Der Datenschutz ist von ganz besonderer Bedeutung und aktuell hört man nur noch davon. Das Datenschutzrecht gehört auch mehr zu den neueren Gesetzesvorschriften. Denn mit der Einführung der neuen technischen Gegebenheiten im Medienzeitalter stellt sich die Frage eines effektiven Schutzes von persönlichen Fragen immer häufiger. Mit neuen Technologien, müssen neue Regelungen getroffen werden, daher ist dies ein Thema, was in den nächsten Jahren wohl auch immer öfter angepasst werden wird. Aber was ich als Blogger beim Datenschutz zu beachten?
Disclaimer
Ich bin kein Rechtsanwalt. Dieser Beitrag ersetzt keine Rechtsberatung, sondern dient lediglich zur Orientierung und beruht auf eigenen Erfahrungen in den 6 Jahren als Blogger. Hinsichtlich der DSGVO habe ich keine Erfahrungen machen können, sondern mit der Hilfe durch andere Blogger und das Interpretieren der gesetzlichen Regelungen meine Zusammenfassung niedergeschrieben.
Keine Panik, so schlimm ist die DSGVO nicht!
Zu beginn möchte ich dich beruhigen, die DSGVO ist gar nicht wild für Blogger. Hiermit liegt also kein Grund vor, deinen Blog vom Netz zu nehmen! Die Regelungen teilweise sogar schon länger bekanntgegeben und nur in einigen Fällen ergänzt worden. Die Umsetzung für deinen Blog ist kein sehr großer Aufwand, also mache dir damit keinen Stress. Die Aufsichtsbehörden werden mit ihren hohen Bußgeldern nicht auf kleine Blogger losgehen, sie suchen da eher die großen Unternehmen, die mit den personenbezogenen Daten bedenkliche Dinge unternehmen.
Personenbezogene Daten im Internet
Wir nutzen ständig das Internet für E-Mails oder Social Media. In den genutzten Programmen haben wir viele Daten von uns angegebenen, selbst beim Kommentieren von Blogs sind Angaben wie E-Mail und Namen anzugeben. Der Datenschutz zieht sich damit durch sämtliche Vorschriften der Telemedien. Sowohl das TKG für den Bereich der Telekommunikation als auch das TMG für den Bereich der Multimedia enthalten Vorschriften über die Geheimhaltung von persönlichen Daten. Hinsichtlich der Telekommunikationsdienstleistungen regelte obendrein eine Telekommunikationsdiensteunternehmen-Datenschutzverordnung den Schutz personenbezogener Daten. Abgelöst wurde sie durch die Telekommunikations-Datenschutzverordnung und dann durch das TKG.
Was sind personenbezogene Daten?
Eins vorweg, personenbezogene Daten dürfen nur erhoben, verarbeitet oder genutzt werden, wenn ein sogenannter Erlaubnisvorbehalt vorliegt (§ 12 TMG).
| Erhebung | ist das Beschaffen von Daten über einen Betroffenen. |
| Verarbeitung | ist das Speichern, Verändern, Übermitteln, Sperren und Löschung personenbezogener Daten. |
| Nutzung | ist jede Verwendung personenbezogener Daten, soweit nicht schon eine Verarbeitung i. S. obiger Definition vorliegt. |
Doch welche Daten sind hier exakt gemeint?
Personenbezogene Daten sind Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren Person z. B. Beruf, Bankverbindung, Verwandte, Adresse, Telefonnummer etc. Darüber hinaus können die personenbezogenen Daten unterteilt werde in Bestands-, Nutzungs- und Abrechnungsdaten.
