – also etwa die Hoster – die Informationen der Nutzerinnen und Nutzer sicher und vertraulich behandeln.

Damit die Daten auf Kontaktformularen oder Newsletter-Anmeldungen sicher übertragen werden, muss ein Onlineauftritt außerdem verschlüsselt sein. Das IT-Sicherheitsgesetz und das Telemediengesetz verlangen schon seit 2015, dass Betreiberinnen Sicherheitsvorkehrungen gemäß dem „Stand der Technik“ treffen. Erfüllen können Unternehmen, Blogger, Vereine, Organisationen und Firmen diese Vorgaben, indem sie ein TSL- oder SSL-Zertifikat erwerben und auf der Website einbinden. Übrigens: Google markiert in seinem Browser Chrome seit Juli 2018 alle Seiten als unsicher, die nicht verschlüsselt sind. Schon allein aus Suchmaschinensicht lohnt sich die Umstellung also.

Manche Websitebetreiber fürchten auch, ein Verzeichnis von Verarbeitungstätigkeiten führen zu müssen, das unter anderem Ansprechpartner und Informationen zum Verarbeitungszweck enthält. Diese Anforderung gilt ab einer Unternehmensgröße von 250 Mitarbeitern. Sie gilt auch, wenn sie ein Risiko für die Rechte eines Menschen bergen, besonders sensible personenbezogene Daten wie der biometrische Fingerabdruck gespeichert oder regelmäßig personenbezogene Informationen verarbeitet werden. Die letzten beiden Punkte treffen etwa auf Arztpraxen und Vereine zu – sie müssen ein Verzeichnis anlegen.

Ob die Formulierung auch für einfache statische Websites gilt, ist aber unklar. Zwar könnte man argumentieren, dass ein Bäcker in seinem Kontaktformular regelmäßig Daten erhebt, weil er eben ein solches Formular anbietet – selbst wenn auf der Seite sonst nur seine Geschäftszeiten angegeben sind. Aber man könnte genauso gut argumentieren, dass die Datenverarbeitung nicht nach einem bestimmten Turnus erfolgt, also unregelmäßig stattfindet. Die Datenschutzkonferenz des Bundes und der Länder zieht das Fazit: „Es ist davon auszugehen, dass die Ausnahmen nur selten greifen werden und vielfach das Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten geboten ist.“ Wer sicher gehen will, sollte folglich ein Verzeichnis anlegen (ein Muster finden Interessierte zum Beispiel auf der Seite der Landesdatenschutzbeauftragten von Niedersachsen).

Im schlimmsten Fall „sehr hart“

Die meisten Websitebetreiber stehen der DSGVO skeptisch gegenüber. „Ich verkaufe keine Werbung, ich sammle keine Daten – ich will nur wissen, welcher meiner Beiträge, meiner Produkte gut laufen“, sagt sie. Trotzdem müsse sie ihre Website anpassen. Gegenüber den großen Unternehmen sehen sich kleinere Betreiber benachteiligt. „Gerade diejenigen, die die DSGVO zu Recht treffen soll, werden am wenigsten Sorgen mit ihr haben.“ Besonders stören sie, dass das Risiko einer Klage nicht abschätzbar ist und oft bagatellisiert wird. Viele haben das Gefühl, dass die Sorge schon berechtigt seien, weil es so viele Unsicherheiten gebe.

Diese Haltung ist durchaus nachvollziehbar. „Wenn man das Gesetz im Worst Case auslegt, dann wirkt es schon sehr hart“, sagen Rechtsanwälte. Durch die Schadenersatzansprüche kann der Nutzer an einer Abmahnung wegen Datenschutzverstoßes verdienen. Das schürt die Sorge vor einem Missbrauch – und vor einer Zunahme von Klagen. Vermutlich kann man das Risiko erst seriös abschätzen, wenn die ersten Urteile gefallen sind. Wenn Gerichte bei Klagen gegen Unternehmen, Blogger und Vereine tatsächlich hohe Schadenersatzzahlungen oder Bußgelder bestätigen, dann ist die Gefahr einer Abmahnwelle groß.“

Ein Spaß wie eine Steuererklärung

Ein Anwalt sagt aber auch: Das Risiko der Klage habe es auch vor dem Ablauf der Umsetzungsfrist der DSGVO gegeben. Und bisher hätten Gerichte eher zurückhaltend geurteilt. Auch Politiker wie die EU-Kommissarin Věra Jourová oder der Grünen-Abgeordnete Jan Philipp Albrecht, die an der DSGVO mitgewirkt haben, glauben nicht an eine Häufung der Klagen.

Grundsätzlich mahnen Fachleute vor allzu großer Panik. „Es ändert sich gar nicht so viel“, sagen Experten. Den Aufwand, einen Onlineauftritt auf die DSGVO abzustimmen, vergleicht sie mit dem einer Steuererklärung: Spaß macht die Umstellung nicht, aber möglich ist sie.

Wir sind dafür Ihr richtiger Ansprechpartner und machen das für Sie!

Fordern Sie doch einfach ein Angebot dazu an!

[vcex_button url=“https://webmore.net/kontakt/“ title=“Hier Angebot anfordern“ style=“graphical“ align=“left“ color=“green“ size=“small“ target=“self“ rel=“none“]Hier Angebot anfordern[/vcex_button]

Verwendete Quellen:

Und besuchen Sie uns doch einfach auch mal bei Facebook    oder Twitter