Der Stichtag für die Datenschutz-Grundverordnung, kurz DSGVO, rückt immer näher: Am 25. Mai endet die Schonfrist. Spätestens ab diesem Zeitpunkt müssen Websitebetreiber in der EU die neuen Datenschutzbestimmungen erfüllen. Doch das ist kompliziert und aufwendig. Da stellt sich die Frage: Lässt sich dies für Blogger und andere Einzelkämpfer mit Websites überhaupt ohne Rechtsberatung bewältigen?
Die Umsetzung der DSGVO ist komplex
Um den Anforderungen der DSGVO zu entsprechen und sich vor Abmahnungen zu schützen, müssen Blogger viele Regeln einhalten. Eine davon ist die sogenannte Dokumentationspflicht über die Einhaltung des Datenschutzes. Und hier wird es schon kompliziert: So unterliegt zum Beispiel jede Verletzung des Schutzes personenbezogener Daten dieser Dokumentationspflicht. Dazu gehören sämtliche Daten, die von Websitebetreibern in Bezug auf Newsletteranmeldungen, Kontaktformulare et cetera erhoben werden. Wie diese Dokumentation jedoch auszusehen hat, ist nicht wirklich einheitlich geklärt.
Blogger bewegen sich, insbesondere wenn sie die Daten für Werbezwecke nutzen, laut Datenschutzbeauftragter INFO im Gebiet der Interessenabwägung. Soll heißen: Personen müssen ausdrücklich einwilligen, dass ihre damit in Verbindung stehenden Daten gespeichert werden dürfen.
Die einzelnen Pflichten aufzulisten, die mit der DSGVO auf Blogger zukommen, würde den Umfang dieses Artikels sprengen. Und genau hier liegt der Hase im Pfeffer: Für Einzelkämpfer ist der bürokratische Aufwand kaum zu stemmen. Wie aber können Websitebetreiber dennoch der Herausforderung begegnen?
Im Notfall zeitweise offline gehen
So manchem Newsletter-Abonnenten dürften in letzter Zeit überraschende Nachrichten ins Postfach getrudelt sein, die eher einer Kapitulation gleichen: Blogger, die sich vorübergehend aus der Netzwelt verabschieden. Die also ihren Newsletter und sogar ihre Website mit Ankündigung offline nehmen. Wie es zu dieser Verzweiflungstat kommt? Genau aus den weiter oben genannten Gründen: Es fehlen scheinbar schlichtweg Zeit und juristische Kenntnisse, um der DSGVO zu begegnen.
Da ist auch der Hinweis wenig hilfreich, dass die Einführung der DSGVO seit Langem bekannt ist. Denn selbst viele Anwälte werden auf Vorträgen oder in Blogartikeln wenig konkret, wenn es um die Umsetzung spezifischer Maßnahmen geht. Unternehmen können sich Datenschutzbeauftragte und Rechtsanwälte zur Beratung leisten, Blogger und Millionen Selbstständige sowie Freelancer in der Regel nicht.
Die Entscheidung, die eigenen Online-Kanäle vorübergehend stillzulegen, mag drastisch anmuten. Aber sie kann für Webmaster, die keinerlei Zeit, Geld oder beides für eine adäquate Umsetzung der DSGVO haben, für einen begrenzten Zeitraum eine Notlösung sein, um Abmahnwellen sicher zu überstehen und die Lage zu sondieren. Doch muss auch gesagt sein, dass sich das Problem damit nicht löst: Die DSGVO muss besser früher als später angepackt werden. Das gilt vor allem für Unternehmen, bei denen der Blog beziehungsweise die Website zentraler Bestandteil der Kommunikationsstrategie ist.
Sind ein paar Wochen ins Land gezogen, lässt sich die Situation besser überblicken: Wie haben Kollegen sich abgesichert? Welche Entwicklungen gab und gibt es im Bereich der DSGVO? Wurden eventuell kostenfrei nutzbare Muster zur Absicherung der eigenen Datenschutzerklärung oder weitere hilfreiche Videos/Artikel/Podcasts mit praktischen Tipps veröffentlicht?
Doch gibt es womöglich noch andere Wege, um sich innerhalb der kurzen Zeit zumindest weitestgehend abzusichern?
Leitfäden liefern eine Orientierung
Die gute Nachricht zuerst: Es gibt Leitfäden und Beiträge im Netz, welche Handlungsweisungen für die Vorbereitung auf die DSGVO an die Hand geben. Hier zwei Beispiele:
- Datenschutzmanagement nach der DSGVO – Leitfaden für die Praxis (Datenschutzbeauftragter INFO)
- FAQ zur Datenschutz-Grundverordnung (bitkom)
Doch auch hier gilt: Die Leitfäden ersetzen keine Rechtsberatung, die meisten Anbieter weisen explizit darauf hin. Blogger handeln demnach auf eigene Verantwortung und auf eigenes Risiko.