Erhebung von personenbezogener Daten nur mit Erlaubnisvorbehalt
Erlaubnisvorbehalt heißt, dass die Verwertung der personenbezogenen Daten nur gestattet ist, wenn ein Gesetz es ausdrücklich erlaubt oder der Nutzer es ausdrücklich und grundsätzlich schriftlich gestattet. Um eine hohe Transparenz zu erreichen, muss der Anbieter den Nutzer vor der Erhebung der Daten über Art, Umfang, Ort und Zweck der Erhebung, Verarbeitung oder Nutzung unterrichten. Bei automatisierten Verfahren muss dem Nutzer möglich gemacht werden, jederzeit die von ihm verarbeiteten Daten abzurufen. Dann kann er auf die Unterrichtung verzichten, der Verzicht muss aber zu Protokoll genommen werden. Der Nutzer kann die Einwilligung über die Erhebung, Verarbeitung oder Nutzung seiner personenbezogener Daten jederzeit widerrufen. Dieser Widerruf gilt allerdings nur für die Zukunft. Der Nutzer ist von dem Anbieter vor Abgabe seiner Erklärung auf dieses Recht hinzuweisen.
Auskunftsrecht und Grundsätze der Datenerhebung
Nutzer haben das Recht jederzeit und unverzüglich Auskunft über die gespeicherten Daten zu erhalten, wenn er dies verlangt (§ 13 Abs. 8 TMG). Die Auskunft ist kostenfrei zu erteilen.
Bei der Speicherung der Daten sind noch die Grundsätze der Datenerhebung und -verarbeitung zu beachten.
Grundsatz der Zweckbindung (Warum werden die Daten erhoben/bearbeitet?)
Grundsatz der Rechtmäßigkeit
Grundsatz der Datenminimierung (So wenig Daten wie möglich erfassen)
Grundsatz der Richtigkeit
Grundsatz der Speicherbegrenzung (Wenn der Zweck erfüllt ist, die Daten löschen!)
Was haben Blogger nun damit zu tun?
Auch Blogger arbeiten mit personenbezogenen Daten. IP-Adressen, Adressdaten und E-Mail-Adressen, sogenannte „sonstige personenbezogene Daten“ werden bei uns hinterlegt. Daher trifft die Datenschutzverordnung auch uns, da bei der Verarbeitung von personenbezogenen Daten eine Sorgsamkeits- und Informationspflicht besteht.
Was muss ich tun?
Mit der DSGVO wird es zur Pflicht ein Verarbeitungsverzeichnis und ein TOM-Verzeichnis zu führen. Es ist festgelegt, welche Angaben im Verzeichnis geführt werden müssen (https://dsgvo-gesetz.de/art-30-dsgvo/)
Ich habe zur Veranschaulichung eine Excel-Tabelle erstellt und teilweise vorausgefüllt. Gerne kannst du diese für deine Zwecke verwenden.
Verfahrensverzeichnis-DSGVO für Blogger (Excel-Tabelle)
Was brauche ich für mein Blogprojekt?
Bei Zusammenarbeit mit Kunden oder beim Verarbeiten von personenbezogenen Daten von Lesern deines Blogs musst du in deinen Verträgen hinreichende Garantien abgeben, dass geeignete technische und organisatorische Maßnahmen zum Schutz dieser Daten vorgenommen wurden.
Es ist nicht neu, dass in Blog und andere Websites eine Datenschutzerklärung aufweisen müssen. Achte darauf, dass deine Datenschutzerklärung eine umfassende Belehrung der Rechte beinhaltet, einen Hinweis auf die Cookies abgibt und Opt-Out-Möglichkeiten für Google Analytics und sämtliche Social Media Anwendungen, die mit deinem Blog verknüpft sind.
SSL-Verschlüsselung
Soweit ich dies einschätzen kann, haben die meisten die Verschlüsselung bereits eingearbeitet bzw. sind die vom Server schon eingearbeitet worden. Wenn nicht, ist es unbedingt wichtig, dass du die SSL-Verschlüsselung einpflegst. Eine solche Verschlüsselung kann gegen eine geringe Gebühr bei dem Server-Anbieter gekauft und installiert werden. Ob du diese bereits besitzt ist im Browser zu erkennen. Neben deiner Blog-URL sollte ein grünes Sicherheitsschloss zu sehen sein.
Verwendest du für deinen Blog einen Newsletter, ist die Einwilligung erforderlich. In jeder E-Mail muss die Double Opt-in und die Opt-out-Möglichkeit dabei sein. Ergänzt wurde, dass du die Opt-out-Daten von Zeit zu Zeit löschen musst.
Gewinnspiele
Hier ist unbedingt eine Informationspflicht sowie eine Aufklärung über Rechte anzugeben. Einfacher ist, eine solche Erklärung in die Datenschutzerklärung aufzunehmen und bei jedem Gewinnspiel die Erklärung zu verlinken.
To-Do für deinen Blog
Kommentarfunktion
WordPress wird hoffentlich eine DSGVO-konforme Kommentarfunktion im nächsten Update einpflegen.
Anti-Spam
Viele nutzen Akismet als Plugin, was aber bereits jetzt schon datenschutzrechtlich bedenklich ist. Alternative wäre Antispam Bee zu installieren.
Teilen-Buttons
Kannst du verwenden, achte aber auf den Datenschutz Shariff Wrapper bindet z. B. nur Textlink ein, Kommunikation mit dem Netzwerk wird erst bei einem aktiven Klick ermöglicht.
Social Media Like-Boxen
Die große Sorge, was mache ich mit den Like-Buttons? Solange keine Bilder von Abonnenten angezeigt werden, kannst du diese erst einmal verwenden.
Gravatar-Bilder
Bei jedem Kommentar wird eine Anfrage in die USA gesendet, ob zu dieser E-Mail ein Gravatar-Bild verfügbar ist. Um sicher zu gehen, solltest du Gravatar auf deinem Blog abstellen. Gleiches gilt für die Emojis, lass sie lieber altmodisch in dieser Form 🙂 stehen, als das sie umgewandelt werden.
Vereinbarung mit Co-Blogger
Wenn du nicht alleine bloggst, musst du mit deinem Kollegen ein paar Zusätze beachten. Die Aufgaben für den Verantwortlichen müssen klar definiert sein, außerdem ist ein schriftlicher Vertrag notwendig für die Funktionen. Fungiert nur einer oder sind zwei für den Datenschutz verantwortlich? In der Datenschutzerklärung muss dem Leser deutlich gemacht werden, wer Ansprechpartner ist und wie sie diesen erreichen können. Für Mitarbeiter muss eine Verschwiegenheitsvereinbarung unterzeichnet werden und im Verarbeitungsverzeichnis als zusätzliche Verarbeitungstätigkeit angegeben werden. Generell muss für den Datenschutzbeauftragen eine E-Mail hinterlegt und angegeben werden, die regelmäßig abgerufen wird. Denn der Verantwortliche haftet, aber erst ab Kenntnis.
Werden Daten gestohlen, muss der Verantwortliche Art, Schwere und Folgen einschätzen und gegenüber der Aufsichtsbehörde seinen Melde- und Benachrichtigungspflichten nachkommen. Bei Bloggern kann es so gut wie gar nicht vorkommen, es sei denn, du hast wirklich sensible Daten gespeichert wie Bankverbindungen.
Wie du erkennen kannst, ist die Umsetzung der DSGVO für den Blog gar nicht so gravierend. Ob das alles richtig ist, werden wir im Grunde erst nach den ersten Gerichtsverfahren und den daraus resultierenden Urteilen wissen. Anzumerken ist noch, dass die DSGVO zwar in der gesamten EU gilt, jedes Land aber wieder andere Umsetzungen vorschreibt. In Österreich ist zum Beispiel der Vertrag mit Google Analytics nicht schriftlich notwendig.
Wie weit bist du mit deiner Umsetzung? Eventuell hast du noch ein paar mehr Tipps, dann teile sie doch mit uns in den Kommentaren.
Du hast den ersten Teil zum Impressum verpasst? Keine Sorge, hier findest du Teil I: Blog und Recht Teil I Impressum
P. S. In unserer Facebook-Gruppe ist ein Netzwerk für und von Blogger. Tausche dich gemeinsam mit uns aus.
Leave A Comment