Im Folgenden dennoch die wichtigsten Punkte, mit denen Blogger sich auseinandersetzen müssen:
- Cookies
- Newsletter
- Nutzung von Analyticstools (Google Analytics, Piwik)
- Blog-Kommentare
- Social-Media-Kanäle
- SSL-Verschlüsselung
- Advertising
Die Liste der betroffenen Ebenen einer Website beziehungsweise eines Blogs ist lang, deren genaue Umsetzung scheint zugleich diffus.
Peer Wandiger von Selbständig im Netz hofft daher auf Klarheit durch die für 2019 geplante E-Privacy-Verordnung:
„Die DSGVO ist zu allgemein, um alle konkreten Schritte für die Anpassung von Websites oder Blogs vorzunehmen. Die kommende E-Privacy-Verordnung wird da mehr konkrete Dinge bringen, auch wenn es sicher danach ebenfalls noch Klärungsbedarf durch Gerichte geben wird.
Dennoch sollte man schon aktiv werden und sich mit den neuen Grundlagen der Datenverarbeitung in der EU anfreunden. So zum Beispiel mit dem Gebot der Datenminimierung. Je weniger personenbezogene Daten man in Zukunft sammelt, umso weniger Aufwand hat man.“
Sein Ansatz: im Idealfall einen Online-Auftritt betreiben, der keine personenbezogenen Daten speichert. Und alle nicht unbedingt notwendigen Daten gar nicht erst erfassen.
Rechtsberatung scheint unerlässlich
Wandigers Ansatz dürfte nur ein behelfsmäßiger und wenig praktikabler sein. Denn wie wollen Blogger ohne Datenspeicherung ihren Content auf Performance auswerten? Auch um eine Kommentarfunktion werden sie nicht herumkommen, wenn der Blog lebendig bleiben soll. Gleiches gilt für die Bereitstellung eines Kontaktformulars.
Rechtsanwalt Christian Solmecke rät in Fit für Journalismus daher:
„Websitebetreiber verpflichten sich zur Verwendung möglichst datenschutzfreundlicher Voreinstellungen. Es dürfen nur die Daten verarbeitet werden, die für den bestimmten Verarbeitungszweck erforderlich sind. Daher: Überprüfen Sie, welche Daten – eventuell auch unter Einschaltung externer Dienste – auf Ihrer Website erhoben werden. Darüber hinaus muss im jeweiligen Einzelfall geschaut werden, welche Anpassungen bei der konkreten Website notwendig sind – hier sollte man sich gegebenenfalls anwaltlich beraten lassen.“
Kurzum: Wer als Blogger den eigenen Datenschutz gemäß der DSGVO angemessen umsetzen möchte, wird um eine professionelle Beratung, sei es durch einen spezialisierten Anwalt oder einen anderen Experten auf dem Gebiet, nicht herumkommen. Zu individuell verschieden sind die jeweiligen Blogs und Websites im Netz. Hinzu kommt, dass ein Großteil der Blogger mit dem Baukastensystem WordPress und zum Teil datenschutzrechtlich problematischen Plugins arbeitet.
Wer auf eigene Faust vorgehen will, kann sich mit den bisher erschienenen Leitfäden behelfen. Wirklich sicher ist das jedoch nicht. Um auch nach dem 25. Mai noch ruhig schlafen zu können, ist eine vorübergehende Abschaltung der eigenen Kommunikationskanäle zwar drastisch, aber durchaus sinnvoll. Zumindest so lange, bis eine entsprechende Beratung finanziert werden kann. Oder Blogger investieren gleich in einen Beratungsexperten. So oder so bleibt die DSGVO eine Herausforderung für sie. Wie groß diese tatsächlich ist und ob Abmahnwellen nach dem Stichtag folgen werden, kann nur die Zukunft zeigen. Eins ist klar: Niemand muss in Panik ausbrechen. Nun gilt es, sich mit kühlem Kopf und bestmöglich auf die DSGVO vorzubereiten.
// Über den Autor
Benjamin Brückner ist Journalist, Blogger und Gründer der Online-Plattform Freelance Start. Nach mehrjährigen Tätigkeiten in Hörfunk- und Fernsehredaktionen veröffentlichte er zwei Bücher und arbeitet unter anderem als Redakteur und Newsletter-Teamleiter bei Zielbar. Auf seinem eigenen Blog verfasst er regelmäßig Rezensionen, Lesetipps und Analysen zu gesellschaftlichen Themen. Privat interessiert Benjamin sich für Philosophie, Geschichte, Sport, digitale Entwicklungen und natrlich für kreatives Schreiben. Für den OSK-Blog schreibt der 30-Jährige als Gast-Autor über aktuelle Internettrends, die Digitalisierung und die Medienbranche.